В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету

Правила безопасности брандмауэра Windows, а также для подключений на основе IPsec в Windows Vista и Windows Server 2008

ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.

Эта статья на английском языке:942957
Сведения О бета-версии
В этой статье обсуждается бета-версия продукта корпорации Майкрософт. Информация в данной статье предоставляется как-это и может быть изменена без предварительного уведомления.

Не обслуживается по каналам технической поддержки корпорации Майкрософт для этой бета-версии продукта. Сведения о получении поддержки для бета-версии обратитесь к документации, поставляемой с файлами бета-версии продукта или веб-узле, где вы загрузили эту версию.
ВВЕДЕНИЕ
В данной статье описано следующее:
  • Правила безопасности брандмауэра Windows в Windows Vista
  • Правила безопасности подключений на основе IPsec в Windows Vista и Windows Server 2008
  • Как установить зашифрованное соединение между Windows Vista и Windows XP или Windows Vista и Windows Server 2003
Дополнительная информация
В Windows Vista новые правила безопасности брандмауэра Windows и новые правила безопасности подключения на основе IPsec полностью интегрированы в групповой политике. Таким образом объединение параметров поддержки, и они делегировать поведение таким же образом, как другие параметры групповой политики.

Правила безопасности брандмауэра Windows в Windows Vista

Оснастка управления управления (MMC) «Брандмауэр Windows с улучшенной безопасностью» поддерживает следующие типы правил безопасности.

Примечание Список правил безопасности брандмауэра Windows и список правил безопасности подключения объединяются с все соответствующие параметры групповой политики. Затем эти правила безопасности, обрабатываются в следующем порядке. Следующий порядок применяется всегда, независимо от источника правил безопасности.
  • Правило Усиление защиты служб Windows
    Правило Усиление защиты служб Windows запрещает установление подключения службы. Ограничения службы настроены таким образом, что службы Windows может связываться только определенным образом. Например можно ограничить трафика через определенный порт. Тем не менее пока не создавать правила брандмауэра не разрешен трафик.
  • Правила безопасности подключения
    Правило безопасности подключения определяет, как и когда компьютеры проходят проверку подлинности с помощью IPsec. Правила безопасности подключения используются для установки изоляции серверов и для установки изоляции домена. Кроме того правила безопасности подключения используются для применения политики защиты доступа К сети (NAP).
  • Правила обхода для проверенной подлинности
    Прошедшие проверку обойти правило позволяет определенным компьютерам быть подключены Если трафик защищен с помощью IPsec вне зависимости от других правил для входящих. Указанные компьютеры могут обойти входящих правил, которые блокируют трафик. Например можно включить удаленное администрирование брандмауэра с определенных компьютеров только путем создания правила обхода для проверенной подлинности компьютеров. Также можно включить поддержку для удаленного помощника, вызывая справочной службы.
  • Правило блокировки
    Правило блокировки явно блокирует входящий трафик определенного типа или тип исходящего трафика.
  • Разрешить правило
    Разрешающее правило явно позволяет для определенных видов входящего трафика или определенных типов исходящего трафика.
  • Правило по умолчанию
    Правило по умолчанию настроен таким образом, входящее правило по умолчанию блокирует соединения, что позволяет исходящего правила по умолчанию для подключений.

Правила безопасности подключений на основе IPsec в Windows Vista и Windows Server 2008

