Настройка методов проверки подлинности Configure Authentication Methods

Область применения Applies to

• Windows 10 Windows 10
• Windows Server 2016 Windows Server 2016

В этой процедуре показано, как настроить методы проверки подлинности, которые могут использоваться компьютерами в изолированном домене или изолированной зоне изолированного сервера. This procedure shows you how to configure the authentication methods that can be used by computers in an isolated domain or standalone isolated server zone.

Примечание. Если вы выполните действия, которые вы выполните в этой процедуре, измените параметры по умолчанию для всей системы. Note: If you follow the steps in the procedure in this topic, you alter the system-wide default settings. Любое правило безопасности подключения может использовать эти параметры, указав значение Default на вкладке «Проверка подлинности». Any connection security rule can use these settings by specifying Default on the Authentication tab.

Учетные данные администратора Administrative credentials

Для выполнения этих процедур необходимо быть членом группы «Администраторы домена» или получить другие делегирование разрешений на изменение таких групп. To complete these procedures, you must be a member of the Domain Administrators group, or otherwise be delegated permissions to modify the GPOs.

Настройка методов проверки подлинности To configure authentication methods

Откройте консоль управления групповыми политиками для Защитник Windows брандмауэра с расширенными мерами безопасности. Open the Group Policy Management Console to Windows Defender Firewall with Advanced Security.

В области сведений на главной странице Защитник Windows брандмауэра с расширенным безопасностью щелкните Защитник Windows брандмауэра. In the details pane on the main Windows Defender Firewall with Advanced Security page, click Windows Defender Firewall Properties.

На вкладке «Параметры IPsec» нажмите кнопку «Настроить». On the IPsec Settings tab, click Customize.

В разделе «Метод проверки подлинности» выберите тип проверки подлинности, который необходимо использовать, из следующих ок. In the Authentication Method section, select the type of authentication that you want to use from among the following:

По умолчанию. Default. Выбор этого параметра указывает компьютеру использовать метод проверки подлинности, который в настоящее время определен локальным администратором в брандмауэре Защитник Windows брандмауэре или групповой политике по умолчанию. Selecting this option tells the computer to use the authentication method currently defined by the local administrator in Windows Defender Firewall or by Group Policy as the default.

Компьютер и пользователь (с использованием Kerberos V5). Computer and User (using Kerberos V5). Выбор этого параметра сообщает компьютеру о необходимости использования и необходимости проверки подлинности компьютера и пользователя, во время входа в систему, с использованием учетных данных домена. Selecting this option tells the computer to use and require authentication of both the computer and the currently logged-on user by using their domain credentials.

Компьютер (с использованием Kerberos V5). Computer (using Kerberos V5). Выбор этого параметра сообщает компьютеру о необходимости использования и необходимости проверки подлинности компьютера с использованием его учетных данных домена. Selecting this option tells the computer to use and require authentication of the computer by using its domain credentials. Этот параметр работает с другими компьютерами, которые могут использовать IKE версии 1, включая более ранние версии Windows. This option works with other computers that can use IKE v1, including earlier versions of Windows.

Пользователь (с использованием Kerberos V5). User (using Kerberos V5). Выбор этого параметра сообщает компьютеру о необходимости использования и необходимости проверки подлинности во время входа пользователя с использованием его учетных данных домена. Selecting this option tells the computer to use and require authentication of the currently logged-on user by using his or her domain credentials.

Сертификат компьютера из этого сертификационного органа. Computer certificate from this certification authority. Выбор этого параметра и ввод идентификации в ЦС сообщает компьютеру о необходимости использования и необходимости проверки подлинности с помощью сертификата, выданного выбранным ЦС. Selecting this option and entering the identification of a certification authority (CA) tells the computer to use and require authentication by using a certificate that is issued by the selected CA. Если также **** выбрать «Принять только сертификаты для проверки подлинности», то для этого правила можно использовать только сертификаты, которые включают расширенный ключ проверки подлинности системы (EKU), обычно предоставляемый в инфраструктуре защиты сетевого доступа (NAP). If you also select Accept only health certificates, then only certificates that include the system health authentication enhanced key usage (EKU) typically provided in a Network Access Protection (NAP) infrastructure can be used for this rule.

