Beschreibung der Unterstützung für die Suite B-Kryptografiealgorithmen, die das IPsec in Windows Vista Service Pack 1, Windows Server 2008 und Windows 7 hinzugefügt wurde

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 949856 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Unterstützung für Windows Vista Service Pack 1 (SP1) endet am 12. Juli 2011. Um weiterhin Sicherheitsupdates für Windows zu erhalten, stellen Sie sicher, dass Sie Windows Vista mit Service Pack 2 (SP2) ausführen. Weitere Informationen finden Sie auf dieser Microsoft-Website: Die Unterstützung läuft für einige Versionen von Windows.
Alles erweitern | Alles schließen

Auf dieser Seite

EINFÜHRUNG

Dieser Artikel beschreibt die Unterstützung für die kryptografischen Suite B-Algorithmen, die in Windows Vista Service Pack 1 (SP1) und Windows Server 2008 hinzugefügt wurde. Suite B ist eine Gruppe von kryptografischen Algorithmen, die durch die Vereinigten Staaten von Amerika National Security Agency (NSA) genehmigt werden.

Suite B ist als eine interoperable Solaris cryptographic Framework zum Schutz vertraulicher Daten verwendet. Support wurde erweitert, um die Suite B-Algorithmen für die folgenden Bereiche:
  • Im Hauptmodus
  • Im Schnellmodus
  • Authentifizierungseinstellungen
Dieser Artikel beschreibt außerdem die Internet Protocol Security (IPsec) Policy-konfigurationssyntax, die Suite B-Algorithmen verwendet.

Weitere Informationen

Eingeschränkte Unterstützung

Supporteinschränkungen für Suite B umfassen Folgendes:
  • Die Erstellung und Durchsetzung von IPSec-Richtlinien mithilfe von Suite B-Algorithmen werden nur in Windows Vista Service Pack 1 (SP1), Windows Server 2008 oder in späteren Versionen von Windows.
  • Das Erstellen von Richtlinien, die Suite B-Algorithmen enthalten, wird über das "Windows-Firewall mit erweiterter Sicherheit" Microsoft Management Console (MMC)-Snap-in für Windows 7 und späteren Versionen von Windows unterstützt.
  • Der Befehl Netsh Advfirewall-Hilfe zeigt keine Konfigurationsoptionen für die Suite B-Algorithmen. Dies gilt nur für Windows Vista SP1.

Definitionen

  • Suite B

    Suite B ist ein Satz von Standards, die von der National Security Agency (NSA) angegeben werden. Suite B bietet das Unternehmen einen gemeinsamen Satz von Kryptografiealgorithmen, die verwendet werden können, um Produkte zu erstellen, die eine breite Palette von Anforderungen der US-Regierung erfüllen. Suite B enthält die Spezifikation für die folgenden Arten von Algorithmen:
    • Integrität
    • Verschlüsselung
    • Schlüsselaustausch
    • Digitale Signatur
  • Federal Information Processing Standards (FIPS)

    FIPS ist ein Satz von Richtlinien und Standards, die federal computing-Ressourcen steuern. Alle Suite-B-Algorithmen sind FIPS-bestätigten.

    Weitere Informationen finden Sie auf der folgenden Website:
    http://www.itl.nist.gov/fipspubs/geninfo.htm
  • NIST

    Dies ist ein Akronym für die National Institute of Standards and Technology.
  • Datenintegritätsalgorithmen

    Datenintegritätsalgorithmen verwenden Nachrichtenhashs, um sicherzustellen, dass die Informationen während der Übertragung nicht geändert wird.
  • Algorithmen für die Verschlüsselung von Daten

    Algorithmen für die Verschlüsselung von Daten dienen zum Ausblenden von Informationen, die übertragen werden. Die Verschlüsselungsalgorithmen werden verwendet, um nur-Text in einen geheimen Code zu konvertieren.

    Die Verschlüsselungsalgorithmen können z. B. nur-Text in verschlüsselten Text konvertieren. Der verschlüsselte Text kann dann in der ursprünglichen nur-Text decodiert werden. Jeder Algorithmus verwendet einen "Schlüssel" zum Durchführen der Konvertierung. Der Typ des Schlüssels und die Länge des Schlüssels hängt von den Algorithmus, der verwendet wird.
  • IPsec

    Dies ist eine Abkürzung für den Begriff "Internet Protocol Security".

