Określanie ustawień IPsec na komputerze.
Określ te same ustawienia dla ustawień SA IPsec na komputerze, co ustawienia określone za pośrednictwem poziomu ochrony urządzenia. Metody określania różnią się w zależności od używanego systemu operacyjnego. Przykładowa procedura przedstawiona poniżej odnosi się do systemu Windows XP przy niskim poziomie autoryzacji i bezpieczeństwa szyfrowania.
W menu [Start] kliknij [Panel sterowania], [Wydajność i konserwacja], a następnie kliknij [Narzędzia administracyjne].
Kliknij [Lokalna reguła bezpieczeństwa].
Kilknij [Reguła bezpieczeństwa IP na komputerze lokalnym].
W menu "Akcja" kliknij [Utwórz regułę bezpieczeństwa IP].
Wyświetlany jest kreator reguły bezpieczeństwa IP.
Kliknij [Dalej].
Wprowadź nazwę reguły w polu "Nazwa", a następnie kliknij [Dalej].
Usuń zaznaczenie pola "Włącz regułę odpowiedzi domyślnej" i kliknij [Dalej].
Wybierz "Edytuj właściwości" i kliknij [Zakończ].
Na karcie "Ogólne" kliknij [Zaawansowane].
W polu "Włącz autoryzację i generuj nowy klucz co" wprowadź ten sam okres ważności (w minutach), co w Fazie 1 ustawień automatycznej wymiany kluczy szyfrowania, a następnie kliknij [Metody].
Potwierdź, że kombinacja algorytmu z mieszaniem (w systemie Windows XP - "Integralność"), algorytmu szyfrowania (w systemie Windows Xp - "Szyfrowanie") oraz ustawień grupy Diffie-Hellman w polu "Kolejność metod bezpieczeństwa" jest taka sama, co w ustawieniach Fazy 1 ustawień automatycznej wymiany kluczy szyfrowania w urządzeniu.
Jeśli ustawienia nie zostaną wyświetlone, kliknij [Dodaj].
Kliknij [OK] dwukrotnie.
Kliknij [Dodaj] na karcie "Reguły".
Wyświetlany jest kreator reguł bezpieczeństwa.
Kliknij [Dalej].
Wybierz opcję "Ta reguła nie określa tunelu", a następnie kliknij [Dalej].
Wybierz typ sieci dla IPsec, a następnie kliknij [Dalej].
Wybierz "Początkową metodę autoryzacji", a następnie kliknij [Dalej].
Jeśli jako metodę autoryzacji w ustawieniach automatycznej wymiany kluczy szyfrowania w urządzeniu wybrano "Certyfikat", należy określić certyfikat urządzenia. Jeśli wybrano PSK, należy wprowadzić ten sam tekst PSK, który określono w urządzeniu za pomocą wstępnie współdzielonego klucza.
Kliknij [Dodaj] na liście filtrów IP.
W polu [Nazwa] wprowadź nazwę filtra IP, a następnie kliknij [Dodaj].
Wyświetlany jest kreator filtrów IP.
Kliknij [Dalej].
Wybierz opcję "Mój adres" w polu "Adres źródłowy", a następnie kliknij [Dalej].
Wybierz opcję "Określony adres IP" w polu "Adres odbiorcy", wprowadź adres IP urządzenia, a następnie kliknij [Dalej].
Wybierz typ protokołu dla IPsec, a następnie kliknij [Dalej].
Kliknij przycisk [Zakończ].
Kliknij przycisk [OK].
Wybierz nowo-utworzony filtr IP, a następnie kliknij [Dalej].
Wybierz filtr bezpieczeństwa IPsec, a następnie kliknij [Edycja].
Kliknij [Dodaj], wybierz pole wyboru "Niestandardowe", a następnie kliknij [Ustawienia].
W polu "Algorytm integralności" wybierz algorytm autoryzacji określony w urządzeniu w Fazie 2 ustawień automatycznej wymiany kluczy szyfrowania.
W polu "Algorytm szyfrowania" wybierz algorytm szyfrowania określony w urządzeniu w Fazie 2 ustawień automatycznej wymiany kluczy szyfrowania.
W ustawieniach Klucz sesji wybierz opcję "Generuj nowy klucz co" i wprowadź okres ważności (w sekundach) określony w urządzeniu w Fazie 2 ustawień automatycznej wymiany kluczy szyfrowania.
Kliknij [OK] trzy razy.
Kliknij [Dalej].
Kliknij przycisk [Zakończ].
Kliknij przycisk [OK].
Kliknij przycisk [Zamknij].
Nowa reguła bezpieczeństwa IP (ustawienia IPsec) została określona.
Wybierz nowo-utworzoną regułę, kliknij prawym przyciskiem, a następnie kliknij [Przypisz].
Ustawienia IPsec na komputerze zostały włączone.
Aby wyłączyć ustawienia IPsec na komputerze, należy wybrać regułę bezpieczeństwa, kliknąć prawym przyciskiem, a następnie kliknąć [Anuluj przypisanie].
Jeśli w ustawieniach automatycznej wymiany kluczy szyfrowania ustawiono opcję "Autoryzacja i szyfrowanie na wysokim poziomie", należy również wybrać opcję "Master key perfect forward secrecy (PFS)" na ekranie Właściwości filtra bezpieczeństwa (zostanie on wyświetlony w punkcie 29). Jeśli opcja FPS wykorzystywana jest w systemie Windows XP, numer grupy FPS używany w fazie 2 jest automatycznie negocjowany w fazie 1 na bazie numeru grupy Diffie-Hellman (określonego w punkcie 11). W związku z tym, jeśli automatyczne ustawienia poziomu bezpieczeństwa urządzenia zostaną zmienione i zostanie wyświetlona opcja "Ustawienia użytkownika", należy w urządzeniu ustawić ten sam numer grupy dla "Fazy 1 grupy Diffie-Hellman" oraz "Fazy 2 PFS", aby nawiązać komunikację IPsec.
