Csatlakozási biztonsági szabályok a csoportházirend alapján a Windows Server 2018r2 - 1. részen
A konzol bal oldali ablaktábláján ugorjon a 92-es számítógép konfigurációjához, 92-es házirendekhez, 92-es biztonsági beállításokhoz (# 92), 92-es biztonsági beállításokhoz (Windows Firewall with Advanced Security) a Speciális Biztonsággal) # 92; Windows tűzfal, Advanced Security (LDAP) # 92, Csatlakozási biztonsági szabályok. Ez a 2. ábrán látható.
Most kattintson a jobb egérgombbal a Csatlakozási biztonságszabályokra és válassza az Új szabály létrehozása parancsot. Ezzel megnyílik az Új kapcsolat biztonsági szabály varázsló Szabály típusa lapja. Amint látja, itt sok lehetőség van. Ebben a példában létrehozzuk a Server-to-Server típusú kapcsolatbiztonsági szabályt. Ez a szabály lehetővé teszi az IPsec biztonságát a teszthálózatban lévő két gép között. Válassza a Server-to-server lehetőséget, majd kattintson a Tovább gombra.
Az Endpoints oldalon. A 4. ábra azt a végpontot jelöli, amelyre ez a szabály vonatkozik. Ebben a példában van egy APP1 nevű kiszolgáló. és minden kapcsolatot meg akarunk védeni az APP1 protokollal az IPsec segítségével. Az Endpoint 1 számítógépen kattintson a Hozzáadás gombra.
Most már tudjuk, mi van az Endpoints oldalon. A 7. ábra határozza meg az IPsec-kapcsolatok végpontjait. Ez a szabály minden APPP-hez csatlakozó végpontra vonatkozik. Kattintson a Tovább gombra.
Mielőtt az Endpoints oldalra lépne. vegye figyelembe a Customize gombot. Ha erre a gombra kattint, megjelenik a Testreszabás interfésztípusok párbeszédablak. a 8. ábrán látható. Alapértelmezés szerint ez a szabály minden interfésszel fog működni, de ha korlátozni akarja a szabályokat alkalmazni kívánt interfészek típusát, megváltoztathatja az All interfésztípusok opciót az Ezeket az interfészeket típus). Az alapértelmezett értéket használjuk, ezért itt semmit sem változtatunk meg.
A Követelmények oldalon. A 9. ábrán meg lehet adni, hogy milyen típusú hitelesítést kell használni. Ebben a példában kiválaszthatjuk a Bejövő kapcsolatok hitelesítésének szükségességét, és kérhetjük a bejövő kapcsolatok hitelesítését, és a kimenő kapcsolatok hitelesítését kérjük. Amikor ezt megtesszük, az 1. és 2. végpont csomópontjai közötti kölcsönhatásnak hitelesítési kérelme lesz, amikor a számítógép kimenő kérést küld, és a bejövő kérelemre a hitelesítésre lesz szükség. Ez azt jelenti, hogy amikor a számítógép megpróbál csatlakozni az APP1-höz, a hitelesítést az APP1 bejövő kapcsolatokhoz kell megadni. Ez egy kicsit bonyolult lehet, de ha úgy gondolja, minden világossá válik. Ez azt is jelenti, hogy minden más számítógép, amikor megpróbál csatlakozni az APP1-hez, hitelesítést kér az APP1-től, de ezekben az esetekben opcionális lesz. Érdeklik az APP1 bejövő kapcsolatok, és ez a szabály megkövetelheti, hogy az APP1 megkérje a bejövő kapcsolatok hitelesítését.
Az Authentication Method oldalon. 10. ábra, ki kell választania a hitelesítési módszert. Alapértelmezés szerint (amelyet használunk) a számítógépes tanúsítványra állítjuk be. A szabványos aláíró algoritmus RSA (alapértelmezés szerint), és a standard Tanúsítványtároló típusú opció a Root CA (alapértelmezett). Kattintson a Tallózás gombra. A szervezetben használt gyökér CA tanúsítvány megkeresése.
A Windows biztonsági párbeszédablakában. A 11. ábrán látható a tanúsítványok listája. A gyökér CA a tesztkörnyezetben corp-DC1-CA. ezért kiválasztom, és kattints az OK gombra.
Most a Hitelesítési módszer oldalon. A 12. ábra azt mutatja, hogy számítógépes tanúsítványt használunk a hitelesítéshez, és megbízunk a hitelesítésszolgáltató által kiadott, a CA név szöveges mezőjében megadott tanúsítványokkal. Kattintson a Tovább gombra.
A Név oldalon. 14. ábra, írja be a szabály nevét, és kattintson a Befejezés gombra.
Lehet, hogy észrevette, hogy nincs lehetőség az IPsec paraméterek konfigurálására ebben a szabályban. Ennek az az oka, hogy az IPsec-beállítások globálisan vannak beállítva, ami nem túl kényelmes, de a Microsoft úgy döntött. Ha meg akarja nézni az IPsec paramétereket, akkor jobb egérgombbal kattintson a Windows tűzfalra az Advanced Security (Fejlett biztonság) részben. ahogy az alábbi 16. ábrán látható, és válassza a Tulajdonságok lehetőséget.
Az alábbi táblázat az IPsec alapértelmezett beállításait mutatja:
Kulcscsere
Hitelesítési módszer
Számítógép A Kerberos 5-ös hitelesítés az alapértelmezett hitelesítési módszer.
Amikor megkeressük az APP1-hez csatlakozó tartományi számítógépet, és megnyitjuk a WFAS konzolt, egy új kapcsolatbiztonsági szabályt láthatunk a Csatlakozási biztonság szabályai szakaszban. amint azt a 18. ábra mutatja. Megjegyezzük, hogy ez csak a szabályok listája; nem mondja, hogy a szabály aktív. Ez egyszerűen azt jelzi, hogy a szabály elérhető a számítógépen.
Ha megy a Monitoring részhez # 92; Csatlakozás biztonsági szabályai. láthatja az aktív kapcsolatbiztonsági szabályokat. Ebben az esetben látjuk, hogy létezik aktív kapcsolatbiztonsági szabály, amely jelzi, hogy az IPsec kapcsolatunk működik! Ha duplán rákattintunk az aktív szabályra, akkor láthatjuk a kapcsolat részleteit, amint az az alábbi 19. ábrán látható.
Most menj a Monitoring # 92, Security Associations # 92, Main Mode a bal oldali WFAS konzolon. Itt láthatjuk a Fő mód kapcsolatot. beleértve a hitelesítési módszerrel kapcsolatos információkat, valamint a titkosítási és integritási algoritmusokat, amint azt a 20. ábra mutatja. Ha összehasonlítja ezt az információt a fenti táblázattal, akkor látja, hogy megfelel az adott táblázatban megadott alapértelmezett értékeknek.
A gyors mód csatlakoztatásáról részletes információkat is talál, ha a konzol bal oldali ablaktábláján a Gyors mód részre kattintasz, amint azt a 21. ábra mutatja.