Erkunden von Authentifizierungsoptionen

  • 3 Minuten

Wenn Sie den Assistenten für neue Verbindungssicherheitsregeln verwenden, um eine neue Regel zu erstellen, können Sie auf der Seite Anforderungen angeben, wie die Authentifizierung auf ein- und ausgehende Verbindungen angewendet werden soll. Wenn Sie eine Authentifizierung anfordern, wird die Kommunikation aktiviert, wenn die Authentifizierung fehlschlägt. Wenn Sie eine Authentifizierung benötigen, wird die Verbindung getrennt, wenn die Authentifizierung fehlschlägt.

Authentifizierungsoptionen

Beim Erstellen einer neuen Regel stehen die folgenden Optionen zur Verfügung:

  • Option "Authentifizierung anfordern" für eingehende und ausgehende Verbindungen anfordern. Verwenden Sie diese Option, um anzugeben, dass der gesamte eingehende und ausgehende Datenverkehr authentifiziert werden muss, die Verbindung jedoch zulässig ist, wenn die Authentifizierung fehlschlägt. Wenn die Authentifizierung jedoch erfolgreich ist, wird der Datenverkehr geschützt. Sie verwenden diese Option in der Regel in Umgebungen mit niedriger Sicherheit oder in umgebungen, in denen Computer eine Verbindung herstellen können müssen, aber sie können nicht die Authentifizierungstypen durchführen, die mit Windows Defender Firewall mit erweiterter Sicherheit verfügbar sind.
  • Authentifizierung für eingehende Verbindungen erforderlich und Option Authentifizierung für ausgehende Verbindungen anfordern. Verwenden Sie diese Option, um sicherzustellen, dass der gesamte eingehende Datenverkehr authentifiziert oder blockiert wird. Dadurch können Sie ausgehenden Datenverkehr zulassen, für den die Authentifizierung fehlschlägt. Wenn die Authentifizierung für ausgehenden Datenverkehr erfolgreich ist, authentifiziert die Firewall diesen Datenverkehr. Sie verwenden diese Option in der Regel in den meisten IT-Umgebungen, in denen die Computer, die eine Verbindung herstellen müssen, die Authentifizierungstypen ausführen können, die mit Windows Defender Firewall mit erweiterter Sicherheit verfügbar sind.
  • Option "Authentifizierung für eingehende und ausgehende Verbindungen erforderlich". Verwenden Sie diese Option, um zu verlangen, dass der gesamte eingehende und ausgehende Datenverkehr entweder authentifiziert oder blockiert wird. In der Regel verwenden Sie diese Option in IT-Umgebungen mit höherer Sicherheit, in denen Sie den Datenverkehrsfluss schützen und steuern müssen und in denen die Computer, die eine Verbindung herstellen können, die Authentifizierungstypen ausführen können, die mit Windows Defender Firewall mit erweiterter Sicherheit verfügbar sind.

Authentifizierungsmethoden

Der Assistent für neue Verbindungssicherheitsregeln verfügt über eine Seite, auf der Sie die Authentifizierungsmethode und die Authentifizierungsanmeldeinformationen konfigurieren können, die Clients verwenden sollen. Wenn die Regel bereits vorhanden ist, können Sie die Registerkarte Authentifizierung im Dialogfeld Eigenschaften der Regel verwenden, die Sie bearbeiten möchten. Die folgenden Authentifizierungsmethoden sind verfügbar:

  • Standardwert. Wählen Sie die Option Standard aus, um die Authentifizierungsmethode zu verwenden, die Sie auf der Registerkarte IPsec-Einstellungen des Dialogfelds Windows Defender Firewall mit erweiterten Sicherheitseigenschaften konfiguriert haben.
  • Computer und Benutzer (Kerberos V5). Die Methode Computer und Benutzer (Kerberos V5) verwendet sowohl die Computer- als auch die Benutzerauthentifizierung. Dies bedeutet, dass Sie sowohl den Benutzer als auch den Computer zur Authentifizierung anfordern können, bevor die Kommunikation fortgesetzt wird. Sie können das Kerberos V5-Authentifizierungsprotokoll nur verwenden, wenn beide Computer Domänenmitglieder sind.
  • Computer (Kerberos V5). Die Computermethode (Kerberos V5) fordert oder erfordert, dass sich der Computer mithilfe des Kerberos V5-Authentifizierungsprotokolls authentifiziert. Sie können das Kerberos V5-Authentifizierungsprotokoll nur verwenden, wenn beide Computer Domänenmitglieder sind.
  • Benutzer (Kerberos V5). Die User (Kerberos V5)-Methode fordert oder erfordert, dass sich der Benutzer mithilfe des Kerberos V5-Authentifizierungsprotokolls authentifiziert. Sie können das Kerberos V5-Authentifizierungsprotokoll nur verwenden, wenn der Benutzer ein Domänenbenutzer ist.
  • Computerzertifikat. Die Computerzertifikatmethode fordert oder erfordert ein gültiges Computerzertifikat für die Authentifizierung, und Sie benötigen Zertifikate von einer Zertifizierungsstelle, die von beiden Computern als vertrauenswürdig eingestuft wird. Verwenden Sie diese Methode, wenn die Computer nicht Teil derselben AD DS-Domäne sind.
  • Erweitert. Sie können jede verfügbare Methode konfigurieren und Methoden für die erste und die zweite Authentifizierung angeben. Zu den ersten Authentifizierungsmethoden gehören Computer (Kerberos V5), Computerzertifikat und ein vorinstallierter Schlüssel (nicht empfohlen). Zu den zweiten Authentifizierungsmethoden gehören Benutzer (Kerberos V5), Benutzer-NTLM (Windows NT Challenge/Response-Protokoll), Benutzerzertifikate und Computerzertifikate, die von vertrauenswürdigen Zertifizierungsstellen ausgestellt wurden.