    Weitere Informationen zu IPsec finden Sie auf der folgenden Microsoft-Website:
    http://technet.Microsoft.com/en-US/Network/bb531150.aspx
  • Elliptische Kurve Digital Signature Algorithm (ECDSA)

    Elliptische Kurve, (EG) ist eine Variante des digitalen Signatur-Algorithmus, der für die EG-Gruppen ausgeführt wird. Die EG-Variante bietet kleinere Schlüsselgrößen für die gleiche Sicherheitsstufe.

    Dieser Algorithmus wird im FIPS-Publikation 186-2 beschrieben. Zum Anzeigen dieser Publikation finden Sie auf der folgenden Website:
    http://csrc.nist.gov/publications/fips/Archive/fips186-2/fips186-2.PDF
  • Zertifizierungsstelle (CA)

    Eine Zertifizierungsstelle ist eine Entität, die digitale Zertifikate ausstellt. IPsec kann diesen Zertifikaten als Authentifizierungsmethode verwenden.
  • Authentication Header (AH)

    Authentication Header ist ein IPsec-Protokoll, die Authentifizierung, Integrität und Anti-Replay-Funktionalität für das gesamte Paket bereitstellt. Dazu gehören IP-Header und den Nutzdaten.

    AH bietet keine Vertraulichkeit. Dies bedeutet, dass die Daten von AH nicht verschlüsselt werden. Die Daten sind lesbar, aber es ist nicht schreibbar.
  • Encapsulating Security Payload (ESP)

    ESP ist ein IPsec-Protokoll, das Vertraulichkeit, Authentifizierung, Integrität und Anti-Replay-Funktionalität bereitstellt. ESP kann allein verwendet werden, oder zusammen mit AH verwendet werden.

Hauptmodus-Algorithmen

In Windows Vista SP1 und in Windows Server 2008 sind die folgenden Integritätsalgorithmen zusätzlich zu dieser Algorithmen unterstützt, die bereits in der Releaseversion von Windows Vista unterstützt werden:
  • SHA-256
  • SHA-384
Hinweis Algorithmus für den Schlüsselaustausch und den Verschlüsselungsalgorithmus werden nicht geändert.

Schnellmodus-Algorithmen

In Windows Vista SP1 und in Windows Server 2008 werden die folgenden Algorithmen zusätzlich zu diesen Algorithmen unterstützt, die bereits in der Releaseversion von Windows Vista unterstützt werden.

Integrität (AH oder ESP)

  • SHA-256
  • AES-GMAC-128
  • AES-GMAC-192
  • AES-GMAC-256

Datenintegrität und-Verschlüsselung (ESP nur)

  • AES-GCM-128
  • AES-GCM-192
  • AES-GCM-256
Weitere Informationen zu AH und ESP-Kombinationen, die unterstützt bzw. nicht unterstützt werden, finden Sie unter "Schnellmodus kryptografischen Algorithmuskombinationen unterstützt bzw. nicht unterstützt werden, die" Abschnitt.

Einschränkungen für Schnellmodus

  • Für AH und ESP sollte der gleichen Integritätsalgorithmus verwendet werden.
  • Die Algorithmen AES-GMAC stehen für Integritätsalgorithmus, der null-Verschlüsselung. Jeder dieser Algorithmen für die ESP-Integrität angegeben sind, kann daher der Verschlüsselungsalgorithmus nicht angegeben werden.
  • Wenn Sie einen AES-GCM-Algorithmus verwenden, sollten der gleiche Algorithmus für ESP-Integrität und Verschlüsselung angegeben werden.

Authentifizierung

In Windows Vista SP1 und in Windows Server 2008 werden die folgenden Authentifizierungsmethoden zusätzlich zu diesen Authentifizierungsmethoden unterstützt, die bereits in der Releaseversion von Windows Vista unterstützt werden.
  • Computerzertifikat mit ECDSA-P256 signieren
  • Computerzertifikat mit ECDSA-P384 signieren
Hinweis Die Standardauthentifizierungsmethode für Windows Vista ist RSA SecurId-Authentifizierung.

