The Cable Guy - 2006 年 8 月
Windows Vista 中的 AuthIP
為了簡化網際網路通訊協定安全性 (IPsec) 的部署,Microsoft® Windows Vista™ (現正處於 Beta 測試) 及 Windows Server® 產品代碼 Longhorn (現正處於 Beta 測試) 皆支援增強版網際網路金鑰交換 (Internet Key Exchange,IKE) 通訊協定,也就是所謂的已驗證網際網路通訊協定 (Authenticated Internet Protocol, AuthIP)。AuthIP 在許多設定中提供簡化的 IPsec 原則設定及維護,並為 IPsec 對等驗證提供額外的彈性。
本頁內容
 | 簡介 |
| AuthIP 的功能 |
| 使用 IPsec 保護與網域控制站進行通訊 |
| 其他詳細資訊 |
簡介
Windows® XP 及 Windows Server 2003 使用與 TCP/IP 堆疊整合的內建元件,支援流量的 IPsec 保護。如果要設定 IPsec,必須設定並啟動 IPsec 原則,這項操作可以透過群組原則物件 (GPO),為各個電腦或 Active Directory® 目錄服務容器 (網域、網站或組織單位) 進行。Active Directory GPO 允許集中設定 IPsec 原則,並自動散佈至所有網域成員電腦。IPsec 原則包含一般設定及一或多項規則,決定必須檢查的流量 IPsec 類型、流量的處理方式 (允許、封鎖或保護)、驗證 IPsec 對等的方式,以及其他設定。
更多 Microsoft 客戶正在瞭解如何在伺服器與網域隔離案例中使用 IPsec,並將之部署在自己的網路上。為了在網路上正確定義受保護及不受保護的流量集,網路系統管理員必須設定適當的 IPsec 原則設定。雖然許多伺服器和網域隔離部署都可以使用簡單的 IPsec 原則,但較複雜的部署可能需要必須長期維護的複雜原則設定。例如,想要實作伺服器或網域隔離的系統管理員可能必須建立包含大量篩選器和規則的原則,以強制執行隔離並允許例外狀況。譬如,可能需要有篩選器或規則,以指定要隔離的子集、網域控制站及 DNS 伺服器所需要的服務等等。
複雜的伺服器和網域隔離案例中的一些 IPsec 原則複雜性是導因於 Windows XP 和 Windows Server 2003 中的 IKE 通訊協定限制及其實作,為了要降低 IPsec 原則設定的複雜性 (即使複雜的部署也要降低),並為新案例提供其他功能,Windows Vista 和 Windows Server "Longhorn" 均支援 AuthIP。AuthIP 是現用 IKE 通訊協定的一組延伸模組,含選擇性旗標及延伸交涉,支援 IPsec 的增強安全性和可部署性。為了提供與執行 Windows XP 或 Windows Server 2003 電腦的回溯相容性,執行 Windows Vista 或 Windows Server "Longhorn" 的電腦支援 IKE 和 AuthIP。
AuthIP 的功能
AuthIP 的功能如下:
| • | 執行使用者驗證 |
| • | 以多重認證執行驗證 |
| • | 提供改良的驗證方法交涉 |
| • | 執行非對稱式驗證 |
以下各節詳細說明這些功能。
使用者驗證
Windows XP 和 Windows Server 2003 中的 IKE 驗證僅限於使用電腦認證、登入電腦帳戶的 Kerberos 認證、電腦憑證,或預先共用的金鑰。如果要根據使用者認證將存取限制於伺服器資源,應用程式必須強制執行使用者層級驗證及授權。透過在 IP 層將存取僅限於已驗證的使用者,接受存取的伺服器將因應用程式只接受來自已驗證使用者的傳入要求而獲得更妥善的保護。
AuthIP 允許基於下列項目的使用者層級驗證:
| • | 登入使用者帳戶的 Kerberos 認證 |
| • | 登入使用者帳戶的 Windows NT/LAN Manager 版本 2 (NTLM v2) 認證 |
| • | 使用者憑證 |
| • | 電腦狀況憑證 |
多重認證的驗證
根據電腦認證,使用者驗證不一定要有初始驗證。例如,您可以利用 Kerberos 認證驗證電腦,然後再利用使用者憑證驗證電腦的使用者。如此可確保只有特定的使用者和特定的電腦可以啟動與包含機密資訊之伺服器間的通訊。併用電腦和使用者驗證,可降低遭到信任電腦攻擊的風險。