Advanced. Advanced. Щелкните «Настроить», чтобы указать настраиваемую комбинацию методов проверки подлинности, необходимых для вашего сценария. Click Customize to specify a custom combination of authentication methods required for your scenario. Можно указать как первый, так и второй метод проверки подлинности. You can specify both a First authentication method and a Second authentication method.

Первый способ проверки подлинности может быть одним из следующих: The first authentication method can be one of the following:

Компьютер (Kerberos V5). Computer (Kerberos V5). Выбор этого параметра сообщает компьютеру о необходимости использования и необходимости проверки подлинности компьютера с использованием его учетных данных домена. Selecting this option tells the computer to use and require authentication of the computer by using its domain credentials. Этот параметр работает с другими компьютерами, которые могут использовать IKE версии 1, включая более ранние версии Windows. This option works with other computers that can use IKE v1, including earlier versions of Windows.

Компьютер (NTLMv2). Computer (NTLMv2). Выбор этого параметра сообщает компьютеру о необходимости использования и необходимости проверки подлинности компьютера с использованием его учетных данных домена. Selecting this option tells the computer to use and require authentication of the computer by using its domain credentials. Этот параметр работает только с другими компьютерами, которые могут использовать AuthIP. This option works only with other computers that can use AuthIP. Проверка подлинности на основе пользователя с помощью Kerberos V5 не поддерживается IKE 1. User-based authentication using Kerberos V5 is not supported by IKE v1.

Сертификат компьютера из этого ЦС. Computer certificate from this certification authority (CA). Выбор этого параметра и ввод идентификации ЦС сообщает компьютеру о необходимости использования и необходимости проверки подлинности с помощью сертификата, выданного этим ЦС. Selecting this option and entering the identification of a CA tells the computer to use and require authentication by using a certificate that is issued by that CA. Если также выбрать «Принять только сертификатыдля системы безопасности», можно использовать только сертификаты, выданные сервером NAP. If you also select Accept only health certificates, then only certificates issued by a NAP server can be used.

Предопламеновка ключа (не рекомендуется). Preshared key (not recommended). Выбор этого метода и ввод предшествует проверке подлинности компьютера путем обмена предшествует ключам. Selecting this method and entering a preshared key tells the computer to authenticate by exchanging the preshared keys. Если они совпадают, проверка подлинности будет успешной. If they match, then the authentication succeeds. Этот метод не рекомендуется и включен только для обеспечения обратной совместимости и тестирования. This method is not recommended, and is included only for backward compatibility and testing purposes.

Если выбрана первая проверка подлинностине является обязательной, подключение может быть успешным, даже если попытка проверки подлинности, указанная в этом столбце, не будет успешной. If you select First authentication is optional, then the connection can succeed even if the authentication attempt specified in this column fails.

Второй способ проверки подлинности может быть одним из следующих: The second authentication method can be one of the following:

Пользователь (Kerberos V5). User (Kerberos V5). Выбор этого параметра сообщает компьютеру о необходимости использования и необходимости проверки подлинности во время входа пользователя с использованием его учетных данных домена. Selecting this option tells the computer to use and require authentication of the currently logged-on user by using his or her domain credentials. Этот метод проверки подлинности работает только с другими компьютерами, которые могут использовать AuthIP. This authentication method works only with other computers that can use AuthIP. Проверка подлинности на основе пользователя с помощью Kerberos V5 не поддерживается IKE 1. User-based authentication using Kerberos V5 is not supported by IKE v1.

Пользователь (NTLMv2). User (NTLMv2). Выбор этого параметра сообщает компьютеру о необходимости использования и необходимости проверки подлинности во время входа пользователя с использованием его учетных данных домена и использовании протокола NTLMv2 вместо Kerberos V5. Selecting this option tells the computer to use and require authentication of the currently logged-on user by using his or her domain credentials, and uses the NTLMv2 protocol instead of Kerberos V5. Этот метод проверки подлинности работает только с другими компьютерами, которые могут использовать AuthIP. This authentication method works only with other computers that can use AuthIP. Проверка подлинности на основе пользователя с помощью Kerberos V5 не поддерживается IKE 1. User-based authentication using Kerberos V5 is not supported by IKE v1.

