Περιγραφή της υποστήριξης για τους αλγόριθμους κρυπτογράφησης Suite B που προστέθηκε IPsec στα Windows Vista Service Pack 1, Windows Server 2008 και τα Windows 7

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 949856 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

ΕΙΣΑΓΩΓΗ

Αυτό το άρθρο περιγράφει την υποστήριξη για τους αλγόριθμους κρυπτογράφησης Suite B που προστέθηκε στο Windows Vista Service Pack 1 (SP1) και το Windows Server 2008. Οικογένεια B είναι μια ομάδα αλγόριθμους κρυπτογράφησης που έχουν εγκριθεί από τις Ηνωμένες Πολιτείες εθνικής ασφαλείας υπηρεσία (NSA).

Οικογένεια Β χρησιμοποιείται ως ένα πλαίσιο διαλειτουργικών κρυπτογράφησης για την προστασία ευαίσθητων δεδομένων. Υποστήριξη έχει επεκταθεί για τους αλγόριθμους Suite Β για τις ακόλουθες περιοχές:
  • Κύρια κατάσταση λειτουργίας
  • Γρήγορη κατάσταση λειτουργίας
  • Οι ρυθμίσεις ελέγχου ταυτότητας
Αυτό το άρθρο περιγράφει επίσης τη σύνταξη παραμέτρων πολιτικής ασφαλείας (IPsec) πρωτοκόλλου Internet που χρησιμοποιεί αλγορίθμους Suite Β.

Περισσότερες πληροφορίες

Περιορισμοί της υποστήριξης

Περιορισμοί της υποστήριξης για Suite B περιλαμβάνουν τα εξής:
  • Τη δημιουργία και την πολιτική ασφαλείας IP με χρήση αλγορίθμων Suite B υποστηρίζεται μόνο στα Windows Vista Service Pack 1 (SP1) στον Windows Server 2008 ή σε νεότερες εκδόσεις των Windows.
  • Σύνταξης των πολιτικών που περιέχουν Β Suite αλγόριθμοι υποστηρίζονται από την Κονσόλα διαχείρισης Microsoft "Των Windows το τείχος προστασίας με ασφάλεια για προχωρημένους" (MMC) συμπληρωματικό για Windows 7 και νεότερες εκδόσεις των Windows.
  • Για ναNetsh advfirewall Βοήθειαςη εντολή δεν εμφανίζει τις επιλογές παραμέτρων για τους αλγόριθμους Suite Β. Αυτό ισχύει μόνο για τα Windows Vista SP1.

Ορισμοί

  • Οικογένεια B

    Οικογένεια B είναι ένα σύνολο προτύπων που καθορίζονται από την υπηρεσία εθνικής ασφαλείας (NSA). B σουίτα παρέχει τη βιομηχανία με ένα κοινό σύνολο αλγόριθμους κρυπτογράφησης που μπορούν να χρησιμοποιηθούν για τη δημιουργία των προϊόντων που ικανοποιούν τη μεγαλύτερη περιοχή από τις ανάγκες της κυβέρνησης των η.π.α.. Οικογένεια B περιλαμβάνει λεπτομέρειες σχετικά με τους ακόλουθους τύπους αλγόριθμοι:
    • Ακεραιότητα
    • Κρυπτογράφηση
    • Ανταλλαγή κλειδιών
    • Ψηφιακή υπογραφή
  • Ομοσπονδιακή πρότυπα επεξεργασίας πληροφοριών (FIPS)

    FIPS είναι ένα σύνολο από οδηγίες και πρότυπα που διέπουν την ομοσπονδιακή πόρους υπολογιστών. Όλες οι αλγόριθμοι Suite B είναι εγκεκριμένο από το FIPS.

