Rozdział 10

Zabezpieczenia protokołu IP

Rozwiązania natychmiastowe [Author ID1: at Thu Oct 5 01:48:00 2000 ]: Z[Author ID1: at Thu Oct 5 01:48:00 2000 ]z[Author ID1: at Thu Oct 5 01:48:00 2000 ]obacz na stronie:

Analiza działania IPSec

Ustawienia IPSec

Konfigurowanie IPSec na pojedynczych komputerach

Konfigurowanie IPSec dla domeny

Zmiana sposobu zabezpieczania

Konfigurowanie IPSec dla jednostki organizacyjnej

W skrócie

Zabezpieczenia za pomocą IP Security

W systemie Windows 2000 Server zaimplementowano zestaw usług i protokołów kryptograficznych IP Security (IPSec) opracowany przez Internet Engineering Task Force (IETF). IPSec znajduje się poniżej poziomu transportowego (transport level) i jego usługi zabezpieczające są dziedziczone niedostrzegalnie przez aplikacje. Dane o znaczeniu strategicznym bez przerwy są przesyłane przez sieć i muszą być zabezpieczone przed podsłuchiwaniem lub modyfikowaniem przez osoby nieupoważnione. Protokoły,[Author ID1: at Thu Oct 5 01:48:00 2000 ] takie jak Secure Sockets Layer version [Author ID0: at Thu Nov 30 00:00:00 1899 ]3/Transport Layer Security (SSP3/TLS) chronią dane o znaczeniu strategicznym, ale mogą być używane tylko przez niektóre aplikacje, na [Author ID1: at Thu Oct 5 01:49:00 2000 ]p.[Author ID1: at Thu Oct 5 01:49:00 2000 ]rzykład[Author ID1: at Thu Oct 5 01:49:00 2000 ] przeglądarki (browsers). Do zapewnienia bezpieczeństwa sieci wykorzystującej protokół TCP/IP po obydwu stronach zapory ogniowej (firewall) przedsiębiorstwa niezbędny jest protokół niskiego poziomu (low-[Author ID1: at Thu Oct 5 01:49:00 2000 ] [Author ID1: at Thu Oct 5 01:49:00 2000 ]level protocol). Warunek taki spełnia IPSec, który, [Author ID1: at Thu Oct 5 01:49:00 2000 ]zapewniając spójność, poufność i uwierzytelnianie danych IPSec [Author ID1: at Thu Oct 5 01:49:00 2000 ]umożliwia również ochronę przez atakami metodą powtarzania (replay attacks) (zobacz [Author ID1: at Thu Oct 5 01:49:00 2000 ]zob. [Author ID1: at Thu Oct 5 01:49:00 2000 ]rozdz. 4.[Author ID1: at Thu Oct 5 01:50:00 2000 ]) oraz rozszerzenie obsługi szyfrowania na Wirtualne Sieci Prywatne (Virtual Private Networks — VPN[Author ID1: at Thu Oct 5 01:50:00 2000 ]) (zob.[Author ID1: at Thu Oct 5 01:50:00 2000 ]acz[Author ID1: at Thu Oct 5 01:50:00 2000 ] rozdz. 11.[Author ID1: at Thu Oct 5 01:50:00 2000 ]).

Większość stosowanych zabezpieczeń, takich jak zapory ogniowe (firewall) [Author ID1: at Thu Oct 5 01:50:00 2000 ]czy routery zabezpieczone (secure routers), pozwalają uchronić się przed atakami z zewnątrz. Sieci komputerowe w przedsiębiorstwach narażone są jednak na ataki od wewnątrz,[Author ID1: at Thu Oct 5 01:50:00 2000 ] dokonywane przez niezadowolonych pracowników lub kontrahentów. IPSec umożliwia obronę zarówno przed atakami z zewnątrz,[Author ID1: at Thu Oct 5 01:50:00 2000 ] jak i od wewnątrz.

Właściwości IPSec

W IPSec wprowadzono nagłówek uwierzytelniania (a[Author ID1: at Thu Oct 5 01:51:00 2000 ]A[Author ID1: at Thu Oct 5 01:51:00 2000 ]uthentication h[Author ID1: at Thu Oct 5 01:51:00 2000 ]H[Author ID1: at Thu Oct 5 01:51:00 2000 ]eader [Author ID1: at Thu Oct 5 01:51:00 2000 ]-[Author ID1: at Thu Oct 5 01:51:00 2000 ]— [Author ID1: at Thu Oct 5 01:51:00 2000 ]AH) i protokół ESP (Encapsulating Security Payload). Nagłówek uwierzytelniania (AH) umożliwia przesyłanie danych z uwierzytelnianiem źródła (source authentication) i sprawdzaniem integralności (integrity checking). Protokół ESP zapewnia poufność (confidentiality). W przypadku transmisji danych chronionej za pomocą IPSec tylko nadawca i odbiorca znają klucz zabezpieczeń (security key). Jeśli dane uwierzytelniające (authentication data) są poprawne, odbiorca wie, że dane pochodzą od właściwego nadawcy i nie zostały zmienione w trakcie przesyłania.

IPSec obsługuje standardy opracowane przez IETF oraz protokoły zabezpieczeń (security protocols).

Obsługiwane standardy branżowe

IPSec obsługuje standardowe algorytmy kryptograficzne i techniki uwierzytelniania,[Author ID1: at Thu Oct 5 01:54:00 2000 ] włącznie z niżej wymienionymi:

• A[Author ID1: at Thu Oct 5 01:55:00 2000 ]a[Author ID1: at Thu Oct 5 01:55:00 2000 ]lgorytm Diffie-[Author ID0: at Thu Nov 30 00:00:00 1899 ]-Hellmana (DH),[Author ID1: at Thu Oct 5 01:55:00 2000 ]

• A[Author ID1: at Thu Oct 5 01:55:00 2000 ]a[Author ID1: at Thu Oct 5 01:55:00 2000 ]lgorytm HMAC (Hash Message Authentication Code),[Author ID1: at Thu Oct 5 01:55:00 2000 ]

• A[Author ID1: at Thu Oct 5 01:55:00 2000 ]a[Author ID1: at Thu Oct 5 01:55:00 2000 ]lgorytm DES-CBC (Data Encryption Standard-Cipher Block Chaining).

Algorytm Diffie-Hellmana (DH)

Algorytm Diffie-Hellmana (DH) jest algorytmem kryptograficznym z kluczem publicznym (public key cryptography algorithm) umożliwiającym[Author ID1: at Thu Oct 5 01:56:00 2000 ] komunikującym się stronom na [Author ID1: at Thu Oct 5 01:56:00 2000 ]uzgodnienie klucza tajnego (shared key). Algorytm ten rozpoczyna się od wymiany informacji jawnych pomiędzy komunikującymi się stronami. Następnie każda ze stron łączy informację jawną, otrzymaną od drugiej strony, z własnymi danymi tajnymi, generując klucz tajny (shared-[Author ID1: at Thu Oct 5 01:57:00 2000 ] [Author ID1: at Thu Oct 5 01:57:00 2000 ]secret value).

Algorytm HMAC (Hash Message Authentication Code)

Algorytm HMAC jest algorytmem z kluczem tajnym (secret key algorithm) umożliwiającym[Author ID1: at Thu Oct 5 01:57:00 2000 ]ch[Author ID1: at Thu Oct 5 01:57:00 2000 ] integralność (integrity) oraz uwierzytelnianie (authentication). Do uwierzytelniania stosuje się funkcję skrótu z kluczem tajnym (keyed hash function), dołączając w ten sposób do pakietu podpis cyfrowy, który może zostać zweryfikowany przez odbiorcę. Jeśli komunikat ulegnie zmianie podczas transmisji, zmieni się skrót (hash value) i pakiet protokołu IP zostanie odrzucony. IPSec korzysta z dwóch funkcji skrótu algorytmu HMAC:

• HMAC-MD5 — Message Digest function 95 (MD5), jest funkcją[Author ID1: at Thu Oct 5 02:12:00 2000 ]a[Author ID1: at Thu Oct 5 02:12:00 2000 ] skrótu (hash function), która daje w wyniku wartości 128-bitowe,[Author ID1: at Thu Oct 5 02:12:00 2000 ].[Author ID1: at Thu Oct 5 02:12:00 2000 ]

• HMAC-SHA1 — Secure Hash Algorithm (SHA), jest to funkcja skrótu (hash function), która daje w wyniku wartości 160-bitowe. Algorytm HMAC-SHA1 jest wolniejszy niż HMAC-MD5, ale bardziej [Author ID1: at Thu Oct 5 02:12:00 2000 ]bezpieczniejszy[Author ID1: at Thu Oct 5 02:12:00 2000 ]y[Author ID1: at Thu Oct 5 02:12:00 2000 ].

Uwaga: Pojawiły się wątpliwości co do bezpieczeństwa funkcji skrótu MD5, szczególnie w środowisku, w którym możliwe są kolizje (Hans Dobbertin „RIPEMD with two-round compress function is not collision-free”, Journal of Cryptology 10(1): 51-70, Winter 1997), ale nie dotyczy to algorytmu HMAC-MD5. Należy [Author ID1: at Thu Oct 5 02:17:00 2000 ]Pamiętać [Author ID1: at Thu Oct 5 02:17:00 2000 ]jednak pamiętać[Author ID1: at Thu Oct 5 02:17:00 2000 ] należy[Author ID1: at Thu Oct 5 02:17:00 2000 ], że nic nie jest bezpieczne [Author ID1: at Thu Oct 5 02:17:00 2000 ]całkowicie bezpieczne[Author ID1: at Thu Oct 5 02:17:00 2000 ]. Żadna informacja, przetworzona za pomocą funkcji skrótu (hashed information) nie jest bezpieczna na zawsze. Specjaliści z dziedziny bezpieczeństwa systemów komputerowych wiedzą, że nie ma nic bardziej niebezpiecznego niż zabezpieczenia, które już nie zapewniają bezpieczeństwa, ale[Author ID1: at Thu Oct 5 02:22:00 2000 ] użytkownicy nadal w nie wierzą. Bezpieczeństwo systemów komputerowych powinno zawsze stanowić ruchomy cel.

Algorytm DES-CBC (Data Encryption Standard-Cipher Block Chaining)

Algorytm DES-CBC (Data Encryption Standard-Cipher Block Chaining) jest algorytmem z kluczem tajnym (secret key algorithm), stosowanym w celu zapewnienia poufności (confidentiality). Do zaszyfrowania danych używany jest klucz tajny (secret key) razem z wygenerowaną liczbą losową. [Author ID1: at Thu Oct 5 02:22:00 2000 ]

Wskazówka: Więcej informacji na temat algorytmu DH można znaleźć pod adresem ftp://ftp.rsa.com/pub/pkcs/ascii/pkcs-3.asc. Opis algorytmu HMAC można znaleźć pod adresem [Author ID1: at Thu Oct 5 02:23:00 2000 ]znajduje się na stronie [Author ID1: at Thu Oct 5 02:23:00 2000 ]http://drax.isi.edu/in-notes/rfc/files/rfc2104.txt. Opis algorytmu DES-CBC zamieszczono pod adresem http://www.kashpureff.org/nic/rfcs/1800/rfc1829.txt.html oraz http://info.internet.isi.edu:80/in-notes/rfc/files/rfc2405.txt.

Implementacja IPSec w systemie Windows 2000 jest zgodna z propozycjami standardu opracowanymi przez IETF w ramach grupy roboczej IPSec. Oprócz tego w skład IPSec wchodzi protokół ISAKMP (Internet Security Association and Key Management Protocol), w którym zastosowano protokół wyznaczania klucza Oakley (Oakley k[Author ID1: at Thu Oct 5 02:26:00 2000 ]K[Author ID1: at Thu Oct 5 02:26:00 2000 ]ey d[Author ID1: at Thu Oct 5 02:26:00 2000 ]D[Author ID1: at Thu Oct 5 02:26:00 2000 ]etermination protocol), umożliwiający automatyczne generowanie nowych kluczy w trakcie wymiany danych (dynamic rekeying). Protokół ISAKMP/Oakley jest używany do tworzenia skojarzeń zabezpieczeń (Security Associations [Author ID1: at Thu Oct 5 02:24:00 2000 ]-[Author ID1: at Thu Oct 5 02:24:00 2000 ]— [Author ID1: at Thu Oct 5 02:24:00 2000 ]SAs) pomiędzy komunikującymi się komputerami. Skojarzenia zabezpieczeń (SA) [Author ID1: at Thu Oct 5 02:24:00 2000 ]opisano w dalszej części niniejszego rozdziału.

Protokoły zabezpieczeń

W implementacji IPSec w systemie Windows 2000 zastosowano następujące protokoły zabezpieczeń:

• P[Author ID1: at Thu Oct 5 02:24:00 2000 ]p[Author ID1: at Thu Oct 5 02:24:00 2000 ]rotokół ISAKMP (Internet Security Association and Key Management Protocol),[Author ID1: at Thu Oct 5 02:25:00 2000 ]

• p[Author ID1: at Thu Oct 5 02:25:00 2000 ]P[Author ID1: at Thu Oct 5 02:25:00 2000 ]rotokół wyznaczania klucza Oakley (Oakley Key Determination),[Author ID1: at Thu Oct 5 02:26:00 2000 ]

• N[Author ID1: at Thu Oct 5 02:26:00 2000 ]n[Author ID1: at Thu Oct 5 02:26:00 2000 ]agłówek uwierzytelniania protokołu IP (IP Authentication Header),[Author ID1: at Thu Oct 5 02:26:00 2000 ]

• p[Author ID1: at Thu Oct 5 02:26:00 2000 ]P[Author ID1: at Thu Oct 5 02:26:00 2000 ]rotokół ESP (IP E[Author ID1: at Thu Oct 5 02:26:00 2000 ]e[Author ID1: at Thu Oct 5 02:26:00 2000 ]ncapsulating S[Author ID1: at Thu Oct 5 02:26:00 2000 ]s[Author ID1: at Thu Oct 5 02:26:00 2000 ]ecurity P[Author ID1: at Thu Oct 5 02:26:00 2000 ]p[Author ID1: at Thu Oct 5 02:26:00 2000 ]rotocol).[Author ID1: at Thu Oct 5 02:26:00 2000 ]

Protokół ISAKMP (Internet Security Association and Key Management Protocol)

Zanim pakiety protokołu IP zostaną przesłane, za pomocą IPSec musi zostać ustanowione skojarzenie zabezpieczeń (Security Association [Author ID1: at Thu Oct 5 02:27:00 2000 ]-[Author ID1: at Thu Oct 5 02:27:00 2000 ]— [Author ID1: at Thu Oct 5 02:27:00 2000 ]SA)pomiędzy komunikującymi się komputerami. Protokół ISAKMP definiuje ogólne zasady ustanawiania skojarzenia zabezpieczeń (SA) [Author ID0: at Thu Nov 30 00:00:00 1899 ]zgodnie z opisem zamieszczonym w dalszej części niniejszego rozdziału.

Protokół wyznaczania klucza Oakley (Oakley Key Determination)

Protokół Oakley jest protokołem wyznaczania klucza, korzystającym z algorytmu wymiany kluczy Diffie-Hellmana (DH key exchange algorithm). Protokół ten ma opcję Perfect Forward Secrecy (PFS), która gwarantuje, że jeśli pojedynczy klucz zostanie złamany, otwarty zostanie dostęp tylko do danych zabezpieczonych tym kluczem. Klucz ten i liczba, która posłużyła do jego wygenerowania (key-[Author ID1: at Thu Oct 5 02:30:00 2000 ] [Author ID1: at Thu Oct 5 02:30:00 2000 ]generation material) nie będą nigdy wykorzystane do generowania innych kluczy.