Сертификат о здоровье пользователя из этого ЦС. User health certificate from this certification authority (CA). Выбор этого параметра и ввод идентификации ЦС сообщает компьютеру о необходимости использования и необходимости проверки подлинности на основе пользователя с помощью сертификата, выданного указанным ЦС. Selecting this option and entering the identification of a CA tells the computer to use and require user-based authentication by using a certificate that is issued by the specified CA. Если также **** выбрать «Включить сопоставление сертификата с учетной записью», сертификат можно будет связывать с пользователем в Active Directory для предоставления или запрета доступа указанным пользователям или группам пользователей. If you also select Enable certificate to account mapping, then the certificate can be associated with a user in Active Directory for purposes of granting or denying access to specified users or user groups.

Сертификат о состоянии компьютера из этого ЦС. Computer health certificate from this certification authority (CA). Выбор этого параметра и ввод идентификации ЦС сообщает компьютеру о необходимости использования и необходимости проверки подлинности с помощью сертификата, выданного указанным ЦС. Selecting this option and entering the identification of a CA tells the computer to use and require authentication by using a certificate that is issued by the specified CA. Если также **** выбрать «Принять только сертификаты для проверки подлинности», то для этого правила можно использовать только сертификаты, которые включают EKU проверки подлинности системы, обычно предоставляемые в инфраструктуре NAP. If you also select Accept only health certificates, then only certificates that include the system health authentication EKU typically provided in a NAP infrastructure can be used for this rule.

Если выбрать вторую проверкуподлинности необязательно, подключение может быть успешным, даже если попытка проверки подлинности, указанная в этом столбце, не будет успешной. If you select Second authentication is optional, then the connection can succeed even if the authentication attempt specified in this column fails.

Важно! Убедитесь, что флажки не выбраны, чтобы сделать проверку подлинности как первой, так и второй необязательной. Important: Make sure that you do not select the check boxes to make both first and second authentication optional. Это позволяет использовать простые подключения при сбойе проверки подлинности. Doing so allows plaintext connections whenever authentication fails.

Нажмите кнопку «ОК» в каждом диалоговом окне, чтобы сохранить изменения и вернуться в редактор управления групповыми политиками. Click OK on each dialog box to save your changes and return to the Group Policy Management Editor.

Сведения о подлинной Windows

Поддержка Windows 7 закончилась 14 января 2020 г.

Чтобы продолжить получать обновления системы безопасности от Майкрософт, мы рекомендуем перейти на Windows 10.

Подлинные версии Windows публикуются корпорацией Майкрософт, надлежащим образом лицензируются и поддерживаются корпорацией Майкрософт или ее доверенным партнером. Вам понадобится подлинная версия Windows для доступа к дополнительным обновлениям и загрузкам, которые помогут вам получить максимальную отдачу от вашего ПК.

Инструкции по активации в Windows см. в разделе Активация Windows 7 или Windows 8.1. Если вы используете Windows 10, ознакомьтесь с Разактивациями в Windows 10.

Здесь приведены ответы на некоторые распространенные вопросы о подлинном программном обеспечении Windows.

Убедитесь, что на упаковке присутствуют основные признаки подлинного ПО Windows, такие как сертификат подлинности (COA), наклейка подтверждения лицензии и голограмма от кромки до кромки. Дополнительные сведения можно найти на странице что искать на веб-сайте Microsoft о том, как рассказать . Безопаснее всего всегда покупать Windows или компьютер с предустановленной ОС Windows непосредственно в корпорации Майкрософт или в местном магазине или магазине, которому вы доверяете.

Если вы получаете такие уведомления, скорее всего ваша копия Windows была неправильно активирована. Щелкните уведомление и следуйте инструкциям, чтобы восстановить Windows или, если вы узнали, что ваше ПО нелицензионное, приобретите подлинную версию Windows.

Пока вы не исправите ошибку, вы периодически будете получать напоминания о том, что копия Windows не подлинна. Рабочий стол также может стать черным, чтобы вы обратили внимание на эти сообщения. Вы можете сбросить его, но каждые 60 минут экран снова будет становиться черным, пока проблема не будет устранена.

ОС Windows всегда будет получать важные обновления безопасности, даже если ваша версия является неподлинной. Однако другие обновления и преимущества доступны исключительно для подлинного программного обеспечения Windows.

Активация позволяет убедиться, что ваша копия Windows используется только на компьютерах, разрешенных условиями лицензионного соглашения на использование программного обеспечения корпорации Майкрософт. Активация связывает ключ продукта или цифровые права с аппаратной конфигурацией. Активировать Windows, как правило, необходимо только один раз, если только вы не собираетесь менять оборудование.

