Mit diesen Einstellungen können Sie angeben, wie das Benutzerkonto auf dem Peercomputer authentifiziert wird. Sie können auch angeben, dass der Computer über ein Computerintegritätszertifikat verfügen muss. Die zweite Authentifizierungsmethode wird von AuthIP (Authentifiziertes IP) in einem erweiterten Modus der Hauptmodusphase der IPsec-Aushandlungen (Internet Protocol Security, Internetprotokollsicherheit) ausgeführt.
Für diese Authentifizierung können Sie mehrere Methoden angeben. Die Methoden werden in der angegebenen Reihenfolge ausprobiert. Die erste erfolgreiche Methode wird verwendet.
Weitere Informationen zu den in diesem Dialogfeld verfügbaren Authentifizierungsmethoden finden Sie im Thema zu
 | So öffnen Sie dieses Dialogfeld |
Beim Ändern der systemweiten Standardeinstellungen:
- Klicken Sie im Navigationsbereich des MMC-Snap-Ins Windows-Firewall mit erweiterten Sicherheitseinstellungen auf Windows-Firewall mit erweiterter Sicherheit, und klicken Sie dann unter Übersicht auf Windows-Firewalleigenschaften.
- Klicken Sie auf die Registerkarte IPsec-Einstellungen, und klicken Sie dann unter IPsec-Standardeinstellungen auf Anpassen.
- Wählen Sie unter Authentifizierungsmethode die Option Erweitert aus, und klicken Sie dann auf Anpassen.
- Wählen Sie unter Zweite Authentifizierung eine Methode aus, und klicken Sie dann auf Bearbeiten oder Hinzufügen.
- Klicken Sie im Navigationsbereich des MMC-Snap-Ins Windows-Firewall mit erweiterten Sicherheitseinstellungen auf Windows-Firewall mit erweiterter Sicherheit, und klicken Sie dann unter Übersicht auf Windows-Firewalleigenschaften.
Beim Erstellen einer neuen Verbindungssicherheitsregel:
- Klicken Sie im Navigationsbereich des MMC-Snap-Ins Windows-Firewall mit erweiterten Sicherheitseinstellungen mit der rechten Maustaste auf Verbindungssicherheitsregeln, und klicken Sie dann auf Neue Regel.
- Wählen Sie auf der Seite Regeltyp einen Typ aus (ausgenommen Authentifizierungsausnahme).
- Wählen Sie auf der Seite Authentifizierungsmethode die Option Erweitert aus, und klicken Sie dann auf Anpassen.
- Wählen Sie unter Zweite Authentifizierung eine Methode aus, und klicken Sie dann auf Bearbeiten oder Hinzufügen.
- Klicken Sie im Navigationsbereich des MMC-Snap-Ins Windows-Firewall mit erweiterten Sicherheitseinstellungen mit der rechten Maustaste auf Verbindungssicherheitsregeln, und klicken Sie dann auf Neue Regel.
Beim Ändern einer vorhandenen Sicherheitsregel:
- Klicken Sie im Navigationsbereich des MMC-Snap-Ins Windows-Firewall mit erweiterten Sicherheitseinstellungen auf Verbindungssicherheitsregeln.
- Doppelklicken Sie auf die Verbindungssicherheitsregel, die Sie ändern möchten.
- Klicken Sie auf die Registerkarte Authentifizierung.
- Klicken Sie unter Methode auf Erweitert, und klicken Sie dann auf Anpassen.
- Wählen Sie unter Zweite Authentifizierung eine Methode aus, und klicken Sie dann auf Bearbeiten oder Hinzufügen.
- Klicken Sie im Navigationsbereich des MMC-Snap-Ins Windows-Firewall mit erweiterten Sicherheitseinstellungen auf Verbindungssicherheitsregeln.
Benutzer (Kerberos V5)
Sie können diese Methode verwenden, um an einem Remotecomputer angemeldete Benutzer zu authentifizieren, die sich in dieser Domäne oder in einer Domäne mit einer Vertrauensstellung befinden. Der angemeldete Benutzer muss über ein Domänenkonto verfügen. Außerdem muss der Computer einer Domäne in derselben Gesamtstruktur angehören.
Benutzer (NTLMv2)
NTLMv2 ist ein alternatives Verfahren zum Authentifizieren eines Benutzers, der an einen Remotecomputer angemeldet ist, der derselben Domäne angehört oder sich in einer Domäne befindet, die über eine Vertrauensstellung mit der Domäne des lokalen Computers verfügt. Das Benutzerkonto und der Computer müssen Domänen angehören, die zu derselben Gesamtstruktur gehören.
Benutzerzertifikat
Verwenden Sie ein auf einem öffentlichen Schlüssel basierendes Zertifikat in Situationen, in denen Verbindungen mit externen Geschäftspartnern oder Computer verwendet werden, auf denen Kerberos, Version 5, nicht ausgeführt wird. Dies setzt voraus, dass mindestens eine vertrauenswürdige Stammzertifizierungsstelle im Netzwerk konfiguriert oder über Ihr Netzwerk zugänglich ist und dass die Clientcomputer über ein entsprechendes Computerzertifikat verfügen. Diese Methode ist nützlich, wenn sich die Benutzer nicht in derselben Domäne oder in unterschiedlichen Domänen befinden, zwischen denen keine bidirektionale Vertrauensstellung besteht, und Kerberos, Version 5, nicht verwendet werden kann.
