Exporteren (0) Afdrukken
Alles uitvouwen

Verificatiemethoden

Verificatiemethoden

In elke regel is een lijst met verificatiemethoden vastgelegd. Elke verificatiemethode bepaalt hoe de identiteit van de computers moet worden geverifieerd in een communicatie waarop de desbetreffende regel van toepassing is. De computers waartussen communicatie plaatsvindt, moeten over ten minste één gemeenschappelijke verificatiemethode beschikken, anders is geen communicatie mogelijk. Door meerdere verificatiemethoden te definiëren is de kans dat twee computers over eenzelfde verificatiemethode beschikken groter.

Er kan slechts één verificatiemethode tussen twee computers worden gebruikt, ongeacht het aantal methoden dat is geconfigureerd. Als er meerdere regels van toepassing zijn op dezelfde twee computers, moet u de lijst met verificatiemethoden in deze regels opnemen om ervoor te zorgen dat de twee computers dezelfde methode gebruiken. Als in een regel tussen twee computers bijvoorbeeld alleen Kerberos voor de verificatie is gedefinieerd en alleen TCP-gegevens worden gefilterd terwijl in een andere regel alleen certificaten voor verificatie zijn gedefinieerd en alleen UDP-gegevens worden gefilterd, mislukt de verificatie.

Verificatiemethoden - overzicht

Voor het verifiëren kunt u bij IPSec het Kerberos V5-protocol, verificatie op basis van certificaten of verificatie met een vooraf gedeelde sleutel gebruiken.

  • Het Kerberos V5-beveiligingsprotocol maakt gebruik van standaard verificatietechnologie. Deze methode kan worden gebruikt voor elke client met het Kerberos V5-protocol die lid is van hetzelfde domein of een vertrouwd domein (ongeacht of deze client Windows 2000, Windows XP Professional of een Windows Server 2003-besturingssysteem gebruikt).
  • Een certificaat met openbare sleutel moet worden gebruikt in situaties waarbij toegang wordt verkregen tot het Internet, bedrijfsnetwerken, netwerken van externe zakenpartners of computers waarop het Kerberos V5-beveiligingsprotocol niet beschikbaar is. Hierbij is vereist dat ten minste één vertrouwde certificeringsinstantie (CA) plus een bijbehorend certificaat is geconfigureerd. Computers met Windows 2000, Windows XP of een Windows Server 2003-besturingssysteem ondersteunen X.509 Versie 3-certificaten, met inbegrip van CA-certificaten die door commerciële certificeringsinstanties zijn uitgebracht.
  • U kunt ook een vooraf gedeelde sleutel opgeven. Een vooraf gedeelde sleutel is eenvoudig in het gebruik en de client hoeft geen Kerberos V5-protocol of certificaat voor een openbare sleutel te hebben. Voor het gebruik van deze vooraf gedeelde sleutel moeten beide partijen IPSec handmatig configureren.
    Belangrijk
    • Het gebruik van verificatie met een vooraf gedeelde sleutel wordt niet aanbevolen omdat dit een relatief zwakke verificatiemethode is. Bij verificatie met een vooraf gedeelde sleutel wordt een hoofdsleutel gemaakt die minder veilig is (die een zwakkere vorm van codering biedt) dan certificaten of het Kerberos V5-protocol. Bovendien worden vooraf gedefinieerde sleutels opgeslagen als leesbare tekst. Verificatie met een vooraf gedeelde sleutel is beschikbaar ten behoeve van interoperabiliteit en het voldoen aan IPSec-standaarden. Gebruik vooraf gedeelde sleutels bij voorkeur alleen voor testdoeleinden. In een productieomgeving kunt u beter certificaten of Kerberos V5 gebruiken.

Opmerkingen

  • De mogelijkheid om verificatie uit te voeren met Kerberos V5 wordt niet ondersteund op computers met Windows XP Home Edition, computers met een andere versie van Windows 2000, Windows XP of een Windows Server 2003-besturingssysteem die geen lid zijn van een Active Directory-domein.
  • Zie IPSec-verificatiemethoden definiëren voor informatie over het configureren van verificatiemethoden.

IPSec-certificaat voor het koppelen aan accounts

Als u Kerberos V5 of certificaatverificatie gebruikt, kunt u beperkingen instellen en zo bepalen welke computers verbinding mogen maken. Wanneer u de functie voor het koppelen van certificaten aan accounts in IPSec inschakelt, koppelt het IKE-protocol een computercertificaat (of wijst het een computercertificaat toe) aan een computeraccount in een Active Directory-domein of -forest, en haalt het vervolgens een toegangstoken op dat de lijst met gebruikersrechten bevat die aan die computer zijn toegewezen. U kunt de toegang beperken door beveiligingsinstellingen voor Groepsbeleid te configureren en het gebruikersrecht Deze computer benaderen vanaf het netwerk of Toegang tot deze computer vanaf het netwerk weigeren toe te wijzen aan afzonderlijke of meerdere computers.

Wanneer een certificeringsinstantie van Windows 2000 of een Windows Server 2003-familie wordt gebruikt voor het automatisch inschrijven van computercertificaten, worden de certificaten automatisch in Active Directory opgeslagen als een eigenschap van de computeraccount. U kunt voor het inschrijven van computers ook een certificeringsinstantie gebruiken die niet van Microsoft is. Als u automatisch inschrijven van computercertificaten niet gebruikt, moet u het koppelen van certifcaten aan accounts handmatig beheren.

Opmerkingen

  • Wanneer u met het Kerberos V5-protocol gaat verifiëren, worden de externe toegangen alleen door het IKE-protocol gecontroleerd als IKE een eindpunt is. Om externe toegangen toe te kunnen passen moet u dus het IPSec-beleid op de clientcomputer configureren om IKE voor de server te initiëren. Als u certifcaatverificatie gebruikt, worden externe toegangen toegepast als de server of de clientcomputer IKE voor de server initieert.
  • Zie Beveiligingsinstellingen - overzicht voor informatie over het configureren van beveiligingsinstellingen in Groepsbeleid.
Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Toevoegen
Weergeven:
© 2014 Microsoft