Windows Server 2008 Firewall с расширенной безопасностью - Настройка стандартной IPsec политики на требование шифрования
ОГЛАВЛЕНИЕ
Настройка стандартной IPsec политики на требование шифрования
В примере, который мы используем в статье, нам нужно убедиться в том, что IPsec используется не только для контроля того, какие компьютеры могут подключаться друг к другу, но и убедиться в том, что никто не сможет получить частную информацию, которая используется всеми компьютерами членов домена. Чтобы это сделать, мы можем использовать ESP шифрование.
Чтобы сделать ESP шифрование частью параметров IPsec по умолчанию, нам нужно зайти в свойства брандмауэра Windows Firewall с расширенной безопасностью в редакторе групповой политики.
Откройте консоль управления групповой политикой на вашем контроллере домена, а затем откройте стандартную политику домена (Default Domain Policy) для вашего домена (или тестового домена, если вы делаете это в тестовой среде) в редакторе групповой политики.
В левой панели редактора групповой политики разверните несколько ветвей, как показано на рисунке ниже. Путь:
Конфигурация компьютера \Политики \Параметры Windows\Брандмауэр Windows с расширенной безопасностью
Правой клавишей нажмите на вкладке и выберите команду Свойства.
В диалоговом окне Брандмауэр Windows с расширенной безопасностью нажмите по вкладке Параметры IPsec. Во вкладке Параметры IPsec нажмите кнопку Настроить.
В диалоговом окне Настройка параметров IPsec выберите опцию Дополнительно в поле Защита данных (Быстрый режим). Нажмите кнопку Настроить.
В диалоговом окне Настройка параметров защиты данных поставьте галочку в строке Требовать шифрования для всех правил защиты подключений, которые используют эти параметры. Обратите внимание, что AES-128 будет использоваться по умолчанию, но если комбинация клиент/сервер не поддерживает этот уровень шифрования, то они вернутся к использованию 3DES (тройной DES). Нажмите OK.
Теперь, когда мы настроили стандартные параметры IPsec на поддержку шифрования подключений между изолированными узлами, мы можем перейти к созданию правил безопасности подключений.