8.9.

2017 Reguli de securitate pentru paravanul de protecie Windows i legturi bazate pe IPsec n Windows Vista i Windows Server 2008

Reguli de securitate pentru paravanul de protecie

Windows i legturi bazate pe IPsec n Windows Vista i
Windows Server 2008

IMPORTANT: Acest articol a fost tradus de software-ul de traducere automat Microsoft, nu de un traductor.
Deoarece Microsoft v ofer att articole traduse de persoane, ct i articole traduse automat, toate articolele din
Baza noastr de cunotine vor fi disponibile n limba dvs. nativ. Totui, un articol tradus automat nu este
ntotdeauna perfect. Acesta poate conine greeli de vocabular, sintax sau gramatic, precum n cazul n care un
vorbitor strin poate face greeli vorbind limba dvs. nativ. Compania Microsoft nu este responsabil pentru nicio
inexactitate, eroare sau daun cauzat de traducerea necorespunztoare a coninutului sau de utilizarea traducerii
necorespunztoare de ctre clienii si. De asemenea, Microsoft actualizeaz frecvent software-ul de traducere
automat.
Vedei articolul original n limba englez: 942957

Acest articol prezint o versiune beta a unui produs Microsoft. Informaiile din acest articol
sunt furnizate ca-se i se pot schimba fr notificare prealabil.

Niciun suport oficial este disponibil de la Microsoft pentru acest produs beta. Pentru
informaii despre cum se obine asisten pentru o versiune beta, Consultai documentaia care
nsoete fiierele produsului beta sau Verificai locaia Web de unde ai descrcat aceast
versiune.

INTRODUCERE

Acest articol descrie urmtoarele:

Reguli de securitate pentru paravanul de protecie Windows n Windows Vista

Reguli de securitate pentru conexiuni bazate pe IPsec n Windows Vista i Windows Server
2008

Cum s stabileasc o conexiune criptat ntre Windows Vista i Windows XP sau Windows
Vista i Windows Server 2003

Mai multe informaii

n Windows Vista, noile reguli de securitate paravan de protecie Windows i noile

https://support.microsoft.com/ro-ro/help/942957/security-rules-for-windows-firewall-and-for-ipsec-based-connections-in reguli de 1/12
8.9.2017 Reguli de securitate pentru paravanul de protecie Windows i legturi bazate pe IPsec n Windows Vista i Windows Server 2008

n Windows Vista, noile reguli de securitate paravan de protecie Windows i noile reguli de
securitate IPsec bazat pe conexiune sunt complet integrate n politica de grup. De aceea, setrile de
suport mbinare i ele delega comportament la fel ca alte setri de politic de grup.

Reguli de securitate pentru paravanul de protecie Windows n Windows

Vista

"Windows Firewall cu Advanced Security" Microsoft Management Control snap-in MMC accept
urmtoarele tipuri de reguli de securitate.

Not Lista de reguli de securitate paravan de protecie Windows i lista de reguli de securitate
conexiune sunt mbinate la toate setrile de politic de grup aplicabile. Apoi, aceste reguli de
securitate sunt procesate n urmtoarea ordine. Urmtoarea ordine este ntotdeauna activat,
indiferent de sursa de reguli de securitate.
Regul de consolidare Windows service
Windows service consolidare regula restricioneaz servicii s stabileasc conexiuni. Restricii
de service sunt configurate astfel c serviciile Windows poate comunica numai n mod
specific. De exemplu, avei posibilitatea s restricionai traficul printr-un anumit port. Cu
toate acestea, pn cnd creai o regul de paravan de protecie, traficul nu este permis.

Regul de securitate conexiune

Regula de securitate conexiune definete cum i cnd computerele sunt autentificate utiliznd
caracteristica IPsec. Reguli de securitate conexiune sunt utilizate pentru a stabili server izolare
i s stabileasc izolarea domeniu. n plus, reguli de securitate conexiune sunt folosite pentru
a aplica politica Network Access Protection (NAP).

Regul de bypass autentificat

Autentificai bypass regul permite anumite computere fi conectat n cazul n care traficul este
protejat utiliznd caracteristica IPsec indiferent de alte reguli de intrare. Computerele
specificat poate ocoli regulile de intrare care blocheaz traficul. De exemplu, avei
posibilitatea s activai administrare la distan paravan de protecie de la anumite computere
numai prin crearea autentificai bypass reguli pentru computerele. Sau, avei posibilitatea s
activai suportul pentru asisten la distan prin apelarea centrului de ajutor.

