Windows security - 設定驗證方法

此程式說明如何設定隔離網域或獨立隔離伺服器區域中的電腦可以使用的驗證方法。

注意： 如果您遵循本主題中的程式中的步驟，請變更全系統的預設設定。

跳到主要內容 已不再支援此瀏覽器。

請升級至MicrosoftEdge，以利用最新功能、安全性更新和技術支援。

下載MicrosoftEdge InternetExplorer和MicrosoftEdge的詳細資訊 目錄 結束焦點模式 閱讀英文 儲存 目錄 閱讀英文 儲存 意見反應 編輯 列印 Twitter LinkedIn Facebook 電子郵件 目錄 設定驗證方法 發行項 10/15/2022 1位參與者 適用於: ✅Windows10,✅Windows11,✅WindowsServer2016,✅WindowsServer2019,✅WindowsServer2022 意見反應 本文內容 此程式說明如何設定隔離網域或獨立隔離伺服器區域中的電腦可以使用的驗證方法。

注意：如果您遵循本主題中的程式中的步驟，請變更全系統的預設設定。

任何連線安全性規則都可以藉由在[驗證]索引標籤上指定[預設]來使用這些設定。

系統管理認證 若要完成這些程式，您必須是網域系統管理員群組的成員，或是被委派修改GPO的許可權。

設定驗證方法 開啟群組原則管理主控台，以WindowsDefender具有進階安全性的防火牆。

在[具有進階安全性的主要WindowsDefender防火牆]頁面上的詳細資料窗格中，按一下[WindowsDefender防火牆屬性]。

在[IPsec設定]索引標籤上，按一下[自訂]。

在[驗證方法]區段中，從下列其中選取您想要使用的驗證類型： 預設值。

選取此選項會指示電腦使用WindowsDefender防火牆中本機系統管理員目前定義的驗證方法，或預設群組原則。

**使用KerberosV5的電腦和使用者()**。

選取此選項會指示電腦使用並要求電腦和目前登入的使用者使用其網域認證進行驗證。

使用KerberosV5)的電腦(。

選取此選項會指示電腦使用電腦，並且需要使用其網域認證來驗證電腦。

此選項適用于可以使用IKEv1的其他電腦，包括舊版Windows。

使用KerberosV5)的使用者(。

選取此選項會指示電腦使用，並且需要使用其網域認證來驗證目前已登入的使用者。

來自此憑證授權單位單位的電腦憑證。

選取此選項並輸入憑證授權單位單位的識別(CA)會告知電腦使用，並且需要使用所選取CA所簽發的憑證進行驗證。

如果您也選取[只接受健康情況憑證]，則只有包含系統健康情況驗證增強金鑰使用(EKU)通常會在網路存取保護中提供的憑證(NAP)基礎結構才能用於此規則。

進階。

按一下[自訂]以指定案例所需的自訂驗證方法組合。

您可以同時指定第一個驗證方法和第二個驗證方法。

第一個驗證方法可以是下列其中一種方法： **KerberosV5(電腦)**。

選取此選項會指示電腦使用電腦，並且需要使用其網域認證來驗證電腦。

此選項適用于可以使用IKEv1的其他電腦，包括舊版Windows。

**電腦(NTLMv2)**。

選取此選項會指示電腦使用電腦，並且需要使用其網域認證來驗證電腦。

此選項僅適用于可以使用AuthIP的其他電腦。

IKEv1不支援使用KerberosV5的使用者型驗證。

**來自這個憑證授權單位單位的電腦證書(CA)**。

選取此選項並輸入CA的識別碼，會告知電腦使用，並且需要使用該CA所簽發的憑證進行驗證。

如果您也選取[只接受健康情況憑證]，則只能使用NAP伺服器所簽發的憑證。

不建議)預先共用的金鑰(。

選取這個方法並輸入預先共用的金鑰，會告知電腦交換預先共用的金鑰來進行驗證。

如果相符，則驗證會成功。

不建議使用這個方法，而且僅包含在回溯相容性和測試用途。

如果您選取[第一次驗證]是選擇性的，則即使此資料行中指定的驗證嘗試失敗，連線仍可成功。

第二個驗證方法可以是下列其中一種方法： **使用者(KerberosV5)**。

選取此選項會指示電腦使用，並且需要使用其網域認證來驗證目前已登入的使用者。

此驗證方法僅適用于可以使用AuthIP的其他電腦。

IKEv1不支援使用KerberosV5的使用者型驗證。

**使用者(NTLMv2)**。

選取此選項會指示電腦使用，並且需要使用其網域認證來驗證目前登入的使用者，並使用NTLMv2通訊協定，而不是KerberosV5。

此驗證方法僅適用于可以使用AuthIP的其他電腦。

IKEv1不支援使用KerberosV5的使用者型驗證。

**來自這個憑證授權單位單位的使用者健康情況憑證(CA)**。

選取此選項並輸入CA的識別，會告知電腦使用指定CA所簽發的憑證，並要求使用者型驗證。

如果您也選取[啟用憑證對帳戶的對應]，則憑證可以與ActiveDirectory中的使用者建立關聯，以授與或拒絕指定使用者或使用者群組的存取權。

**來自這個憑證授權單位單位的電腦健康情況憑證(CA)**。

選取此選項並輸入CA的識別，會告知電腦使用並需要使用指定CA所簽發的憑證進行驗證。

如果您也選取[只接受健康情況憑證]，則此規則只能使用包含NAP基礎結構中通常提供之系統健康情況驗證EKU的憑證。

如果您選取[第二次驗證]是選擇性的，則即使此資料行中指定的驗證嘗試失敗，連線仍可成功。

重要：請確定您未選取核取方塊，讓第一次和第二次驗證成為選擇性。

如此一來，只要驗證失敗，便允許純文字連線。

在每個對話方塊上按一下[確定]以儲存您的變更，並返回[群組原則管理編輯器]。

意見反應 提交並檢視相關的意見反應 本產品 本頁 檢視所有頁面意見反應 本文內容