Rozwiązania pokrewne [Author ID1: at Thu Oct 5 02:30:00 2000 ]: [Author ID1: at Thu Oct 5 02:30:00 2000 ]zobacz na stronie:

Konfigurowanie protokołów z kluczami tajnymi (shared secrets protocol)

Zastosowanie centrum dystrybucji kluczy (KDC[Author ID1: at Thu Oct 5 02:30:00 2000 ]key distribution center[Author ID1: at Thu Oct 5 02:30:00 2000 ])

Nagłówek uwierzytelniania protokołu IP (IP Authentication Header)

Nagłówek uwierzytelniania protokołu IP (IP Authentication Header) zapewnia integralność (integrity), uwierzytelnianie oraz [Author ID1: at Thu Oct 5 02:30:00 2000 ]i [Author ID1: at Thu Oct 5 02:30:00 2000 ]zapobiega atakom metodą powtórzenia (anti-replay), stosując w tym celu algorytm obliczania skrótu z kluczem tajnym (keyed message hash), HMAC, dla każdego pakietu protokołu IP.

IP Encapsulating Security Protocol

Protokół ESP (IP Encapsulating Security Protocol) zapewnia poufność (confidentiality), korzystając w tym celu z algorytmu DES-CBC.

Skojarzenia zabezpieczeń (Security Associations — SA[Author ID1: at Thu Oct 5 02:31:00 2000 ]s[Author ID1: at Thu Oct 5 02:46:00 2000 ])

Skojarzenia zabezpieczeń (Security Associations-[Author ID1: at Thu Oct 5 02:31:00 2000 ]SAs[Author ID1: at Thu Oct 5 02:46:00 2000 ]) określają wspólne usługi, mechanizmy i klucze stosowane do ochrony wymiany danych. Security Parameters Index (SPI) jest unikatowym identyfikatorem, który pozwala na rozróżnienie pomiędzy wieloma skojarzeniami zabezpieczeń (Security Associations) [Author ID1: at Thu Oct 5 02:31:00 2000 ]na komputerze-odbiorcy. Wiele skojarzeń zabezpieczeń (security associations) [Author ID1: at Thu Oct 5 02:32:00 2000 ]występuje, gdy[Author ID1: at Thu Oct 5 02:32:00 2000 ] jeśli[Author ID1: at Thu Oct 5 02:32:00 2000 ] dany komputer komunikuje się bezpiecznie z wieloma komputerami jednocześnie, n[Author ID1: at Thu Oct 5 02:32:00 2000 ]np.[Author ID1: at Thu Oct 5 02:32:00 2000 ]a przykład[Author ID1: at Thu Oct 5 02:32:00 2000 ], kiedy serwer plików (file server) lub serwer usługi dostępu zdalnego (remote access server) obsługuje wiele klientów. Wiele skojarzeń zabezpieczeń (security associations) [Author ID1: at Thu Oct 5 02:32:00 2000 ]może występować także pomiędzy dwoma komputerami.

Grupa IETF ustanowiła standard w zakresie skojarzeń zabezpieczeń (s[Author ID1: at Thu Oct 5 02:35:00 2000 ]S[Author ID1: at Thu Oct 5 02:35:00 2000 ]ecurity a[Author ID1: at Thu Oct 5 02:35:00 2000 ]A[Author ID1: at Thu Oct 5 02:35:00 2000 ]ssociations[Author ID1: at Thu Oct 5 02:32:00 2000 ]) i wymiany kluczy (key exchange) do tworzenia skojarzeń zabezpieczeń (security associations) [Author ID1: at Thu Oct 5 02:32:00 2000 ]pomiędzy komputerami. Metoda ta łączy w sobie protokół ISAKMP oraz protokół generowania kluczy Oakley (Oakley k[Author ID1: at Thu Oct 5 02:33:00 2000 ]K[Author ID1: at Thu Oct 5 02:33:00 2000 ]ey g[Author ID1: at Thu Oct 5 02:33:00 2000 ]G[Author ID1: at Thu Oct 5 02:33:00 2000 ]eneration protocol). Protokół ISAKMP umożliwia scentralizowane zarządzanie skojarzeniami zabezpieczeń (security association[Author ID1: at Thu Oct 5 02:35:00 2000 ]SA[Author ID1: at Thu Oct 5 02:35:00 2000 ] management) i skrócenie czasu potrzebnego na połączenie (connection time). Protokół Oakley służy do generowania i zarządzania kluczami uwierzytelnionymi, używanymi do zabezpieczania danych.

Proces ten ochrania również komputery zdalne (remote computers), które żądają dostępu do sieci firmowej lub w każdej sytuacji, w której negocjowanie komputera docelowego (punktu końcowego [Author ID1: at Thu Oct 5 02:33:00 2000 ]-[Author ID1: at Thu Oct 5 02:33:00 2000 ]— [Author ID1: at Thu Oct 5 02:33:00 2000 ]endpoint) jest prowadzone przez router zabezpieczony (security router) lub inny serwer P[Author ID1: at Thu Oct 5 06:32:00 2000 ]p[Author ID1: at Thu Oct 5 06:32:00 2000 ]roxy. W drugim przypadku, określanym jako tryb klienta protokołu ISAKMP (ISAKMP client mode), tożsamości (identities) punktów końcowych (endpoints) [Author ID1: at Thu Oct 5 02:34:00 2000 ]są ukryte.

Aby zapewnić poprawną i[Author ID1: at Thu Oct 5 02:34:00 2000 ],[Author ID1: at Thu Oct 5 02:34:00 2000 ] bezpieczną komunikację protokół ISAKMP/Oakley wykonuje operację w dwu etapach:

• F[Author ID1: at Thu Oct 5 02:34:00 2000 ]f[Author ID1: at Thu Oct 5 02:34:00 2000 ]aza wymiany kluczy (key exchange phase),[Author ID1: at Thu Oct 5 02:34:00 2000 ]

• F[Author ID1: at Thu Oct 5 02:34:00 2000 ]f[Author ID1: at Thu Oct 5 02:34:00 2000 ]aza ochrony danych (data protection phase).[Author ID1: at Thu Oct 5 02:34:00 2000 ]

Proces taki zapewnia poufność (confidentiality) i uwierzytelnianie (authentication) w poszczególnych fazach za pomocą wynegocjowanych przez dwa komputery algorytmów szyfrowania i uwierzytelniania. [Author ID1: at Thu Oct 5 02:34:00 2000 ]

Faza wymiany kluczy (key exchange phase)

W fazie tej dwa komputery ustanawiają skojarzenie zabezpieczeń (security association) [Author ID1: at Thu Oct 5 02:35:00 2000 ]protokołu ISAKMP. Protokół Oakley zapewnia ochronę tożsamości (identity protection) w trakcie tej wymiany, umożliwiając uzyskanie całkowitej poufności. Pomaga to zapobiegać atakom w sieci, które polegają na przejęciu tożsamości (identities), takim jak podszywanie się ([Author ID1: at Thu Oct 5 02:36:00 2000 ]spoofing (podszywanie się[Author ID1: at Thu Oct 5 02:36:00 2000 ]).

Przebieg negocjacji w fazie wymiany kluczy jest następujący:

1. Negocjowane są:

• A[Author ID1: at Thu Oct 5 02:36:00 2000 ]a[Author ID1: at Thu Oct 5 02:36:00 2000 ]lgorytm szyfrowania (DES, 3DES lub bez szyfrowania),[Author ID1: at Thu Oct 5 02:36:00 2000 ]

• a[Author ID1: at Thu Oct 5 02:36:00 2000 ]A[Author ID1: at Thu Oct 5 02:36:00 2000 ]lgorytm zapewniający integralność (integrity algorithm) (MD5 lub SHA1),[Author ID1: at Thu Oct 5 02:36:00 2000 ]

• M[Author ID1: at Thu Oct 5 02:36:00 2000 ]m[Author ID1: at Thu Oct 5 02:36:00 2000 ]etoda uwierzytelniania: certyfikat z kluczem publicznym (public key certificate), klucz wstępny (preshared key) lub protokół Kerberos 5,[Author ID1: at Thu Oct 5 02:37:00 2000 ].[Author ID1: at Thu Oct 5 02:37:00 2000 ]

• g[Author ID1: at Thu Oct 5 02:37:00 2000 ]G[Author ID1: at Thu Oct 5 02:37:00 2000 ]rupa Diffie-Hellmana (Diffie-Hellman group).[Author ID1: at Thu Oct 5 02:37:00 2000 ]

2. Wymieniane są informacje konieczne do wygenerowania klucza tajnego (shared secret key) lub klucza głównego (master key) dla skojarzenia zabezpieczeń (security association[Author ID1: at Thu Oct 5 02:37:00 2000 ]SA[Author ID1: at Thu Oct 5 02:37:00 2000 ]) protokołu ISAKMP.

3. Komputery uwierzytelniają wymianę danych koniecznych do wygenerowania klucza (key information exchange). Stosowany jest klucz główny (master key) [Author ID1: at Thu Oct 5 02:37:00 2000 ]w połączeniu z algorytmami ustalonymi w [Author ID1: at Thu Oct 5 02:38:00 2000 ] kroku [Author ID1: at Thu Oct 5 02:37:00 2000 ]punkcie[Author ID1: at Thu Oct 5 02:37:00 2000 ]1. Niezależnie od zastosowanej metody uwierzytelniania,[Author ID1: at Thu Oct 5 02:39:00 2000 ] dane [Author ID1: at Thu Oct 5 02:39:00 2000 ]przesyłane dane [Author ID1: at Thu Oct 5 02:39:00 2000 ]nie mogą być przechwycone ani zmienione.

Komputer inicjujący wymianę przedstawia komputerowi odpowiadającemu listę możliwych poziomów zabezpieczeń. Komputer odpowiadający nie może zmodyfikować tej listy. Jeśli lista zostanie zmieniona, to komputer inicjujący odrzuci komunikat przesłany przez komputer odpowiadający. Komputer odpowiadający wysyła w odpowiedzi komunikat akceptujący przedstawioną listę lub wskazujący, że nie wybrano żadnej pozycji z tej listy. W drugim przypadku proces rozpocznie się od nowa.

Faza ochrony danych (data protection phase)

Komunikaty negocjacyjne (negotiation messages) są automatycznie wysyłane pięciokrotnie. Po upływie trzech sekund ustanowione zostaną tymczasowe skojarzenia zabezpieczeń (soft SA). Jeśli odpowiedź protokołu ISAKMP zostanie odebrana przed upływem czasu cyklu, tymczasowe skojarzenia zabezpieczeń (soft SA) [Author ID1: at Thu Oct 5 02:44:00 2000 ]są usuwane i rozpoczynają się standardowe negocjacje skojarzeń zabezpieczeń (SA). Negocjowana jest para skojarzeń zabezpieczeń (SA)[Author ID1: at Thu Oct 5 02:45:00 2000 ], określana jako skojarzenia zabezpieczeń IPSec (IPSec SAs). Proces jest prawie identyczny z procesem [Author ID1: at Thu Oct 5 02:49:00 2000 ]negocjowaniem[Author ID1: at Thu Oct 5 02:49:00 2000 ]a[Author ID1: at Thu Oct 5 02:49:00 2000 ] wymiany kluczy. Jednak jeśli w trakcie negocjowania pary skojarzeń zabezpieczeń (SAs[Author ID1: at Thu Oct 5 02:49:00 2000 ]) zostanie przekroczony ustalony czas, podejmowana jest próba renegocjowania. Natomiast, gdy[Author ID1: at Thu Oct 5 02:49:00 2000 ]Jeśli [Author ID1: at Thu Oct 5 02:49:00 2000 ] [Author ID1: at Thu Oct 5 02:49:00 2000 ]odebrany zostanie komunikat należący do fazy ochrony danych bez ustanowienia skojarzenia zabezpieczeń (SA) [Author ID1: at Thu Oct 5 02:49:00 2000 ]protokołu ISAKMP, to komunikat ten zostanie odrzucony.

Okres ważności skojarzeń zabezpieczeń (SA lifetimes)

Kiedy upłynie okres ważności klucza głównego (master key) lub klucza sesji (session key), renegocjowane jest odpowiadające im skojarzenie zabezpieczeń (SA)[Author ID1: at Thu Oct 5 02:53:00 2000 ],[Author ID1: at Thu Oct 5 02:53:00 2000 ] a stare skojarzenie zabezpieczeń [Author ID1: at Thu Oct 5 02:54:00 2000 ](SA) protokołu ISAKMP zostanie oznaczone jako nieważne. Zapobiega to tworzeniu fałszywych skojarzeń zabezpieczeń IPSec (IPSec SA) na podstawie starych skojarzeń zabezpieczeń (SA)[Author ID1: at Thu Oct 5 02:54:00 2000 ].

Kiedy A[Author ID1: at Thu Oct 5 02:56:00 2000 ]a[Author ID1: at Thu Oct 5 02:56:00 2000 ]gent zasad IPSec (IPSec P[Author ID1: at Thu Oct 5 02:55:00 2000 ]p[Author ID1: at Thu Oct 5 02:55:00 2000 ]olicy a[Author ID1: at Thu Oct 5 02:55:00 2000 ]A[Author ID1: at Thu Oct 5 02:55:00 2000 ]gent) pobiera aktualizacje zasad (policy updates) zaktualizuje listę filtrów IP (IP filter) zapisaną w sterowniku IPSec. Każde ze skojarzeń zabezpieczeń (SA) związane ze starymi filtrami, których już nie ma w zasadach (policy)[Author ID1: at Thu Oct 5 02:57:00 2000 ], zostanie usunięte razem ze starymi filtrami, znajdującymi się w buforze sterownika IPSec.

Jeśli komputer znajduje się w stanie hibernacji lub wstrzymania i w tym[Author ID1: at Thu Oct 5 02:57:00 2000 ]wówczas[Author ID1: at Thu Oct 5 02:57:00 2000 ] czasie[Author ID1: at Thu Oct 5 02:57:00 2000 ] upłynie okres ważności skojarzenia zabezpieczeń (SA), to [Author ID1: at Thu Oct 5 02:58:00 2000 ]skojarzenia zabezpieczeń [Author ID1: at Thu Oct 5 02:58:00 2000 ](SAs[Author ID1: at Thu Oct 5 02:58:00 2000 ]) będą automatycznie renegocjowane po uaktywnieniu komputera. Jeśli system Windows 2000 jest zamykany, protokół Oakley usuwa wszystkie pozostałe skojarzenia zabezpieczeń (SA) [Author ID1: at Thu Oct 5 02:58:00 2000 ]i renegocjowane są nowe skojarzeni[Author ID1: at Thu Oct 5 02:58:00 2000 ]a[Author ID1: at Thu Oct 5 02:58:00 2000 ]. Jeśli system Windows 2000 zakończy pracę w sposób nieprawidłowy, stare skojarzenia zabezpieczeń (SA) [Author ID1: at Thu Oct 5 02:58:00 2000 ] [Author ID1: at Thu Oct 5 02:58:00 2000 ]mogą nadal istnieć,[Author ID1: at Thu Oct 5 02:58:00 2000 ] o ile nie upłynął domyślny okres ważności. Jeśli tak się stanie, te skojarzenia zabezpieczeń [Author ID1: at Thu Oct 5 02:58:00 2000 ](SA) muszą zostać usunięte ręcznie.

Rozwiązania natychmiastowe

Analiza działania IPSec

Przed podaniem ustawień IPSec i skonfigurowaniem zasad IPSec (IPSec policy) konieczne jest poznanie zasady działania IPSec. Załóżmy, że użytkownik na komputerze o nazwie Laurel wysyła komunikat do użytkownika na komputerze o nazwie Hardy. Procedura jest następująca:

1. Sterownik IPSec (IPSec driver) na komputerze Laurel sprawdza listę filtrów IP (IP [Author ID1: at Thu Oct 5 03:26:00 2000 ]filter IP) aktywnej zasady (policy), aby znaleźć pozycję zgodną z adresem lub rodzajem ruchu w sieci (traffic type) pakietów wychodzących.

