An IPSec policy consists of:

• General IPSec policy settings

Settings that apply regardless of which rules are configured. These settings determine the name of the policy, its description for administrative purposes, key exchange settings, and key exchange methods.

• IPSec policy rules

One or more IPSec rules that determine which types of traffic IPSec must examine, how traffic is treated, how to authenticate an IPSec peer, and other settings.
After the policies are created, they can be assigned and applied at the domain, site, organizational unit, and local level. For more information, see Creating, modifying, and assigning IPSec policies.

• Kerberos V 5
• PKI
• Preshared Keys

• Hauptmodus:

Algorithmenfestlegung und Autorisierung/Authentifizierung

• Schnellmodus:

Erneuerung der Schlüssel

• IP-Sicherheitsrichtlinienverwaltung Snap-in (ersetzt ipsecpol.exe von Win 2000) für:

Lokaler Computer
Active Directory-Domäne dieses Computers
Andere Active Directory-Domäne
Anderer Computer

• IP-Sicherheitsmonitor Snap-in (IP Security Monitor, erstetzt ipsecmon.exe von Win 2000)

• Den Clients die Richtline: Client (Respond Only) via GPO zuweisen
• Den Servern die Richtlinie: Server (Request Security) via GPO zuweisen
• Nur bei besonders wichtigen Servern: Secure Server (Require Security) zuweisen

Für Filter-Einstellungen (zB spezielle IP-Adressen oder Protokolle) gilt:
Jeder Traffic, der durch eine Filterregel nicht erfasst wird, wird durchgelassen.

Sollen Zertifikate für die Authentifizierung verwendet werden, sind folgende Schritte durchzuführen:

• Die der CA die Zertifikatvorlage IPSec hinzufügen (Zertifizierungsstelle/Zertifikatvorlagen -> Neu -> Auszustellende Zertifikatvorlage)
• Via Gruppenrichtlinie/Computereinstellungen/... eine automatische Zertifikatanforderung für IPSec erstellen
• In den IPSec Richtlinien die Authentifizierungsmethode für die entsprechenden Regeln auf Zertifizierungsstelle setzen und die eigene Zertifizierungsstelle auswählen

netsh ipsec dynamic show

“IP-Sicherheit wird verhandelt” (engl: “Negotiating security”) bei ping mit ICMP-IPSec-Filter bleibt dauerhaft:

net stop policyagent
net start policyagent


RDP-Traffic wurde erst dann verschlüsselt, wenn bei der Filterregel nicht Protokoll RDP sondern Protokoll TCP Port 3389 eingetragen wurde.

Basic IPSec troubleshooting in Microsoft Windows 2000 Server
http://support.microsoft.com/kb/257225/DE/

Obtaining an Oakley Log
For developers or network administrators with advanced IKE knowledge, an Oakley log can be obtained by modifying the registry.

Use Registry Editor to locate the following key in the registry, and if it does not exist, create it:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
Add a REG_DWORD value named EnableLogging with a value of 1 to this key. The Oakley.log file is created in the %systemroot%\debug folder.

Internet Protocol Security for Microsoft Windows Server 2003
http://www.microsoft.com/downloads/details.aspx?familyid=e6590330-d903-4bdd-9655-81b86df655e4&displaylang=en

Step-by-Step Guide to Internet Protocol Security (IPSec)
http://www.microsoft.com/windows2000/techinfo/planning/security/ipsecsteps.asp

Windows Server 2003 Hilfe: IPSec
http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/sag_IPSECwhatispolicy.asp

Windows Server 2003: IPSec
http://www.microsoft.com/windowsserver2003/technologies/networking/ipsec/default.mspx

What’s New in Windows Server 2003 IPSec (Part 1)
http://www.windowsecurity.com/articles/Windows_Server_2003_IPSec_Part1.html

What’s New in Windows Server 2003 IPSec (Part 2)
http://www.windowsecurity.com/articles/Windows_Server_2003_IPSec_Part2.html

IPSec in Windows 2003 (Gastbeitrag tecCHANNEL
http://www.microsoft.com/germany/technet/datenbank/articles/600355.mspx