Signaturalgorithmus
Geben Sie hier den Signaturalgorithmus an, der für den kryptografischen Schutz des Zertifikats verwendet wird.
RSA (Standard)
Aktivieren Sie diese Option, wenn das Zertifikat mithilfe des öffentlichen Schlüssels des RSA-Kryptografiealgorithmus signiert wird.
ECDSA-P256
Aktivieren Sie diese Option, wenn das Zertifikat mithilfe des ECDSA (Elliptic Curve Digital Signature Algorithm) mit einer Schlüsselstärke von 256 Bit signiert wird.
ECDSA-P384
Aktivieren Sie diese Option, wenn das Zertifikat mithilfe des ECDSA mit einer Schlüsselstärke von 384 Bit signiert wird.
Zertifikatspeichertyp
Geben Sie den Typ des Zertifikats an, indem Sie den Speicher angeben, in dem sich das Zertifikat befindet.
Stammzertifizierungsstelle (Standard)
Aktivieren Sie diese Option, wenn das Zertifikat von einer Stammzertifizierungsstelle ausgestellt wurde und auf dem lokalen Computer im Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen gespeichert ist.
Zwischenzertifizierungsstelle
Aktivieren Sie diese Option, wenn das Zertifikat von einer Zwischenzertifizierungsstelle ausgestellt wurde und auf dem lokalen Computer im Zertifikatspeicher für Zwischenzertifizierungsstellen gespeichert ist.
Zertifikat für Kontenzuordnung aktivieren
Wenn Sie die Zertifikat-zu-Konto-Zuordnung von IPsec aktivieren, ordnen die Protokolle IKE (Internet Key Exchange, Internetschlüsselaustausch) und AuthIP ein Benutzerzertifikat zu einem Benutzerkonto in einer Active Directory-Domäne oder -Gesamtstruktur zu und rufen dann ein Zugriffstoken ab, das die Liste der Benutzersicherheitsgruppen umfasst. Durch diesen Prozess wird sichergestellt, dass das vom IPsec-Peer angebotene Zertifikat einem aktiven Benutzerkonto in der Domäne entspricht und dass es sich bei dem Zertifikat um ein Zertifikat handelt, dass von diesem Benutzer verwendet werden sollte.
Die Zertifikat-zu-Konto-Zuordnung kann nur für Benutzerkonten verwendet werden, die sich in derselben Gesamtstruktur wie der Computer befinden, der die Zuordnung vornimmt. Dieses Verfahren bietet eine deutlich strengere Authentifizierung als das einfache Akzeptieren einer beliebigen gültigen Zertifikatkette. Sie können diese Funktionalität beispielsweise verwenden, um den Zugriff auf Benutzer innerhalb derselben Gesamtstruktur zu beschränken. Durch die Zertifikat-zu-Konto-Zuordnung wird jedoch nicht sichergestellt, dass der IPsec-Zugriff für einen bestimmten vertrauenswürdigen Benutzer zugelassen wird.
Die Zertifikat-zu-Konto-Zuordnung ist insbesondere dann hilfreich, wenn Zertifikate aus einer Public Key-Infrastruktur (PKI) stammen, die nicht auf Ihre AD DS-Bereitstellung (Active Directory Domain Services, Active Directory-Domänendienste) abgestimmt ist (z. B. wenn Geschäftspartner ihre Zertifikate von Microsoft-fremden Anbietern beziehen). Sie können die Authentifizierungsmethode der IPsec-Richtlinie so konfigurieren, dass die Zuordnung von Zertifikaten zu einem Domänenbenutzerkonto für eine bestimmte Stammzertifizierungsstelle erfolgt. Sie können auch alle Zertifikate von einer ausstellenden Zertifizierungsstelle einem einzigen Benutzerkonto zuordnen. Hierdurch kann die Zertifikatauthentifizierung verwendet werden, um den IPsec-Zugriff in einer Umgebung mit vielen Gesamtstrukturen, in der jede Gesamtstruktur die automatische Registrierung unter einer einzelnen internen Stammzertifizierungsstelle vornimmt, auf bestimmte Gesamtstrukturen zu beschränken. Wenn die Zertifikat-zu-Konto-Zuordnung nicht ordnungsgemäß abgeschlossen wird, tritt ein Authentifizierungsfehler auf, und IPsec-geschützte Verbindungen werden blockiert.
