Popis podpory Suite B kryptografických algoritmů, které bylo přidáno k protokolu IPsec v systému Windows Vista Service Pack 1, Windows Server 2008 a Windows 7

Překlady článku Překlady článku
ID článku: 949856 - Produkty, které se vztahují k tomuto článku.
Podpora pro systém Windows Vista Service Pack 1 (SP1) končí dne 12. července 2011. Chcete-li pokračovat v přijímání aktualizací zabezpečení pro systém Windows, zkontrolujte, zda používáte systém Windows Vista s aktualizací Service Pack 2 (SP2). Další informace naleznete na této webové stránce společnosti Microsoft: Končí podpora některých verzí systému Windows.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

ÚVOD

Tento článek popisuje podporu pro Suite B kryptografických algoritmů, která byla přidána v aktualizaci Windows Vista Service Pack 1 (SP1) a Windows Server 2008. Suite B je skupina kryptografických algoritmů, které jsou schváleny podle vnitrostátních Security Agency (NSA) Spojených států.

Suite B slouží jako interoperabilní rámec kryptografické ochrany citlivých dat. Podpora byla rozšířena, aby Suite B algoritmy pro následující oblasti:
  • Hlavní režim
  • Rychlý režim
  • Nastavení ověřování
Tento článek také popisuje syntaxi protokol IPSec (IPsec) zásady konfigurace, která používá algoritmy Suite B.

Další informace

Omezení podpory

Omezení podpory pro Suite B patří:
  • Vytvoření a vynucení zásad protokolu IPsec pomocí algoritmů Suite B je podporována pouze v systému Windows Vista Service Pack 1 (SP1), Windows Server 2008 nebo novějších verzích systému Windows.
  • Vytváření politik, které obsahují algoritmy Suite B je podporován prostřednictvím modulu snap-in "Windows Firewall s pokročilým zabezpečením" konzola Microsoft Management Console (MMC) pro systém Windows 7 a novější verze systému Windows.
  • Příkaz Netsh advfirewall help nezobrazí možnosti konfigurace algoritmů Suite B. To platí pouze pro aktualizaci Windows Vista SP1.

Definice

  • Suite B

    Suite B je sada standardů, které jsou určeny National Security Agency (NSA). Suite B poskytuje odvětví s běžnou sadou kryptografických algoritmů, které umožňují vytvořit produkty, které splňují širokou škálu potřeb vlády USA. Suite B obsahuje specifikace typů následující algoritmy:
    • Integrita
    • Šifrování
    • Výměna klíčů
    • Digitální podpis
  • Zpracování norem FIPS (FIPS)

    FIPS je sada pokyny a standardy, které řídí federální výpočetních prostředků. Všechny Suite B algoritmy jsou schváleny standardem FIPS.

    Další informace naleznete na následujícím webu:
    http://www.ITL.nist.gov/fipspubs/geninfo.htm
  • NIST

    To je zkratka z anglického národního institutu standardů a technologie.
  • Algoritmy integrity dat.

    Algoritmy integrity dat pomocí hodnot hash message a ujistěte se, že nedojde ke změně informace při přenosu.
  • Algoritmy šifrování dat

    Algoritmy šifrování dat slouží ke skrytí informací, která byla přenesena. Šifrovací algoritmy se používají k převodu prostého textu do tajného kódu.

    Například šifrovací algoritmy můžete převést ve formátu prostého textu na šifrovaný text. Šifrovaný text lze poté dekódovat do původního textu. Každý algoritmus používá "klíč" k provedení převodu. Typ klíče a délka klíče závisí na algoritmu, který je používán.
  • Protokol IPsec

    To je zkratka pro termín "Protokol IPSec."

    Další informace o protokolu IPsec naleznete na následujícím webu společnosti Microsoft:
    http://technet.microsoft.com/en-us/Network/bb531150.aspx
  • Eliptický křivka digitálního podpisu algoritmus (ECDSA)

    Elliptic curve (ES) je varianta algoritmu digitální podpis, který pracuje se skupinami ES. Varianta ES poskytuje menší velikosti klíče pro stejnou úroveň zabezpečení.

    Tento algoritmus je popsán v publikaci FIPS 186-2. Tuto publikaci, naleznete na následujícím webu:
    http://csrc.nist.gov/Publications/FIPS/archive/fips186-2/fips186-2.PDF
  • Certifikační úřad (CÚ)

    Certifikační úřad je entita, která vydává digitální certifikáty. Pomocí těchto certifikátů jako metoda ověřování protokolu IPsec.
  • AH (Authentication Header)

    Hlavička ověření je protokol IPsec, který zajišťuje ověření, integritu a ochranu před zneužitím funkce celého paketu. To zahrnuje hlavičku protokolu IP a datová část.

