探索身份验证选项

3 分钟

使用“新建连接安全规则向导”创建新规则时，可以使用“要求”页指定对入站和出站连接应用身份验证的方式。如果请求身份验证，则会在身份验证失败时启用通信。如果需要身份验证，这会导致连接在身份验证失败时断开。

身份验证选项

创建新规则时，可以使用以下选项：

请求入站和出站连接身份验证选项。 使用此选项可以指定所有入站和出站流量都必须进行身份验证，但如果身份验证失败，则允许连接。但是，如果身份验证成功，流量将受到保护。通常，在低安全性环境或计算机必须能够连接的环境中使用此选项，但它们无法执行具有高级安全性的 Windows Defender 防火墙可用的身份验证类型。
要求对入站连接进行身份验证和请求出站连接的身份验证选项。使用此选项可确保对所有入站流量进行身份验证或阻止。这样，就可以允许身份验证失败的出站流量。如果出站流量的身份验证成功，防火墙会对该流量进行身份验证。通常，在大多数 IT 环境中使用此选项，其中需要连接的计算机可以执行高级安全 Windows Defender 防火墙提供的身份验证类型。
要求对入站和出站连接进行身份验证选项。使用此选项可要求对所有入站和出站流量进行身份验证或阻止。通常，在必须保护和控制流量流的较高安全性 IT 环境中，必须能够连接的计算机可以执行具有高级安全性的 Windows Defender 防火墙可用的身份验证类型，

身份验证方法

“新建连接安全规则向导”包含一个页面，你可以在其中配置身份验证方法和希望客户端使用的身份验证凭据。如果规则已存在，则可以使用要编辑的规则的“属性”对话框中的“身份验证”选项卡。以下身份验证方法可用：

默认值。选择“默认”选项，使用在“具有高级安全属性的 Windows Defender 防火墙的 IPsec 设置”选项卡上配置的身份验证方法。
计算机和用户 (Kerberos V5) 。计算机和用户 (Kerberos V5) 方法同时使用计算机和用户身份验证，这意味着你可以请求或要求用户和计算机在通信继续之前进行身份验证。仅当两台计算机都是域成员时，才能使用 Kerberos V5 身份验证协议。
计算机 (Kerberos V5) 。计算机 (Kerberos V5) 方法请求或要求计算机使用 Kerberos V5 身份验证协议进行身份验证。仅当两台计算机都是域成员时，才能使用 Kerberos V5 身份验证协议。
用户 (Kerberos V5) 。用户 (Kerberos V5) 方法请求或要求用户使用 Kerberos V5 身份验证协议进行身份验证。仅当用户是域用户时，才能使用 Kerberos V5 身份验证协议。
计算机证书。计算机证书方法请求或要求有效的计算机证书进行身份验证，并且必须具有两台计算机都信任的 CA 的证书。如果计算机不属于同一 AD DS 域，请使用此方法。
高级。可以配置任何可用方法，并且可以指定用于第一次身份验证和第二次身份验证的方法。第一种身份验证方法包括计算机 (Kerberos V5) 、计算机证书和预共享密钥， (不建议) 。第二种身份验证方法包括用户 (Kerberos V5) 、用户 NTLM (Windows NT 质询/响应协议) 、用户证书以及受信任的 CA 颁发的计算机证书。

反馈

此页面是否有帮助？