2. Sterownik IPSec wysyła do usługi ISAKMP komunikat powiadamiający o rozpoczęciu negocjowania zabezpieczeń z komputerem o nazwie Hardy.

3. Usługa ISAKMP na komputerze o nazwie Hardy odbiera żądanie negocjowania zabezpieczeń.

4. Obydwa komputery wymieniają klucze (key exchange), ustanawiają skojarzenia zabezpieczeń (SAs[Author ID1: at Thu Oct 5 03:28:00 2000 ]) protokołu ISAKMP oraz ustalają klucz tajny (shared secret key).

5. Obydwa komputery negocjują poziom zabezpieczeń transmisji danych, ustanawiają parę skojarzeń zabezpieczeń IPSec (IPSec SA) oraz klucze do zabezpieczania pakietów protokołu IP.

6. Za pomocą wychodzącego skojarzenia zabezpieczeń IPSec (outbound IPSec SA) oraz klucza,[Author ID1: at Thu Oct 5 03:29:00 2000 ] sterownik IPSec na komputerze o nazwie Laurel opatruje pakiety podpisem cyfrowym,[Author ID1: at Thu Oct 5 03:29:00 2000 ] aby zapewnić ich integralność (integrity) oraz szyfruje pakiety, jeśli wynegocjowano poufność (confidentiality) transmisji.

7. Sterownik IPSec na komputerze o nazwie Laurel przekazuje pakiety do odpowiedniego rodzaju połączenia (connection type),[Author ID1: at Thu Oct 5 03:29:00 2000 ] aby przesłać je do komputera o nazwie Hardy.

8. Komputer o nazwie Hardy odbiera pakiety zabezpieczone[Author ID1: at Thu Oct 5 03:31:00 2000 ]y[Author ID1: at Thu Oct 5 03:31:00 2000 ] (secured packets) i przekazuje je do sterownika IPSec (IPSec driver).

9. Za pomocą przychodzących skojarzeń zabezpieczeń (inbound SA) oraz klucza, sterownik IPSec (IPSec driver) [Author ID1: at Thu Oct 5 03:31:00 2000 ]sprawdza podpis, mający zagwarantować integralność (integrity) [Author ID1: at Thu Oct 5 03:31:00 2000 ]i w razie konieczności odszyfrowuje pakiety.

10. Sterownik IPSec (IPSec driver) [Author ID1: at Thu Oct 5 03:31:00 2000 ]na komputerze o nazwie Hardy przekazuje odszyfrowane pakiety do sterownika protokołu TCP/IP, który z kolei przekazuje je do aplikacji-odbiorcy.

Proces ten jest niezauważalny dla użytkownika. Routery lub przełączniki (switches) na ścieżce danych (data path) pomiędzy komputerami nie wymagają IPSec i będą automatycznie przekazywać zaszyfrowane pakiety protokołu IP do adresata. Jednak jeśli router pracuje jako zapora ogniowa (firewall), brama zabezpieczeń (security gateway) lub serwer proxy[Author ID1: at Thu Oct 5 06:32:00 2000 ]Proxy[Author ID1: at Thu Oct 5 06:32:00 2000 ],[Author ID1: at Thu Oct 5 03:36:00 2000 ] musi zostać włączone filtrowanie specjalne,[Author ID1: at Thu Oct 5 03:32:00 2000 ] aby zabezpieczone pakiety protokołu IP (secured IP packets) nie były odrzucane. W tym przypadku dla połączenia internetowego muszą zostać określone następujące filtry wejściowe i wyjściowe:

Filtry wejściowe IP Protocol ID 51 (0x33) dla przychodzącego nagłówka uwierzytelniania (AH) IPSec (inbound IPSec AH)

IP Protocol ID 50 (0x32) dla przychodzącego protokołu ESP IPSec (inbound IPSec ESP)

UDP port 500 (0x1F4) dla przychodzących negocjacji ISAKMP/Oakley (inbound ISAKMP/Oakley negotiations traffic)

Filtry wyjściowe IP Protocol ID 51 (0x33) dla wychodzącego nagłówka uwierzytelniania (AH) IPSec (outbound IPSec AH)

IP Protocol ID 50 (0x32) dla wychodzącego protokołu ESP IPSec (outbound IPSec ESP)

UDP port 500 (0x1F4) dla wychodzących negocjacji ISAKMP/Oakley (outbound ISAKMP/Oakley negotiations traffic).

Konfigurowanie wymienionych powyżej filtrów opisane jest w dokumentacji routera.

Ustawienia IPSec

W zależności od stopnia ważności (sensitivity) danych, względnej podatności medium transmisyjnego na uszkodzenia (relative vulnerability of the transmission carrier) oraz ograniczeń eksportowych odnoszących się do poszczególnych poziomów szyfrowania,[Author ID1: at Thu Oct 5 03:37:00 2000 ] można określić ustawienia IPSec, czyli atrybuty (attributes),[Author ID1: at Thu Oct 5 03:37:00 2000 ] odpowiednie w danej sytuacji.

Każdy z zestawów atrybutów IPSec nosi nazwę zasad zabezpieczeń (security policy). Zasady te są [Author ID1: at Thu Oct 5 03:38:00 2000 ]zabezpieczeń (security [Author ID1: at Thu Oct 5 03:38:00 2000 ]policies) [Author ID1: at Thu Oct 5 03:38:00 2000 ]tworzone są [Author ID1: at Thu Oct 5 03:38:00 2000 ]na podstawie związanych z nimi zasad negocjacji (negotiation policies) oraz filtrów protokołu IP (IP filters) i mogą być przypisane do domeny, pojedynczego komputera lub jednostek organizacyjnych (Organizational [Author ID1: at Thu Oct 5 03:38:00 2000 ]Unit[Author ID1: at Thu Oct 5 03:38:00 2000 ]s). Filtry protokołu IP (IP filters), na podstawie adresata i protokołu pojedynczych pakietów IP, określają jakie operacje należy wykonać.

Wskazówka: Poniższa procedura jest ćwiczeniem na papierze. Niemniej jednak jest niezbędnym etapem na drodze do ustanowienia solidnych zasad IPSec (IPSec policy). Zanim dojdzie do etapu wdrażania zasad zabezpieczeń (security policies)[Author ID1: at Thu Oct 5 03:39:00 2000 ], należy je zaplanować na papierze. Cechą dobrego specjalisty z dziedziny zabezpieczeń jest to, że zanim podejdzie do komputera, planuje wszystko bardzo szczegółowo na papierze.

Poniżej zamieszczono procedurę określania ustawień IPSec:

1. Wybierz poziom zabezpieczeń (security level). Opcje są następujące:

• Klient (tylko odpowiada) (CC[Author ID1: at Thu Oct 5 03:39:00 2000 ]lient [Author ID1: at Thu Oct 5 06:33:00 2000 ];[Author ID1: at Thu Oct 5 03:39:00 2000 ]([Author ID1: at Thu Oct 5 03:39:00 2000 ] [Author ID1: at Thu Oct 5 03:39:00 2000 ]R[Author ID1: at Thu Oct 5 03:39:00 2000 ]r[Author ID1: at Thu Oct 5 03:39:00 2000 ]espond O[Author ID1: at Thu Oct 5 03:39:00 2000 ]o[Author ID1: at Thu Oct 5 03:39:00 2000 ]nly) [Author ID1: at Thu Oct 5 03:39:00 2000 ]) — w[Author ID1: at Thu Oct 5 03:40:00 2000 ]W[Author ID1: at Thu Oct 5 03:40:00 2000 ]ysyła żądania niezabezpieczone, ale zabezpiecza odpowiedzi na żądania transmisji danych zabezpieczanych za pomocą IPSec, zabezpieczając protokół i port dla tych żądań. Komputery, na których zastosowano tę[Author ID1: at Thu Oct 5 03:40:00 2000 ]ą[Author ID1: at Thu Oct 5 03:40:00 2000 ] zasadę (policy), nie mogą komunikować się z komputerami, na których zastosowano zasadę (policy) [Author ID1: at Thu Oct 5 03:40:00 2000 ]S[Author ID1: at Thu Oct 5 03:40:00 2000 ]s[Author ID1: at Thu Oct 5 03:40:00 2000 ]erwera[Author ID1: at Thu Oct 5 03:40:00 2000 ] zabezpieczeń (S[Author ID1: at Thu Oct 5 03:40:00 2000 ]s[Author ID1: at Thu Oct 5 03:40:00 2000 ]ecurity s[Author ID1: at Thu Oct 5 03:40:00 2000 ]S[Author ID1: at Thu Oct 5 03:40:00 2000 ]erver),[Author ID1: at Thu Oct 5 03:40:00 2000 ]. [Author ID1: at Thu Oct 5 03:40:00 2000 ]

• Serwer (żądaj zabezpieczeń) (S[Author ID1: at Thu Oct 5 03:40:00 2000 ]Server;[Author ID1: at Thu Oct 5 03:40:00 2000 ] (R[Author ID1: at Thu Oct 5 03:40:00 2000 ]r[Author ID1: at Thu Oct 5 03:40:00 2000 ]equest S[Author ID1: at Thu Oct 5 03:40:00 2000 ]s[Author ID1: at Thu Oct 5 03:40:00 2000 ]ecurity) [Author ID1: at Thu Oct 5 03:40:00 2000 ]) — A[Author ID1: at Thu Oct 5 03:40:00 2000 ]a[Author ID1: at Thu Oct 5 03:40:00 2000 ]kceptuje niezabezpieczoną transmisję danych, ale podejmuje próbę zabezpieczenia komunikacji,[Author ID1: at Thu Oct 5 03:41:00 2000 ] żądając zabezpieczeń od nadawcy. Jeśli zostanie przekroczony czas negocjacji (40 sekund), dozwolone jest przesyłanie danych zabezpieczonych,[Author ID1: at Thu Oct 5 03:41:00 2000 ].[Author ID1: at Thu Oct 5 03:41:00 2000 ]

• Serwer z zabezpieczeniami (zabezpieczenia wymagane) (SS[Author ID1: at Thu Oct 5 03:41:00 2000 ]ecure s[Author ID1: at Thu Oct 5 03:41:00 2000 ]S[Author ID1: at Thu Oct 5 03:41:00 2000 ]erver;[Author ID1: at Thu Oct 5 03:41:00 2000 ] (R[Author ID1: at Thu Oct 5 03:41:00 2000 ] r[Author ID1: at Thu Oct 5 03:41:00 2000 ]equire S[Author ID1: at Thu Oct 5 03:41:00 2000 ]s[Author ID1: at Thu Oct 5 03:41:00 2000 ]ecurity) [Author ID1: at Thu Oct 5 03:41:00 2000 ]) — O[Author ID1: at Thu Oct 5 03:41:00 2000 ]o[Author ID1: at Thu Oct 5 03:41:00 2000 ]drzuca niezabezpieczone dane przychodzące i zabezpiecza wszystkie komunikaty wychodzące. Komunikacja zostanie zablokowana jeśli zabezpieczenia nie zostaną ustalone z komputerem-partnerem (pee[Author ID1: at Thu Oct 5 06:33:00 2000 ]r komputer).

[Author ID1: at Thu Oct 5 03:44:00 2000 ]

2. Określ Tryb [Author ID1: at Thu Oct 5 03:41:00 2000 ]tryb [Author ID1: at Thu Oct 5 03:41:00 2000 ]transportu (T[Author ID1: at Thu Oct 5 03:42:00 2000 ]t[Author ID1: at Thu Oct 5 03:42:00 2000 ]ransport mode) lub T[Author ID1: at Thu Oct 5 03:42:00 2000 ]t[Author ID1: at Thu Oct 5 03:42:00 2000 ]ryb tunelowania (t[Author ID1: at Thu Oct 5 03:42:00 2000 ]T[Author ID1: at Thu Oct 5 03:42:00 2000 ]unnel mode):

• Tryb transportu (TT[Author ID1: at Thu Oct 5 03:42:00 2000 ]ransport mode) — Z[Author ID1: at Thu Oct 5 03:42:00 2000 ]z[Author ID1: at Thu Oct 5 03:42:00 2000 ]abezpiecza transmisję danych pomiędzy komputerami równorzędnymi (pe[Author ID1: at Thu Oct 5 06:33:00 2000 ]er computers). Jest to domyślny tryb IPSec, zapewniający bezpieczeństwo na całej drodze danych pomiędzy komputerem-nadawcą a komputerem (lub komputerami) odbierającymi dane. Tryb transportu (transport mode) [Author ID1: at Thu Oct 5 03:42:00 2000 ]może być stosowany przez komputery komunikujące się przez serwer dostępu zdalnego (Remote Access Server [Author ID1: at Thu Oct 5 03:42:00 2000 ]-[Author ID1: at Thu Oct 5 03:42:00 2000 ]— [Author ID1: at Thu Oct 5 03:42:00 2000 ]RAS) i w intranecie, w przypadku zastosowania routerów . Stosowanie tego trybu nie jest wskazane jeśli komunikaty muszą przechodzić przez sieci zewnętrzne lub przez wrogie środowisko, takie jak Internet,[Author ID1: at Thu Oct 5 03:43:00 2000 ].[Author ID1: at Thu Oct 5 03:43:00 2000 ]

• Tryb tunelowania (TT[Author ID1: at Thu Oct 5 03:42:00 2000 ]unnel mode) — Z[Author ID1: at Thu Oct 5 03:43:00 2000 ]z[Author ID1: at Thu Oct 5 03:43:00 2000 ]abezpiecza transmisję danych pomiędzy sieciami zdalnymi (remote networks). Wprowadza zasady IPSec (IPSec policies) [Author ID1: at Thu Oct 5 03:43:00 2000 ]dla transmisji danych przez Internet i obsługuje połączenia point-to-point. Uwierzytelnia i szyfruje dane przesyłane przez tunel IP (IP tunnel) utworzony pomiędzy dwoma urządzeniami logicznymi (logical devices). Zwykle są to komputery lub routery RRAS (Routing and Remote Access Services) dla systemu Windows 2000. Punkty końcowe tunelu (tunnel endpoints) określa się podając adres IP lub nazwę hosta. Tunelowanie (tunneling) i Wirtualne Sieci Prywatne (Virtual Private Networks [Author ID1: at Thu Oct 5 03:43:00 2000 ]-[Author ID0: at Thu Nov 30 00:00:00 1899 ]— [Author ID1: at Thu Oct 5 03:43:00 2000 ]VPNs) opisano w rozdziale 11.

Rozwiązania pokrewne [Author ID1: at Thu Oct 5 03:43:00 2000 ] [Author ID1: at Thu Oct 5 03:43:00 2000 ]zobacz na stronie:

Określanie strategii wirtualnych sieci prywatnych (VPN Strategy)

OSTRZEŻENIE! Tunelowanie IPSec (IPSec tunneling) określa komputery jako punkty końcowe (endpoints) i do sprawdzania poprawności korzysta z certyfikatów komputerów,[Author ID1: at Thu Oct 5 03:43:00 2000 ] a nie certyfikatów użytkowników. Każdy użytkownik, który ma dostęp do komputera [Author ID1: at Thu Oct 5 03:43:00 2000 ]-[Author ID1: at Thu Oct 5 03:43:00 2000 ]— [Author ID1: at Thu Oct 5 03:43:00 2000 ]punktu końcowego, ma także [Author ID1: at Thu Oct 5 03:44:00 2000 ]dostęp do tunelu,[Author ID1: at Thu Oct 5 03:44:00 2000 ] a to stanowi zagrożenie. Rozwiązaniem tego problemu jest zastosowanie protokołu PPTP (Point-To-Point Tunneling Protocol) lub protokołu L2TP (Layer 2 Tunneling Protocol). Sposób ten opisano w rozdziale 11.

