应使用“高级安全Windows Defender防火墙”创建连接安全规则,或通过PowerShell命令New-NetIPSecRule部署,亦可导入预配置XML策略文件实现IPsec配置。
如果您在Windows 11中需要为特定通信流量启用端到端加密或访问控制,但无法通过传统组策略编辑器(gpedit.msc)直接配置IPsec策略,则应转向内置的“高级安全Windows Defender防火墙”界面。该界面支持创建连接安全规则,可替代旧版IPSec策略管理单元,实现传输模式与隧道模式下的安全联盟(SA)配置。以下是具体操作步骤:
一、使用高级安全Windows Defender防火墙创建连接安全规则
此方法利用图形化界面配置IPsec连接安全规则,适用于主机间传输模式保护,无需安装额外工具或修改注册表,兼容Windows 11所有正式版本(包括家庭版以外的版本)。规则生效后,系统将根据匹配条件自动协商密钥并应用加密/身份验证策略。
1、按 Win + R 键打开运行对话框,输入 wf.msc 并回车,启动高级安全Windows Defender防火墙管理控制台。
2、在左窗格中右键单击 连接安全规则,选择 新建连接安全规则...。
3、在向导首页点击 下一步,进入规则类型选择页;选择 自定义,再点击 下一步。
4、在“要求身份验证”页中,勾选 要求身份验证以建立连接,点击 下一步。
5、在“身份验证方法”页中,选择 计算机证书 或 预共享密钥;若选择证书,请确保本地计算机存储中已安装有效的IPsec证书;若选择预共享密钥,请输入双方一致的8位以上且不含空格的字符串,点击 下一步。
6、在“服务器身份验证”页中,保持默认设置(不验证服务器身份),点击 下一步。
7、在“IP地址筛选器”页中,点击 添加...,设置源IP地址范围(如 任何IP地址)与目标IP地址(如 特定IP地址并填入对端IPv4地址),点击 确定 后继续 下一步。
8、在“协议和端口”页中,可指定TCP/UDP端口号(如仅保护端口 3389 的RDP流量),或保留默认的“任何端口”,点击 下一步。
9、在“配置文件”页中,勾选适用的网络位置(域、专用、公用),点击 下一步。
10、在最后一页输入规则名称(如 Host-to-Host IPsec RDP Protection),点击 完成。
二、通过PowerShell命令行快速部署IPsec规则
此方法适合批量部署或脚本化运维场景,使用NetSecurity模块中的New-NetIPSecRule cmdlet直接创建规则,绕过GUI交互,所有参数均可精确控制,且支持导出为.ps1脚本复用。
1、以管理员身份运行PowerShell。
2、执行以下命令创建一条强制使用预共享密钥的连接安全规则:
New-NetIPSecRule -DisplayName "PSec-RDP-PSK" -InboundSecurity Require -OutboundSecurity Require -Protocol TCP -LocalPort 3389 -RemoteAddress 192.168.5.100 -AuthenticationMethod PreSharedKey -KeyEncodingFormat Hex -Key "4142434431323334"
3、若需使用证书认证,替换参数为:-AuthenticationMethod MachineCert,并确保本地计算机证书存储中存在有效IPsec用途证书。
4、验证规则是否生效:运行 Get-NetIPSecRule | Where-Object {$_.DisplayName -eq "PSec-RDP-PSK"},确认输出中 Enabled 字段值为 True。
三、导入预配置的IPsec策略XML文件
当已有在其他Windows Server或Windows 11设备上导出的IPsec策略XML文件时,可通过netsh命令一次性导入全部规则,适用于策略迁移或标准化部署。该方式保留原始筛选器列表、筛选器操作及策略分配状态。
1、将XML策略文件(例如 ipsec-policy.xml)复制至目标Windows 11设备的任意本地路径(如 C:\temp\)。
2、以管理员身份运行CMD或PowerShell。
3、执行导入命令:netsh ipsec static importpolicy c:\temp\ipsec-policy.xml。
4、执行策略激活命令:netsh ipsec static set policy name="导入的策略名" assign=y;策略名需与XML中
5、检查策略状态:netsh ipsec static show policy,确认对应策略的 Assigned 列显示为 Yes。
