IP Security protegge il traffico di rete a un livello fondamentale , e quindi molte applicazioni business-critical richiedono questa impostazione di configurazione avanzata . Configurazione IP Security ( IPsec ) sfida gli amministratori di rete , tuttavia , perché richiede una grande quantità di controllo su entrambi i lati client e del server della configurazione di rete . Configurare IPsec con Windows Group Policy Objects (GPO ) con la creazione di diverse politiche per il client e il server. Cose che ti serviranno : Finestre di dominio Active Directory
Active Directory Group Policy Editor
Show More Istruzioni
1

Configurare il firewall di Windows bypass per consentire il traffico dei client di bypassare il firewall basato su host . In Active Directory Group Policy Editor , fare clic destro su l'unità organizzativa ( OU ) che contiene l'oggetto computer del server di destinazione e selezionare "Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento . " Dare la Policy Object ( GPO ), un nome significativo di gruppo e fare clic su "OK". Pulsante destro del mouse sull'oggetto Criteri di gruppo e selezionare "Modifica ". Espandere la struttura di modello di criteri nel seguente ordine : " Configurazione computer ", " Modelli amministrativi ", " rete", " Connessioni di rete " e "Windows Firewall" . Nel riquadro di destra fare doppio clic sul criterio "Windows Firewall : Consenti autenticazione IPSec " e cliccare sul

Una politica di bypass firewall per IPsec nomina un gruppo specifico che sarà concesso il permesso di "Enabled ". utilizzare IPsec per attraversare il firewall basato su host . Nel campo " Definire peer IPSec devono essere esentati dalla politica del firewall : " inserire il Security Descriptor Definition Language ( SDDL ) stringa per il gruppo consentito. Il formato della stringa SDDL per un singolo gruppo è : " O : DAG : DAD : (A; ; RCGW ,,, SID ) , " dove SID è l' identificatore di protezione ( SID ) di un account di gruppo . Pertanto , per definire l'impostazione per il vostro gruppo , il testo della politica recita qualcosa come " Definire peer IPSec devono essere esentati dalla policy del firewall : O : DAG : DAD : (A; ; RCGW ,,, S-1- 5-21 -4214763869-96332444560-8429442246-100290 ) . " Utilizzare l'utilità della riga di comando GETSID contro il nome del gruppo di sicurezza per determinare il SID se non lo si conosce già .
2

assegnare un server - side " richiede la crittografia " regola in Criteri di gruppo . Per richiedere la crittografia tramite IPsec , è necessario aggiungere una regola di sicurezza per la politica del gruppo di Windows Impostazioni> Impostazioni di protezione > sezione Criteri di sicurezza IP . Nel Editor criteri di gruppo , fare clic destro sulla OU che contiene l'oggetto computer del server di destinazione e selezionare "Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento . " Dare l'oggetto Criteri di gruppo (GPO) un nome significativo e fare clic su "OK".

Espandere la struttura dei criteri modello nel seguente ordine : " Configurazione computer ", " Impostazioni di Windows " e " Criteri di protezione IP su Active Directory ". Fai clic destro sulla politica "Secure Server ( Richiedi protezione )" nel pannello di destra e selezionare " Assegna ". Se assegnato , questo criterio richiede che tutto il traffico di tentare di raggiungere il server utilizza IPsec .
3

Configurare un client-side " richiedono la crittografia " regola . Affinché i clienti di utilizzare la crittografia per raggiungere il server, è necessario configurare un criterio per i client che consente la crittografia solo per il server di destinazione . Nel Editor criteri di gruppo , fare clic destro sulla OU che contiene l'oggetto di gruppo che include tutti i clienti che avranno il permesso di utilizzare IPsec per raggiungere il server di destinazione. Selezionare "Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento . " Dare l' oggetto Criteri di gruppo un nome significativo e fare clic su "OK".

Espandere la struttura dei criteri modello nel seguente ordine : " Configurazione computer ", " Impostazioni di Windows " e " Criteri di protezione IP su Active Directory " . Fare doppio clic su " Client ( solo risposta ) " La politica nel riquadro a destra . Fare clic su " Aggiungi ... " per avviare la Creazione guidata regola di sicurezza . Accettare i valori predefiniti per " Endpoint Tunnel " e " Tipo di rete ", ma sulla pagina "IP Filter List ", cliccare su " Aggiungi ... " Sul "IP Filter List" nome della pagina la lista dei filtri e fare clic su " Aggiungi ... " per aggiungere il server . Seguire la procedura guidata , specificando " Qualsiasi indirizzo IP " per l' indirizzo di origine e di " un nome DNS specifico" per il server di destinazione . Immettere il nome del server di destinazione nel campo "Nome host: " campo . Completare la procedura guidata con i valori predefiniti rimanenti e fare clic su " OK" per chiudere la procedura guidata "IP Filer List" . Nella " Creazione guidata regola di sicurezza" Seleziona " Permit ", come l'azione del filtro e fare clic su "Avanti" per completare la procedura guidata .

Quando assegnato , questo criterio richiede che tutto il traffico dalle macchine client di tentare di raggiungere il server sarà utilizzare IPsec , ma il traffico andando a qualsiasi altro server non sarà .
4

Applicare gli aggiornamenti dei criteri di gruppo per entrambi i client e il server . Su ogni macchina aprire il prompt e digitare " gpupdate . " Comando Se viene richiesto di disconnettersi , fare così.

• Come caricare Windows da una scheda SD 
• Come installare e inserire Windows sostituzione