    Για περισσότερες πληροφορίες, επισκεφθείτε την ακόλουθη τοποθεσία στο Web:
    http://www.ITL.nist.gov/fipspubs/geninfo.htm
  • NIST

    Αυτό είναι ένα ακρωνύμιο για το Εθνικό Ινστιτούτο Προτύπων και τεχνολογίας.
  • Αλγόριθμοι ακεραιότητας δεδομένων

    Αλγόριθμοι ακεραιότητας δεδομένων χρησιμοποιούν κλειδιά κατακερματισμού του μηνύματος για να βεβαιωθείτε ότι πληροφορίες δεν θα αλλάξει ενώ είναι κατά τη μεταφορά.
  • Αλγόριθμοι κρυπτογράφησης δεδομένων

    Αλγόριθμοι κρυπτογράφησης δεδομένων χρησιμοποιούνται για την απόκρυψη πληροφοριών που μεταδίδεται. Οι αλγόριθμοι κρυπτογράφησης χρησιμοποιούνται για τη μετατροπή του απλού κειμένου σε έναν μυστικό κωδικό.

    Για παράδειγμα, οι αλγόριθμοι κρυπτογράφησης να μετατρέψετε απλού κειμένου σε ciphertext. Στη συνέχεια μπορεί να αποκωδικοποιηθεί ciphertext το με την αρχική μορφή απλού κειμένου. Κάθε αλγόριθμος χρησιμοποιεί ένα "κλειδί" για την εκτέλεση της μετατροπής. Ο τύπος του κλειδιού και το μήκος του κλειδιού εξαρτώνται από τον αλγόριθμο που χρησιμοποιείται.
  • IPsec

    Αυτή είναι μια συντομογραφία για τον όρο "Ασφάλεια πρωτοκόλλου Internet."

    Για περισσότερες πληροφορίες σχετικά με την IPsec, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
    http://TechNet.Microsoft.com/en-us/Network/bb531150.aspx
  • Για προχωρημένους Encryption Standard Galois μηνυμάτων ελέγχου ταυτότητας κώδικα (AES-GMAC)

    Αυτός ο αλγόριθμος περιγράφεται στην ειδική δημοσίευση NIST D 800-38. Για να προβάλετε αυτό το έγγραφο, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
    http://csrc.nist.gov/Publications/nistpubs/800-38D/SP-800-38D.PDF
  • Προηγμένη Βασική κρυπτογράφηση σε κατάσταση λειτουργίας Galois/Counter (AES-GCM)

    Αυτός ο αλγόριθμος περιγράφεται στην ειδική δημοσίευση NIST D 800-38. Για να προβάλετε αυτό το έγγραφο, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
    http://csrc.nist.gov/Publications/nistpubs/800-38D/SP-800-38D.PDF
  • Αλγόριθμος Elliptic καμπύλη ψηφιακής υπογραφής (ECDSA)

    Elliptic καμπύλης (EC) είναι μια παραλλαγή του αλγορίθμου ψηφιακής υπογραφής που λειτουργεί στον EC ομάδες. Το χαρακτηριστικό EC παρέχει μικρότερα μεγέθη κλειδιών για το ίδιο επίπεδο ασφαλείας.

    Αυτός ο αλγόριθμος περιγράφεται στη δημοσίευση FIPS 186-2. Για να προβάλετε αυτήν τη δημοσίευση, επισκεφθείτε την ακόλουθη τοποθεσία Web:
    http://csrc.nist.gov/Publications/FIPS/Archive/fips186-2/fips186-2.PDF
  • Αρχή έκδοσης πιστοποιητικών (CA)

    Μια αρχή έκδοσης πιστοποιητικών είναι μια οντότητα που εκδίδει ψηφιακά πιστοποιητικά. IPsec μπορεί να χρησιμοποιήσει αυτά τα πιστοποιητικά ως μέθοδος ελέγχου ταυτότητας.
  • Κεφαλίδα ελέγχου ταυτότητας (AH)

    Κεφαλίδα ελέγχου ταυτότητας είναι ένα πρωτόκολλο IPsec που παρέχει έλεγχο ταυτότητας, ακεραιότητα και anti-replay λειτουργικότητα για ολόκληρο το πακέτο. Αυτό περιλαμβάνει την κεφαλίδα IP και το ωφέλιμο φορτίο δεδομένων.