[Author ID1: at Thu Oct 5 03:44:00 2000 ]

3. Określ rodzaj sieci. Zasady zabezpieczeń IPSec muszą być dostosowane do rodzaju sieci. Do wyboru są:

• w[Author ID1: at Thu Oct 5 03:44:00 2000 ]W[Author ID1: at Thu Oct 5 03:44:00 2000 ]szystkie połączenia sieciowe,[Author ID1: at Thu Oct 5 03:44:00 2000 ].[Author ID1: at Thu Oct 5 03:44:00 2000 ]

• s[Author ID1: at Thu Oct 5 03:44:00 2000 ]S[Author ID1: at Thu Oct 5 03:44:00 2000 ]ieci lokalne (LAN),[Author ID1: at Thu Oct 5 03:44:00 2000 ]

• D[Author ID1: at Thu Oct 5 03:44:00 2000 ]d[Author ID1: at Thu Oct 5 03:44:00 2000 ]ostęp zdalny.

[Author ID1: at Thu Oct 5 03:44:00 2000 ]

4. Określ sposób uwierzytelniania komputera. Są trzy możliwości:

• Kerberos 5 — D[Author ID1: at Thu Oct 5 03:45:00 2000 ]d[Author ID1: at Thu Oct 5 03:45:00 2000 ]omyślny sposób uwierzytelniania w systemie Windows 2000, [Author ID1: at Thu Oct 5 03:45:00 2000 ]. Sposób ten [Author ID1: at Thu Oct 5 03:45:00 2000 ]może być stosowany w przypadku komputerów pracujących pod kontrolą systemu Windows 2000 lub Unix, na których uruchomiono protokół Kerberos 5,[Author ID1: at Thu Oct 5 03:46:00 2000 ].[Author ID1: at Thu Oct 5 03:46:00 2000 ]

• C[Author ID1: at Thu Oct 5 03:46:00 2000 ]c[Author ID1: at Thu Oct 5 03:46:00 2000 ]ertyfikaty z kluczem publicznym (public key certificates) — S[Author ID1: at Thu Oct 5 03:46:00 2000 ]s[Author ID1: at Thu Oct 5 03:46:00 2000 ]posób ten może być stosowany przez dowolnych[Author ID1: at Thu Oct 5 03:46:00 2000 ]e[Author ID1: at Thu Oct 5 03:46:00 2000 ] klienty[Author ID1: at Thu Oct 5 03:46:00 2000 ]ów[Author ID1: at Thu Oct 5 03:46:00 2000 ],[Author ID1: at Thu Oct 5 03:46:00 2000 ] uzyskujących[Author ID1: at Thu Oct 5 03:46:00 2000 ]e[Author ID1: at Thu Oct 5 03:46:00 2000 ] dostęp do Internetu lub intranetów w przedsiębiorstwach za pomocą infrastruktury klucza publicznego (public key certificate infrastructure) zgodnej ze standardem X.509,[Author ID1: at Thu Oct 5 03:46:00 2000 ].[Author ID1: at Thu Oct 5 03:46:00 2000 ]

• K[Author ID1: at Thu Oct 5 03:47:00 2000 ]k[Author ID1: at Thu Oct 5 03:47:00 2000 ]lucz wstępny (preshared key) — S[Author ID1: at Thu Oct 5 03:47:00 2000 ]s[Author ID1: at Thu Oct 5 03:47:00 2000 ]posób ten może być sts[Author ID1: at Thu Oct 5 03:47:00 2000 ]osowany przez dowolnych [Author ID1: at Thu Oct 5 03:47:00 2000 ]e [Author ID1: at Thu Oct 5 03:47:00 2000 ]klientów[Author ID1: at Thu Oct 5 03:47:00 2000 ]y[Author ID1: at Thu Oct 5 03:47:00 2000 ], którym potrzebne jest pojedyncze połączenie ee[Author ID1: at Thu Oct 5 06:34:00 2000 ]r-to-pee[Author ID1: at Thu Oct 5 06:34:00 2000 ]r, ale protokół Kerberos 5 nie jest uruchomiony. Klucz wstępny służy tylko do uwierzytelniania,[Author ID1: at Thu Oct 5 03:47:00 2000 ] a nie do szyfrowania danych.

Uwaga: Jeśli do uwierzytelniania używa się certyfikatów lub kluczy wstępnych (preshared keys), tożsamość komputera jest chroniona. W przypadku użycia protokołu Kerberos 5, tożsamość komputera pozostanie niezaszyfrowana,[Author ID1: at Thu Oct 5 03:47:00 2000 ] dopóki nie zostaną zaszyfrowane wszystkie dane identyfikujące (identity payload).

5. Podaj lub skonfiguruj listę filtrów IP (IP filter list). Określa to typ ruchu w sieci (traffic) do którego ma zastosowanie reguła zabezpieczeń IPSec (IPSec security rule). Domyślnie można podać całą transmisję danych za pomocą protokołu IP lub całą transmisję za pomocą protokołu ICMP (Internet Control Message Protocol). Można również zdefiniować własną listę filtrów IP. Poniżej zamieszczono listę opcji:

• Ź[Author ID1: at Thu Oct 5 03:48:00 2000 ]Źródło munikacji [Author ID1: at Thu Oct 5 06:34:00 2000 ]IP (IP T[Author ID1: at Thu Oct 5 03:48:00 2000 ]t[Author ID1: at Thu Oct 5 03:48:00 2000 ]raffic S[Author ID1: at Thu Oct 5 03:48:00 2000 ]s[Author ID1: at Thu Oct 5 03:48:00 2000 ]ource) — o[Author ID1: at Thu Oct 5 03:48:00 2000 ]O[Author ID1: at Thu Oct 5 03:48:00 2000 ]kreśla adres źródła. Do wyboru są następujące ustawienia: adres IP danego komputera, dowolny adres IP, konkretna nazwa DNS, konkretny adres IP lub konkretna podsieć IP (IP subnet). Domyślne ustawienie to „Mój adres IP” („My IP address”),[Author ID1: at Thu Oct 5 03:48:00 2000 ]. [Author ID1: at Thu Oct 5 03:48:00 2000 ]

• M[Author ID1: at Thu Oct 5 03:48:00 2000 ]Miejsce docelowe komunikacji IP (IP T[Author ID1: at Thu Oct 5 03:48:00 2000 ]t[Author ID1: at Thu Oct 5 03:48:00 2000 ]raffic destination) — o[Author ID1: at Thu Oct 5 03:48:00 2000 ]O[Author ID1: at Thu Oct 5 03:48:00 2000 ]kreśla adres docelowy. Do wyboru są następujące ustawienia: adres IP danego komputera, dowolny adres IP, konkretna nazwa DNS, konkretny adres IP lub konkretna podsieć IP (IP subnet). Jeśli nie istnieje żaden szczególny powód, aby ograniczać adresy docelowe, Microsoft zaleca ustawienie „Dowolny adres IP” („Any IP address”),[Author ID1: at Thu Oct 5 03:49:00 2000 ].[Author ID1: at Thu Oct 5 03:49:00 2000 ]

• T[Author ID1: at Thu Oct 5 03:49:00 2000 ]Typ protokołu (IP P[Author ID1: at Thu Oct 5 03:49:00 2000 ]p[Author ID1: at Thu Oct 5 03:49:00 2000 ]rotocol T[Author ID1: at Thu Oct 5 03:49:00 2000 ]t[Author ID1: at Thu Oct 5 03:49:00 2000 ]ype IP[Author ID1: at Thu Oct 5 03:49:00 2000 ]) — O[Author ID1: at Thu Oct 5 03:49:00 2000 ]o[Author ID1: at Thu Oct 5 03:49:00 2000 ]kreśla zastosowany protokół. Przedstawiona jest cała gama protokołów, m.[Author ID1: at Thu Oct 5 03:49:00 2000 ]in. Exterior Gateway Protocol (EGP), Host Monitor Protocol (HMP), Internet Control Message Protocol (ICMP), Remote Desk Protocol (RDP), Transmission Control Protocol (TCP), User Datagram Protocol (UDP) oraz Xerox Network Systems Internet Data Protocol (XNS-IDP). Wybrany protokół musi być zainstalowany zarówno na komputerze źródłowym,[Author ID1: at Thu Oct 5 03:49:00 2000 ] jak i na komputerze docelowym,[Author ID1: at Thu Oct 5 03:50:00 2000 ].[Author ID1: at Thu Oct 5 03:50:00 2000 ]

• P[Author ID1: at Thu Oct 5 03:50:00 2000 ]Port protokołu IP[Author ID1: at Thu Oct 5 03:50:00 2000 ] (P [Author ID1: at Thu Oct 5 03:50:00 2000 ]IP P[Author ID1: at Thu Oct 5 03:50:00 2000 ]p[Author ID1: at Thu Oct 5 03:50:00 2000 ]rotocol P[Author ID1: at Thu Oct 5 03:50:00 2000 ]p[Author ID1: at Thu Oct 5 03:50:00 2000 ]ort) — O[Author ID1: at Thu Oct 5 03:50:00 2000 ]o[Author ID1: at Thu Oct 5 03:50:00 2000 ]kreśla port źródłowy i docelowy w zależności od wybranego protokołu.

[Author ID1: at Thu Oct 5 03:50:00 2000 ]

6. Wybierz akcję filtru (filter action) dla reguły zabezpieczeń IPSec (IPSec security rule)[Author ID1: at Thu Oct 5 03:50:00 2000 ]. Standardowe akcje (actions) [Author ID1: at Thu Oct 5 03:50:00 2000 ]odpowiadają poziomom zabezpieczeń opisanym w punkcie 1.[Author ID1: at Thu Oct 5 03:50:00 2000 ] niniejszej procedury. Można jednak określić akcje niestandardowe. Ustawienia są następujące:

• O[Author ID1: at Thu Oct 5 03:50:00 2000 ]Opcje Ogólne (GG[Author ID1: at Thu Oct 5 03:50:00 2000 ]eneral OO[Author ID1: at Thu Oct 5 03:50:00 2000 ]ptions) — U[Author ID1: at Thu Oct 5 03:51:00 2000 ]u[Author ID1: at Thu Oct 5 03:51:00 2000 ]stawia zachowanie akcji filtru. Zezwalaj („P[Author ID1: at Thu Oct 5 03:51:00 2000 ]Permit”[Author ID1: at Thu Oct 5 03:51:00 2000 ]) jest to zasada umożliwiająca swobodny dostęp komunikatów przychodzących (passthrough policy). Blokuj („B[Author ID1: at Thu Oct 5 03:51:00 2000 ]Block”[Author ID1: at Thu Oct 5 03:51:00 2000 ]) zatrzymuje wszystkie komunikaty przychodzące i wychodzące zarówno zaszyfrowane,[Author ID1: at Thu Oct 5 03:51:00 2000 ] jak i niezaszyfrowane. Negocjuj protokół zabezpieczeń („[Author ID1: at Thu Oct 5 03:51:00 2000 ]NN[Author ID1: at Thu Oct 5 03:51:00 2000 ]egotiate Security”[Author ID1: at Thu Oct 5 03:51:00 2000 ]) daje możliwość wyboru: wymiana danych tylko z komputerami obsługującymi IPSec lub powrót do komunikacji niezabezpieczonej,[Author ID1: at Thu Oct 5 03:51:00 2000 ].[Author ID1: at Thu Oct 5 03:51:00 2000 ]

• Z[Author ID1: at Thu Oct 5 03:51:00 2000 ]Zabezpieczenia Komunikacji IP (T[Author ID1: at Thu Oct 5 03:51:00 2000 ]Traffic S[Author ID1: at Thu Oct 5 03:51:00 2000 ]Security IP) — O[Author ID1: at Thu Oct 5 03:51:00 2000 ]o[Author ID1: at Thu Oct 5 03:51:00 2000 ]kreśla sposób zabezpieczenia komunikacji IP. Wysoki („H[Author ID1: at Thu Oct 5 03:51:00 2000 ]High”[Author ID1: at Thu Oct 5 03:52:00 2000 ]) oznacza szyfrowanie i uwierzytelnianie danych. [Author ID0: at Thu Nov 30 00:00:00 1899 ]Średni („M[Author ID1: at Thu Oct 5 03:52:00 2000 ]Medium”[Author ID1: at Thu Oct 5 03:52:00 2000 ]) oznacza, że dane będą uwierzytelniane,[Author ID1: at Thu Oct 5 03:52:00 2000 ] ale nie szyfrowane. Można również wybrać Niestandardowy („C[Author ID1: at Thu Oct 5 03:52:00 2000 ]Custom”[Author ID1: at Thu Oct 5 03:52:00 2000 ]) i wprowadzić odpowiednie ustawienia, jak przedstawiono to na rysunku 10.1.

7. Określ algorytm uwierzytelniania. Do wybory są dwa algorytmy:

• SHA1 — s[Author ID1: at Thu Oct 5 03:52:00 2000 ]S[Author ID1: at Thu Oct 5 03:52:00 2000 ]tosowany jest klucz 160-bitowy. Wybierz tę[Author ID1: at Thu Oct 5 03:52:00 2000 ]ą[Author ID1: at Thu Oct 5 03:52:00 2000 ] opcję w przypadku aplikacji, które wymagają wysokiego stopnia ochrony, jak na [Author ID1: at Thu Oct 5 03:52:00 2000 ]przykład[Author ID1: at Thu Oct 5 03:52:00 2000 ].[Author ID1: at Thu Oct 5 03:52:00 2000 ] kontrakty rządowe,[Author ID1: at Thu Oct 5 03:52:00 2000 ].[Author ID1: at Thu Oct 5 03:52:00 2000 ]

• MD5 — S[Author ID1: at Thu Oct 5 03:52:00 2000 ]s[Author ID1: at Thu Oct 5 03:52:00 2000 ]tosowany jest klucz 128-bitowy. Jest to zwykle [Author ID1: at Thu Oct 5 03:53:00 2000 ]zazwyczaj [Author ID1: at Thu Oct 5 03:53:00 2000 ]wystarczający[Author ID1: at Thu Oct 5 03:53:00 2000 ]e[Author ID1: at Thu Oct 5 03:53:00 2000 ] w warunkach [Author ID1: at Thu Oct 5 03:53:00 2000 ]normalnej, typowej[Author ID1: at Thu Oct 5 03:53:00 2000 ]ych[Author ID1: at Thu Oct 5 03:53:00 2000 ] działalności. [Author ID1: at Thu Oct 5 03:53:00 2000 ]

[Author ID1: at Thu Oct 5 03:53:00 2000 ]

8. Określ algorytm szyfrowania. Do wyboru są następujące algorytmy:

• 3DES — Z[Author ID1: at Thu Oct 5 03:53:00 2000 ]z[Author ID1: at Thu Oct 5 03:53:00 2000 ]astosowano w nim klucze 128-bitowe. Wybierz tą [Author ID1: at Thu Oct 5 03:53:00 2000 ]tę [Author ID1: at Thu Oct 5 03:53:00 2000 ]opcję w przypadku transmisji danych na terenie Stanów Zjednoczonych, która wymaga wysokiego poziomu zabezpieczeń,[Author ID1: at Thu Oct 5 03:54:00 2000 ].[Author ID1: at Thu Oct 5 03:54:00 2000 ]

Rysunek 10.1.[Author ID1: at Thu Oct 5 03:53:00 2000 ] Ustawienia niestandardowego sposobu zabezpieczenia komunikacji.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

• DES — z[Author ID1: at Thu Oct 5 03:54:00 2000 ]Z[Author ID1: at Thu Oct 5 03:54:00 2000 ]astosowano w nim pojedynczy klucz 56-bitowy. Jest to niższy poziom zabezpieczeń, ale używa się go w przypadku aplikacji eksportowanych, zgodnie z ograniczeniami eksportowymi rządu USA.