    AH neposkytuje důvěrnosti. To znamená, že AH nešifruje data. Data jsou čitelné, ale je nelze zapsat.
  • Encapsulating Security Payload (ESP)

    ESP je protokol IPsec, který zajišťuje důvěrnost, ověřování, integritu a ochranu před zneužitím funkce. Protokol ESP lze použít samostatně, nebo lze použít společně s AH.

Algoritmy pro hlavní režim

V systému Windows Vista SP1 a Windows Server 2008 jsou podporovány následující algoritmy integrity kromě těchto algoritmů, které jsou již podporována v prodejní verzi systému Windows Vista:
  • SHA-256
  • SHA-384
Poznámka: Algoritmus výměny klíčů a algoritmus šifrování se nezmění.

Algoritmy pro rychlý režim

V systému Windows Vista SP1 a Windows Server 2008 jsou podporovány následující algoritmy kromě těchto algoritmů, které jsou již podporována v prodejní verzi systému Windows Vista.

Integrita (AH nebo ESP)

  • SHA-256
  • AES-GMAC-128
  • AES-GMAC-192
  • AES-GMAC-256

Integrita a šifrování (pouze ESP)

  • AES-GCM-128
  • AES-GCM 192
  • AES-GCM 256
Další informace o protokolu AH a ESP kombinacemi, které jsou podporovány a nejsou podporovány, naleznete v tématu "rychlý režim kryptografický algoritmus kombinace, které jsou podporované a nepodporované" oddílu.

Omezení rychlého režimu

  • Stejný algoritmus integrity by měla sloužit pro algoritmus AH a ESP.
  • K dispozici algoritmus integrity, který má hodnotu null šifrování algoritmy AES-GMAC. Proto pokud některé z těchto algoritmů nejsou určeny pro integritu ESP, nelze zadat šifrovací algoritmus.
  • Pokud používáte algoritmus AES-GCM, stanovit stejný algoritmus pro integritu ESP a šifrování.

Ověřování

V systému Windows Vista SP1 a Windows Server 2008 jsou podporovány následující metody ověřování kromě tyto metody ověřování, které jsou již podporována v prodejní verzi systému Windows Vista.
  • Počítačový certifikát s podepisováním algoritmu ECDSA P256
  • Počítačový certifikát s podepisováním algoritmu ECDSA P384
Poznámka: Výchozí metoda ověřování v systému Windows Vista je ověřování RSA SecurId.

Syntaxe a příklady

Tato část popisuje syntaxi pro použití příkazu Netsh advfirewall můžete přidat a upravit pravidla zabezpečení připojení. Tato část obsahuje také příklady příkazů Netsh advfirewall .

Přidat pravidlo zabezpečení připojení

Netsh advfirewall
Usage: add rule name=<string>
      endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
      endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
      action=requireinrequestout|requestinrequestout|
         requireinrequireout|noauthentication
      [description=<string>]
      [mode=transport|tunnel (default=transport)]
      [enable=yes|no (default=yes)]
      [profile=public|private|domain|any[,...] (default=any)]
      [type=dynamic|static (default=static)]
      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
      [port1=0-65535|any (default=any)]
      [port2=0-65535|any (default=any)]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
      [interfacetype=wiresless|lan|ras|any (default=any)]
      [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
         computerntlm|anonymous[,...]]
      [auth1psk=<string>]
      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1healthcert=yes|no (default=no)]
      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap256healthcert=yes|no (default=no)]
      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap384healthcert=yes|no (default=no)]
      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
      [auth2ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
      [qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
         none (default=none)]
      [qmsecmethods=
         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
         |default]
        
Remarks:

      - The rule name should be unique, and it cannot be "all."
      - When mode=tunnel, both tunnel endpoints must be specified and must be
        the same IP version. Also, the action must be requireinrequireout.
      - At least one authentication must be specified.
      - Auth1 and auth2 can be comma-separated lists of options.
      - The "computerpsk" and "computerntlm" methods cannot be specified together
        for auth1.
      - Computercert cannot be specified with user credentials for auth2.
     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
      - Qmsecmethods can be a list of proposals separated by a comma (,).
      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
        encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
      - If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.  
     -  sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista. 
      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The default value for certmapping and for excludecaname is "no."
      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Příklad 1
Zvažte následující příklad příkazu Netsh advfirewall :
Netsh advfirewall consec delete rule name = test1 koncovém bodě 1 = žádné endpoint2 = jakákoli akce = requestinrequestout popis = "certifikát pro použití ECDSA256 a AESGMAC256" auth1 computercert computercertecdsap256 auth1ca = = "C = US, O = MSFT, CN = \"Microsoft North, Jih, východ a západ kořenové Authority\"" auth1healthcert = č auth1ecdsap256ca = "C = US, O MSFT, CN = = \"Microsoft North, Jih, východ a západ kořenové Authority\"" auth1ecdsap256healthcert Ano qmsecmethods = = ah: aesgmac256 + esp:aesgmac256-žádný
Tento příkaz vytvoří pravidlo zabezpečení připojení, která má následující metody ověřování ověřování, nastavení:
  • Metoda prvního ověřování je certifikát, který používá RSA podepisování certifikátů.
  • Druhou metodu ověřování je veterinární osvědčení, která používá ECDSA256 pro podepisování certifikátů.
Pravidlo zabezpečení připojení ochranu přenosu pomocí nový algoritmus AES-GMAC 256 Integrita AH a ESP. Pravidlo nezahrnuje šifrování.
Příklad 2
Zvažte následující příklad příkazu Netsh advfirewall :
Netsh advfirewall consec delete rule name = test2 koncovém bodě 1 = žádné endpoint2 = všechny akce = requestinrequestout popis = "Použití 256 SHA pro integritu" a AES192 pro šifrování auth1 = computercert auth1ca = "C = US, O = MSFT, CN = \"Microsoft North, Jih, východ a západ kořenové Authority\"" auth1healthcert bez parametru qmsecmethods = = ah: sha256 + esp:sha256-aes192
Tento příkaz vytvoří pravidlo zabezpečení připojení, která má jednu metodu ověřování ověřování nastavena. Metodu ověřování je certifikát, který používá RSA podepisování certifikátů.

Pravidlo zabezpečení připojení ochranu přenosu pomocí protokolu AH a ESP integrity SHA256 k zajištění integrity a šifrování AES192.

Úprava existujícího pravidla zabezpečení připojení

Netsh advfirewall
Usage: set rule
      group=<string> | name=<string>
      [type=dynamic|static]
      [profile=public|private|domain|any[,...] (default=any)]
      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [port1=0-65535|any]
      [port2=0-65535|any]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
      new
      [name=<string>]
      [profile=public|private|domain|any[,...]]
      [description=<string>]
      [mode=transport|tunnel]
      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [action=requireinrequestout|requestinrequestout|
         requireinrequireout|noauthentication]
      [enable=yes|no]
      [type=dynamic|static]
      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
      [port1=0-65535|any]
      [port2=0-65535|any]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
      [interfacetype=wiresless|lan|ras|any]
     [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
         computerntlm|anonymous[,...]]
      [auth1psk=<string>]
      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1healthcert=yes|no (default=no)]
      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap256healthcert=yes|no (default=no)]
      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap384healthcert=yes|no (default=no)]
      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
      [auth2ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
      [qmsecmethods=
         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
         default]


Remarks:

      - This sets a new parameter value on an identified rule. The command fails
        if the rule does not exist. To create a rule, use the "add" command.
      - Values after the new keyword are updated in the rule.  If there are
        no values, or if the "new" keyword is missing, no changes are made.
      - Only a group of rules can be enabled or disabled.
      - If multiple rules match the criteria, all matching rules are 
        updated.
      - The rule name should be unique, and it cannot be "all."
      - Auth1 and auth2 can be comma-separated lists of options.
      - The computerpsk and computerntlm methods cannot be specified together
        for auth1.
      - Computercert cannot be specified by using user credentials for auth2.
     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.  
      - Qmsecmethods can be a list of proposals that are separated by a comma (,).
      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
        encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
      - If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.  
     -  Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
      - If qmsemethods are set to "default," qmpfs will be set to "default" also.
      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The default value for "certmapping" and "excludecaname" is "no."
      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Následuje příklad příkazu, který aktualizuje pravidla, která byla vytvořena v "Příklad 1" v předchozí části:
Netsh advfirewall consec nastavit název pravidla = test nového parametru qmsecmethods = ah: aesgmac256 + esp:aesgcm256-aesgcm256
Tento příkaz aktualizuje pravidlo používat pro integritu ESP a šifrování AES-GCM 256 a AES-GMAC 256 Integrita AH.