電腦狀況憑證的多重認證支援是以網路存取保護平台強制執行 IPsec 的一部分,當中狀況憑證是用來證明 IPsec 對等既是網域成員 (使用登入電腦帳戶的 Kerberos 認證),亦遵守系統狀況需求 (使用狀況憑證)。如需有關 IPsec 強制執行的詳細資訊,請參閱<網路存取保護平台中的網際網路通訊協定安全性強制執行>(英文)。
改良的驗證方法交涉
IPsec 對等可能會支援兩個或以上的常用驗證方法。使用 IKE 時,只會選取並試用單一驗證方法。如果選取的驗證方法失敗,即使替代方法可能順利通過驗證,IKE 交涉還是會失敗。例如,不同 Active Directory 樹系中的兩個 IPsec 對等設定為同時使用 Kerberos (慣用) 與以憑證為根據的 IKE 驗證,但這兩個樹系之間並沒有信任關係。 在此例中,Kerberos 驗證失敗,因此 IKE 驗證也失敗,雖然兩個對等都有共同的信任根憑證授權單位發行的憑證,但還是失敗了。
使用 AuthIP 時,會嘗試使用者驗證的替代方法。當所有可能的使用者驗證方法都失敗時,IKE 驗證就會失敗。
非對稱式驗證
有些 IPsec 案例當中 IPsec 對等的驗證需求可能不同,這種情況就稱為非對稱式驗證。IPsec 安全伺服器案例的其中一個例子是,當有兩個 IPsec 對等透過防火牆從周邊網路與內部網路通訊的情況。周邊網路樹系與內部網路樹系可能會有單向信任。因此允許內部網路使用者向周邊網路中的電腦驗證受保護的通訊,但是周邊網路使用者不能驗證內部網路上電腦之間受保護的通訊。
在 AuthIP 之前,這種案例可以針對兩邊網路上的電腦使用複雜憑證提供來進行,以允許周邊網路使用者驗證內部網路上電腦受保護的通訊。有了 AuthIP,提供程序可以透過設定 IPsec 原則加以簡化:要求由內部網站電腦啟動的通訊必須有 Kerberos 驗證,而要求由周邊網路電腦啟動的通訊必須有憑證驗證。
使用 IPsec 保護與網域控制站進行通訊
在 Windows Server 2003 及 Windows XP 中,目前 Microsoft 的建議是:不要使用 IPsec 保護來保障網域控制站與成員電腦之間的流量 (但是 Microsoft 確實建議要保護網域控制站之間的流量)。這是因為 IPsec 原則設定可能會由於網域成員與網域控制站之間不同的流量類型而變得很複雜。此外,如果網域控制站要求來自電腦的 IPsec 保護流量必須提供網域認證,以進行驗證,則不是網域成員的電腦就不能連絡網域控制站,加入網域。
為了示範利用 AuthIP 能增強可部署性,Windows Vista 及 Windows Server "Longhorn" 支援在下列部署模式中保護網域成員與網域控制站之間的流量:
| • | 您可以在網域中設定 IPsec 原則,於網域成員與網域控制站之間進行通訊時,自動判斷何時使用 IPsec。 在 Windows Vista 及 Windows Server "Longhorn" 中啟用 IPsec 中的新功能,自動判斷何時使用 IPsec,就不必再設定網域控制站的免除情況,從而簡化 IPsec 原則及網域中 IPsec 保護的部署。 |
| • | 您可以在網域中設定 IPsec 原則,要求保護的流量,但不將流量定為必要需求。 網域控制站會保護大部份與網域成員之間的流量,但允許網域聯結及其他類型流量傳送純文字。 |
| • | 您可以設定 IPsec 原則,要求網域控制站必須有受保護的流量。 為了解決網域聯結問題,當執行 Windows Vista 或 Windows Server "Longhorn" 的電腦嘗試聯結網域時,會提示使用者輸入網域使用者帳戶的使用者名稱和密碼。具有網域控制站的 IPsec 會與 NTLM v2 使用者認證交涉以取得受保護的網域聯結。這種新行為僅限於執行 Windows Vista 或 Windows Server "Longhorn" 的電腦以及執行 Windows Server "Longhorn" 網域控制站。 |
其他詳細資訊
如需 Windows Vista 中有關網路技術的詳細資訊,請參閱下列資源:
| • | |
| • |
如果您對本專欄內容有任何意見,請寫信至 Microsoft TechNet。不過這不是提供支援的電子郵件地址,因此不保證您會接獲回應。
請造訪《The Cable Guy》專欄網頁查看過往的專欄和其他資訊。