Regul de bloc
Regula de blocare explicit blocheaz un anumit tip de trafic de intrare sau un anumit tip de
trafic de ieire.

Permite regul
Regula permite explicit permite pentru anumite tipuri de trafic de intrare sau anumite tipuri
de trafic de ieire.

Regul implicit
Regula implicit este configurat astfel c regula de intrare implicit blocheaz conexiunile i
expediere implicit regula permite conexiuni.

Reguli de securitate pentru conexiuni bazate pe IPsec n Windows Vista i

Windows Server 2008

Urmtoarele dou tipuri de IPsec reguli pot fi aplicate la un computer Windows Vista sau la un
computer Windows Server 2008:

Reguli de IPsec
https://support.microsoft.com/ro-ro/help/942957/security-rules-for-windows-firewall-and-for-ipsec-based-connections-in 2/12
8.9.2017 Reguli de securitate pentru paravanul de protecie Windows i legturi bazate pe IPsec n Windows Vista i Windows Server 2008

Reguli de IPsec
Reguli de IPsec anterioare se implementeaz n prezent n Windows 2000 i n Windows
Server 2003. Regulile anterioare IPsec sunt gestionate de serviciul AgentPolitic. Aceste reguli
IPsec sunt reguli Internet Key Exchange (IKE) care accept numai autentificarea Kerberos
bazat pe computer, certificate x.509 sau autentificare de cheie prepartajat. Aceste reguli
IPsec sunt configurate n de completare snap-in MMC "IPsec Policy Management". Bazate pe
IKE AgentPolitic reguli se aplic la fel ca n Windows 2000 i n Windows Server 2003. Dei
mai multe politici pot fi aplicate la un anumit computer, numai ultima politica care se aplic
este reuit. Acest lucru este n conformitate cu metoda "ultima scris wins". n plus, setrile de
politic IKE imposibil de mbinat.

Reguli de securitate conexiune

Reguli de securitate conexiune sunt acceptate numai n Windows Vista i Windows Server
2008. Reguli de securitate conexiune sunt acceptate de o extensie pentru IKE denumit
autentificate IP (AuthIP). AuthIP adaug suport pentru urmtoarele mecanisme de
autentificare:
Utilizatorul interactiv Kerberos acreditri sau acreditrile de utilizator interactiv NTLMv2

Certificate x.509 utilizator

Certificate Secure Sockets Layer (SSL) de computer

NAP de certificate de sntate

Autentificare anonim (autentificare opional)

Avei posibilitatea s configurai regulile de securitate pentru completare snap-in "Windows

Firewall i complexe de securitate" utiliznd urmtoarele instrumente:
Politica de grup bazate pe domeniu

De completare snap-in "Windows Firewall cu Advanced Security"

Not De completare snap-in "Windows Firewall cu Advanced Security" este locaia de

stocare implicit pentru politicile care pot fi accesate utiliznd comanda wf.msc .

Local snap-in Group Policy (Gpedit.msc)

Comanda netsh advfirewall

Not Comanda netsh advfirewall indic spre acelai magazin ca wf.msc comanda.

Cum ar fi alt paravan de protecie i reguli de politic de grup, reguli de securitate conexiune
sunt mbinate din toate aplicabile obiecte de politic de grup.

Politici de securitate conexiune poate fi configurat pentru a crea IPsec bazat pe politici care
sunt compatibile cu IKE versiunea 1 bazat pe clieni, cum ar fi Microsoft Windows 2000,
Windows XP i Windows Server 2003. Politici de securitate conexiune, de asemenea, poate fi
configurat pentru a crea politici care accept de comunicare ntre numai computerele bazate
pe Windows Vista i computerele bazate pe Windows Server 2008.

Un administrator poate crea o politic de securitate conexiune utiliznd urmtoarele metode:

Administratorul poate crea o conexiune de politic de securitate care accept numai
Kerberos Autentificare utilizator x.509 certificate, autentificare, sau computerul.

https://support.microsoft.com/ro-ro/help/942957/security-rules-for-windows-firewall-and-for-ipsec-based-connections-in 3/12
8.9.2017 Reguli de securitate pentru paravanul de protecie Windows i legturi bazate pe IPsec n Windows Vista i Windows Server 2008

Note
n acest caz, serviciul Mpssvc creeaz automat att AuthIP i anterioare IKE
politici.