Следующие два типа правил IPsec может быть применен к компьютеру под управлением Windows Vista или на компьютере под управлением Windows Server 2008:
  • Правила IPsec
    Более ранних правил IPsec в настоящее время развертываются в Windows 2000 и Windows Server 2003. Служба агента политики управляет ранних правил IPsec. Эти правила IPsec, правила Internet Key Exchange (IKE), которые поддерживают только проверку подлинности Kerberos на основе компьютера, сертификаты x.509 или предварительный ключ проверки подлинности. Эти правила IPsec настраиваются в оснастке MMC «Управление политикой безопасности IP». Укрепление правила на основе IKE, применяются точно так же, как и в Windows 2000 и Windows Server 2003. Несмотря на то, что несколько политик может применяться к данному компьютеру, только последняя политика, применяемая прошла успешно. Это в соответствии с методом «сделанная последней». Кроме того Параметры политики IKE не удалось выполнить слияние.
  • Правила безопасности подключения
    Правила безопасности подключения поддерживаются только в Windows Vista и Windows Server 2008. Правила безопасности подключения, поддерживаемые расширение IKE, называется IP с проверкой (подлинности AuthIP). AuthIP обеспечивает поддержку следующих механизмов проверки подлинности:
    • Интерактивный пользователь Kerberos или учетные данные пользователя по протоколу NTLMv2
    • Пользовательские сертификаты x.509
    • Сертификаты Secure Sockets Layer (SSL)
    • Сертификаты работоспособности NAP
    • Анонимный подлинности (необязательно)
    Правила безопасности для оснастки «Брандмауэр и повышенной безопасности Windows» можно настроить с помощью следующих средств:
    • Доменной групповой политики
    • Оснастка «Брандмауэр Windows с улучшенной безопасностью»

      Примечание Оснастка «Брандмауэр Windows с улучшенной безопасностью» — это место хранения по умолчанию для политик, которые может осуществляться с помощью WF.msc команда.
    • Локальной групповой политики оснастка (Gpedit.msc)
    • В netsh advfirewall Команда

      Примечание В netsh advfirewall команда указывает на том же хранилище, как WF.msc команда.
    Как и другие брандмауэра и правила групповой политики правила безопасности подключения объединяются из всех соответствующих объектов групповой политики.

    Политики безопасности подключения можно настроить для создания политик на основе IPsec, совместимых с IKE версии 1 управлением, таких как Microsoft Windows 2000, Windows XP и Windows Server 2003. Также можно настроить политики безопасности подключения для создания политик, которые поддерживают связь только между компьютерами под управлением Windows Vista и компьютеры под управлением Windows Server 2008.

    Администратор может создать политику безопасности соединения с помощью следующих методов:
    • Администратор может создать политику безопасности соединения, который поддерживает только проверку подлинности Kerberos, пользовательские сертификаты x.509 или проверка подлинности компьютера.

      Заметки
      • В этом случае службы Mpssvc автоматически создает AuthIP и IKE предыдущей политики.
      • Если на компьютере предварительный ключ проверки подлинности указан, не создаются правила с проверкой подлинности.
    • Администратор может создать политику безопасности соединения, который требует проверки подлинности пользователя.

      Примечание В этом случае только с проверкой подлинности политика создается для согласования Windows Vista на Windows Vista и Windows Vista на Windows Server 2008 согласований. Это обусловлено тем, что IKE не поддерживает проверку подлинности пользователя.
    • Администратор может создать политику безопасности соединения, в котором параметры проверки подлинности пользователя добавляются к политике. Кроме того, администратор может также выбрать Вторая проверка подлинности необязательна параметр.

      Примечание Службы Mpssvc создает политики с проверкой подлинности и более ранних версий политик IKE. Необязательный проверку подлинности включается в набор с проверкой подлинности. Необязательный проверку подлинности не включена в более ранних политика IKE.
    • Администратор может создать политику безопасности подключения, требующего проверки подлинности NTLM.

      Примечание В этом случае только с проверкой подлинности создается политика для согласования Windows Vista на Windows Vista и Windows Vista на Windows Server 2008 согласований IKE поддерживает проверку подлинности NTLM.
    • Администратор выбирает алгоритм «Диффи-Хелмана» в глобальной алгоритм «Обмен ключами основного режима» не совместим с более ранних версий клиентов, таких как "Эллиптическая кривая Диффи-Хелмана P-256" алгоритм.