    Το πρωτόκολλο AH δεν παρέχει εχεμύθεια. Αυτό σημαίνει ότι το πρωτόκολλο AH δεν κρυπτογραφεί τα δεδομένα. Είναι δυνατή η ανάγνωση των δεδομένων, αλλά δεν είναι εγγράψιμος.
  • Ενσωματώνει Security Payload (ESP)

    ESP είναι ένα πρωτόκολλο IPsec που παρέχει εχεμύθεια, έλεγχο ταυτότητας, ακεραιότητα και anti-replay λειτουργικότητα. Το ESP μπορεί να χρησιμοποιηθεί μόνο, ή μπορεί να χρησιμοποιηθεί μαζί με το πρωτόκολλο AH.

Αλγόριθμοι κύριας κατάστασης λειτουργίας

Στα Windows Vista SP1 και Windows Server 2008, οι παρακάτω αλγόριθμοι ακεραιότητας υποστηρίζονται μαζί με τους αλγορίθμους που υποστηρίζονται ήδη στην επίσημη έκδοση των Windows Vista:
  • SHA-256
  • SHA 384
ΣΗΜΕΙΩΣΗΟ αλγόριθμος ανταλλαγής κλειδιών και τον αλγόριθμο κρυπτογράφησης δεν αλλάζουν.

Αλγόριθμοι γρήγορης κατάστασης λειτουργίας

Στα Windows Vista SP1 και Windows Server 2008, οι παρακάτω αλγόριθμοι υποστηρίζονται μαζί με τους αλγορίθμους που υποστηρίζονται ήδη στην επίσημη έκδοση των Windows Vista.

Ακεραιότητα (AH ή ESP)

  • SHA-256
  • GMAC-AES-128
  • AES GMAC 192
  • AES-GMAC-256

Ακεραιότητα και κρυπτογράφηση (ESP μόνο)

  • GCM-AES-128
  • AES GCM 192
  • AES-GCM-256
Για περισσότερες πληροφορίες σχετικά με τα πρωτόκολλα AH και ESP συνδυασμούς που υποστηρίζονται και δεν υποστηρίζονται, ανατρέξτε στην ενότητα "Γρήγορη κατάσταση λειτουργίας τον αλγόριθμο κρυπτογράφησης συνδυασμοί που που υποστηρίζονται και δεν υποστηρίζονται" ενότητα.

Περιορισμοί για τη γρήγορη κατάσταση λειτουργίας

  • Πρέπει να χρησιμοποιείται το ίδιο αλγόριθμο ακεραιότητας για το πρωτόκολλο AH και ESP.
  • Οι αλγόριθμοι GMAC AES είναι διαθέσιμοι για έναν αλγόριθμο ακεραιότητας που έχει η κρυπτογράφηση null. Επομένως, αν καθοριστούν οποιονδήποτε από αυτούς τους αλγόριθμους ακεραιότητας ESP, δεν μπορεί να καθοριστεί ο αλγόριθμος κρυπτογράφησης.
  • Εάν χρησιμοποιείτε έναν αλγόριθμο GCM AES, τον ίδιο αλγόριθμο θα πρέπει να καθοριστεί για ακεραιότητας ESP και κρυπτογράφησης.

Έλεγχος ταυτότητας

Στα Windows Vista SP1 και Windows Server 2008, οι μέθοδοι ελέγχου ταυτότητας που υποστηρίζονται με αυτές τις μεθόδους ελέγχου ταυτότητας που υποστηρίζονται ήδη στην επίσημη έκδοση των Windows Vista.
  • Πιστοποιητικό υπολογιστή με υπογραφή ECDSA P256
  • Πιστοποιητικό υπολογιστή με υπογραφή ECDSA P384
ΣΗΜΕΙΩΣΗΗ προεπιλεγμένη μέθοδος ελέγχου ταυτότητας για τα Windows Vista είναι RSA SecurId ελέγχου ταυτότητας.