При скачивании обновлений на компьютер Windows проверяет, действителен ли ваш ключ продукта или есть ли у вас цифровые права. Если это так, вы имеете право получать последние обновления от корпорации Майкрософт. В противном случае на вашем компьютере используется контрафактная копия.

Копию Windows невозможно установить на большем количестве компьютеров, чем разрешено условиями лицензионного соглашения на использование программного обеспечения корпорации Майкрософт. Как правило, одну копию Windows можно установить на одном компьютере. Дополнительные сведения о лицензировании Windows на нескольких компьютерах можно найти на веб-сайте корпоративного лицензирования Майкрософт .

Да. Вы по-прежнему сможете получать важные обновления безопасности. Однако многие обновления доступны только для пользователей подлинных копий Windows. Настоятельно рекомендуем вам как можно быстрее начать использовать подлинное программное обеспечение Майкрософт для безопасной работы компьютера.

Проверка — это процесс, выполняющийся через Интернет. Он помогает определить подлинность установленной копии Windows, а также наличие и целостность важных файлов лицензирования. Проверка длится всего несколько секунд и позволяет корпорации Майкрософт сопоставить профиль оборудования компьютера с 25-символьным ключом продукта или цифровыми правами.

Проверка копии Windows может потребоваться перед скачиванием данных и обновлений, которые предназначены для компьютеров под управлением подлинной копии Windows. Windows также может запросить запустить проверку подлинности, если неправильно выполнена активация.

Если ваша копия Windows не пройдет проверку, появится страница результатов с сообщением о том, почему ваша копия не является подлинной. Вы также увидите информацию о том, как устранить проблему.

Существует несколько распространенных причин, по которым копия Windows, работающая на компьютере, может оказаться во время проверки неподлинной.

Ремонт. Если ваш компьютер был отремонтирован, вы можете начать видеть на рабочем столе сообщения о том, что Windows не является подлинной. Если во время ремонта пришлось переустановить Windows, мастер мог выполнить активацию системы, используя другой ключ, отличающийся от ключа, который был использован во время первой установки ОС. Уведомления могут не появляться до тех пор, пока вы не попробуете скачать из Центра загрузки Майкрософт данные, которые требуют проверки, и проверка не закончится ошибкой. Чтобы устранить эту проблему, вы можете правильно активировать Windows, повторно введя исходный ключ продукта.

Для устранения других проблем может потребоваться приобрести подлинную версию Windows.

1 лицензия — 1 компьютер. Еще одна распространенная причина сбоя проверки Windows — попытка установить копию Windows на большее количество компьютеров, чем предусмотрено лицензией. Например, вы купили одну копию Windows и установили ее на несколько компьютеров. Онлайн-проверка может завершиться сбоем, так как ключ продукта уже используется на другом компьютере. Для большинства копий Windows работает правило: одна копия Windows может быть установлена на одном компьютере. Чтобы узнать о лицензировании нескольких компьютеров, перейдите на веб-сайт корпоративного лицензирования Майкрософт .

Контрафактное программное обеспечение. Проверка также может завершиться сбоем, если вы случайно приобрели и установили нелицензионную копию ПО Windows. С помощью этого веб- сайта можно найти нелицензионное программное обеспечение и файл, если это необходимо. Сбой проверки подлинности характерен для версий Windows, которые были приобретены на онлайн-аукционах, или если подлинность Windows проверялась на приобретенном вами подержанном компьютере. Не забудьте попросить продавца положить в упаковку оригинальный диск Windows и сертификат подлинности.

Чтобы создать отчет о контрафактном приложении, перейдите на веб-сайт о том, как рассказать о нем.

Если вы считаете, что вы случайно приобрели нелицензионное программное обеспечение, или у вас есть информация о человеке, компании или интернет-сайте, которые, возможно, продают нелицензионное программное обеспечение, вы можете отправить отчет по Интернету. Корпорация Майкрософт будет считать его конфиденциальной информацией. Корпорация Майкрософт уделяет много времени и тратит много сил на борьбу с подделкой программного обеспечения, и вы можете быть уверены, что после получения вашего отчета мы будем принимать соответствующие меры.

Если вы получили сообщение об ошибке при активации Windows, можно узнать, что оно означает. Подробности можно найти в справке по устранению ошибок активации.

При установке Windows вам потребуется ключ продукта. Чтобы получить дополнительные сведения, см. раздел Поиск ключа продукта.