Uwaga: Aby zapewnić bardzo wysoki poziom zabezpieczeń,[Author ID1: at Thu Oct 5 03:54:00 2000 ] można zastosować bardziej zaawansowane algorytmy szyfrowania,[Author ID1: at Thu Oct 5 03:54:00 2000 ] takie jak zmieniająca się długość klucza (dynamic key length), w którym długość klucza [Author ID1: at Thu Oct 5 03:54:00 2000 ]ta [Author ID1: at Thu Oct 5 03:54:00 2000 ]jest określana w trakcie wykonywania obliczeń. Obecnie nie są to standardowe ustawienia IPSec i można[Author ID1: at Thu Oct 5 03:54:00 2000 ]e[Author ID1: at Thu Oct 5 03:54:00 2000 ] je spotkać tylko w systemach zabezpieczeń tworzonych na zamówienie. Jednak należy wiedzieć o ich istnieniu, ponieważ mogą się pojawić w przyszłych wersjach systemu.

9. Wybierz grupę Diffie-[Author ID1: at Thu Oct 5 03:55:00 2000 ]-Hellmana (stopień zabezpieczenia): 1 [Author ID1: at Thu Oct 5 03:55:00 2000 ]- [Author ID1: at Thu Oct 5 03:55:00 2000 ]—[Author ID1: at Thu Oct 5 03:55:00 2000 ]N[Author ID1: at Thu Oct 5 03:55:00 2000 ] n[Author ID1: at Thu Oct 5 03:55:00 2000 ]iski (L[Author ID1: at Thu Oct 5 03:55:00 2000 ]l[Author ID1: at Thu Oct 5 03:55:00 2000 ]ow) lub 2 [Author ID1: at Thu Oct 5 03:55:00 2000 ]- [Author ID1: at Thu Oct 5 03:55:00 2000 ]— [Author ID1: at Thu Oct 5 03:55:00 2000 ]Ś[Author ID1: at Thu Oct 5 03:55:00 2000 ]ś[Author ID1: at Thu Oct 5 03:55:00 2000 ]redni (M[Author ID1: at Thu Oct 5 03:55:00 2000 ]m[Author ID1: at Thu Oct 5 03:55:00 2000 ]edium).

10. Określ,[Author ID1: at Thu Oct 5 03:55:00 2000 ] czy stosować IPSec na pojedynczych komputerach, na poziomie domeny lub jednostki organizacyjnej (OU). Opcje te zostaną omówione w kolejnych podrozdziałach.

Konfigurowanie IPSec na pojedynczych komputerach

Zamieszczona poniżej procedura opisuje konfigurowanie IPSec na podstawie decyzji podjętych przy wykonywaniu poprzedniej procedury „Określanie ustawień IPSec”. Wykonując daną procedurę,[Author ID1: at Thu Oct 5 03:55:00 2000 ] można zmienić niektóre ustawienia, a ona nie ulegnie zmianie[Author ID1: at Thu Oct 5 03:56:00 2000 ]. Procedura się nie zmieni[Author ID1: at Thu Oct 5 03:56:00 2000 ].

Można skonfigurować IPSec na pojedynczym komputerze, skonfigurować zasady IPSec w domenie (IPSec domain policy),[Author ID1: at Thu Oct 5 03:56:00 2000 ] na kontrolerze domeny lub skonfigurować ustawienia IPSec dla jednostek organizacyjnych (Organizational [Author ID1: at Thu Oct 5 03:56:00 2000 ]Unit[Author ID1: at Thu Oct 5 03:56:00 2000 ]s) i umieścić komputery w tej jednostce organizacyjnej. Do testowania zasad IPSec (IPSec policy) [Author ID1: at Thu Oct 5 03:56:00 2000 ]konieczne są co najmniej dwa komputery. Aby wykonać test zgodnie z zamieszczonym opisem,[Author ID1: at Thu Oct 5 03:56:00 2000 ] niezbędny jest dostęp do kontrolera domeny (DC) i do dwóch innych komputerów pracujących pod kontrolą systemu Windows 2000 w danej sieci. Następnie można skonfigurować IPSec na pojedynczych komputerach, wykonać testy, skonfigurować IPSec dla domeny, sprawdzić jego [Author ID1: at Thu Oct 5 03:57:00 2000 ]działanie,[Author ID1: at Thu Oct 5 03:57:00 2000 ] a potem skonfigurować IPSec dla jednostki organizacyjnej (Organizat[Author ID1: at Thu Oct 5 03:57:00 2000 ]ional Unit) [Author ID1: at Thu Oct 5 03:57:00 2000 ]i zainstalować na komputerach, które nie są kontrolerami domeny w danej jednostce organizacyjnej. [Author ID1: at Thu Oct 5 03:57:00 2000 ]

Poniżej zamieszczono procedurę konfigurowania IPSec na pojedynczym komputerze, który nie jest kontrolerem domeny:

1. Zaloguj się jako administrator.

2. Za pomocą menu Start|Uruchom (S[Author ID1: at Thu Oct 5 03:57:00 2000 ]Start\R[Author ID1: at Thu Oct 5 03:57:00 2000 ]Run) uruchom konsolę MMC, wpisując polecenie mmc.

3. Z menu Konsola (C[Author ID1: at Thu Oct 5 03:57:00 2000 ]Console) wybierz pozycję Dodaj/Usuń przystawkę (A[Author ID1: at Thu Oct 5 03:57:00 2000 ]Add/R[Author ID1: at Thu Oct 5 03:57:00 2000 ]Remove S[Author ID1: at Thu Oct 5 03:57:00 2000 ]s[Author ID1: at Thu Oct 5 03:57:00 2000 ]nap-in).

4. W oknie dialogowym Dodaj/Usuń przystawkę (Add/Remove Snap-in) [Author ID1: at Thu Oct 5 03:58:00 2000 ]kliknij Dodaj (A[Author ID1: at Thu Oct 5 03:58:00 2000 ]Add).

5. Wybierz opcję Zarządzanie Zasadami Zabezpieczeń IP (IP S[Author ID1: at Thu Oct 5 03:58:00 2000 ]Security PP[Author ID1: at Thu Oct 5 03:58:00 2000 ]olicy MM[Author ID1: at Thu Oct 5 03:58:00 2000 ]anagement). Naciśnij przycisk Dodaj [Author ID1: at Thu Oct 5 03:58:00 2000 ](Add)[Author ID1: at Thu Oct 5 03:58:00 2000 ].

6. Sprawdź, czy wybrana jest opcja KomputerLokalny (LL[Author ID1: at Thu Oct 5 03:58:00 2000 ]ocal Computer). Naciśnij Zakończ (F[Author ID1: at Thu Oct 5 03:58:00 2000 ]Finish).

7. Wybierz opcję Usługi (S[Author ID1: at Thu Oct 5 03:58:00 2000 ]Services) i za[Author ID1: at Thu Oct 5 03:58:00 2000 ]znacz[Author ID1: at Thu Oct 5 03:58:00 2000 ]. Naciśnij[Author ID1: at Thu Oct 5 03:58:00 2000 ] Dodaj [Author ID1: at Thu Oct 5 03:58:00 2000 ](Add)[Author ID1: at Thu Oct 5 03:58:00 2000 ].

8. Sprawdź, czy wybrana jest opcja Komputer Lokalny [Author ID1: at Thu Oct 5 03:58:00 2000 ](Local computer)[Author ID1: at Thu Oct 5 03:58:00 2000 ]. Naciśnij Zakończ [Author ID1: at Thu Oct 5 03:58:00 2000 ](Finish)[Author ID1: at Thu Oct 5 03:58:00 2000 ].

9. Zamknij okno dialogowe [Author ID1: at Thu Oct 5 04:00:00 2000 ]Dodawanie przystawki autonomicznej[Author ID1: at Thu Oct 5 04:00:00 2000 ] ([Author ID1: at Thu Oct 5 04:00:00 2000 ]Add standalone snap-in).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

10. Aby zamknąć okno dialogowe [Author ID1: at Thu Oct 5 04:00:00 2000 ]Dodaj/Usuń przystawkę[Author ID1: at Thu Oct 5 04:00:00 2000 ], naciśnij przycisk [Author ID1: at Thu Oct 5 04:00:00 2000 ]OK[Author ID1: at Thu Oct 5 04:00:00 2000 ].[Author ID1: at Thu Oct 5 04:00:00 2000 ][Author ID1: at Thu Oct 5 03:59:00 2000 ]

Zamknij okno dialogowe [Author ID1: at Thu Oct 5 04:00:00 2000 ]Dodawanie przystawki autonomicznej [Author ID1: at Thu Oct 5 04:00:00 2000 ]([Author ID1: at Thu Oct 5 04:00:00 2000 ]A[Author ID1: at Thu Oct 5 03:58:00 2000 ]dd [Author ID1: at Thu Oct 5 04:00:00 2000 ]S[Author ID1: at Thu Oct 5 03:58:00 2000 ]tandalone [Author ID1: at Thu Oct 5 04:00:00 2000 ]S[Author ID1: at Thu Oct 5 03:58:00 2000 ]nap-in).[Author ID1: at Thu Oct 5 04:00:00 2000 ][Author ID1: at Thu Oct 5 03:59:00 2000 ]

Aby zamknąć okno dialogowe [Author ID1: at Thu Oct 5 04:00:00 2000 ]Dodaj/Usuń przystawkę [Author ID1: at Thu Oct 5 04:00:00 2000 ](Add/Remove Snap-in) naciśnij przycisk [Author ID1: at Thu Oct 5 04:00:00 2000 ]OK[Author ID1: at Thu Oct 5 04:00:00 2000 ].[Author ID1: at Thu Oct 5 04:00:00 2000 ][Author ID1: at Thu Oct 5 04:01:00 2000 ]

11. Zaznacz gałąź Zasady Zabezpieczeń IP Na Komputerze Lokalnym (IP S[Author ID1: at Thu Oct 5 04:01:00 2000 ]Security P[Author ID1: at Thu Oct 5 04:01:00 2000 ]Policies On L[Author ID1: at Thu Oct 5 04:01:00 2000 ]Local M[Author ID1: at Thu Oct 5 04:01:00 2000 ]Machine). W prawej części okna prawym klawiszem [Author ID1: at Thu Oct 5 04:01:00 2000 ]przyciskiem [Author ID1: at Thu Oct 5 04:01:00 2000 ]myszki kliknij pozycję Serwer z Zabezpieczeniami (S[Author ID1: at Thu Oct 5 04:01:00 2000 ]Secure SS[Author ID1: at Thu Oct 5 04:01:00 2000 ]erver) i z menu wybierz opcję Właściwości (P[Author ID1: at Thu Oct 5 04:02:00 2000 ]Properties), zob.[Author ID1: at Thu Oct 5 04:02:00 2000 ](patrz:[Author ID1: at Thu Oct 5 04:02:00 2000 ] rysunek 10.2)[Author ID1: at Thu Oct 5 04:02:00 2000 ].

12. Teraz możesz wybrać w oknie Serwer z Zabezpieczeniami (zabezpieczenia wymagane) Właściwości[Author ID1: at Thu Oct 5 06:34:00 2000 ] (SS[Author ID1: at Thu Oct 5 04:02:00 2000 ]ecure S[Author ID1: at Thu Oct 5 04:02:00 2000 ]Server (R[Author ID1: at Thu Oct 5 04:02:00 2000 ]r[Author ID1: at Thu Oct 5 04:02:00 2000 ]equire S[Author ID1: at Thu Oct 5 04:02:00 2000 ]s[Author ID1: at Thu Oct 5 04:02:00 2000 ]ecurity) PP[Author ID1: at Thu Oct 5 04:02:00 2000 ]roperties i[Author ID1: at Thu Oct 5 04:02:00 2000 ]) zakładkę Ogólne (G[Author ID1: at Thu Oct 5 04:02:00 2000 ]General), nacisnąć przycisk Zaawansowane (A[Author ID1: at Thu Oct 5 04:02:00 2000 ]Advanced) i zobaczyć okno Ustawienia Wymiany Klucza (KK[Author ID1: at Thu Oct 5 04:02:00 2000 ]ey E[Author ID1: at Thu Oct 5 04:02:00 2000 ]Exchange S[Author ID1: at Thu Oct 5 04:02:00 2000 ]Settings). Następnie można kliknąć [Author ID1: at Thu Oct 5 04:02:00 2000 ]zaznaczyć [Author ID1: at Thu Oct 5 04:02:00 2000 ]Metody (M[Author ID1: at Thu Oct 5 04:02:00 2000 ]Methods) i zobaczyć okno Metody Zabezpieczeń Wymiany Klucza (K[Author ID1: at Thu Oct 5 04:03:00 2000 ]Key EE[Author ID1: at Thu Oct 5 04:03:00 2000 ]xchange S[Author ID1: at Thu Oct 5 04:03:00 2000 ]Security M[Author ID1: at Thu Oct 5 04:03:00 2000 ]Methods). Na razie nie zmieniaj żadnych ustawień. W obu oknach dialogowych naciśnij przycisk Anuluj (C[Author ID1: at Thu Oct 5 04:03:00 2000 ]Cancel), co spowoduje powrót do okna dialogowego Serwer z Zabezpieczeniami (zabezpieczenia wymagane) Właściwości (Secure Server (Require Security) Properties)[Author ID1: at Thu Oct 5 04:03:00 2000 ].

13. W oknie dialogowym Serwer z Zabezpieczeniami (zabezpieczenia wymagane) Właściwości (Secure Server (Requi[Author ID1: at Thu Oct 5 04:03:00 2000 ]re Security) Properties) [Author ID1: at Thu Oct 5 04:03:00 2000 ]wybierz zakładkę Reguły (R[Author ID1: at Thu Oct 5 04:03:00 2000 ]Rules) i sprawdź, czy zaznaczone są wszystkie reguły zabezpieczeń IP (IP Security Rules). Naciśnij przycisk Dodaj [Author ID1: at Thu Oct 5 04:03:00 2000 ](Add)[Author ID1: at Thu Oct 5 04:03:00 2000 ].

14. Pojawi się Kreator Reguł Zabezpieczeń IP (IP S[Author ID1: at Thu Oct 5 04:05:00 2000 ]Security R[Author ID1: at Thu Oct 5 04:05:00 2000 ]Rule WW[Author ID1: at Thu Oct 5 04:05:00 2000 ]izard). Naciśnij przy[Author ID1: at Thu Oct 5 04:05:00 2000 ]cisk [Author ID1: at Thu Oct 5 04:05:00 2000 ]Dalej (N[Author ID1: at Thu Oct 5 04:05:00 2000 ]Next).

Wskazówka: W dalszej części niniejszej procedury można wprowadzić własne ustawienia. Pomoc kontekstową (in-context help) dotyczącą dowolnego ustawienia można uzyskać po naciśnięciu klawisza [Author ID1: at Thu Oct 5 04:05:00 2000 ]przycisku [Author ID1: at Thu Oct 5 04:05:00 2000 ]funkcyjnego F1.

15. Wybierz opcję Ta reguła nie określa żadnego tunelu (T[Author ID1: at Thu Oct 5 04:05:00 2000 ]This rule does not specify a tunnel). Naciśnij przycisk Dalej [Author ID1: at Thu Oct 5 04:05:00 2000 ](Next)[Author ID1: at Thu Oct 5 04:05:00 2000 ].

16. Zaznacz opcję Wszystkie Połączenia Sieciowe (A[Author ID1: at Thu Oct 5 04:05:00 2000 ]All Network Connections) i ponownie[Author ID1: at Thu Oct 5 04:05:00 2000 ]. Naciśnij przycisk[Author ID1: at Thu Oct 5 04:05:00 2000 ] Dalej [Author ID1: at Thu Oct 5 04:06:00 2000 ](Next)[Author ID1: at Thu Oct 5 04:06:00 2000 ].