      Заметки
      • В этом случае алгоритм «Диффи-Хелмана» не будет поддерживаться клиентами более ранних версий IKE-версии 1. Кроме того согласований IKE не удастся.
      • Рекомендуется использовать параметр «Группа Диффи-Хелмана 2», поскольку этот параметр поддерживается для широкого круга клиентов.
      • Параметр «Группа Диффи-Хелмана 14» поддерживается в Windows XP с пакетом обновления 2 (SP2) и Windows Server 2003.
      • В этом случае изменение ключа поведения — что алгоритм «Диффи-Хелмана» обычно не используется для согласования на основе AuthIP.
      • Когда службы Mpssvc создает правила с проверкой подлинности, службы Mpssvc указывает, что согласования Windows Vista на Windows Vista или Windows Vista на Windows Server 2008 согласования необходимо использовать только алгоритм «Диффи-Хелмана» Если метод проверки подлинности основного режима Анонимный.
      • Создавая службы Mpssvc IKE правил, службы Mpssvc всегда использует алгоритм «Диффи-Хелмана», относящиеся к глобальным Обмен ключами основного режима значение параметра.
      • Интерфейс поставщика поддержки безопасности SSPI-общий секрет, используемый для создания материала в обмене с проверкой подлинности, в которых обмен ключами основного режима не поддерживает обмен данными Диффи-Хелмана.

    Сертификаты, используемые с проверкой подлинности

    • AuthIP использует SSL-сертификаты, имеющие настроены параметры проверки подлинности клиента или имеют настроенные параметры проверки подлинности сервера. Сертификаты SSL может быть сертификаты проверки подлинности клиента. Или, SSL-сертификаты проверки подлинности сертификатов и сертификаты проверки подлинности сервера.
    • Если создавать политики, чтобы использовать проверку подлинности Windows Vista необходимо иметь сертификаты, которые работают с с проверкой подлинности. Это означает, что сертификаты, развертывание клиентов для SSL-сертификаты, которые используют проверку подлинности клиента или сервера. Проверка подлинности зависит от того, следует ли одностороннее или взаимную проверку подлинности. SSL-сертификаты отличаются от стандартных цифровых сертификатов, используемых в Windows XP или Windows Server 2003.
    • По умолчанию SSL-сертификаты используются реализации защиты доступа к сети.

Обработка групповой политики для оснастки «Брандмауэр Windows с улучшенной безопасностью»

Правила безопасности подключения выполняется слияние из всех соответствующих объектов групповой политики. Тем не менее есть группы связанных параметров IPsec, а также с проверкой подлинности, который управляет по умолчанию, поведение IPsec не являются дополнительными. Эта группа параметров включает в себя наборы глобальной проверки подлинности, параметры быстрого режима, параметры обмена ключами и исключения Internet Control Message Protocol (ICMP).

По умолчанию параметры безопасности подключения или параметры IPsec, которые применяются с наивысший приоритет объекта групповой политики (GPO) будет выполнено на компьютере под управлением Windows Vista. Например все правила безопасности подключения на клиентском компьютере под управлением Windows Vista, которые используют наборы по умолчанию проверка подлинности или шифрования наборов будет использовать наборы из наивысший приоритет групповой Политики. Если нужна большая гибкость, можно использовать следующие параметры:
  • Для проверки подлинности устанавливает Настройте проверку подлинности с помощью правила безопасности подключения, а не с помощью проверки подлинности по умолчанию.
  • Для быстрого режима шифрования наборов, используйте Netsh команды для настройки параметров шифрования быстрого режима для каждого правила безопасности подключения при необходимости.
  • Для основного режима шифрования наборов для каждой политики поддерживается только один набор криптографических основного режима. При установке нескольких полученных криптографических наборов основного режима, основной режим шифрования с наивысшим приоритетом GPO применяется ко всем правилам безопасности подключений в групповой политике. Тем не менее нельзя настроить правила для использования различных наборов основного режима шифрования.
  • При настройке объектов групповой политики для политик безопасности на подключение и политик брандмауэра, можно отключить использование локальные правила брандмауэра и правила безопасности подключения. Таким образом параметры групповой политики, связанные с веб-узла GPO подразделения (OU), объекты групповой политики домена или объектов групповой политики можно управлять поведением брандмауэра Windows.
Чтобы просмотреть в документе «Введение в Windows брандмауэр с повышенной безопасности» для Windows Vista, посетите веб-узел корпорации Майкрософт:Для получения дополнительных сведений о с проверкой подлинности в Windows Vista посетите следующий веб-узел корпорации Майкрософт:Для получения дополнительных сведений о новом брандмауэре Windows в Windows Vista и Windows Server 2008 посетите следующий веб-узел корпорации Майкрософт:

