Zurück
Konfigurieren Sie die IPsec-Einstellungen des Computers so, dass sie genau mit der Sicherheitsstufe des Geräts übereinstimmen. Die Einstellungsweise variiert je nach Betriebssystem auf dem Computer. Dem nachfolgend dargestellten Beispiel zur Auswahl der Sicherheitsstufe "Authentication and Low Level Encryption" liegt Windows 7 zugrunde.
Klicken Sie im Menü [Start] auf [Systemsteuerung], [System und Sicherheit] und dann auf [Verwaltung].
Unter Windows 8 müssen Sie jedoch den Mauszeiger über die obere oder untere rechte Ecke des Bildschirms bewegen und anschließend auf [Einstellungen], [Systemsteuerung], [System und Sicherheit] und [Verwaltung] klicken.
Klicken Sie unter Windows XP im Menü [Start] auf [Systemsteuerung], [Leistung und Wartung] und dann auf [Verwaltung].
Klicken Sie auf [Lokale Sicherheitsrichtlinie].
Wenn das Dialogfeld "Benutzerkontensteuerung" angezeigt wird, klicken Sie auf [Ja].
Klicken Sie auf [IP-Sicherheitsrichtlinien auf Lokaler Computer].
Klicken Sie im Menü "Aktion" auf [IP-Sicherheitsrichtlinie erstellen].
Der IP-Sicherheitsrichtlinien-Assistent erscheint.
Auf [Weiter] klicken.
Geben Sie einen Sicherheitsrichtliniennamen unter "Name" ein und klicken Sie dann auf [Weiter].
Deaktivieren Sie das Kontrollkästchen "Die Standardantwortregel aktivieren" und klicken Sie dann auf [Weiter].
Wählen Sie "Eigenschaften bearbeiten" und klicken Sie dann auf [Fertig stellen].
Klicken Sie auf der Registerkarte "Allgemein" auf [Einstellungen].
Klicken Sie unter Windows XP auf der Registerkarte "Allgemein" auf [Erweitert].
Geben Sie im Feld "Authentifizieren und einen neuen Schlüssel erzeugen nach:" denselben Gültigkeitszeitraum (in Minuten) ein, der beim Gerät in "Einstellungen für autom. Austausch des Verschlüsselungscodes Phase 1" festgelegt wurde, und klicken Sie dann auf [Methoden].
Überprüfen Sie, dass der Hash-Algorithmus ("Integrity"), der Verschlüsselungsalgorithmus ("Encryption") und die Einstellungen "Diffie-Hellman Group" in "Reihenfolge der Sicherheitsmethoden" mit den Einstellungen übereinstimmen, die in "Einstellungen für autom. Austausch des Verschlüsselungscodes Phase 1" für das Gerät festgelegt wurden.
Werden die Einstellungen nicht angezeigt, klicken Sie auf [Hinzufügen].
Klicken Sie zweimal auf [OK].
Klicken Sie auf der Registerkarte "Regeln" auf [Hinzufügen].
Der Sicherheitsregel-Assistent erscheint.
Auf [Weiter] klicken.
Wählen Sie "Diese Regel spezifiziert keinen Tunnel" und klicken Sie dann auf [Weiter].
Wählen Sie den Netzwerktyp für IPsec und klicken Sie dann auf [Weiter].
Wählen Sie die Authentifizierungsmethode für Windows XP und klicken Sie auf [Weiter]. Gehen Sie unter Windows 7/8 zu Schritt 18.
Wenn Sie "Zertifikat" als Authentifizierungsverfahren in "Einstellungen für autom. Austausch des Verschlüsselungscodes" im Gerät gewählt haben, legen Sie das Gerätezertifikat fest. Wenn Sie "PSK" wählen, geben Sie den gleichen PSK-Text, der im Gerät eingegeben wurde, mit dem freigegebenen Schlüssel ein.
Klicken Sie in der IP-Filterliste auf [Hinzufügen].
Geben Sie unter [Name] einen IP-Filternamen ein und klicken Sie dann auf [Hinzufügen].
Der IP-Filter-Assistent erscheint.
Auf [Weiter] klicken.
Geben Sie bei Bedarf eine Beschreibung des IP-Filters ein und klicken Sie dann auf [Weiter].
Bei Windows XP gehen Sie zu Schritt 22.
Wählen Sie unter "Quelladresse" die Option "Meine IP-Adresse" und klicken Sie auf [Weiter].
Wählen Sie "Spezielle IP-Adresse oder Subnetz" unter "Zieladresse", geben Sie die IP-Adresse des Geräts ein und klicken Sie dann auf [Weiter].