17. Zaznacz opcję [Author ID1: at Thu Oct 5 04:06:00 2000 ]Użyj tego ciągu do ochrony wymiany kluczy (klucz wstępny) (U[Author ID1: at Thu Oct 5 04:06:00 2000 ]Use this string to protect the key exchange (preshared key)) i wpisz ciąg znaków. Przykład przedstawiono na rysunku 10.3. Naciśnij przycisk Dalej [Author ID1: at Thu Oct 5 04:06:00 2000 ](Next)[Author ID1: at Thu Oct 5 04:06:00 2000 ].

Rysunek 10.2.[Author ID1: at Thu Oct 5 04:06:00 2000 ] Otwieranie okna Właściwości S[Author ID0: at Thu Nov 30 00:00:00 1899 ]Serwera z Zabezpieczeniami (Secure Server).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Rysunek 10.3.[Author ID1: at Thu Oct 5 04:06:00 2000 ] Ustawienia uwierzytelniania klucza wstępnego (preshared key).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Wskazówka: Należy podać ciąg znaków składający się z małych i dużych liter, który jest łatwy do zapamiętania, ale trudny do odgadnięcia przez osoby trzecie. Wybranie tej metody uwierzytelniania oczywiście nie jest konieczne. W niniejszym przykładzie nie pozostawiono uwierzytelniania za pomocą protokołu Kerberos, który jest ustawiony domyślnie, aby odróżnić zasadę skonfigurowaną do zasad domyślnych.

18. Zaznacz opcję Cały Ruch IP (A[Author ID1: at Thu Oct 5 04:07:00 2000 ]All IP T[Author ID1: at Thu Oct 5 04:07:00 2000 ]Traffic). Naciśnij przycisk Dalej [Author ID1: at Thu Oct 5 04:07:00 2000 ](Next)[Author ID1: at Thu Oct 5 04:07:00 2000 ].

19. Zaznacz opcję Wymagaj Zabezpieczeń (R[Author ID1: at Thu Oct 5 04:07:00 2000 ]Require SS[Author ID1: at Thu Oct 5 04:07:00 2000 ]ecurity) i kontynuuj wybierając[Author ID1: at Thu Oct 5 04:07:00 2000 ]. Naciśnij przycisk[Author ID1: at Thu Oct 5 04:07:00 2000 ] Dalej [Author ID1: at Thu Oct 5 04:07:00 2000 ](Next)[Author ID1: at Thu Oct 5 04:07:00 2000 ].

20. Aby zamknąć Kreator Reguł Zabezpieczeń IP (IP Security Rule Wizard)[Author ID1: at Thu Oct 5 04:07:00 2000 ] [Author ID1: at Thu Oct 5 04:07:00 2000 ]naciśnij przycisk Zakończ (F[Author ID1: at Thu Oct 5 04:07:00 2000 ]Finish).

21. W oknie dialogowym Serwer z Zabezpieczeniami (zabezpieczenia wymagane) Właściwości (Secure Server (Require Security) Properties) [Author ID1: at Thu Oct 5 04:08:00 2000 ]zaznacz tylko właśnie skonfigurowaną regułę (zob.[Author ID1: at Thu Oct 5 04:08:00 2000 ]patrz[Author ID1: at Thu Oct 5 04:08:00 2000 ] rysunek 10.4).

22. Zamknij okno dialogowe Serwer z Zabezpieczeniami (zabezpieczenia wymagane) Właściwości [Author ID1: at Thu Oct 5 04:08:00 2000 ](Secure Server (Require Security) Properties).[Author ID1: at Thu Oct 5 04:08:00 2000 ].[Author ID1: at Thu Oct 5 04:08:00 2000 ]

23. W prawej części okna przystawki (snap-in) konsoli MMC prawym klawiszem [Author ID1: at Thu Oct 5 04:08:00 2000 ]przyciskiem [Author ID1: at Thu Oct 5 04:08:00 2000 ]myszki kliknij pozycję Serwer z Zabezpieczeniami (Secure [Author ID1: at Thu Oct 5 04:08:00 2000 ]Server) [Author ID1: at Thu Oct 5 04:08:00 2000 ]i z menu wybierz pozycję Przypisz (AA[Author ID1: at Thu Oct 5 04:08:00 2000 ]ssign).

24. Zapisz przystawkę (snap-in) [Author ID1: at Thu Oct 5 04:08:00 2000 ]konsoli MMC jako IPSecSer. Będzie używana w kolejnych przykładach.

Utworzono i przypisano nową regułę zabezpieczeń. Aby wykonać testy, konieczny jest drugi komputer.

Testowanie ustawień IPSec

Poniżej zamieszczono procedurę testowania ustawień IPSec:

1. Powtórz poprzednią procedurę na drugim komputerze, aby mieć w sieci dwa komputery z identycznymi zasadami IPSec (IPSec policies).

Rysunek 10.4.[Author ID1: at Thu Oct 5 04:09:00 2000 ] Wybór reguły zabezpieczeń IP.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

2. Zapisz adres IP drugiego komputera.

3. Zaloguj się na pierwszym komputerze jako administrator.

4. Uruchom przystawkę (snap-in) [Author ID1: at Thu Oct 5 04:09:00 2000 ]konsoli MMC o nazwie IPSecSer, utworzoną w poprzednim przykładzie. Powinieneś mieć dostęp do niej za pomocą menu Start|Programy|Narzędzia administracyjne (S[Author ID1: at Thu Oct 5 04:09:00 2000 ]Start\P[Author ID1: at Thu Oct 5 04:09:00 2000 ]Programs\A[Author ID1: at Thu Oct 5 04:09:00 2000 ]Administrative T[Author ID1: at Thu Oct 5 04:09:00 2000 ]t[Author ID1: at Thu Oct 5 04:09:00 2000 ]ools).

5. Wybierz pozycję Usługi (L[Author ID1: at Thu Oct 5 04:09:00 2000 ]l[Author ID1: at Thu Oct 5 04:09:00 2000 ]okalne) (SS[Author ID1: at Thu Oct 5 04:09:00 2000 ]ervices (l[Author ID1: at Thu Oct 5 04:09:00 2000 ]L[Author ID1: at Thu Oct 5 04:09:00 2000 ]ocal)).

6. W prawej części okna kliknij prawym klawiszem [Author ID1: at Thu Oct 5 04:09:00 2000 ]przyciskiem [Author ID1: at Thu Oct 5 04:09:00 2000 ]myszki Agent zasad IPSEC (IPSEC p[Author ID1: at Thu Oct 5 04:10:00 2000 ]P[Author ID1: at Thu Oct 5 04:10:00 2000 ]olicy A[Author ID1: at Thu Oct 5 04:10:00 2000 ]a[Author ID1: at Thu Oct 5 04:10:00 2000 ]gent) i z menu wybierz pozycję Uruchom (SS[Author ID1: at Thu Oct 5 04:10:00 2000 ]tart), jeśli usługa nie została jeszcze uruchomiona. [Author ID1: at Thu Oct 5 04:10:00 2000 ]

7. Sprawdź połączenie z drugim komputerem za pomocą polecenia p[Author ID0: at Thu Nov 30 00:00:00 1899 ]P[Author ID1: at Thu Oct 5 04:10:00 2000 ]ing, podając adres IP komputera. Powinna pojawić się informacja o tym, że zabezpieczenia IPSec są negocjowane. Zanim połączenie zostanie sprawdzone może być konieczne kilkukrotne uruchomienie polecenia ping[Author ID1: at Thu Oct 5 04:10:00 2000 ]Ping[Author ID1: at Thu Oct 5 04:10:00 2000 ]. Przykład odpowiedzi zamieszczono na rysunku 10.5.

Wskazówka: W przypadku testowania połączenia pomiędzy komputerami,[Author ID1: at Thu Oct 5 04:10:00 2000 ] na których zainstalowano zasady (policies) Serwer (żądaj zabezpieczeń) (SS[Author ID1: at Thu Oct 5 04:11:00 2000 ]erver (r[Author ID1: at Thu Oct 5 04:11:00 2000 ]R[Author ID1: at Thu Oct 5 04:11:00 2000 ]equest S[Author ID1: at Thu Oct 5 04:11:00 2000 ]s[Author ID1: at Thu Oct 5 04:11:00 2000 ]ecurity)) lub Serwer z Zabezpieczeniami (żądaj zabezpieczeń) (S[Author ID1: at Thu Oct 5 04:11:00 2000 ]Secure SS[Author ID1: at Thu Oct 5 04:11:00 2000 ]erver (r[Author ID1: at Thu Oct 5 04:11:00 2000 ]R[Author ID1: at Thu Oct 5 04:11:00 2000 ]equest s[Author ID1: at Thu Oct 5 04:11:00 2000 ]S[Author ID1: at Thu Oct 5 04:11:00 2000 ]ecurity)), polecenie p[Author ID0: at Thu Nov 30 00:00:00 1899 ]P[Author ID1: at Thu Oct 5 04:11:00 2000 ]ing rzadko pokazuje stan prawidłowy za pierwszym razem. Pakiet protokołu ICMP wysyłany przez to [Author ID1: at Thu Oct 5 04:11:00 2000 ]polecenie ping [Author ID1: at Thu Oct 5 04:11:00 2000 ]będzie odpowiadał pozycji na liście filtrów IP tych zasad (policies) i IPSec będzie próbować zastosować zabezpieczenia do polecenia ping[Author ID1: at Thu Oct 5 04:11:00 2000 ]niego[Author ID1: at Thu Oct 5 04:11:00 2000 ]. Proces ten trwa dłużej, niż polecenie p[Author ID0: at Thu Nov 30 00:00:00 1899 ]P[Author ID1: at Thu Oct 5 04:11:00 2000 ]ing czeka na odpowiedź. Z tego powodu mogą pojawić się komunikaty „Destination u[Author ID1: at Thu Oct 5 04:12:00 2000 ]U[Author ID1: at Thu Oct 5 04:12:00 2000 ]nreachable”. Rozwiązaniem tego problemu jest wyłączenie transmisji danych za pomocą protokołu ICMP (ICMP traffic) ze wszystkich zasad (policies) IPSec.

Rysunek 10.5.[Author ID1: at Thu Oct 5 04:12:00 2000 ] Negocjowanie zabezpieczeń IPSec podczas wysyłania komunikatów polecenia P[Author ID1: at Thu Oct 5 04:13:00 2000 ]p[Author ID0: at Thu Nov 30 00:00:00 1899 ]ing.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

8. Przejdź do pozycji menu Start|Uruchom (S[Author ID1: at Thu Oct 5 04:13:00 2000 ]Start\R[Author ID1: at Thu Oct 5 04:13:00 2000 ]Run) i wpisz polecenie ipsecmon. Uruchomiony zostanie Monitor Protokołu IP Security (IP S[Author ID1: at Thu Oct 5 04:13:00 2000 ]Security M[Author ID1: at Thu Oct 5 04:13:00 2000 ]Monitor). Narzędzie to dostarczy informacji o ustanowionych skojarzeniach zabezpieczeń (Security [Author ID1: at Thu Oct 5 04:13:00 2000 ]Association[Author ID1: at Thu Oct 5 04:13:00 2000 ]s), pokaże statystykę protokołu IPSEC (IPSec statistics) oraz statystykę protokołu ISAKMP/Oakley (ISAKMP/Oakley statistics).

9. Zamknij Monitor Protokołu IP Security [Author ID1: at Thu Oct 5 04:13:00 2000 ](IP Security Monitor)[Author ID1: at Thu Oct 5 04:13:00 2000 ] i przystawkę (snap-in) [Author ID1: at Thu Oct 5 04:13:00 2000 ] [Author ID1: at Thu Oct 5 04:13:00 2000 ]konsoli MMC.

Usuwanie przypisanych zasad IPSec

Postępując zgodnie z poniższą procedurą,[Author ID1: at Thu Oct 5 04:13:00 2000 ] usuwa się zasady IPSec (IPSec policy) z obydwu komputerów, które nie są kontrolerami domeny.

1. Zaloguj się jako administrator.

2. Uruchom przystawkę (snap-in) konsoli MMC o nazwie IPSecSer, utworzoną w poprzednim przykładzie. Powinieneś mieć dostęp do niej za pomocą menu Start|Programy|Narzędzia administracyjne (S[Author ID1: at Thu Oct 5 04:14:00 2000 ]Start\PP[Author ID1: at Thu Oct 5 04:14:00 2000 ]rograms\A[Author ID1: at Thu Oct 5 04:14:00 2000 ]Administrative T[Author ID1: at Thu Oct 5 04:14:00 2000 ]t[Author ID1: at Thu Oct 5 04:14:00 2000 ]ools).

3. Wybierz pozycję Zasady Zabezpieczeń IP Na Komputerze Lokalnym (IP SS[Author ID1: at Thu Oct 5 04:14:00 2000 ]ecurity PP[Author ID1: at Thu Oct 5 04:14:00 2000 ]olicies On LL[Author ID1: at Thu Oct 5 04:14:00 2000 ]ocal MM[Author ID1: at Thu Oct 5 04:14:00 2000 ]achine).

4. W prawej części okna kliknij [Author ID1: at Thu Oct 5 04:34:00 2000 ]zaznacz [Author ID1: at Thu Oct 5 04:34:00 2000 ]prawym klawiszem [Author ID1: at Thu Oct 5 04:14:00 2000 ]przyciskiem [Author ID1: at Thu Oct 5 04:14:00 2000 ]myszki pozycję Serwer z Zabezpieczeniami (SS[Author ID1: at Thu Oct 5 04:14:00 2000 ]s[Author ID1: at Thu Oct 5 04:14:00 2000 ]ecure SS[Author ID1: at Thu Oct 5 04:14:00 2000 ]erver) i z menu wybierz pozycję Usuń Przypisanie (UU[Author ID1: at Thu Oct 5 04:14:00 2000 ]nassign).

[Author ID1: at Thu Oct 5 04:14:00 2000 ]

Konfigurowanie IPSec dla domeny

Poniżej zamieszczono procedurę konfigurowania IPSec na kontrolerze domeny i zastosowania do całej domeny.

1. Zaloguj się na kontrolerze domeny jako administrator.

2. Utwórz przystawkę (snap-in) konsoli MMC pod nazwą IPSecSer, zgodnie z procedurą zamieszczoną w podrozdziale „Konfigurowanie IPSec na pojedynczych komputerach”. W tym przypadku, dodając przystawkę (snap-in) [Author ID1: at Thu Oct 5 04:15:00 2000 ]Zarządzanie Zasadami Zabezpieczeń IP (IP SS[Author ID1: at Thu Oct 5 04:15:00 2000 ]ecurity PP[Author ID1: at Thu Oct 5 04:15:00 2000 ]olicy M[Author ID1: at Thu Oct 5 04:15:00 2000 ]Management), zaznacz Zarządzaj zasadami domeny tego komputera (MM[Author ID1: at Thu Oct 5 04:15:00 2000 ]anage domain policy for this computer's domain).

3. Kliknij [Author ID1: at Thu Oct 5 04:15:00 2000 ]Wybierz [Author ID1: at Thu Oct 5 04:15:00 2000 ]Zasady Zabezpieczeń IP w Active Directory (IP SS[Author ID1: at Thu Oct 5 04:15:00 2000 ]ecurity PP[Author ID1: at Thu Oct 5 04:15:00 2000 ]olicies On Active Directory).