Как установить зашифрованное соединение между Windows Vista и Windows XP или Windows Vista и Windows Server 2003

В Windows Server 2003 и Windows XP конфигурация политики IPsec обычно состоит из набора правил для защиты большей части трафика в сети и другой набор правил для защищенного трафика. Конфигурация может включать изоляции серверов и изоляция домена. Исключения необходимы для незащищенной связи с серверами сетевой инфраструктуры, такие как серверы Dynamic Host Configuration Protocol (DHCP), системы доменных имен (DNS) серверов и контроллеров домена. При запуске компьютера, компьютер должен иметь возможность получить IP-адрес и должен иметь возможность использовать DNS для поиска контроллера домена. Кроме того компьютер должен иметь возможность войти в свой домен в возможности запуска компьютера для использования проверки подлинности Kerberos для проверки его подлинности как узел IPsec. Другие исключения необходимы для обмена данными с узлами сети, не поддерживающих IPsec. В некоторых случаях существует много исключений, затрудняет установку защиты IPsec в корпоративной сети и поддерживать сети предприятия через некоторое время.

В Windows Server 2008 и Windows Vista IPsec предоставляет дополнительные поведения для согласования защиты IPsec. Предположим, что IPsec включено и что узел IPsec под управлением Windows Server 2008 или Windows Vista инициирует связь с другим узлом сети. В этом случае узел IPsec будет пытаться взаимодействовать без шифрования, или «в незашифрованном виде». Узел попытается согласовать защищенной связи в параллельном режиме. Если инициализирующий узел IPsec получит ответ на try начального согласования, связь продолжится в незашифрованном виде. Если инициализирующий узел IPsec получит ответ на try начального согласования, связь в незашифрованном виде продолжится до завершения согласования. По завершении согласования последовательные связи получают повышенную защиту.Можно выяснить ли узел сети, который взаимодействует с может выполнить IPsec инициализирующий узел IPsec. Затем инициализирующий узел IPsec действует соответствующим образом. Такое поведение узла IPsec имеет дополнительные характеристики IPsec. Кроме того такое поведение связано рекомендуемая конфигурация которых требует защиты для входящих соединений, инициированных и который запрашивает защиту исходящего инициируемых подключений. Это новое поведение значительно упрощает настройку политики IPsec. Например инициализирующий узел IPsec не имеет набор предопределенных фильтров IPsec, чтобы исключить набор узлов, которые не могут защитить сетевой трафик с помощью IPsec. Инициализирующий узел IPsec пытается и защищенные и незащищенные трафик параллельно. Если это невозможно защищенной связи, инициализирующий узел IPsec использует незащищенной связи.

Новый режим согласования также улучшает производительность незащищенных подключений, примененных к узлам. Узел IPsec под управлением Windows XP или Windows Server 2003 настроен на запрос защиты подключений, но обеспечивает незащищенные подключения. Такое поведение узла IPsec называется резервный снимите флажок. Узел IPsec отправляет сообщения согласования и ждет ответа. Инициализирующий узел IPsec ожидает в течение трех секунд перед добравшись снимите и попытке незащищенные подключения. В Windows Server 2008 и Windows Vista больше не три двухсекундную задержку при добравшись снимите за связь в незашифрованном виде уже выполняется, когда инициализирующий узел IPsec ожидает ответа.

