94 Kapitel 2: Konfigurieren von IP-Diensten
Abbildung 2.18 Zuweisen einer IPSec-Richtlinie in einem Gruppenrichtlinienobjekt
Sie können einem Computer nur jeweils eine IPSec-Richtlinie zuweisen. Falls Sie eine zweite
IPSec-Richtlinie zuweisen, wird die erste IPSec-Richtlinie automatisch entfernt. Wenn ein
Computer über Gruppenrichtlinien eine IPSec-Richtlinie zugewiesen bekommt, ignoriert er
alle IPSec-Richtlinien, die ihm in der lokalen Sicherheitsrichtlinie zugewiesen wurden.
Erstellen einer neuen IPSec-Richtlinie
Um eine neue benutzerdefinierte IPSec-Richtlinie zu erstellen, öffnen Sie die lokale Sicher-
heitsrichtlinie oder ein Gruppenrichtlinienobjekt. Klicken Sie in der Konsolenstruktur unter
Sicherheitseinstellungen mit der rechten Maustaste auf den Knoten IP-Sicherheitsrichtlinien
und wählen Sie den Befehl IP-Sicherheitsrichtlinie erstellen (Abbildung 2.19). (Den Zweig
Sicherheitseinstellungen finden Sie in einem Gruppenrichtlinienobjekt unter Computerkon-
figuration\Richtlinien\Windows-Einstellungen.)
Daraufhin wird der IP-Sicherheitsrichtlinien-
Assistent gestartet.
Im IP-Sicherheitsrichtlinien-Assistent können Sie eine leere Richtlinie anlegen, ihr einen
Namen geben und die Standardantwortregel aktivieren. Sobald Sie die IPSec-Richtlinie er-
stellt und benannt haben, konfigurieren Sie sie über ihr Eigenschaftendialogfeld. Sie fügen
Regeln zur Richtlinie hinzu, indem Sie auf der Registerkarte Regeln auf Hinzufügen klicken
(Abbildung 2.20). Daraufhin startet der Sicherheitsregel-Assistent.
Lektion 2: Konfigurieren von IPSec 95
Abbildung 2.19 Erstellen einer neuen IPSec-Richtlinie in einem Gruppenrichtlinienobjekt
Abbildung 2.20 Die Registerkarte Regeln im Eigenschaftendialogfeld einer Sicherheitsrichtlinie
Hinweis Die Standardantwortregel
Die Standardantwortregel ist für Windows-Versionen vor Windows Vista schreibgeschützt.
In diesen älteren Betriebssystemen legt die Regel eine Standardaktion für eine IPSec-Richt-
linie fest, die durchgeführt wird, wenn keine anderen IPSec-Richtlinienfilter in Kraft treten.
96 Kapitel 2: Konfigurieren von IP-Diensten
Arbeiten mit dem Sicherheitsregel-Assistenten
Im Sicherheitsregel-Assistenten erstellen und konfigurieren Sie IPSec-Regeln. Der Assistent
hat fünf Hauptseiten:
■ Tunnelendpunkt
■ Netzwerktyp
■ IP-Filterliste
■ Filteraktion
■ Authentifizierungsmethode
Die Seite Tunnelendpunkt Einstellungen auf dieser Seite konfigurieren Sie nur, wenn Sie
IPSec im Tunnelmodus nutzen wollen.
Die Seite Netzwerktyp Auf dieser Seite können Sie die Regel auf das LAN (Local Area
Network) oder Remotezugriffsverbindungen einschränken.
Die Seite IP-Filterliste Auf dieser Seite legen Sie fest, welchen Satz IP-Filter Sie der
Regel zuweisen. In den Gruppenrichtlinien sind zwei IP-Filterlisten für IPSec-Richtlinien-
regeln vordefiniert. Dies sind All ICMP Traffic (gesamter ICMP-Verkehr) und All IP Traffic
(gesamter IP-Verkehr). Sie können auch eine neue IP-Filterliste erstellen, indem Sie auf der
Seite IP-Filterliste auf Hinzufügen klicken (Abbildung 2.21). Daraufhin öffnet sich das Dia-
logfeld IP-Filterliste.
Abbildung 2.21 Die Seite IP-Filterliste
Klicken Sie im Dialogfeld IP-Filterliste (Abbildung 2.22) auf Hinzufügen, um einen neuen
IP-Filter zu der IP-Filterliste hinzuzufügen, die Sie erstellen. Daraufhin startet der IP-Filter-
Assistent.
Lektion 2: Konfigurieren von IPSec 97
Abbildung 2.22 Hinzufügen eines Filters zur IP-Filterliste
Im IP-Filter-Assistent wählen Sie den IP-Verkehr anhand von Quelle und Ziel aus. Sie kön-
nen Quelle und Ziel über die IP-Adresse, den DNS-Namen, die Serverfunktion oder einen
IP-Protokolltyp angeben.
Sie
haben im IP-Filter-Assistenten auch die Möglichkeit, einen gespiegelten Filter zu erstellen.
Ein gespiegelter Filter vertauscht Quelle und Ziel, behält aber alle anderen Einstellungen
bei. Auf diese Weise können Sie beispielsweise ganz einfach einen Filter konfigurieren, der
Telnet-Verkehr zu und von der lokalen Adresse erfasst. Sie definieren Ihren Filter als gespie-
gelten Filter, indem Sie auf der ersten Seite des IP-Filter-Assistenten das Kontrollkästchen
Gespiegelt aktivieren (Abbildung 2.23); dies ist die Standardeinstellung.
Abbildung 2.23 Erstellen eines gespiegelten IP-Filters
Die Seite Filteraktion Wenn Sie einer Regel eine IP-Filterliste zugewiesen haben, können
Sie im Sicherheitsregel-Assistenten eine Filteraktion für diese Regel auswählen. In den
Gruppenrichtlinien sind für IPSec-Richtlinienregeln folgende IP-Filter vordefiniert:
98 Kapitel 2: Konfigurieren von IP-Diensten
■ Permit Diese Filteraktion lässt die IP-Pakete ungeschützt passieren.
■ Request Security (Optional) Diese Filteraktion erlaubt es, IP-Pakete ungeschützt zu
übertragen, fordert Clients aber auf, Sicherheitseinstellungen auszuhandeln (bevorzugt
Verschlüsselung).
■ Require Security Bei dieser Filteraktion fordert der lokale Computer vom Client
geschützte Kommunikation für die IP-Pakete. Falls keine Sicherheitsmethoden (inklu-
sive Verschlüsselung) ausgehandelt werden können, bricht der lokale Computer die
Kommunikation mit dem Client ab.
Sie erstellen eine neue Filteraktion, indem Sie auf der Seite Filteraktion auf Hinzufügen
klicken (Abbildung 2.24). Daraufhin wird der Filteraktions-Assistent gestartet.
Abbildung 2.24 Erstellen einer neuen Filteraktion
Abbildung 2.25 Festlegen der Authentifizierungsmethode
Die Seite Authentifizierungsmethode Sicherheit kann erst ausgehandelt werden, wenn die
IPSec-Clients
authentifiziert wurden. In der Standardeinstellung verlassen sich IPSec-Regeln
auf AD DS und das Kerberos-Protokoll, um Clients zu authentifizieren. Sie können aber
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