4. W prawej części okna prawym klawiszem [Author ID1: at Thu Oct 5 04:15:00 2000 ]przyciskiem [Author ID1: at Thu Oct 5 04:15:00 2000 ]myszki kliknij pozycję Serwer z Zabezpieczeniami [Author ID1: at Thu Oct 5 04:15:00 2000 ](Secure Server)[Author ID1: at Thu Oct 5 04:15:00 2000 ] i z menu wybierz opcję Właściwości (P[Author ID1: at Thu Oct 5 04:15:00 2000 ]Properties).

5. Aby uruchomić Kreator Reguł Zabezpieczeń IP (IP SS[Author ID1: at Thu Oct 5 04:15:00 2000 ]ecurity RR[Author ID1: at Thu Oct 5 04:15:00 2000 ]ule WW[Author ID1: at Thu Oct 5 04:15:00 2000 ]izard) naciśnij przycisk Dodaj (A[Author ID1: at Thu Oct 5 04:15:00 2000 ]Add).

6. Skonfiguruj ustawienia podane w opisie procedury „Konfigurowanie IPSec za pomocą pojedynczych komputerów”. Różnicą jest ustawienie na stronie Metoda Uwierzytelniania (Authentication [Author ID1: at Thu Oct 5 04:16:00 2000 ]Authentication [Author ID1: at Thu Oct 5 04:16:00 2000 ]M[Author ID1: at Thu Oct 5 04:16:00 2000 ]Method) —[Author ID1: at Thu Oct 5 04:16:00 2000 ] (patrz[Author ID1: at Thu Oct 5 04:16:00 2000 ]zob.[Author ID1: at Thu Oct 5 04:16:00 2000 ] rysunek 10.3), gdzie należy zaznaczyć opcję Użyj certyfikatu z tej jednostki certyfikującej (CA) (UU[Author ID1: at Thu Oct 5 04:16:00 2000 ]se a certificate from this Certificate Authority (CA)). Po naciśnięciu przycisku Przeglądaj (BB[Author ID1: at Thu Oct 5 04:16:00 2000 ]rowse), jeśli pojawi się ostrzeżenie, że Active Directory nie zawiera współużytkowanego magazynu certyfikatów (shared certificate store), naciśnij przycisk Tak (YY[Author ID1: at Thu Oct 5 04:17:00 2000 ]es), aby wybrać jednostkę certyfikującą (CA) [Author ID1: at Thu Oct 5 04:17:00 2000 ]z magazynu certyfikatów (certificate store) komputera lokalnego.

7. Usuń zaznaczenie wszystkich reguł zabezpieczeń IP (IP s[Author ID1: at Thu Oct 5 04:17:00 2000 ]S[Author ID1: at Thu Oct 5 04:17:00 2000 ]ecurity R[Author ID1: at Thu Oct 5 04:17:00 2000 ]r[Author ID1: at Thu Oct 5 04:17:00 2000 ]ules) poza tymi, które właśnie zostały skonfigurowane,[Author ID1: at Thu Oct 5 04:17:00 2000 ] i zamknij okno dialogowe Serwer z Zabezpieczeniami (zabezpieczenia wymagane) Właściwości [Author ID1: at Thu Oct 5 04:17:00 2000 ](Secure Server (Require Security) P[Author ID1: at Thu Oct 5 04:17:00 2000 ]roperties)[Author ID1: at Thu Oct 5 04:17:00 2000 ].

Uwaga: Jeśli skonfigurujesz IPSec w Active Directory nie musisz ich przypisywać. Można to sprawdzić,[Author ID1: at Thu Oct 5 04:17:00 2000 ] wybierając Zasady [Author ID1: at Thu Oct 5 04:17:00 2000 ]zasady [Author ID1: at Thu Oct 5 04:17:00 2000 ]zabezpieczeń IP w Active Directory (IP s[Author ID1: at Thu Oct 5 04:17:00 2000 ]S[Author ID1: at Thu Oct 5 04:17:00 2000 ]ecurity p[Author ID1: at Thu Oct 5 04:17:00 2000 ]P[Author ID1: at Thu Oct 5 04:17:00 2000 ]olicies on Active Directory) i klikając w prawej części okna prawym klawiszem [Author ID1: at Thu Oct 5 04:17:00 2000 ]przyciskiem [Author ID1: at Thu Oct 5 04:17:00 2000 ]myszki pozycję S[Author ID0: at Thu Nov 30 00:00:00 1899 ]Serwer z Zabezpieczeniami (S[Author ID1: at Thu Oct 5 04:18:00 2000 ]Secure S[Author ID1: at Thu Oct 5 04:18:00 2000 ]Server). W tym przypadku w menu kontekstowym nie pojawi się pozycja Przypisz (A[Author ID1: at Thu Oct 5 04:18:00 2000 ]Assign).

8. W przystawce (snap-in) [Author ID1: at Thu Oct 5 04:18:00 2000 ]konsoli MMC kliknij pozycję Usługi (lokalnie) (Services (Local)) [Author ID1: at Thu Oct 5 04:18:00 2000 ]i uruchom usługę Agent Zasad IPSEC (IPSEC PP[Author ID1: at Thu Oct 5 04:18:00 2000 ]olicy AA[Author ID1: at Thu Oct 5 04:18:00 2000 ]gent), o ile nie została jeszcze uruchomiona.

Testowanie zasad IPSec domeny

Poniżej zamieszczono procedurę przypisania lokalnych zasad IPSec (IPSec policy) na komputerze, który nie jest kontrolerem domeny i należy do domeny, dla której skonfigurowano zasady IPSec (IPSec)[Author ID1: at Thu Oct 5 04:18:00 2000 ].

1. Zaloguj się na komputerze lokalnym jako administrator.

2. Uruchom lub utwórz przystawkę (snap-in) IPSecSer konsoli MMC. Upewnij się, czy w przystawce (snap-in) [Author ID1: at Thu Oct 5 04:18:00 2000 ]ZarządzanieZzasadami Zabezpieczeń IP (IP S[Author ID1: at Thu Oct 5 04:18:00 2000 ]Security PP[Author ID1: at Thu Oct 5 04:18:00 2000 ]olicy MM[Author ID1: at Thu Oct 5 04:18:00 2000 ]anagement) podano Komputer Lokalny (LL[Author ID1: at Thu Oct 5 04:19:00 2000 ]ocal CC[Author ID1: at Thu Oct 5 04:19:00 2000 ]omputer).

3. Kliknij [Author ID1: at Thu Oct 5 04:19:00 2000 ]Wybierz [Author ID1: at Thu Oct 5 04:19:00 2000 ]Zasady Zabezpieczeń IP Na Komputerze Lokalnym (IP SS[Author ID1: at Thu Oct 5 04:19:00 2000 ]ecurity P[Author ID1: at Thu Oct 5 04:19:00 2000 ]Policies On L[Author ID1: at Thu Oct 5 04:19:00 2000 ]Local M[Author ID1: at Thu Oct 5 04:19:00 2000 ]Machine). Powinien pojawić się komunikat o błędzie, zawierający informację, że zasady IPSec (IPSec policy) [Author ID1: at Thu Oct 5 04:19:00 2000 ]podał kontroler domeny. Naciśnij przycisk OK.

4. W prawej części okna prawym klawiszem [Author ID1: at Thu Oct 5 04:19:00 2000 ]przyciskiem [Author ID1: at Thu Oct 5 04:19:00 2000 ]myszki kliknij pozycję Serwer z Zabezpieczeniami (SS[Author ID1: at Thu Oct 5 04:19:00 2000 ]ecure SS[Author ID1: at Thu Oct 5 04:19:00 2000 ]erver) i z menu wybierz pozycję[Author ID1: at Thu Oct 5 07:29:00 2000 ]e[Author ID2: at Thu Oct 5 07:29:00 2000 ] Przypisz (AA[Author ID1: at Thu Oct 5 04:19:00 2000 ]ssign).

5. Powinien pojawić się komunikat stwierdzający, że zasady zostały przypisane,[Author ID1: at Thu Oct 5 04:19:00 2000 ] ale zasady domeny (domain policy) są nadrzędne.

6. Usuń przypisanie zasad (policy)[Author ID1: at Thu Oct 5 04:20:00 2000 ].

[Author ID1: at Thu Oct 5 04:20:00 2000 ]

Zmiana metody zabezpieczeń

Domyślnie metodą zabezpieczeń jest kombinacja[Author ID1: at Thu Oct 5 04:20:00 2000 ]ą[Author ID1: at Thu Oct 5 04:20:00 2000 ] szyfrowania pakietów za pomocą algorytmu 3DES z kluczem 128-bitowym oraz uwierzytelniania za pomocą algorytmu SHA1 z algorytmem Diffie-Hellmana z kluczem 1024-bitowym (g[Author ID1: at Thu Oct 5 04:20:00 2000 ]G[Author ID1: at Thu Oct 5 04:20:00 2000 ]rupa 2-medium). Jest to [Author ID1: at Thu Oct 5 04:20:00 2000 ]bardzo dobre zabezpieczenie, ale jeśli sieć jest międzynarodowa, to w siedzibach poza USA odszyfrowanie danych uwierzytelniających lub pakietów może być niemożliwe. W tym przypadku należy ustawić niższy poziom zabezpieczeń.

Poniżej zamieszczono procedurę zmiany metody zabezpieczeń. Przyjęto, że w Active Directory skonfigurowano IPSec dla całej domeny.

1. Zaloguj się na kontrolerze domeny jako administrator.

2. Uruchom przystawkę (snap-in) o nazwie IPSecSer konsoli MMC.

3. Zaznacz opcję Zasady Zabezpieczeń IP w Active Directory (IP S[Author ID1: at Thu Oct 5 04:21:00 2000 ]Security PP[Author ID1: at Thu Oct 5 04:21:00 2000 ]olicies On Active Directory). W prawej części okna kliknij [Author ID1: at Thu Oct 5 04:35:00 2000 ]włącz [Author ID1: at Thu Oct 5 04:35:00 2000 ]prawym klawiszem [Author ID1: at Thu Oct 5 04:21:00 2000 ]przyciskiem [Author ID1: at Thu Oct 5 04:21:00 2000 ]myszki pozycję Serwer z Zabezpieczeniami (SS[Author ID1: at Thu Oct 5 04:21:00 2000 ]ecure SS[Author ID1: at Thu Oct 5 04:21:00 2000 ]erver) i z menu wybierz opcję Właściwości (P[Author ID1: at Thu Oct 5 04:21:00 2000 ]Properties).

4. Wybierz zakładkę Ogólne (G[Author ID1: at Thu Oct 5 04:21:00 2000 ]General), naciśnij przycisk Zaawansowane (AA[Author ID1: at Thu Oct 5 04:21:00 2000 ]dvanced),[Author ID1: at Thu Oct 5 04:21:00 2000 ] a następnie kliknij Metody (M[Author ID1: at Thu Oct 5 04:21:00 2000 ]Methods).

5. W oknie Metody Zabezpieczeń Wymiany Klucza (K[Author ID1: at Thu Oct 5 04:21:00 2000 ]Key EE[Author ID1: at Thu Oct 5 04:21:00 2000 ]xchange S[Author ID1: at Thu Oct 5 04:21:00 2000 ]Security MM[Author ID1: at Thu Oct 5 04:21:00 2000 ]ethods) [Author ID1: at Thu Oct 5 04:21:00 2000 ]([Author ID1: at Thu Oct 5 04:22:00 2000 ]zob.[Author ID1: at Thu Oct 5 04:21:00 2000 ] (patrz [Author ID1: at Thu Oct 5 04:22:00 2000 ]rysunek 10.6) wybierz dowolną metodę i za pomocą przycisku Przenieś w górę (M[Author ID1: at Thu Oct 5 04:22:00 2000 ]Move up) przenieś [Author ID1: at Thu Oct 5 04:22:00 2000 ]przesuń [Author ID1: at Thu Oct 5 04:22:00 2000 ]na początek listy. Jeśli którekolwiek z metod nie będą używane, należy usunąć je z listy. Jeśli z [Author ID1: at Thu Oct 5 04:22:00 2000 ]żadna ze standardowych metod nie jest odpowiednia, można sporządzić własną,[Author ID1: at Thu Oct 5 04:22:00 2000 ] korzystając z przycisku Edytuj (E[Author ID1: at Thu Oct 5 04:22:00 2000 ]Edit).

6. Naciśnij dwukrotnie [Author ID1: at Thu Oct 5 04:22:00 2000 ]przycisk OK.[Author ID1: at Thu Oct 5 04:22:00 2000 ], kolejny raz naciśnij przycisk [Author ID1: at Thu Oct 5 04:23:00 2000 ]OK[Author ID1: at Thu Oct 5 04:23:00 2000 ]. [Author ID1: at Thu Oct 5 04:23:00 2000 ]a następnie, aby powrócić do przystawki (snap-in) [Author ID1: at Thu Oct 5 04:23:00 2000 ]konsoli MMC, naciśnij przycisk [Author ID1: at Thu Oct 5 04:23:00 2000 ]Zamknij (C[Author ID1: at Thu Oct 5 04:23:00 2000 ]Close). Zamknij przystawkę (snap-in)[Author ID1: at Thu Oct 5 04:23:00 2000 ].

Rysunek 10.6.[Author ID1: at Thu Oct 5 04:23:00 2000 ] Okno Metody Zabezpieczeń Wymiany Klucza (K[Author ID0: at Thu Nov 30 00:00:00 1899 ]Key E[Author ID0: at Thu Nov 30 00:00:00 1899 ]Exchange S[Author ID0: at Thu Nov 30 00:00:00 1899 ]Security M[Author ID0: at Thu Nov 30 00:00:00 1899 ]Methods).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Konfigurowanie IPSec dla jednostki organizacyjnej (OU)

W niniejszym przykładzie zostanie utworzona jednostka organizacyjna (OU) — [Author ID1: at Thu Oct 5 04:23:00 2000 ]([Author ID1: at Thu Oct 5 04:23:00 2000 ]można również skorzystać z istniejącej już w Active Directory na kontrolerze domeny — [Author ID1: at Thu Oct 5 04:23:00 2000 ]), [Author ID1: at Thu Oct 5 04:23:00 2000 ]dla której[Author ID1: at Thu Oct 5 04:24:00 2000 ]tej jednostki organizacyjnej[Author ID1: at Thu Oct 5 04:24:00 2000 ] (OU) [Author ID1: at Thu Oct 5 04:24:00 2000 ]zostaną skonfigurowane zabezpieczenia IPSec,[Author ID1: at Thu Oct 5 04:24:00 2000 ] a ustawienia te zostaną uaktywnione na pojedynczych komputerach poprzez umieszczenie ich w danej jednostce organizacyjnej [Author ID1: at Thu Oct 5 04:24:00 2000 ](OU). Jeśli wykonana była procedura z poprzedniego podrozdziału, pokazane zostanie wzajemne oddziaływanie zasad IPSec jednostki organizacyjnej (OU-based IPSec policy) z zasadami domeny oraz zasadami pojedynczych komputerów.

Uwaga: Ustawienia IPSec w niniejszym przykładzie różnią się od ustawień z poprzedniego przykładu,[Author ID1: at Thu Oct 5 04:24:00 2000 ] aby można było odróżnić różne [Author ID1: at Thu Oct 5 04:24:00 2000 ]zasady (policies) oraz w celu zademonstrowania sporządzania listy filtrów (filter list) za pomocą k[Author ID1: at Thu Oct 5 04:25:00 2000 ]K[Author ID1: at Thu Oct 5 04:25:00 2000 ]reatora filtrów IP (IP f[Author ID1: at Thu Oct 5 04:25:00 2000 ]F[Author ID1: at Thu Oct 5 04:25:00 2000 ]ilter w[Author ID1: at Thu Oct 5 04:25:00 2000 ]W[Author ID1: at Thu Oct 5 04:25:00 2000 ]izard). Można podać własne ustawienia IPSec odpowiednie dla danej sieci.