Globální nastavení hlavního režimu

Následující text nápovědy je k příkazu Netsh advfirewall nastavit globální .
netsh advfirewall>set global

Usage: set global statefulftp|statefulpptp  enable|disable|notconfigured
      set global IPsec (parameter) (value)
      set global mainmode (parameter) (value) | notconfigured

IPsec Parameters:

      strongcrlcheck    - Configures how CRL checking is enforced.
                          0: Disable CRL checking
                          1: Fail if cert is revoked and the CRL exists in the client’s CRL cache (default behavior)and the CRL exists in the client’s CRL cache (default behavior)                          2: Fail on any error
                          notconfigured: Returns the value to its unconfigured state.
      saidletimemin     - Configures the security association idle time in
                          minutes.
                        - Usage: 5-60|notconfigured (default=5)
      defaultexemptions - Configures the default IPsec exemptions. The default is
                          to exempt IPv6 neighbordiscovery protocol from
                          IPsec.
                        - Usage: none|neighbordiscovery|notconfigured

Main Mode Parameters:

      mmkeylifetime     - Sets the main mode key lifetime in minutes, in sessions, or in both.
                        - Usage: <num>min,<num>sess
      mmsecmethods      - Configures the main mode list of proposals
                        - Usage:
                          keyexch:enc-integrity,enc-integrity[,...]|default
                        - keyexch=dhgroup1|dhgroup2|dhgroup14|
                          ecdhp256|ecdhp384
                        - enc=3des|des|aes128|aes192|aes256
                        - integrity=md5|sha1|sha256|sha384

Remarks:

      - This configures global settings, such as advanced IPsec options.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The mmsecmethods keyword default sets the policy to the following:
        dhgroup2-aes128-sha1,dhgroup2-3des-sha1
      - Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
Následuje příklad příkazu, který používá nový algoritmus SHA v kryptografických nastavení hlavního režimu:
Netsh advfirewall nastavit dhgroup1:3des global mainmode mmsecmethods-sha256, 3des sha384

Poradce při potížích, konfiguraci a ověření příkazů

Příkazu "Netsh advfirewall consec show rule všechny"

Příkaz Netsh advfirewall consec show všechna pravidla zobrazí konfiguraci pro všechna pravidla zabezpečení připojení.

Následuje příklad výstupu tohoto příkazu.
Rule Name:				test
Enabled:					Yes
Profiles:					Domain,Private,Public
Type:					Static
Mode:					Transport
Endpoint1:				Any
Endpoint2:				Any
Protocol:					Any
Action:					RequestInRequestOut
Auth1:					ComputerPSK
Auth1PSK:				         12345
MainModeSecMethods			         ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethods			AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb

Příkazu "Netsh advfirewall monitor show mmsa"

Příkaz Netsh advfirewall monitor show mmsa zobrazí přidružení zabezpečení hlavního režimu.

Následuje příklad výstupu tohoto příkazu.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:				157.59.24.101
Remote IP Address:			         157.59.24.119
My ID:
Peer ID:
First Auth:				ComputerPSK
Second Auth:				None
MM Offer:				         ECDHAP384-3DES-SHA256
Cookie Pair:				203d57505:5d088705
Health Pair:				No
Ok.

Příkazu "Netsh advfirewall monitor show qmsa"

Příkaz Netsh advfirewall monitor show qmsa zobrazí přidružení zabezpečení v rychlém režimu.

Následuje příklad výstupu tohoto příkazu.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:				157.59.24.101
Remote IP Address:			         157.59.24.119
Local Port:				Any
Remote Port:				Any
Protocol:					Any
Direction:				Both
QM Offer:				         AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb	
Ok.

Příkazu "Netsh advfirewall show global"

Příkaz Netsh advfirewall show global zobrazí globální nastavení.

Následuje příklad výstupu tohoto příkazu.
Global Settings:
IPsec:					
StrongCRLCheck				0:Disabled
SAIdleTimeMin				5min
DefaultExemptions			         NeighborDiscovery
IPsecThroughNAT			         Server and client behind NAT

StatefulFTP				Enable
StatefulPPTP				Enable

Main Mode:
KeyLifetime				2min,0sess
SecMethods				DHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384

Spolupráce

Vytváření, vynucení a správu zásad protokolu IPsec, který používá algoritmy Suite B byla zavedena v aktualizaci Windows Vista SP1 a Windows Server 2008. Chcete-li spravovat Zásady skupiny, který obsahuje algoritmy Suite B pouze pomocí nástroje, které byly vydány aktualizace Windows Vista SP1 nebo Windows Server 2008.