Syntax und Beispiele

Dieser Abschnitt beschreibt die Syntax für den Befehl Netsh Advfirewall hinzufügen und Ändern von Verbindungssicherheitsregeln. Dieser Abschnitt enthält auch Beispiele für Netsh Advfirewall -Befehle.

Hinzufügen einer Verbindungssicherheitsregel

Netsh advfirewall
Usage: add rule name=<string>
      endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
      endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
      action=requireinrequestout|requestinrequestout|
         requireinrequireout|noauthentication
      [description=<string>]
      [mode=transport|tunnel (default=transport)]
      [enable=yes|no (default=yes)]
      [profile=public|private|domain|any[,...] (default=any)]
      [type=dynamic|static (default=static)]
      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
      [port1=0-65535|any (default=any)]
      [port2=0-65535|any (default=any)]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
      [interfacetype=wiresless|lan|ras|any (default=any)]
      [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
         computerntlm|anonymous[,...]]
      [auth1psk=<string>]
      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1healthcert=yes|no (default=no)]
      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap256healthcert=yes|no (default=no)]
      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap384healthcert=yes|no (default=no)]
      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
      [auth2ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
      [qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
         none (default=none)]
      [qmsecmethods=
         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
         |default]
        
Remarks:

      - The rule name should be unique, and it cannot be "all."
      - When mode=tunnel, both tunnel endpoints must be specified and must be
        the same IP version. Also, the action must be requireinrequireout.
      - At least one authentication must be specified.
      - Auth1 and auth2 can be comma-separated lists of options.
      - The "computerpsk" and "computerntlm" methods cannot be specified together
        for auth1.
      - Computercert cannot be specified with user credentials for auth2.
     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
      - Qmsecmethods can be a list of proposals separated by a comma (,).
      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
        encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
      - If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.  
     -  sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista. 
      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The default value for certmapping and for excludecaname is "no."
      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Beispiel 1
Betrachten Sie das folgende Beispiel für einen Befehl Netsh Advfirewall :
Netsh Advfirewall verbind Regelnamen hinzufügen = test1 endpoint1 = alle endpoint2 = Maßnahmen = Requestinrequestout Beschreibung = "Zertifikat mit ECDSA256 und AESGMAC256" auth1 = Computercert auth1ca computercertecdsap256 = "C = US, O = MSFT, CN = 'Microsoft North, Süd, Ost und West Root Authority\' \" auth1healthcert = keine auth1ecdsap256ca = "C = US, O = MSFT, CN = \"Microsoft North, Süd, Ost und West Root Authority\"" auth1ecdsap256healthcert = Yes "qmsecmethods" = ah: aesgmac256 + Esp:aesgmac256-keine
Dieser Befehl erstellt eine Verbindungssicherheitsregel, die die folgenden Authentifizierungsmethoden in die Authentifizierung festgelegt wurde:
  • Die erste Authentifizierungsmethode ist ein Zertifikat, das RSA-Signaturzertifikat verwendet.
  • Die zweite Authentifizierungsmethode ist ein Integritätszertifikat, die ECDSA256 für das Signieren des Zertifikats verwendet.
Die Verbindungssicherheitsregel schützt den Datenverkehr mithilfe von AH und ESP-Integrität mit dem neuen GMAC-AES-256-Algorithmus. Die Regel enthält keine Verschlüsselung.
Beispiel 2
Betrachten Sie das folgende Beispiel für einen Befehl Netsh Advfirewall :
Netsh Advfirewall verbind Regelnamen hinzufügen = test2 endpoint1 = alle endpoint2 = jede Aktion = Requestinrequestout Beschreibung = "Verwenden SHA-256 für Integrität" und für die Verschlüsselung AES192 "Auth1" = Computercert auth1ca = "C = US, O = MSFT, CN = 'Microsoft North, Süd, Ost und West Root Authority\' \" auth1healthcert keine Qmsecmethods = = ah: sha256 + Esp:sha256-aes192
Dieser Befehl erstellt eine Verbindungssicherheitsregel, die eine Authentifizierungsmethode bei der Authentifizierung. Die Authentifizierungsmethode ist ein Zertifikat, das RSA-Signaturzertifikat verwendet.

