Microsoft.com
Witamy Sign in
Windows Client TechCenter
Kliknij, aby wprowadzić ocenę i opinię
TechNet
Biblioteka TechNet
Windows
Windows Server
Windows Server 2003
Zapraszamy!
Zabezpieczenia
 IPSec — najważniejsze wskazówki

  Włącz widok przy małej przepustowości
IPSec — najważniejsze wskazówki

Najważniejsze wskazówki

  • Opracuj plan wdrażania protokołu IPSec.
    Plan wdrażania powinien uwzględniać następujące kwestie: które scenariusze wdrażania (np. typu serwer-serwer lub dostęp zdalny) wymagają użycia protokołu IPSec, jaki poziom zabezpieczeń jest wymagany w każdym scenariuszu, które typy danych, komputery i łącza fizyczne mają być zabezpieczane, kto będzie zarządzać zasadami IPSec oraz w jaki sposób użytkownik końcowy będzie mógł uzyskać pomoc techniczną i pomoc w rozwiązywaniu problemów po wdrożeniu protokołu IPSec. Plan wdrażania powinien również poruszać szerzej kwestie zabezpieczeń firmy, takie jak podatność sieci na określone typy ataków, korzystanie z usługi Active Directory oraz sposób stosowania zabezpieczeń do obiektów zasad grupy.
    Aby uzyskać więcej informacji dotyczących planowania zabezpieczeń IPSec, zobacz Opracowywanie planu zabezpieczeń IPSec.
    Aby uzyskać więcej informacji o usłudze Active Directory, zobacz Omówienie usługi Active Directory.
  • Utwórz i przetestuj zasady IPSec we wszystkich scenariuszach wdrażania.
    Przed wdrożeniem protokołu IPSec w środowisku produkcyjnym należy przetestować działanie zasad IPSec w rzeczywistym środowisku laboratoryjnym. Aby uzyskać prawdziwe dane dotyczące wydajności, należy zasymulować standardowe obciążenie programów. Podczas testów wstępnych przejrzyj zawartość pakietów przy użyciu Monitora sieci albo użyj protokołów AH (Authentication Header) lub ESP (Encapsulating Security Payload) bez szyfrowania, aby przejrzeć zawartość pakietów w środowiskach testowych.
  • Nie używaj kluczy wstępnych.
    Jeśli ma być zapewniony wysoki poziom zabezpieczeń, korzystanie z klucza wstępnego jest niezalecane, ponieważ jest to stosunkowo słaba metoda uwierzytelniania. Ponadto klucze wstępne są przechowywane w formacie zwykłego tekstu. Uwierzytelnianie przy użyciu klucza wstępnego jest obsługiwane ze względu na współdziałanie i zgodność ze standardami IPSec. Zaleca się korzystanie z kluczy wstępnych tylko do testowania. W środowisku produkcyjnym lepiej jest używać certyfikatów lub protokołu Kerberos V5.
    Aby uzyskać więcej informacji, zobacz Uwierzytelnianie oparte na kluczu wstępnym.
  • Nie używaj grupy 1 Diffie-Hellmana (niskiej).
    Aby zwiększyć poziom zabezpieczeń, nie należy używać grupy 1 Diffie-Hellman'a , która udostępnia materiał klucza o sile 768 bitów. Aby maksymalnie podnieść poziom zabezpieczeń, należy używać grupy 2048 (wysoka), która udostępnia materiał klucza o sile 2 048 bitów. Jeśli jest wymagane współdziałanie z systemem Windows 2000 i Windows XP, należy używać grupy 2, która udostępnia materiał klucza o sile 1 024 bitów. Silne grupy Diffie-Hellman'a w połączeniu z dłuższymi kluczami znacznie utrudniają złamanie klucza tajnego.
    Aby uzyskać więcej informacji, zobacz Metody wymiany kluczy.
    Uwaga
    • Grupa Diffie-Hellmana 2048 jest dostępna tylko w systemach z rodziny Windows Server 2003.
  • Używaj algorytmu 3DES (Triple Data Encryption Standard) zapewniającego silniejsze szyfrowanie.
    Aby zwiększyć bezpieczeństwo, konfigurując metody zabezpieczeń wymiany kluczy w zasadach IPSec, należy użyć algorytmu 3DES, który jest silniejszym algorytmem szyfrowania niż DES.
    Aby uzyskać informacje dotyczące konfigurowania metod zabezpieczeń wymiany kluczy, zobacz Tworzenie metod zabezpieczeń wymiany kluczy.