Ukázkové scénáře a očekávané výsledky jsou.

Scénář 1

Pomocí nové kryptografické algoritmy použít zásadu, která je vytvořena v počítači se systémem Windows Server 2008 nebo Windows Vista SP1 do počítače se systémem verze systému Windows Vista.
Očekávaný výsledek
Pokud pravidlo obsahuje kryptografické sad, které používají nové kryptografické algoritmy, jsou vynechány tyto sady kryptografických a jiné sady kryptografických sady kryptografických používají místo.

Pokud jsou rozpoznány žádné sady kryptografických v pravidle, celé pravidlo je zrušen. Je zaznamenána událost označující, že pravidlo nelze zpracovat. Proto pokud jsou vynechány všechny sady kryptografických v kryptografických nastavení výměny klíčů, žádná pravidla zabezpečení připojení v zásadách jsou použity. Všechny pravidla brány firewall jsou však stále uplatňují.

Proces ověření sady se podobá procesu sada kryptografických nastavení. Pokud zásady, která obsahuje nový certifikát příznaky (ECDSA P256 nebo algoritmu ECDSA P384) platí pro počítače se systémem verze systému Windows Vista, jsou vynechány metody ověřování.

Z tohoto důvodu ztracené všechny metody ověřování v první sadě ověřování jsou celé pravidlo není zpracován. Ztracené všechny metody ověřování v druhé sadě ověřovací pravidlo zpracováváno pomocí první ověření nastavení.

Scénář 2

V počítači je spuštěna verze systému Windows Vista použijte nové kryptografické algoritmy zásadách, která byla vytvořena v počítači se systémem Windows Server 2008 nebo Windows Vista SP1.
Očekávaný výsledek
Nové algoritmy jsou zobrazeny jako "Neznámé" v sledování a vytváření součástí modulu snap-in MMC služby Windows Firewall rozšířené zabezpečení. Příkaz Netsh advfirewall také zobrazí algoritmy jako "Neznámé" v systému Windows Vista.

Omezení interoperability

Omezení spolupráce jsou následující:
  • Vzdálená správa zásady, které používají v počítačích se systémem Windows Vista SP1 nebo Windows Server 2008 z počítače se systémem verze systému Windows Vista Suite B algoritmy nepodporujeme.
  • Při importu zásad, který je vytvořen v počítači se systémem Windows Vista SP1 nebo Windows Server 2008 do počítače se systémem verze systému Windows Vista, jsou vynechány některé části politiky. K tomu dochází, protože verze systému Windows Vista nelze rozpoznat nové algoritmy.

Kombinace rychlý režim kryptografických algoritmů, které jsou podporované a nepodporované

V následující tabulce jsou uvedeny podporované kombinace kryptografický algoritmus rychlý režim.
Zmenšit tuto tabulkuRozšířit tuto tabulku
ProtokolAH IntegrityIntegrita ESPŠifrování
AHAES-GMAC 128ŽádnýŽádný
AHAES-GMAC 192ŽádnýŽádný
AHAES-GMAC 256ŽádnýŽádný
AHSHA256ŽádnýŽádný
AHSHA1ŽádnýŽádný
AHMD5ŽádnýŽádný
ESPŽádnýAES-GMAC 128Žádný
ESPŽádnýAES-GMAC 192Žádný
ESPŽádnýAES-GMAC 256Žádný
ESPŽádnýSHA256Žádný
ESPŽádnýSHA1Žádný
ESPŽádnýMD5Žádný
ESPŽádnýSHA256Žádné podporované šifrovací algoritmus s výjimkou algoritmy AES-GCM
ESPŽádnýSHA1Žádné podporované šifrovací algoritmus s výjimkou algoritmy AES-GCM
ESPŽádnýMD5Žádné podporované šifrovací algoritmus s výjimkou algoritmy AES-GCM
ESPŽádnýAES-GCM 128AES-GCM 128
ESPŽádnýAES-GCM 192AES-GCM 192
ESPŽádnýAES-GCM 256AES-GCM 256
AH + ESPAES-GMAC 128AES-GMAC 128Žádný
AH + ESPAES-GMAC 128AES-GMAC 128Žádný
AH + ESPAES-GMAC 128AES-GMAC 128Žádný
AH + ESPSHA-256SHA-256Žádný
AH + ESPSHA1SHA1Žádný
AH + ESPMD5MD5Žádný
AH + ESPSHA256SHA256Žádné podporované šifrovací algoritmus s výjimkou algoritmy AES-GCM
AH + ESPSHA1SHA1Žádné podporované šifrovací algoritmus s výjimkou algoritmy AES-GCM
AH + ESPMD5MD5Žádné podporované šifrovací algoritmus s výjimkou algoritmy AES-GCM
AH + ESPAES-GMAC 128AES-GCM 128AES-GCM 128
AH + ESPAES-GMAC 192AES-GCM 192AES-GCM 192
AH + ESPAES-GMAC 256AES-GCM 256AES-GCM 256
Poznámka: AES-GMAC je stejný jako AES-GCM šifrováním null. Například můžete zadat Integrita AH použít AES-GMAC 128 a můžete určit integritu ESP použít AES-GCM 128. Toto je jediná výjimka z pravidla, že musí být identické integritu algoritmus AH a ESP.