Die Verbindungssicherheitsregel schützt den Datenverkehr mithilfe von AH und ESP-Integrität mit SHA256 für Integrität und AES192 für die Verschlüsselung.

Eine bestehende Verbindungssicherheitsregel ändern

Netsh advfirewall
Usage: set rule
      group=<string> | name=<string>
      [type=dynamic|static]
      [profile=public|private|domain|any[,...] (default=any)]
      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [port1=0-65535|any]
      [port2=0-65535|any]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
      new
      [name=<string>]
      [profile=public|private|domain|any[,...]]
      [description=<string>]
      [mode=transport|tunnel]
      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [action=requireinrequestout|requestinrequestout|
         requireinrequireout|noauthentication]
      [enable=yes|no]
      [type=dynamic|static]
      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
      [port1=0-65535|any]
      [port2=0-65535|any]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
      [interfacetype=wiresless|lan|ras|any]
     [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
         computerntlm|anonymous[,...]]
      [auth1psk=<string>]
      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1healthcert=yes|no (default=no)]
      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap256healthcert=yes|no (default=no)]
      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap384healthcert=yes|no (default=no)]
      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
      [auth2ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
      [qmsecmethods=
         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
         default]


Remarks:

      - This sets a new parameter value on an identified rule. The command fails
        if the rule does not exist. To create a rule, use the "add" command.
      - Values after the new keyword are updated in the rule.  If there are
        no values, or if the "new" keyword is missing, no changes are made.
      - Only a group of rules can be enabled or disabled.
      - If multiple rules match the criteria, all matching rules are 
        updated.
      - The rule name should be unique, and it cannot be "all."
      - Auth1 and auth2 can be comma-separated lists of options.
      - The computerpsk and computerntlm methods cannot be specified together
        for auth1.
      - Computercert cannot be specified by using user credentials for auth2.
     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.  
      - Qmsecmethods can be a list of proposals that are separated by a comma (,).
      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
        encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
      - If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.  
     -  Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
      - If qmsemethods are set to "default," qmpfs will be set to "default" also.
      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The default value for "certmapping" and "excludecaname" is "no."
      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Im folgenden ist ein Beispiel für einen Befehl, die Regel, die in erstellt wurde, aktualisiert "Beispiel 1" im vorherigen Abschnitt:
Netsh Advfirewall verbind legen Sie Regelnamens = Test neue Qmsecmethods = ah: aesgmac256 + Esp:aesgcm256-aesgcm256
Dieser Befehl aktualisiert die Regel für die ESP-Integrität und Verschlüsselung AES-GCM 256 verwenden und AES-GMAC 256 für AH-Integrität verwenden.

Legen Sie die globale Einstellungen des Hauptmodus

Der folgende Hilfetext ist für den Befehl Netsh Advfirewall global festlegen .
netsh advfirewall>set global

Usage: set global statefulftp|statefulpptp  enable|disable|notconfigured
      set global IPsec (parameter) (value)
      set global mainmode (parameter) (value) | notconfigured

IPsec Parameters:

      strongcrlcheck    - Configures how CRL checking is enforced.
                          0: Disable CRL checking
                          1: Fail if cert is revoked and the CRL exists in the client?s CRL cache (default behavior)and the CRL exists in the client?s CRL cache (default behavior)                          2: Fail on any error
                          notconfigured: Returns the value to its unconfigured state.
      saidletimemin     - Configures the security association idle time in
                          minutes.
                        - Usage: 5-60|notconfigured (default=5)
      defaultexemptions - Configures the default IPsec exemptions. The default is
                          to exempt IPv6 neighbordiscovery protocol from
                          IPsec.
                        - Usage: none|neighbordiscovery|notconfigured