    Uwaga
    • Aby można było korzystać z algorytmu 3DES na komputerach z systemem Windows 2000, musi być na nich zainstalowany dodatek High Encryption Pack albo Service Pack 2 (lub nowszy). Po odebraniu ustawienia 3DES na komputerze z systemem Windows 2000, na którym nie zainstalowano dodatku High Encryption Pack lub Service Pack 2 (lub nowszego), zostanie ono zmienione w metodzie zabezpieczeń na słabsze ustawienie DES, dzięki czemu zamiast blokowania całej komunikacji, będzie zapewniony pewien poziom jej poufności. Jednak opcji DES należy używać tylko jako opcji rezerwowej, w sytuacji gdy nie wszystkie komputery w danym środowisku obsługują algorytm 3DES. Komputery z systemem operacyjnym Windows XP lub Windows Server 2003 obsługują algorytm 3DES i nie wymagają instalacji dodatku High Encryption Pack.
  • Utwórz i przypisz trwałą zasadę IPSec, aby zabezpieczyć się przed uszkodzeniami.
    Aby podnieść poziom zabezpieczeń w sytuacji, gdy nie można zastosować lokalnych zasad IPSec lub zasad IPSec opartych na usłudze Active Directory, komputery można zabezpieczyć, tworząc i przypisując trwałe zasady IPSec. Po utworzeniu i przypisaniu zasad trwałych będą one stosowane w pierwszej kolejności, przed zasadami lokalnymi i zasadami opartymi na usłudze Active Directory, działając niezależnie od tego, czy dodatkowe zasady lokalne lub zasady oparte na usłudze Active Directory są w ogóle stosowane (na przykład zasady IPSec nie zostaną zastosowane, jeśli uległy uszkodzeniu).
    Uwaga
    • Tej funkcji nie można skonfigurować w konsoli Zarządzanie zasadami zabezpieczeń IP. Aby skonfigurować tę funkcję, należy użyć narzędzia Netsh protokołu IPSec w wierszu polecenia. Aby uzyskać więcej informacji, zobacz Polecenia netsh dotyczące protokołu IPSec.
  • Nie wysyłaj nazwy urzędu certyfikacji z żądaniami certyfikatu w przypadku komputerów podłączonych do Internetu.
    Jeśli do ustanowienia zaufania między równorzędnymi serwerami IPSec użyto uwierzytelniania za pomocą certyfikatów, oba serwery wymieniają się między sobą listą zaufanych głównych urzędów certyfikacji, których certyfikaty mogą służyć do uwierzytelniania. Każda z takich nazw urzędu certyfikacji jest przesyłana w postaci ładunku żądania certyfikatu (CRP, certificate request payload), który musi być wysłany przed ustanowieniem zaufania. Chociaż przesłanie takiej listy pomaga w ustanawianiu połączenia, ułatwiając wybór urzędu certyfikacji, może ono spowodować ujawnienie poufnych informacji o relacjach zaufania danego komputera, np. nazwy firmy, której dany komputer jest własnością, oraz przynależności komputera do domeny (jeśli stosowana jest wewnętrzna infrastruktura klucza publicznego), osobie nieupoważnionej. Dlatego aby zabezpieczyć komputery podłączone do Internetu, należy włączyć opcję wykluczania nazwy urzędu certyfikacji z żądania certyfikatu.
  • Nie korzystaj z uwierzytelniania przy użyciu protokołu Kerberos na komputerach podłączonych do Internetu.
    Po zastosowaniu uwierzytelniania metodą Kerberos, w trakcie negocjacji trybu głównego, każda ze stron uczestniczących w komunikacji IPSec wysyła do drugiej strony informacje o tożsamości komputera w postaci niezaszyfrowanej. Tożsamość komputera pozostaje niezaszyfrowana do momentu zaszyfrowania całego ładunku informacji o tożsamościach, co ma miejsce podczas uwierzytelniania negocjacji w trybie głównym. Użytkownik atakujący może wysłać pakiet IKE (Internet Key Exchange), który spowoduje, że strona odpowiadająca ujawni tożsamość swojego komputera oraz informacje dotyczące jego członkostwa w domenie. Do zabezpieczania komputerów podłączonych do Internetu zaleca się stosowanie uwierzytelniania za pomocą certyfikatów.
    Aby uzyskać więcej informacji, zobacz Metody uwierzytelniania.
  • Nie zezwalaj komputerom podłączonym do Internetu na komunikację niezabezpieczoną.
    Podczas konfigurowania akcji filtrowania do negocjacji zabezpieczeń IPSec, należy upewnić się, że wyłączono następujące opcje, zabezpieczając dzięki temu komputery podłączone do Internetu.
    • Akceptuj komunikację niezabezpieczoną, ale zawsze odpowiadaj, używając protokołu IPSec. Opcja ta zezwala na początkowy niezabezpieczony ruch przychodzący (np. pakiety TCP SYN), ale wymaga ochrony ruchu wychodzącego. Opcję tę należy wyłączyć, aby zapobiec atakom typu „odmowa usługi”.