Dac se specific bazat pe computer autentificare de cheie prepartajat, AuthIP

reguli nu sunt create.

Administratorul poate crea o conexiune de politic de securitate care necesit

autentificare utilizator.

Not n acest caz, numai AuthIP politic este creat pentru Windows Vista i Windows
Vista negocieri i pentru Windows Vista i Windows Server 2008 negocieri. Aceasta se
ntmpl deoarece IKE nu accept autentificare utilizator.

Administratorul poate crea o conexiune politica de securitate n care se adaug opiuni

de autentificare utilizator la politica. n plus, administratorul poate, de asemenea,
selectai opiunea de autentificare al doilea este opional .

Not Serviciul Mpssvc creeaz att AuthIP politicile i politici de IKE anterioare.
Autentificarea utilizatorului opional este inclus n setul de AuthIP. Autentificarea
utilizatorului opionale nu este inclus n politica IKE anterioare.

Administratorul poate crea o conexiune de politic de securitate care necesit

autentificare NTLM.

Not n acest caz, numai AuthIP politic este creat pentru Windows Vista i Windows
Vista negocieri i pentru Windows Vista i Windows Server 2008 negocieri deoarece IKE
nu accept autentificare NTLM.

Administrator selecteaz algoritmul "Diffie-Hellman" n algoritmul "Principal modul

cheie Exchange" global, care este incompatibil cu clienii anterioare, cum ar fi "Eliptice
curb Diffie-Hellman P-256" algoritm.

Note
n acest caz, algoritmul "Diffie-Hellman" nu vor fi acceptate de anterioare IKE
versiunea 1 clienii. n plus, IKE negocierile sunt respinse.

V recomandm s utilizai setarea "Diffie-Hellman Group 2", deoarece aceast

setare este acceptat gam mai larg de clieni.

Setarea "Diffie-Hellman Group 14" este acceptat n Windows XP Service Pack 2

(SP2) i n Windows Server 2003.

n acest caz, modificarea comportamentului cheie este c algoritmul "Diffie-

Hellman", n general, nu este utilizat pentru negocieri bazate pe AuthIP.

Cnd Serviciul Mpssvc creeaz AuthIP reguli, serviciul Mpssvc specific faptul c
negocierile Windows Vista i Windows Vista sau Windows Vista i Windows
Server 2008 negocieri trebuie utilizeaz numai algoritmul "Diffie-Hellman" Dac
metoda de autentificare de mod principal este setat la anonim.

Atunci cnd serviciul Mpssvc creeaz IKE reguli, serviciul Mpssvc utilizeaz
ntotdeauna algoritmul "Diffie-Hellman" care este specific pentru setarea global
Principal modul cheie Exchange .
https://support.microsoft.com/ro-ro/help/942957/security-rules-for-windows-firewall-and-for-ipsec-based-connections-in 4/12
8.9.2017 Reguli de securitate pentru paravanul de protecie Windows i legturi bazate pe IPsec n Windows Vista i Windows Server 2008

Principal modul cheie Exchange .

Un secret Security Support Provider Interface SSPI-partajat este utilizat pentru a

genera material de criptare n schimb AuthIP n care cheia de mod principal
exchange nu are un schimb Diffie-Hellman.

Certificate care sunt utilizate de AuthIP

AuthIP utilizeaz certificate SSL care au setri de autentificare client configurat sau care
au setrile de autentificare server configurat. Certificate SSL poate fi certificatele de
autentificare client. Sau, certificate SSL poate fi att certificate de autentificare client i
server certificate de autentificare.

Dac v construi politici pentru a utiliza certificatul de autentificare pentru Windows

Vista, trebuie s avei certificate care funcioneaz cu AuthIP. Aceasta nseamn c
certificatele care se implementeaz clienilor trebuie s fie certificate SSL care utilizeaz
autentificarea client sau server de autentificare. Autentificare depinde dac dorii un
mod de autentificare sau Autentificarea reciproc. Certificate SSL difer de certificate
digitale standard utilizate n Windows XP sau n Windows Server 2003.

n mod implicit, certificate SSL sunt utilizate de implementrile NAP.