1. Uruchom przystawkę (snap-in) konsoli MMC Active Directory U[Author ID1: at Thu Oct 5 04:25:00 2000 ]Użytkownicy i Komputery (AD U[Author ID1: at Thu Oct 5 04:25:00 2000 ]Users and CC[Author ID1: at Thu Oct 5 04:25:00 2000 ]omputers) i dodaj jednostkę organizacyjną (OU) o nazwie IPSec policies,[Author ID1: at Thu Oct 5 04:25:00 2000 ] lub wybierz jedną z istniejących jednostek organizacyjnych.

2. Prawym klawiszem [Author ID1: at Thu Oct 5 04:25:00 2000 ]przyciskiem [Author ID1: at Thu Oct 5 04:25:00 2000 ]myszki kliknij [Author ID1: at Thu Oct 5 04:35:00 2000 ]wybierz [Author ID1: at Thu Oct 5 04:35:00 2000 ]tę[Author ID1: at Thu Oct 5 04:25:00 2000 ]ą[Author ID1: at Thu Oct 5 04:25:00 2000 ] jednostkę organizacyjną [Author ID1: at Thu Oct 5 04:25:00 2000 ](OU) i z menu wybierz [Author ID1: at Thu Oct 5 04:35:00 2000 ]pozycję Właściwości (PP[Author ID1: at Thu Oct 5 04:25:00 2000 ]roperties).

3. Dodaj obiekt zasad grupowych (Group Policy Object [Author ID1: at Thu Oct 5 04:25:00 2000 ]-[Author ID1: at Thu Oct 5 04:25:00 2000 ]— [Author ID1: at Thu Oct 5 04:25:00 2000 ]GPO) i nadaj mu nazwę IPSec GPO. Edytuj ten obiekt zasad grupy.

4. Rozwiń gałąź Konfiguracja Komputera\Ustawienia Systemu Windows\Ustawienia Zabezpieczeń (CC[Author ID1: at Thu Oct 5 04:25:00 2000 ]omputer C[Author ID1: at Thu Oct 5 04:25:00 2000 ]Configuration\Windows S[Author ID1: at Thu Oct 5 04:25:00 2000 ]Settings\SS[Author ID1: at Thu Oct 5 04:26:00 2000 ]ecurity SS[Author ID1: at Thu Oct 5 04:26:00 2000 ]ettings) i zaznacz pozycję Zasady Zabezpieczeń IP w Active Directory (IP S[Author ID1: at Thu Oct 5 04:26:00 2000 ]Security PP[Author ID1: at Thu Oct 5 04:26:00 2000 ]olicies On Active Directory).

5. Prawym klawiszem [Author ID1: at Thu Oct 5 04:26:00 2000 ]przyciskiem [Author ID1: at Thu Oct 5 04:26:00 2000 ]myszki kliknij pozycję Serwer z Zabezpieczeniami (Secure Server) [Author ID1: at Thu Oct 5 04:26:00 2000 ]i z menu wybierz pozycję Właściwości [Author ID1: at Thu Oct 5 04:26:00 2000 ](Properties)[Author ID1: at Thu Oct 5 04:26:00 2000 ].

6. Wybierz zakładkę Reguły (R[Author ID1: at Thu Oct 5 04:26:00 2000 ]Rules) i naciśnij przycisk [Author ID1: at Thu Oct 5 04:26:00 2000 ]Dodaj (AA[Author ID1: at Thu Oct 5 04:26:00 2000 ]dd). Uruchomiony zostanie Kreator Reguł Zabezpieczeń IP (IP S[Author ID1: at Thu Oct 5 04:26:00 2000 ]Security RR[Author ID1: at Thu Oct 5 04:26:00 2000 ]ule W[Author ID1: at Thu Oct 5 04:26:00 2000 ]Wizard).

7. Naciśnij przycisk [Author ID1: at Thu Oct 5 04:26:00 2000 ]Zaznacz [Author ID1: at Thu Oct 5 04:26:00 2000 ]Dalej (NN[Author ID1: at Thu Oct 5 04:26:00 2000 ]ext), a potem[Author ID1: at Thu Oct 5 04:26:00 2000 ]. Zaznacz[Author ID1: at Thu Oct 5 04:26:00 2000 ] opcję Ta reguła nie określa żadnego tunelu (T[Author ID1: at Thu Oct 5 04:27:00 2000 ]This rule does not specify a tunnel).

8. Naciśnij przycisk Dalej [Author ID1: at Thu Oct 5 04:27:00 2000 ](Next)[Author ID1: at Thu Oct 5 04:27:00 2000 ]. Zaznacz opcję Wszystkie Połączenia Sieciowe (AA[Author ID1: at Thu Oct 5 04:27:00 2000 ]ll Network Connections).

9. Ponownie n[Author ID1: at Thu Oct 5 04:27:00 2000 ]N[Author ID1: at Thu Oct 5 04:27:00 2000 ]aciśnij przycisk [Author ID1: at Thu Oct 5 04:27:00 2000 ]Dalej [Author ID1: at Thu Oct 5 04:27:00 2000 ](Next)[Author ID1: at Thu Oct 5 04:27:00 2000 ]. Zaznacz opcję Użyj tego ciągu do ochrony wymiany kluczy (klucz wstępny) (U[Author ID1: at Thu Oct 5 04:27:00 2000 ]Use this string to protect the key exchange (preshared key)) i podaj klucz wstępny (preshared string)[Author ID1: at Thu Oct 5 04:27:00 2000 ].

10. Naciśnij [Author ID1: at Thu Oct 5 04:27:00 2000 ]Wybierz [Author ID1: at Thu Oct 5 04:27:00 2000 ]przycisk Dalej [Author ID1: at Thu Oct 5 04:28:00 2000 ](Next)[Author ID1: at Thu Oct 5 04:28:00 2000 ]. Aby podać nowy filtr IP,[Author ID1: at Thu Oct 5 04:28:00 2000 ] naciśnij przycisk Dodaj [Author ID1: at Thu Oct 5 04:28:00 2000 ](Add)[Author ID1: at Thu Oct 5 04:28:00 2000 ].

11. Naciśnij przycisk Dodaj [Author ID1: at Thu Oct 5 04:28:00 2000 ](Add)[Author ID1: at Thu Oct 5 04:28:00 2000 ]. Uruchomiony zostanie Kreator Filtrów IP (IP F[Author ID1: at Thu Oct 5 04:28:00 2000 ]Filter WW[Author ID1: at Thu Oct 5 04:28:00 2000 ]izard).

12. Naciśnij [Author ID1: at Thu Oct 5 04:28:00 2000 ]Kontynuuj [Author ID1: at Thu Oct 5 04:28:00 2000 ]przyciskiem[Author ID1: at Thu Oct 5 04:28:00 2000 ] Dalej [Author ID1: at Thu Oct 5 04:28:00 2000 ](Next)[Author ID1: at Thu Oct 5 04:28:00 2000 ]. Podaj adres IP źródła.

13. Naciśnij przycisk Dalej [Author ID1: at Thu Oct 5 04:28:00 2000 ](Next)[Author ID1: at Thu Oct 5 04:28:00 2000 ]. Podaj docelowy adres IP.

14. Naciśnij przycisk [Author ID1: at Thu Oct 5 04:28:00 2000 ]Dalej [Author ID1: at Thu Oct 5 04:28:00 2000 ](Next)[Author ID1: at Thu Oct 5 04:28:00 2000 ]. Z listy wybierz pozycję Inne (OO[Author ID1: at Thu Oct 5 04:28:00 2000 ]ther),[Author ID1: at Thu Oct 5 04:29:00 2000 ] a następnie wybierz protokół TCP.

15. Naciśnij przycisk [Author ID1: at Thu Oct 5 04:29:00 2000 ]Zaznacz [Author ID1: at Thu Oct 5 04:29:00 2000 ]Dalej [Author ID1: at Thu Oct 5 04:29:00 2000 ](Next)[Author ID1: at Thu Oct 5 04:29:00 2000 ]. Aby zaakceptować domyślne przypisanie portu protokołu IP (IP Protocol Port),[Author ID1: at Thu Oct 5 04:29:00 2000 ] naciśnij kolejny raz przycisk Dalej [Author ID1: at Thu Oct 5 04:29:00 2000 ](Next)[Author ID1: at Thu Oct 5 04:29:00 2000 ].

16. Naciśnij przycisk Zakończ (F[Author ID1: at Thu Oct 5 04:29:00 2000 ]Finish).

17. Wpisz nazwę i opis nowego filtru (patrz:[Author ID1: at Thu Oct 5 04:29:00 2000 ]zob.[Author ID1: at Thu Oct 5 04:29:00 2000 ] rysunek 10.7).

18. Naciśnij przycisk Zamknij (C[Author ID1: at Thu Oct 5 04:29:00 2000 ]Close). Wybierz filtr, który właśnie został utworzony. [Author ID1: at Thu Oct 5 04:29:00 2000 ]

19. Naciśnij przycisk [Author ID1: at Thu Oct 5 04:29:00 2000 ]Wybierz [Author ID1: at Thu Oct 5 04:29:00 2000 ]Dalej (Next)[Author ID1: at Thu Oct 5 04:29:00 2000 ], a następnie[Author ID1: at Thu Oct 5 04:29:00 2000 ]. Wybierz[Author ID1: at Thu Oct 5 04:30:00 2000 ] opcję[Author ID1: at Thu Oct 5 07:26:00 2000 ]e[Author ID2: at Thu Oct 5 07:26:00 2000 ] Wymagaj Zabezpieczeń (RR[Author ID1: at Thu Oct 5 04:30:00 2000 ]equire S[Author ID1: at Thu Oct 5 04:30:00 2000 ]Security).

20. Naciśnij przycisk Dalej [Author ID1: at Thu Oct 5 04:30:00 2000 ] [Author ID1: at Thu Oct 5 04:30:00 2000 ](Next). [Author ID1: at Thu Oct 5 04:30:00 2000 ]Naciśnij przycisk [Author ID1: at Thu Oct 5 04:30:00 2000 ]i [Author ID1: at Thu Oct 5 04:30:00 2000 ]Zakończ [Author ID1: at Thu Oct 5 04:30:00 2000 ](Finish)[Author ID1: at Thu Oct 5 04:30:00 2000 ].

21. Upewnij się, że zaznaczone są tylko zasady IPSec (IPSec policy), które zostały właśnie utworzone.

22. Naciśnij przycisk Zamknij (CC[Author ID1: at Thu Oct 5 04:30:00 2000 ]lose). Nastąpi powrót do przystawki (snap-in) [Author ID1: at Thu Oct 5 04:30:00 2000 ]konsoli MMC Zasady Grupowe (Group Policy).

23. Prawym klawiszem [Author ID1: at Thu Oct 5 04:30:00 2000 ]przyciskiem [Author ID1: at Thu Oct 5 04:30:00 2000 ]myszki kliknij pozycję Serwer z Zabezpieczeniami (Secure Server) [Author ID1: at Thu Oct 5 04:30:00 2000 ]i z menu wybierz pozycję Przypisz (AA[Author ID1: at Thu Oct 5 04:30:00 2000 ]ssign).

24. Zamknij przystawkę (snap-in) [Author ID1: at Thu Oct 5 04:30:00 2000 ] [Author ID1: at Thu Oct 5 04:30:00 2000 ]konsoli MMC Zasady Grupowe [Author ID1: at Thu Oct 5 04:31:00 2000 ](Group Policy)[Author ID1: at Thu Oct 5 04:31:00 2000 ].

25. Naciśnij przycisk Zamknij [Author ID1: at Thu Oct 5 04:31:00 2000 ](Close)[Author ID1: at Thu Oct 5 04:31:00 2000 ]. W przystawce (snap-in) [Author ID1: at Thu Oct 5 04:31:00 2000 ]konsoli MMC Active Directory U[Author ID1: at Thu Oct 5 04:31:00 2000 ]Użytkownicy i Komputery (AD U[Author ID1: at Thu Oct 5 04:31:00 2000 ]Users and C[Author ID1: at Thu Oct 5 04:31:00 2000 ]Computers) do jednostki organizacyjnej (OU) IPSec P[Author ID1: at Thu Oct 5 04:31:00 2000 ]p[Author ID1: at Thu Oct 5 04:31:00 2000 ]olicies dodaj co najmniej jeden komputer, który nie jest kontrolerem domeny — [Author ID1: at Thu Oct 5 04:31:00 2000 ], [Author ID1: at Thu Oct 5 04:31:00 2000 ]najlepiej ten, który został skonfigurowany wcześniej.

26. Sprawdź, że [Author ID1: at Thu Oct 5 04:31:00 2000 ]czy [Author ID1: at Thu Oct 5 04:31:00 2000 ]komputery te mają ustawienia IPSec danej jednostki organizacyjnej.

Reguły ustawiania zasad IPSec

Poniżej zamieszczono reguły ustawiania zasad IPSec (IPSec policies):

• Z[Author ID1: at Thu Oct 5 04:31:00 2000 ]z[Author ID1: at Thu Oct 5 04:31:00 2000 ]asady (policies[Author ID1: at Thu Oct 5 04:31:00 2000 ]y[Author ID1: at Thu Oct 5 04:31:00 2000 ]) domeny są nadrzędne w stosunku do zasad (policy) [Author ID1: at Thu Oct 5 04:32:00 2000 ]pojedynczego komputera,[Author ID1: at Thu Oct 5 04:32:00 2000 ].[Author ID1: at Thu Oct 5 04:32:00 2000 ]

• Z[Author ID1: at Thu Oct 5 04:32:00 2000 ]z[Author ID1: at Thu Oct 5 04:32:00 2000 ]asady (policy) [Author ID1: at Thu Oct 5 04:32:00 2000 ]ustanowione dla jednostki organizacyjnej [Author ID1: at Thu Oct 5 04:34:00 2000 ](OU) są nadrzędne w stosunku do zasad (policy)[Author ID1: at Thu Oct 5 04:32:00 2000 ] domeny,[Author ID1: at Thu Oct 5 04:32:00 2000 ].[Author ID1: at Thu Oct 5 04:32:00 2000 ]

• Z[Author ID1: at Thu Oct 5 04:32:00 2000 ]z[Author ID1: at Thu Oct 5 04:32:00 2000 ]asady (policy) [Author ID1: at Thu Oct 5 04:32:00 2000 ]ustanowione dla jednostki organizacyjnej (OU) [Author ID1: at Thu Oct 5 04:32:00 2000 ]niższego poziomu są nadrzędne w stosunku zasad (policy) [Author ID1: at Thu Oct 5 04:32:00 2000 ]ustanowionych dla jednostki organizacyjnej (OU)[Author ID1: at Thu Oct 5 04:32:00 2000 ], która znajduje się na wyższym poziomie struktury drzewiastej Active Directory,[Author ID1: at Thu Oct 5 04:32:00 2000 ].[Author ID1: at Thu Oct 5 04:32:00 2000 ]

• A[Author ID1: at Thu Oct 5 04:32:00 2000 ]a[Author ID1: at Thu Oct 5 04:32:00 2000 ]by uprościć administrowanie,[Author ID1: at Thu Oct 5 04:32:00 2000 ] zasady (policies) [Author ID1: at Thu Oct 5 04:32:00 2000 ]należy ustanawiać na tak wysokim poziomie, jak to tylko możliwe.

Rysunek 10.7.[Author ID1: at Thu Oct 5 04:32:00 2000 ] Definiowanie filtru IP.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

[Author ID0: at Thu Nov 30 00:00:00 1899 ]

[Author ID0: at Thu Nov 30 00:00:00 1899 ]

[Author ID0: at Thu Nov 30 00:00:00 1899 ]

33 Część I ♦ Podstawy obsługi systemu WhizBang (Nagłówek strony)

25 T:\Paweł\Windows - 5 po wstawieniu rysunków\r-10.05.doc

---