Σύνταξη και παραδείγματα

Αυτή η ενότητα περιγράφει τη σύνταξη για τη χρήση τουNetsh advfirewallεντολή για να προσθέσετε και να τροποποιήσετε κανόνες ασφαλείας σύνδεσης. Αυτή η ενότητα παρέχει επίσης παραδείγματαNetsh advfirewallCommands.

Προσθήκη ενός κανόνα ασφαλείας σύνδεσης

Netsh advfirewall
Usage: add rule name=<string>
      endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
      endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
      action=requireinrequestout|requestinrequestout|
         requireinrequireout|noauthentication
      [description=<string>]
      [mode=transport|tunnel (default=transport)]
      [enable=yes|no (default=yes)]
      [profile=public|private|domain|any[,...] (default=any)]
      [type=dynamic|static (default=static)]
      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
      [port1=0-65535|any (default=any)]
      [port2=0-65535|any (default=any)]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
      [interfacetype=wiresless|lan|ras|any (default=any)]
      [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
         computerntlm|anonymous[,...]]
      [auth1psk=<string>]
      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1healthcert=yes|no (default=no)]
      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap256healthcert=yes|no (default=no)]
      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap384healthcert=yes|no (default=no)]
      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
      [auth2ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
      [qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
         none (default=none)]
      [qmsecmethods=
         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
         |default]
        
Remarks:

      - The rule name should be unique, and it cannot be "all."
      - When mode=tunnel, both tunnel endpoints must be specified and must be
        the same IP version. Also, the action must be requireinrequireout.
      - At least one authentication must be specified.
      - Auth1 and auth2 can be comma-separated lists of options.
      - The "computerpsk" and "computerntlm" methods cannot be specified together
        for auth1.
      - Computercert cannot be specified with user credentials for auth2.
     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
      - Qmsecmethods can be a list of proposals separated by a comma (,).
      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
        encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
      - If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.  
     -  sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista. 
      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The default value for certmapping and for excludecaname is "no."
      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Παράδειγμα 1
Εξετάστε το ακόλουθο παράδειγμα από μιαNetsh advfirewallΕντολή:
Netsh advfirewall consec προσθέστε το όνομα του κανόνα = test1 endpoint1 = οποιαδήποτε endpoint2 = οποιαδήποτε ενέργεια = περιγραφή requestinrequestout = ” ECDSA256 χρήση πιστοποιητικών και AESGMAC256 ” auth1 = computercert, computercertecdsap256 auth1ca = ” C = US, O = MSFT, CN = \ 'Microsoft Βορράς, Νότος, Ανατολή, και Δυτική ρίζας Authority\ ’ ” auth1healthcert = δεν auth1ecdsap256ca = ” C = US, O = MSFT, CN = \ 'Microsoft Βορράς, Νότος, Ανατολή, και Δυτική ρίζας Authority\ ’ ” auth1ecdsap256healthcert = Ναι μεθόδους ασφάλειας QuickMode = ah: aesgmac256 + esp:aesgmac256-καμία
Αυτή η εντολή δημιουργεί έναν κανόνα ασφαλείας σύνδεσης που έχει τις ακόλουθες μεθόδους ελέγχου ταυτότητας με τον έλεγχο ταυτότητας οριστεί:
  • Η πρώτη μέθοδος ελέγχου ταυτότητας είναι ένα πιστοποιητικό που χρησιμοποιεί η υπογραφή πιστοποιητικού RSA.
  • Η δεύτερη μέθοδος ελέγχου ταυτότητας είναι ένα πιστοποιητικό εύρυθμης λειτουργίας που χρησιμοποιεί ECDSA256 πιστοποιητικό υπογραφής.
Ο κανόνας ασφαλείας σύνδεσης προστατεύει την κυκλοφορία χρησιμοποιώντας ακεραιότητα AH και ESP με τον νέο αλγόριθμο GMAC AES 256. Ο κανόνας δεν περιλαμβάνει κρυπτογράφηση.
Παράδειγμα 2
Εξετάστε το ακόλουθο παράδειγμα από μιαNetsh advfirewallΕντολή:
Netsh advfirewall consec προσθέστε το όνομα του κανόνα = test2 endpoint1 = οποιαδήποτε endpoint2 = οποιαδήποτε ενέργεια = περιγραφή requestinrequestout = ” χρήση 256 SHA για ακεραιότητα ” και AES192 για κρυπτογράφηση auth1 = computercert auth1ca = ” C = US, O = MSFT, CN = \ 'Microsoft Βορράς, Νότος, Ανατολή, και Δυτική ρίζας Authority\ ’ ” auth1healthcert = μεθόδους ασφάλειας QuickMode δεν = ah: sha256 + esp:sha256-aes192
Αυτή η εντολή δημιουργεί έναν κανόνα ασφαλείας σύνδεσης που έχει μία μέθοδο ελέγχου ταυτότητας σε έλεγχο ταυτότητας του σύνολο. Η μέθοδος ελέγχου ταυτότητας είναι ένα πιστοποιητικό που χρησιμοποιεί η υπογραφή πιστοποιητικού RSA.