    • Zezwalaj na niezabezpieczoną komunikację z komputerami nierozpoznającymi protokołu IPSec. Opcja ta zezwala na niezabezpieczoną komunikację z komputerami, które nie mogą negocjować użycia protokołu IPSec lub przetwarzać komunikacji zabezpieczonej za pomocą protokołu IPSec Jest ona odpowiednia tylko w środowiskach, w których komunikacja zabezpieczona protokołem IPSec nie jest niezbędna.
      Aby uzyskać więcej informacji, zobacz Akcja filtru.
  • Ogranicz możliwości korzystania z poświadczeń administracyjnych w firmie.
    Członkowie lokalnej grupy Administratorzy mogą przeglądać i modyfikować ustawienia zasad IPSec na swoich komputerach. Z tego powodu oraz ze względu na ogólne zalecenia dotyczące zabezpieczeń, należy upewnić się, że użytkownicy końcowi w danej firmie stosują się do zasady najmniejszego przywileju.
    Aby uzyskać informacje dotyczące najważniejszych wskazówek na temat zabezpieczeń, zobacz Najważniejsze wskazówki dotyczące zabezpieczeń dotyczące zabezpieczeń.
  • W przypadku stosowania tych samych zasad IPSec do komputerów z różnymi wersjami systemu operacyjnego Windows dokładnie przetestuj działanie zasad.
    Niektóre funkcje protokołu IPSec zaimplementowane w systemach z rodziny Windows Server 2003 nie są dostępne ani w systemie Windows 2000, ani w systemie Windows XP. Do takich funkcji należą:
    • Silniejsza grupa Diffie-Hellmana (2 048-bitowa wymiana kluczy Diffie-Hellmana).
    • Obsługa logicznych adresów IP w lokalnych konfiguracjach przez filtry zasad IPSec.
    • Usunięcie domyślnych wykluczeń ruchu z filtrowania IPSec (obecnie wykluczony domyślnie jest tylko ruch IKE).
    • Możliwość wykluczania nazwy urzędu certyfikacji (UC) z żądania certyfikatu.
    Aby upewnić się, że sposób działania takich samych zasad IPSec jest identyczny na komputerach z systemami z rodziny Windows Server 2003 i na komputerach z systemami Windows XP lub Windows 2000, przed wdrożeniem zasad należy je dokładnie przetestować we wszystkich stosownych systemach operacyjnych.
    Aby uzyskać więcej informacji o nowych funkcjach protokołu IPSec, zobacz Nowe funkcje protokołu IPSec.
  • Do zarządzania zasadami IPSec korzystającymi z nowych funkcji protokołu IPSec, które są dostępne tylko w systemach z rodziny Windows Server 2003, używaj konsoli Zarządzanie zasadami zabezpieczeń IPsystemu Windows Server 2003.
    Jeśli jest planowane stosowanie zasad IPSec korzystających z nowych funkcji, które są dostępne tylko w systemach z rodziny Windows Server 2003, do zarządzania tymi zasadami nie należy używać konsoli Zarządzanie zasadami zabezpieczeń IP systemu Windows 2000 lub Windows XP. Ustawienia w poprzednich wersjach konsoli Zarządzanie zasadami zabezpieczeń IP zastąpią ustawienia zasad IPSec z systemów z rodziny Windows Server 2003, co spowoduje, że nowe funkcje nie będą działać.
  • Do zdalnego zarządzania i monitorowania protokołu IPSec na komputerach z różnymi wersjami systemu operacyjnego Windows używaj usług terminalowych.
    Zdalne zarządzanie i monitorowanie protokołu IPSec jest obsługiwane tylko na komputerach z identyczną wersją systemu operacyjnego Windows. Do zdalnego zarządzania i monitorowania protokołu IPSec na komputerze z odmienną wersją systemu operacyjnego Windows należy używać usług terminalowych. Jeśli na przykład na komputerze zainstalowano system z rodziny Windows Server 2003, a jest planowane zdalne zarządzanie i monitorowanie protokołu IPSec na komputerach z systemem Windows 2000 lub systemem Windows XP, należy użyć usług terminalowych, aby uzyskać dostęp zdalny do tych komputerów.
    Jeśli na komputerze zainstalowano system z rodziny Windows Server 2003, a jest planowane zarządzanie i monitorowanie protokołu IPSec na komputerach, na których również zainstalowano system z rodziny Windows Server 2003, można uruchomić konsolę Zarządzanie zasadami zabezpieczeń IP lub konsolę Monitor zabezpieczeń IP albo zdalnie użyć narzędzia wiersza polecenia Netsh.
Znaczniki Co to jest?: Dodaj znacznik
Zawartość społeczności   Czym jest zawartość społeczności?
Dodaj nową zawartość RSS  Adnotacje
© 2009 Microsoft Corporation. Wszelkie prawa zastrzeżone. Zasady użytkowania strony | Znaki towarowe | Ochrona prywatności
Page view tracker