Politic de grup pentru completare snap-in "Windows Firewall cu Advanced

Security"

Reguli de securitate conexiune sunt mbinate din toate aplicabile obiecte de politic de grup. Cu
toate acestea, exist un grup legate de setri pentru IPsec i AuthIP care gestioneaz n mod
implicit, non-aditiv IPsec comportament. Acest grup de setri include seturi de autentificare global,
modul rapid setri, setri cheie Exchange i excepii mesaje ICMP Protocol (de tip).

Reui setul implicit de opiuni de securitate conexiune sau IPsec opiunile care se aplic la cea mai
mare prioritate obiectul politic de grup (GPO) pe un client Windows Vista. De exemplu, toate
conexiune regulile de securitate pe client cu Windows Vista care utilizeaz seturi de autentificare
implicit sau seturi criptografice va utiliza seturi de la cea mai mare prioritate GPO. Dac dorii mai
mult flexibilitate, utilizai urmtoarele opiuni:
Pentru seturile de autentificare, configurarea autentificrii utiliznd regula de securitate
conexiune n loc de utiliznd autentificarea n mod implicit.

Pentru modul rapid seturi criptografice, utilizai comanda netsh pentru a configura modul
rapid criptografice setrile pentru fiecare conexiune regula de securitate dup cum este
necesar.

Pentru modul principal criptografice seturi, singur modul principal set criptografic este
acceptat pentru fiecare politic. Cnd mai multe modul principal criptografice seturi sunt
primite, modul principal criptografice este setat la cea mai mare prioritate GPO va aplica toate
regulile de securitate conexiune n politica de grup. Cu toate acestea, nu putei particulariza
regulile pentru a utiliza seturi criptografice diferite modul principal.

Cnd configurai GPO pentru politici de securitate conexiune i politici paravan de protecie,
avei posibilitatea s dezactivai utilizarea regulile paravanului de protecie locale i reguli de
securitate conexiune. De aceea, numai setrile de politic de grup care sunt legate de site-ul

GPO, domeniului GPO sau GPO organizaional (OU) poate controla comportamentul
https://support.microsoft.com/ro-ro/help/942957/security-rules-for-windows-firewall-and-for-ipsec-based-connections-in 5/12
8.9.2017 Reguli de securitate pentru paravanul de protecie Windows i legturi bazate pe IPsec n Windows Vista i Windows Server 2008

GPO, domeniului GPO sau GPO organizaional (OU) poate controla comportamentul
Paravanul de protecie Windows.

Pentru a vizualiza "introducere pentru Windows Firewall cu Advanced" carte alb a securitii pentru
Windows Vista, vizitai urmtorul site Web Microsoft:
http://technet.microsoft.com/en-us/appcompat/aa905080.aspx
Pentru mai multe informaii despre AuthIP n Windows Vista, vizitai urmtorul site Web Microsoft:
http://technet.microsoft.com/en-us/library/bb878097.aspx
Pentru mai multe informaii despre noul paravan de protecie Windows n Windows Vista i
Windows Server 2008, vizitai urmtorul site Web Microsoft:
http://technet.microsoft.com/en-us/library/bb877967.aspx

Cum s stabileasc o conexiune criptat ntre Windows Vista i Windows XP

sau Windows Vista i Windows Server 2003

n Windows Server 2003 i n Windows XP, IPsec Politica de configurare, de obicei, dintr-un set de
reguli pentru a proteja majoritatea traficului n reea i un alt set de reguli de trafic protejate
exonerare. O configuraie pot include server izolare i izolarea de domeniu. Excepii sunt necesare
pentru comunicare neprotejate cu infrastructur de servere, cum ar fi Dynamic Host Configuration
Protocol (DHCP) servere, servere Domain Name System (DNS) i controlerii de domeniu. La pornirea
unui computer, computerul trebuie s obin o adres IP i trebuie s poat utiliza DNS pentru a
gsi un controler de domeniu. n plus, computerul trebuie s facei log on la domeniu su nainte de
a computerul poate ncepe s utilizai autentificarea Kerberos pentru autentificarea n sine ca o
pereche de IPsec. Alte excepii sunt necesare pentru a comunica cu nodurile de reea care nu sunt
capabile s IPsec. n unele cazuri, exist multe excepii care face mai dificil pentru a implementa
protecie IPsec pe o reea de ntreprindere i pentru a menine n reea de firm n timp.