Ο κανόνας ασφαλείας σύνδεσης προστατεύει την κυκλοφορία χρησιμοποιώντας ακεραιότητα AH και ESP με SHA256 για ακεραιότητα και AES192 για κρυπτογράφηση.

Τροποποίηση υπάρχοντος κανόνα ασφαλείας σύνδεσης

Netsh advfirewall
Usage: set rule
      group=<string> | name=<string>
      [type=dynamic|static]
      [profile=public|private|domain|any[,...] (default=any)]
      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [port1=0-65535|any]
      [port2=0-65535|any]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
      new
      [name=<string>]
      [profile=public|private|domain|any[,...]]
      [description=<string>]
      [mode=transport|tunnel]
      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [action=requireinrequestout|requestinrequestout|
         requireinrequireout|noauthentication]
      [enable=yes|no]
      [type=dynamic|static]
      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
      [port1=0-65535|any]
      [port2=0-65535|any]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
      [interfacetype=wiresless|lan|ras|any]
     [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
         computerntlm|anonymous[,...]]
      [auth1psk=<string>]
      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1healthcert=yes|no (default=no)]
      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap256healthcert=yes|no (default=no)]
      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap384healthcert=yes|no (default=no)]
      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
      [auth2ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
      [qmsecmethods=
         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
         default]


Remarks:

      - This sets a new parameter value on an identified rule. The command fails
        if the rule does not exist. To create a rule, use the "add" command.
      - Values after the new keyword are updated in the rule.  If there are
        no values, or if the "new" keyword is missing, no changes are made.
      - Only a group of rules can be enabled or disabled.
      - If multiple rules match the criteria, all matching rules are 
        updated.
      - The rule name should be unique, and it cannot be "all."
      - Auth1 and auth2 can be comma-separated lists of options.
      - The computerpsk and computerntlm methods cannot be specified together
        for auth1.
      - Computercert cannot be specified by using user credentials for auth2.
     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.  
      - Qmsecmethods can be a list of proposals that are separated by a comma (,).
      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
        encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
      - If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.  
     -  Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
      - If qmsemethods are set to "default," qmpfs will be set to "default" also.
      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The default value for "certmapping" and "excludecaname" is "no."
      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Ακολουθεί ένα παράδειγμα μιας εντολής που ενημερώνει τον κανόνα που έχει δημιουργηθεί στο "Παράδειγμα 1" στην προηγούμενη ενότητα:
Όνομα κανόνα συνόλου Netsh advfirewall consec = νέες μεθόδους ασφάλειας QuickMode δοκιμή = ah: aesgmac256 + esp:aesgcm256-aesgcm256
Αυτή η εντολή ενημερώνει τον κανόνα για να χρησιμοποιήσετε GCM AES 256 ακεραιότητας ESP και κρυπτογράφησης και να χρησιμοποιήσετε GMAC AES 256 για ακεραιότητα AH.