Computerintegritätszertifikat
Mit dieser Option können Sie angeben, dass sich nur ein Computer, der ein Zertifikat der angegebenen Zertifizierungsstelle vorlegt, das außerdem als NAP-Integritätszertifikat (Network Access Protection, Netzwerkzugriffsschutz) markiert ist, mithilfe dieser Verbindungssicherheitsregel authentifizieren kann. Mit dem Netzwerkzugriffsschutz können Sie Integritätsrichtlinien definieren und erzwingen, sodass es weniger wahrscheinlich ist, dass Computer, die Netzwerkrichtlinien nicht einhalten (z. B. Computer ohne Antivirensoftware oder Computer, die nicht über die aktuellsten Softwareupdates verfügen), auf Ihr Netzwerk zugreifen. Um den Netzwerkzugriffsschutz umzusetzen, müssen Sie die NAP-Einstellungen sowohl auf den Server- als auch auf den Clientcomputern einrichten. Weitere Informationen finden Sie in der Hilfe des NAP-MMC-Snap-Ins. Um diese Methode verwenden zu können, muss ein NAP-Server in der Domäne eingerichtet sein.
Signaturalgorithmus
Geben Sie hier den Signaturalgorithmus an, der für den kryptografischen Schutz des Zertifikats verwendet wird.
RSA (Standard)
Aktivieren Sie diese Option, wenn das Zertifikat mithilfe des öffentlichen Schlüssels des RSA-Kryptografiealgorithmus signiert wird.
ECDSA-P256
Aktivieren Sie diese Option, wenn das Zertifikat mithilfe des ECDSA (Elliptic Curve Digital Signature Algorithm) mit einer Schlüsselstärke von 256 Bit signiert wird.
ECDSA-P384
Aktivieren Sie diese Option, wenn das Zertifikat mithilfe des ECDSA mit einer Schlüsselstärke von 384 Bit signiert wird.
Zertifikatspeichertyp
Geben Sie den Typ des Zertifikats an, indem Sie den Speicher angeben, in dem sich das Zertifikat befindet.
Stammzertifizierungsstelle (Standard)
Aktivieren Sie diese Option, wenn das Zertifikat von einer Stammzertifizierungsstelle ausgestellt wurde und auf dem lokalen Computer im Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen gespeichert ist.
Zwischenzertifizierungsstelle
Aktivieren Sie diese Option, wenn das Zertifikat von einer Zwischenzertifizierungsstelle ausgestellt wurde und auf dem lokalen Computer im Zertifikatspeicher für Zwischenzertifizierungsstellen gespeichert ist.
Zertifikat für Kontenzuordnung aktivieren
Wenn Sie die Zertifikat-zu-Konto-Zuordnung von IPsec aktivieren, ordnen die Protokolle IKE und AuthIP ein Zertifikat zu einem Benutzer- oder Computerkonto in einer Active Directory-Domäne oder -Gesamtstruktur zu und rufen dann ein Zugriffstoken ab, das die Liste der Sicherheitsgruppen umfasst. Hierdurch wird sichergestellt, dass das vom IPsec-Peer angebotene Zertifikat einem aktiven Computer- oder Benutzerkonto in der Domäne entspricht und dass es sich bei dem Zertifikat um ein Zertifikat handelt, dass von diesem Konto verwendet werden sollte.
Die Zertifikat-zu-Konto-Zuordnung kann nur für Konten verwendet werden, die sich in derselben Gesamtstruktur wie der Computer befinden, der die Zuordnung vornimmt. Dieses Verfahren bietet eine deutlich strengere Authentifizierung als das einfache Akzeptieren einer beliebigen gültigen Zertifikatkette. Sie können diese Funktionalität beispielsweise verwenden, um den Zugriff auf Konten innerhalb derselben Gesamtstruktur zu beschränken. Durch die Zertifikat-zu-Konto-Zuordnung wird jedoch nicht sichergestellt, dass der IPsec-Zugriff für ein bestimmtes vertrauenswürdiges Konto zugelassen wird.
Die Zertifikat-zu-Konto-Zuordnung ist insbesondere dann hilfreich, wenn die Zertifikate aus einer PKI stammen, die nicht auf Ihre AD DS-Bereitstellung abgestimmt ist, z. B. wenn Geschäftspartner ihre Zertifikate von Microsoft-fremden Anbietern beziehen. Sie können die Authentifizierungsmethode der IPsec-Richtlinie so konfigurieren, dass die Zuordnung von Zertifikaten zu einem Domänenkonto für eine bestimmte Stammzertifizierungsstelle erfolgt. Sie können auch alle Zertifikate von einer ausstellenden Zertifizierungsstelle einem einzigen Computer- oder Benutzerkonto zuordnen. Hierdurch kann die IKE-Zertifikatauthentifizierung verwendet werden, um den IPsec-Zugriff in einer Umgebung mit vielen Gesamtstrukturen, in der jede Gesamtstruktur die automatische Registrierung unter einer einzelnen internen Stammzertifizierungsstelle vornimmt, auf bestimmte Gesamtstrukturen zu beschränken. Wenn die Zertifikat-zu-Konto-Zuordnung nicht ordnungsgemäß abgeschlossen wird, tritt ein Authentifizierungsfehler auf, und IPsec-geschützte Verbindungen werden blockiert.