Wählen Sie unter Windows XP "Bestimmte IP-Adresse" und klicken Sie anschließend auf [Weiter].
Wählen Sie den Protokolltyp für IPsec und klicken Sie dann auf [Weiter].
Wählen Sie bei Verwendung von IPsec mit IPv6 "58" als Protokollnummer für den Zielptorokolltyp "Andere".
Klicken Sie auf [Fertig stellen].
Auf [OK] klicken.
Wählen Sie den soeben erstellten IP-Filter und klicken Sie dann auf [Weiter].
Klicken Sie auf [Hinzufügen].
Der Filteraktions-Assistent wird angezeigt.
Auf [Weiter] klicken.
Geben Sie unter [Name] einen IP-Filteraktionsnamen ein und klicken Sie dann auf [Weiter].
Wählen Sie "Sicherheit aushandeln" und klicken Sie dann auf [Weiter].
Wählen Sie "Unsichere Kommunikation zulassen, wenn keine sichere Verbindung hergestellt werden kann" und dann [Weiter].
Wählen Sie unter Windows XP "Auf unsichere Kommunikation zurückgreifen" und klicken Sie anschließend auf [Weiter].
Wählen Sie "Benutzerdefiniert" und klicken Sie auf [Einstellungen].
Wählen Sie unter "Integritätsalgorithmus" den Authentifizierungsalgorithmus, der in "Einstellungen für autom. Austausch des Verschlüsselungscodes Phase 2" im Gerät festgelegt wurde.
Wählen Sie unter "Verschlüsselungsalgorithmus" den Verschlüsselungsalgorithmus, der in "Einstellungen für autom. Austausch des Verschlüsselungscodes Phase 2" im Gerät festgelegt wurde.
Aktivieren Sie unter Sitzungsschlüsseleinstellungen das Kontrollkästchen "Neuen Schlüssel alle:" und geben Sie die Gültigkeitsdauer (in Sekunden) ein, die in "Einstellungen für autom. Austausch des Verschlüsselungscodes Phase 2" im Gerät festgelegt wurde.
Auf [OK] klicken.
Auf [Weiter] klicken.
Klicken Sie auf [Fertig stellen].
Wählen Sie die soeben erstellte Filteraktion und klicken Sie dann auf [Weiter].
Wenn Sie „Einstellungen für autom. Austausch des Verschlüsselungscodes“ auf „Authentifizierung und hohe Verschlüsselung“ stellen, wählen Sie die IP-Filteraktion, die gerade erstellt wurde, klicken auf [Bearbeiten] und markieren anschließend „Sitzungsschlüssel Perfect Forward Secrecy (PFS)“ im Filteraktions-Eigenschaften-Dialogfenster. Wenn Sie PFS unter Windows verwenden, wird die in Phase 2 verwendete PFS-Gruppennummer automatisch anhand der in der Phase 1 festgelegten Diffie-Hellman-Gruppennummer (festgelegt in Schritt 11) ausgehandelt. Wenn Sie die für die Sicherheitsstufe angegebenen automatischen Einstellungen im Gerät ändern und “Anwendereinstellungen” angezeigt wird, müssen Sie für "Phase 1 Diffie-Hellman Group" und "Phase 2 PFS" dieselbe Gruppennummer angeben, damit die IPsec-Übertragung eingerichtet wird.
Wählen Sie die anfängliche Authentifizierungsmethode und klicken Sie auf [Weiter]. Bei Windows XP gehen Sie zu Schritt 42.
Wenn Sie "Zertifikat" als Authentifizierungsverfahren in "Einstellungen für autom. Austausch des Verschlüsselungscodes" im Gerät gewählt haben, legen Sie das Gerätezertifikat fest. Wenn Sie "PSK" wählen, geben Sie den gleichen PSK-Text, der im Gerät eingegeben wurde, mit dem freigegebenen Schlüssel ein.
Klicken Sie auf [Fertig stellen].
Auf [OK] klicken.
Klicken Sie unter Windows XP auf [Schließen].
Die neue IP-Sicherheitsrichtlinie (IPsec-Einstellungen) ist festgelegt.
Wählen Sie die soeben erstellte Sicherheitsrichtlinie, klicken Sie mit der rechten Maustaste und wählen Sie dann [Zuweisen].
IPsec-Einstellungen des Computers sind aktiviert.
Um die IPsec-Einstellungen des Computers zu deaktivieren, wählen Sie die Sicherheitsrichtlinie, klicken Sie mit der rechten Maustaste und wählen Sie dann [Zuweisung entfernen].