Для получения дополнительных сведений об изоляции сервера и домена изоляции посетите следующий веб-узел корпорации Майкрософт:

Ключ указывает установления зашифрованного соединения между Windows Vista и Windows XP или Windows Vista и Windows Server 2003

  • Если включен только зашифрованные соединения в Windows Vista, Windows Vista согласовывает только на уровне IPsec с другими клиентами. К ним относятся клиенты под управлением Windows XP.
  • По умолчанию Windows XP или Windows Server 2003 не выполняет согласование IPsec на уровне. Таким образом нам необходимо назначить правила IPsec в Windows XP или Windows Server 2003 для установления зашифрованного соединения между Windows Vista и Windows XP или Windows Vista и Windows Server 2003.
  • По умолчанию Если Разрешить только безопасные подключения параметр выбран, Windows Vista согласовывает с помощью метода шифрования AES-128 и метод шифрования 3DES. Метод шифрования AES-128 не поддерживается в Windows XP. Метод шифрования 3DES поддерживается в Windows XP и Windows Server 2003.
  • По умолчанию при включении IPsec в Windows XP или Windows Server 2003 IPsec будет согласовывать с помощью метода шифрования 3DES.
Чтобы установить зашифрованное подключение между компьютером с ОС Windows Vista и компьютер под управлением Windows XP с помощью оснастки «Брандмауэр Windows с улучшенной безопасностью», выполните следующие действия:
  1. На компьютере под управлением Windows Vista нажмите кнопку НачалоКнопка , тип Брандмауэр В диалоговом окне Начать поиск поле, а затем нажмите кнопку Брандмауэр Windows в режиме повышенной безопасности В диалоговом окне Программы список.
  2. В дереве консоли разверните узел Правила для входящих подключений.
  3. Дважды щелкните в списке правила для входящих подключений Дистанционное управление рабочим столом (TCP-входящий), а затем нажмите кнопку Общие Вкладка.
  4. В Действие область, нажмите кнопку Разрешить только безопасные подключения, выберите Требовать шифрование Установите флажок и нажмите кнопку ОК.
  5. В дереве консоли разверните узел Правила безопасности подключения, а затем нажмите кнопку Новое правило В меню Действие меню.
  6. Нажмите кнопку Изоляция, а затем нажмите кнопку Далее.
  7. Нажмите кнопку Требовать проверку подлинности для входящих и исходящих подключений, а затем нажмите кнопку Далее.
  8. Нажмите кнопку По умолчанию, а затем нажмите кнопку Далее.
  9. Установите следующие флажки и нажмите кнопку Далее:
    • Домен
    • Закрытый
    • Открытый
  10. Введите имя правила в Имя Введите описание правила в Описание (необязательно) Если и нажмите кнопку Окончание.
  11. На Файл меню, нажмите кнопку Выход.
  12. На компьютере под управлением Windows XP нажмите кнопку Начало, нажмите кнопку Запустить, тип secpol.msc, а затем нажмите кнопку ОК.
  13. В дереве консоли щелкните правой кнопкой мыши Политики безопасности IP на локальном компьютере, а затем нажмите кнопку Создать политику безопасности IP.
  14. Нажмите кнопку Далее, а затем следуйте инструкциям мастера политики безопасности IP, чтобы создать политику безопасности IP. Используйте параметры по умолчанию для этого.
  15. Щелкните правой кнопкой мыши Новая политика безопасности IP, а затем нажмите кнопку Назначение.
  16. На Файл меню, нажмите кнопку Выход.
cleartext открытый текст

Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 942957 — последний просмотр: 06/19/2011 10:57:00 — редакция: 4.0

Windows Vista Ultimate, Windows Vista Enterprise, Windows Vista Business, Windows Vista Home Premium, Windows Vista Home Basic, Windows Vista Starter, Windows Server 2008 Standard, Windows Server 2008 Enterprise

  • kbexpertiseadvanced kbhowto kbinfo kbmt KB942957 KbMtru
Отзывы и предложения