Kombinace, které jsou popsány v následující tabulce nejsou podporovány.
Zmenšit tuto tabulkuRozšířit tuto tabulku
ProtokolAH IntegrityIntegrita ESPŠifrování
ESPŽádnýAES-GMAC 128Všechny podporované šifrovací algoritmus
ESPŽádnýAES-GMAC 192Všechny podporované šifrovací algoritmus
ESPŽádnýAES-GMAC 256Všechny podporované šifrovací algoritmus
ESPŽádnýAES-GCM 1281. Žádný
2. Všechny šifrovací algoritmus s výjimkou AES-GCM 128
ESPŽádnýAES-GCM 1921. Žádný
2. Všechny šifrovací algoritmus s výjimkou AES-GCM 192
ESPŽádnýAES-GCM 2561. Žádný
2. Všechny šifrovací algoritmus s výjimkou AES-GCM 256
AH + ESPAES-GMAC 128AES-GMAC 128Všechny podporované šifrovací algoritmus
AH + ESPAES-GMAC 192AES-GMAC 192Všechny podporované šifrovací algoritmus
AH + ESPAES-GMAC 256AES-GMAC 256Všechny podporované šifrovací algoritmus
Další informace o Suite B naleznete na následujícím webu:
http://www.nsa.gov/IA/Programs/suiteb_cryptography/index.shtml
Další informace o pravidlech zabezpečení připojení a protokolu IPsec naleznete na následujícím webu společnosti Microsoft:
http://go.microsoft.com/fwlink/?LinkId=96525
Další informace o kryptografii generace v systému Windows Server 2008 naleznete na následujícím webu společnosti Microsoft:
http://technet2.microsoft.com/windowsserver2008/en/library/532ac164-da33-4369-bef0-8f019d5a18b81033.mspx?mfr=true
Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
949299 Popis skupiny zabezpečení Crypto operátory, který byl přidán do systému Windows Vista Service Pack 1 společné konfigurace brány Windows Firewall pro protokol IPsec režimu kritéria

Vlastnosti

ID článku: 949856 - Poslední aktualizace: 21. září 2013 - Revize: 5.0
Informace v tomto článku jsou určeny pro produkt:
  • Aktualizace SP1 pro Windows Vista na těchto platformách
    • Windows Vista Business
    • Windows Vista Business 64-bit edition
    • Windows Vista Enterprise
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate
    • Windows Vista Ultimate 64-bit edition
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Klíčová slova: 
kbexpertiseinter kbhowto kbinfo kbmt KB949856 KbMtcs
Strojově přeložený článek
DŮLEŽITÉ: Tento článek je přeložen pomocí softwaru na strojový překlad Microsoft. Nepřesný či chybný překlad lze opravit prostřednictvím technologie Community Translation Framework (CTF). Microsoft nabízí strojově přeložené, komunitou dodatečně upravované články, a články přeložené lidmi s cílem zajistit přístup ke všem článkům v naší znalostní bázi ve více jazycích. Strojově přeložené a dodatečně upravované články mohou obsahovat chyby ve slovníku, syntaxi a gramatice. Společnost Microsoft není odpovědná za jakékoliv nepřesnosti, chyby nebo škody způsobené nesprávným překladem obsahu nebo jeho použitím našimi zákazníky. Více o CTF naleznete na http://support.microsoft.com/gp/machine-translation-corrections/cs.
Projděte si také anglickou verzi článku: 949856

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com