Main Mode Parameters:

      mmkeylifetime     - Sets the main mode key lifetime in minutes, in sessions, or in both.
                        - Usage: <num>min,<num>sess
      mmsecmethods      - Configures the main mode list of proposals
                        - Usage:
                          keyexch:enc-integrity,enc-integrity[,...]|default
                        - keyexch=dhgroup1|dhgroup2|dhgroup14|
                          ecdhp256|ecdhp384
                        - enc=3des|des|aes128|aes192|aes256
                        - integrity=md5|sha1|sha256|sha384

Remarks:

      - This configures global settings, such as advanced IPsec options.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The mmsecmethods keyword default sets the policy to the following:
        dhgroup2-aes128-sha1,dhgroup2-3des-sha1
      - Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
Es folgt ein Beispiel für einen Befehl, der die neuen SHA-Algorithmen in der Hauptmodus-Kryptografiesatz verwendet:
Netsh Advfirewall set global Mainmode-Mmsecmethods-Dhgroup1:3des-sha256, sha384-3des

Fehlerbehebung, Konfiguration und Überprüfung von Befehlen

Den Befehl "Netsh Advfirewall Consec Show rule all"

Der Befehl Netsh Advfirewall verbind Regel alle anzeigen zeigt die Konfiguration für alle Verbindungssicherheitsregeln.

Der folgende Code ist ein Beispiel der Ausgabe für diesen Befehl.
Rule Name:				test
Enabled:					Yes
Profiles:					Domain,Private,Public
Type:					Static
Mode:					Transport
Endpoint1:				Any
Endpoint2:				Any
Protocol:					Any
Action:					RequestInRequestOut
Auth1:					ComputerPSK
Auth1PSK:				         12345
MainModeSecMethods			         ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethods			AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb

Den Befehl "Netsh Advfirewall Monitor Show Mmsa"

Der Befehl Netsh Advfirewall Monitor show Mmsa zeigt die Sicherheitszuordnung im Hauptmodus.

Der folgende Code ist ein Beispiel der Ausgabe für diesen Befehl.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:				157.59.24.101
Remote IP Address:			         157.59.24.119
My ID:
Peer ID:
First Auth:				ComputerPSK
Second Auth:				None
MM Offer:				         ECDHAP384-3DES-SHA256
Cookie Pair:				203d57505:5d088705
Health Pair:				No
Ok.

Den Befehl "Netsh Advfirewall Monitor Show Qmsa"

Der Befehl Netsh Advfirewall Monitor show Qmsa zeigt die Schnellmodus-Sicherheitszuordnung an.

Der folgende Code ist ein Beispiel der Ausgabe für diesen Befehl.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:				157.59.24.101
Remote IP Address:			         157.59.24.119
Local Port:				Any
Remote Port:				Any
Protocol:					Any
Direction:				Both
QM Offer:				         AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb	
Ok.

Den Befehl "Netsh Advfirewall Show global"

Der Befehl Netsh Advfirewall show global Zeigt globale Einstellungen.

Der folgende Code ist ein Beispiel der Ausgabe für diesen Befehl.
Global Settings:
IPsec:					
StrongCRLCheck				0:Disabled
SAIdleTimeMin				5min
DefaultExemptions			         NeighborDiscovery
IPsecThroughNAT			         Server and client behind NAT

StatefulFTP				Enable
StatefulPPTP				Enable

Main Mode:
KeyLifetime				2min,0sess
SecMethods				DHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384

Interoperabilität

Erstellung, Durchsetzung und Verwaltung der IPsec-Richtlinie, die Suite B-Algorithmen verwendet, wurde in Windows Vista SP1 und Windows Server 2008 eingeführt. Sie können Gruppenrichtlinien verwalten, die Suite B-Algorithmen nur mithilfe von Tools, die freigegeben wurden mit Windows Vista SP1 oder Windows Server 2008 enthält.

Beispielszenarien und erwarteten Ergebnisse lauten wie folgt.

Szenario 1

Sie verwenden die neuen kryptografischen Algorithmen, eine Richtlinie anzuwenden, die auf einem Computer erstellt wird, die Windows Server 2008 oder Windows Vista SP1 auf einem Computer ausgeführt wird, auf dem die Releaseversion von Windows Vista ausgeführt wird.
Erwartetes Ergebnis
Enthält eine Regel kryptografischen Suites, die neuen kryptografischen Algorithmen verwenden, kryptografischen Suite werden gelöscht und anderen kryptografischen Suites in den kryptografischen dienen.

