Praxis-Workshop: Windows-Firewall mit IPsec konfigurieren

Regeln richtig konfigurieren

Klicken Sie anschließend auf Verbindungssicherheitsregeln und wählen Neue Regel aus. Danach können Sie entscheiden, welche Art von Regel Sie erstellen wollen. Dazu stehen Ihnen verschiedene Möglichkeiten zur Verfügung, wie im vorangegangenen Abschnitt besprochen. Für die Einrichtung von IPsec-Verbindungen eignet sich die Option Isolierung oder Server-zu-Server. Eine Isolierungsregel schränkt Verbindungen auf der Grundlage der von Ihnen definierten Authentifizierungskriterien ein. Sie können Computer Ihrer Domäne von Computern außerhalb der Domäne isolieren.

Die Authentifizierungsausnahme verwenden Sie, um Computer von der Anforderung auszunehmen. Dieser Regeltyp kommt zum Einsatz, um den Zugriff Domänencontroller, Zertifizierungsstellen oder DHCP-Server sicherzustellen. Der Regeltyp Server zu Server kümmert sich um die Kommunikation zwischen zwei Computern. Mit einem Tunnel sichern Sie die Kommunikation von Computern zwischen Tunnelendpunkten ab, zum Beispiel bei virtuellen privaten Netzwerken oder L2TP-Tunneln (IPsec Layer Two Tunneling Protocol).

Auf der nächsten Seite des Assistenten legen Sie die Art der Authentifizierung fest. Wählen Sie hier die Option Authentifizierung ist für eingehende Verbindungen erforderlich und muss für ausgehende Verbindungen angefordert werden aus. Mit dieser Option bestimmen Sie, dass der gesamte eingehende Datenverkehr authentifiziert oder anderenfalls blockiert wird. Der ausgehende Datenverkehr kann authentifiziert werden, ist aber auch bei fehlerhafter Authentifizierung zugelassen. Sie haben hier alle Möglichkeiten zur Auswahl, müssen sich aber über die Konsequenzen im Klaren sein, wenn die Authentifizierung nicht funktioniert.

Mit der Option Authentifizierung für eingehende und ausgehende Verbindungen anfordern legen Sie fest, dass der gesamte ein- und ausgehende Datenverkehr authentifiziert wird, lassen die Kommunikation jedoch auch bei fehlerhafter Authentifizierung zu. Wenn die Authentifizierung erfolgreich ist, ist auch der Datenverkehr authentifiziert. Die Option Authentifizierung ist für eingehende und ausgehende Verbindungen erforderlich legt fest, dass der gesamte ein- und ausgehende Datenverkehr authentifiziert ist oder Windows den Datenverkehr blockiert.

Auf der nächsten Seite legen Sie fest, welche Art die Authentifizierung verwenden soll. Wählen Sie hier Standard aus. Haben Sie als Regeltyp Server-zu-Server festgelegt, verwenden Sie hier Computerzertifikat. Die Option Standard legt die Authentifizierungsmethode auf Basis der Konfiguration auf der Registerkarte IPsec-Einstellungen in den Eigenschaften der Windows-Firewall mit erweiterter Sicherheit fest.

Bei Computer und Benutzer (Kerberos V5) verwenden Sie sowohl die Computer- als auch die Benutzerauthentifizierung. Kerberos lässt sich nur verwenden, wenn Computer und die Benutzer Mitglied einer Domäne sind. Bei Computer (Kerberos V5) ist die Computerauthentifizierung über Kerberos-Version 5 erforderlich oder wird angefordert. Benutzer (Kerberos V5) ist die Benutzerauthentifizierung über Kerberos-Version 5.

Aktivieren Sie die Option Nur Integritätszertifikate akzeptieren. Bei dieser Methode ist ein gültiges Integritätszertifikat zur Authentifizierung erforderlich, oder Windows fordert es an. Diese Option erscheint nur bei der Auswahl des Regeltyps Server-zu-Server.

Klicken Sie auf Durchsuchen und wählen Sie die Root-CA aus. Aktivieren Sie auf der nächsten Seite die Regel für alle drei Netzwerkprofile. Schließen Sie die Erstellung der Regel mit der Definition der Bezeichnung ab. Die Regel wird anschließend in der Gruppenrichtlinie unter den Verbindungsregeln angezeigt.