n Windows Server 2008 i Windows Vista, IPsec ofer un comportament opional pentru
negocierea protecie IPsec. S presupunem c IPsec este activat i c un nod IPsec care se execut
Windows Server 2008 sau Windows Vista iniiaz comunicarea cu un alt nod de reea. n acest caz,
nodul IPsec va ncerca s comunice fr criptare sau "n clar." Nodul va ncerca s negocieze
protejate comunicare n paralel. Dac iniiere peer IPsec nu primete un rspuns la negocierea
iniial ncercai, comunicare continu n clar. Dac iniiere IPsec peer primete un rspuns la
negocierea iniial ncercai, comunicarea n clar continu pn la terminarea negocierea. Dup
terminarea negocierea, succesive communications primii protecie sporit. Nodul IPsec iniiere afla
dac nodul de reea care se comunic cu poate efectua IPsec. Nodul IPsec iniiere apoi se comport
n mod corespunztor. Acest comportament a nodului IPsec este din cauza comportamentul IPsec
opionale. n plus, acest comportament este din cauza recomandat de configurare care necesit
protecie pentru comunicaii iniiai primite i care solicit protecie pentru ieire iniiai comunicaii.
Acest nou comportament simplific IPsec Politica de configurare. De exemplu, iniiere nodul IPsec
nu trebuie s avei un set de filtre predefinite de IPsec s scuteasc un set de gazde care pot proteja
traficul de reea utiliznd IPsec. Nodul IPsec iniiere ncearc traficul protejate i de trafic
neprotejat n paralel. Dac protejate de comunicare nu este posibil, nodul iniiere IPsec utilizeaz
neprotejate de comunicare.

Noul comportament negociere, de asemenea, mbuntete performana conexiuni neprotejate

efectuate la gazd. Un nod IPsec care se execut Windows Server 2003 sau Windows XP este
configurat pentru a solicita protejate communications, dar permite communications neprotejat.
Acest comportament de nod IPsec este cunoscut sub numele de rezerv pentru a debifa. Nodul
IPsec trimite mesaje de negociere i ateapt un rspuns. Nodul IPsec iniiere ateapt pn la trei
secunde nainte de a cdea napoi pentru a debifa i ncercarea de comunicaii neprotejat. n
Windows Server 2008 i Windows Vista, acolo nu mai este o ntrziere a doua trei cnd cdea napoi
https://support.microsoft.com/ro-ro/help/942957/security-rules-for-windows-firewall-and-for-ipsec-based-connections-in 6/12
8.9.2017 Reguli de securitate pentru paravanul de protecie Windows i legturi bazate pe IPsec n Windows Vista i Windows Server 2008

Windows Server 2008 i Windows Vista, acolo nu mai este o ntrziere a doua trei cnd cdea napoi
pentru a debifa deoarece communications n clar sunt deja n curs de desfurare nodul IPsec
iniiere ateapt un rspuns.

Pentru mai multe informaii despre izolarea server i despre izolarea domeniu, vizitai urmtorul site
Web Microsoft:
http://technet.microsoft.com/en-us/network/bb545651.aspx

Cheie indic la stabilirea o conexiune criptat ntre Windows Vista i

Windows XP sau Windows Vista i Windows Server 2003

Dac activai numai o conexiune criptat n Windows Vista, Windows Vista negociaz numai la
nivel de IPsec cu toi clienii. Acest lucru include clienii bazate pe Windows XP.

n mod implicit, Windows XP sau Windows Server 2003 nu negociaz la nivelul IPsec. De
aceea, trebuie s atribuii o regul IPsec n Windows XP sau n Windows Server 2003 pentru a
stabili o conexiune criptat ntre Windows Vista i Windows XP sau Windows Vista i Windows
Server 2003.

n mod implicit, dac este selectat opiunea permit conexiuni numai de siguran ,
Windows Vista negociaz utiliznd metoda de criptare AES 128 i metoda de criptare 3DES.
Metoda de criptare AES 128 nu este acceptat n Windows XP. Metoda de criptare 3DES este
acceptat n Windows XP i Windows Server 2003.

n mod implicit, dac IPsec este activat n Windows XP sau n Windows Server 2003, IPsec va
negocieze utiliznd metoda de criptare 3DES.