Wenn keiner der in der Regel die kryptografischen Suites erkannt werden, wird die ganze Regel gelöscht. Ein Ereignis wird protokolliert, der angibt, dass die Regel verarbeitet werden kann. Wenn alle kryptografische Sammlungen in der Schlüsselaustausch Kryptografiesatz gelöscht wurden, werden daher keines der Verbindungssicherheitsregeln in der Gruppenrichtlinie angewendet. Allerdings werden alle Firewall-Regeln weiterhin angewendet.

Der Authentifizierungsprozess Satz ähnelt der kryptografischen Prozesses. Wenn eine Richtlinie enthält, die werden das neue Zertifikat Flags (ECDSA-P256 oder ECDSA-P384) auf einem Computer, auf der die Releaseversion von Windows Vista ausgeführt wird, Authentifizierungsmethoden werden gelöscht.

Wenn alle Authentifizierungsmethoden in der ersten Authentifizierung aus diesem Grund gelöscht werden, wird die ganze Regel nicht verarbeitet. Wenn alle Authentifizierungsmethoden in der zweiten Authentifizierung gelöscht werden, wird die Regel nur für die erste Authentifizierung mit verarbeitet festgelegt.

Szenario 2

Auf einem Computer, auf dem die Releaseversion von Windows Vista ausgeführt wird, verwenden Sie die neuen kryptografischen Algorithmen, eine Richtlinie anzuzeigen, die auf einem Computer erstellt wurde, auf dem Windows Server 2008 oder Windows Vista SP1 ausgeführt wird.
Erwartetes Ergebnis
Die neuen Algorithmen werden als "Unbekannt" in die Überwachung und authoring-Teil der Windows-Firewall Erweiterte Sicherheitseinstellungen MMC-Snap-in angezeigt. Der Befehl Netsh Advfirewall zeigt auch die Algorithmen als "Unbekannt" in Windows Vista.

Einschränkungen für Interoperabilität

Auf Interoperabilität lauten wie folgt:
  • Wir unterstützen keine remote-Verwaltung von Richtlinien, die Suite B-Algorithmen auf Computern verwenden, die Windows Vista SP1 oder Windows Server 2008 auf einem Computer ausführen, auf dem die Releaseversion von Windows Vista ausgeführt wird.
  • Wenn eine Richtlinie, die auf einem Computer erstellt wird, die Windows Vista SP1 oder Windows Server 2008 ausgeführt wird auf einem Computer importiert wird, die die Releaseversion von Windows Vista ausgeführt wird, werden einige Teile der Richtlinie gelöscht. Dies tritt auf, weil die Releaseversion von Windows Vista die neuen Algorithmen nicht erkennen kann.

Schnellmodus kryptografischen Algorithmus Kombinationen aus, die unterstützt bzw. nicht unterstützt werden

Der folgenden Tabelle werden die unterstützte Kombinationen von Schnellmodus kryptografischen Algorithmus.
Tabelle minimierenTabelle vergrößern
ProtokollAH IntegritätESP-IntegritätVerschlüsselung
AHAES-GMAC 128KeineKeine
AHAES-GMAC 192KeineKeine
AHAES-GMAC 256KeineKeine
AHSHA256KeineKeine
AHSHA1KeineKeine
AHMD5KeineKeine
ESPKeineAES-GMAC 128Keine
ESPKeineAES-GMAC 192Keine
ESPKeineAES-GMAC 256Keine
ESPKeineSHA256Keine
ESPKeineSHA1Keine
ESPKeineMD5Keine
ESPKeineSHA256Alle unterstützten except-Algorithmen AES-GCM-Verschlüsselungsalgorithmus
ESPKeineSHA1Alle unterstützten except-Algorithmen AES-GCM-Verschlüsselungsalgorithmus
ESPKeineMD5Alle unterstützten except-Algorithmen AES-GCM-Verschlüsselungsalgorithmus
ESPKeineAES-GCM-128AES-GCM-128
ESPKeineAES-GCM 192AES-GCM 192
ESPKeineAES-GCM-256AES-GCM-256
AH + ESPAES-GMAC 128AES-GMAC 128Keine
AH + ESPAES-GMAC 128AES-GMAC 128Keine
AH + ESPAES-GMAC 128AES-GMAC 128Keine
AH + ESPSHA-256SHA-256Keine
AH + ESPSHA1SHA1Keine
AH + ESPMD5MD5Keine
AH + ESPSHA256SHA256Alle unterstützten except-Algorithmen AES-GCM-Verschlüsselungsalgorithmus
AH + ESPSHA1SHA1Alle unterstützten except-Algorithmen AES-GCM-Verschlüsselungsalgorithmus
AH + ESPMD5MD5Alle unterstützten except-Algorithmen AES-GCM-Verschlüsselungsalgorithmus
AH + ESPAES-GMAC 128AES-GCM-128AES-GCM-128
AH + ESPAES-GMAC 192AES-GCM 192AES-GCM 192
AH + ESPAES-GMAC 256AES-GCM-256AES-GCM-256
HinweisAES-GMAC ist identisch mit AES-GCM mit null-Verschlüsselung. Z. B. können Sie die Verwendung von AES-GMAC 128 AH-Integrität angeben, und Sie können ESP-Integrität Verwendung von AES-GCM 128 angeben. Dies ist die einzige Ausnahme der Regel, dass AH und ESP Integritätsalgorithmen identisch sein müssen.

Die Kombinationen aus, die in der folgenden Tabelle beschrieben sind, werden nicht unterstützt.
Tabelle minimierenTabelle vergrößern
ProtokollAH IntegritätESP-IntegritätVerschlüsselung
ESPKeineAES-GMAC 128Alle unterstützten Verschlüsselungsalgorithmus
ESPKeineAES-GMAC 192Alle unterstützten Verschlüsselungsalgorithmus
ESPKeineAES-GMAC 256Alle unterstützten Verschlüsselungsalgorithmus
ESPKeineAES-GCM-1281. Keine
2. Alle Verschlüsselungsalgorithmus außer AES-GCM-128
ESPKeineAES-GCM 1921. Keine
2. Alle Verschlüsselungsalgorithmus mit AES-GCM 192 Ausnahme
ESPKeineAES-GCM-2561. Keine
2. Alle Verschlüsselungsalgorithmus außer AES-GCM-256
AH + ESPAES-GMAC 128AES-GMAC 128Alle unterstützten Verschlüsselungsalgorithmus
AH + ESPAES-GMAC 192AES-GMAC 192Alle unterstützten Verschlüsselungsalgorithmus
AH + ESPAES-GMAC 256AES-GMAC 256Alle unterstützten Verschlüsselungsalgorithmus
Weitere Informationen zur Suite B finden Sie auf der folgenden Website:
http://www.NSA.gov/IA/Programs/suiteb_cryptography/Index.shtml
Weitere Informationen zu IPsec und Verbindungssicherheitsregeln finden Sie auf der folgenden Microsoft-Website:
http://go.Microsoft.com/fwlink/?linkid=96525
Weitere Informationen über Cryptography Next Generation in Windows Server 2008 finden Sie auf der folgenden Microsoft-Website:
http://technet2.Microsoft.com/windowsserver2008/en/Library/532ac164-da33-4369-bef0-8f019d5a18b81033.mspx?mfr=true
Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
949299 Beschreibung der Gruppe Sicherheit Crypto-Operatoren, die das Windows Vista Service Pack 1 auf Windows-Firewall für IPsec konfigurieren, gemeinsam Kriterien Modus hinzugefügt wurde

Eigenschaften

Artikel-ID: 949856 - Geändert am: Samstag, 21. September 2013 - Version: 5.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Windows Vista Service Pack 1, wenn verwendet mit:
    • Windows Vista Business
    • Windows Vista Business 64-bit edition
    • Windows Vista Enterprise
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate
    • Windows Vista Ultimate 64-bit edition
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Keywords: 
kbexpertiseinter kbhowto kbinfo kbmt KB949856 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 949856
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com