Pentru a stabili o conexiune criptat ntre un computer Windows Vista i un computer cu Windows
XP prin utilizarea de completare snap-in "Windows Firewall cu Advanced Security", urmai aceti
pai:
1. Pe computerul cu Windows Vista, facei clic pe Start , de tip paravan de protecie n
caseta Pornire cutare i apoi facei clic pe Paravanul de protecie Windows cu securitate
complex n lista de programe .

2. n arborele consolei, facei clic pe Regulile de intrare.

3. n lista de reguli de intrare, facei dublu clic pe Desktop la distan (TCP-intrare)i apoi
facei clic pe fila General .

4. n zona de aciune , facei clic pe permite conexiuni numai sigure, facei clic pentru a bifa
caseta de selectare nevoie de criptare i apoi facei clic pe OK.

5. n arborele consolei, facei clic pe Conexiune reguli de securitate, i apoi facei clic pe
Regul nou din meniul de aciune .

6. Izolare, i apoi facei clic pe Urmtorul.

7. Necesit autentificare pentru conexiunile de intrare i de ieire, i apoi facei clic pe

Urmtorul.

8. Implicit, i apoi facei clic pe Urmtorul.

9. Facei clic pentru a bifa urmtoarele casete de selectare, i apoi facei clic pe
https://support.microsoft.com/ro-ro/help/942957/security-rules-for-windows-firewall-and-for-ipsec-based-connections-in Urmtorul: 7/12
8.9.2017 Reguli de securitate pentru paravanul de protecie Windows i legturi bazate pe IPsec n Windows Vista i Windows Server 2008

9. Facei clic pentru a bifa urmtoarele casete de selectare, i apoi facei clic pe Urmtorul:
Domeniu

Privat

Public

10. Tastai numele regulii n caseta nume , tastai Descrierea regula n caseta Descriere
(opional) , dac dorii, apoi facei clic pe Terminare.

11. n meniul fiier , facei clic pe ieire.

12. Pe computerul cu Windows XP, facei clic pe Start, facei clic pe executare, tastai
secpol.msci apoi facei clic pe OK.

13. n arborele consolei, facei clic dreapta pe IP politici de securitate pe computerul Local, i
apoi facei clic pe Creare IP politica de securitate.

14. Facei clic pe Urmtorul, i apoi urmai instruciunile din Expertul de politic de securitate IP
pentru a crea IP Security Policy. Utilizai setrile implicite pentru a crea aceast politic.

15. Facei clic dreapta pe Noua politic de securitate IP, i apoi facei clic pe Assign.

16. n meniul fiier , facei clic pe ieire.

Proprieti

ID articol: 942957 - Ultima examinare: 2 iun. 2017 - Revizie: 1

https://support.microsoft.com/ro-ro/help/942957/security-rules-for-windows-firewall-and-for-ipsec-based-connections-in 8/12
8.9.2017 Reguli de securitate pentru paravanul de protecie Windows i legturi bazate pe IPsec n Windows Vista i Windows Server 2008

https://support.microsoft.com/ro-ro/help/942957/security-rules-for-windows-firewall-and-for-ipsec-based-connections-in 9/12
8.9.2017 Reguli de securitate pentru paravanul de protecie Windows i legturi bazate pe IPsec n Windows Vista i Windows Server 2008

https://support.microsoft.com/ro-ro/help/942957/security-rules-for-windows-firewall-and-for-ipsec-based-connections-in 10/12
8.9.2017 Reguli de securitate pentru paravanul de protecie Windows i legturi bazate pe IPsec n Windows Vista i Windows Server 2008

https://support.microsoft.com/ro-ro/help/942957/security-rules-for-windows-firewall-and-for-ipsec-based-connections-in 11/12
8.9.2017 Reguli de securitate pentru paravanul de protecie Windows i legturi bazate pe IPsec n Windows Vista i Windows Server 2008

https://support.microsoft.com/ro-ro/help/942957/security-rules-for-windows-firewall-and-for-ipsec-based-connections-in 12/12