Ορισμός καθολικών ρυθμίσεων κύριας κατάστασης λειτουργίας

Είναι το ακόλουθο κείμενο Βοήθειας για τοNetsh advfirewall Σύνολο καθολικώνΕντολή.
netsh advfirewall>set global

Usage: set global statefulftp|statefulpptp  enable|disable|notconfigured
      set global IPsec (parameter) (value)
      set global mainmode (parameter) (value) | notconfigured

IPsec Parameters:

      strongcrlcheck    - Configures how CRL checking is enforced.
                          0: Disable CRL checking
                          1: Fail if cert is revoked (default)
                          2: Fail on any error
                          notconfigured: Returns the value to its unconfigured state.
      saidletimemin     - Configures the security association idle time in
                          minutes.
                        - Usage: 5-60|notconfigured (default=5)
      defaultexemptions - Configures the default IPsec exemptions. The default is
                          to exempt IPv6 neighbordiscovery protocol from
                          IPsec.
                        - Usage: none|neighbordiscovery|notconfigured

Main Mode Parameters:

      mmkeylifetime     - Sets the main mode key lifetime in minutes, in sessions, or in both.
                        - Usage: <num>min,<num>sess
      mmsecmethods      - Configures the main mode list of proposals
                        - Usage:
                          keyexch:enc-integrity,enc-integrity[,...]|default
                        - keyexch=dhgroup1|dhgroup2|dhgroup14|
                          ecdhp256|ecdhp384
                        - enc=3des|des|aes128|aes192|aes256
                        - integrity=md5|sha1|sha256|sha384

Remarks:

      - This configures global settings, such as advanced IPsec options.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The mmsecmethods keyword default sets the policy to the following:
        dhgroup2-aes128-sha1,dhgroup2-3des-sha1
      - Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
Ακολουθεί ένα παράδειγμα μιας εντολής που χρησιμοποιεί τη νέα αλγορίθμους SHA στο σύνολο κρυπτογράφησης κύριας κατάστασης λειτουργίας:
Netsh advfirewall Ορισμός καθολικών mainmode mmsecmethods dhgroup1:3des-sha256, 3des sha384

Αντιμετώπιση προβλημάτων ρύθμισης παραμέτρων και επαλήθευση εντολές

Η εντολή "Εμφάνιση του Netsh advfirewall consec κανόνα όλων"

Για ναNetsh advfirewall consec εμφάνιση κανόνα όλωνη εντολή εμφανίζει παραμέτρους για όλους τους κανόνες ασφαλείας σύνδεσης.

Ακολουθεί ένα δείγμα εξόδου για αυτήν την εντολή.
Rule Name:				test
Enabled:					Yes
Profiles:					Domain,Private,Public
Type:					Static
Mode:					Transport
Endpoint1:				Any
Endpoint2:				Any
Protocol:					Any
Action:					RequestInRequestOut
Auth1:					ComputerPSK
Auth1PSK:				         12345
MainModeSecMethods			         ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethods			AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb

Η εντολή "Netsh advfirewall οθόνη εκπομπής mmsa"

Για ναΤην οθόνη netsh advfirewall show mmsaη εντολή εμφανίζει το συσχετισμό ασφαλείας κύριας κατάστασης λειτουργίας.

Ακολουθεί ένα δείγμα εξόδου για αυτήν την εντολή.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:				157.59.24.101
Remote IP Address:			         157.59.24.119
My ID:
Peer ID:
First Auth:				ComputerPSK
Second Auth:				None
MM Offer:				         ECDHAP384-3DES-SHA256
Cookie Pair:				203d57505:5d088705
Health Pair:				No
Ok.

Η εντολή "Netsh advfirewall οθόνη εκπομπής qmsa"

Για ναΤην οθόνη netsh advfirewall show qmsaη εντολή εμφανίζει το συσχετισμό ασφαλείας γρήγορης κατάστασης λειτουργίας.

Ακολουθεί ένα δείγμα εξόδου για αυτήν την εντολή.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:				157.59.24.101
Remote IP Address:			         157.59.24.119
Local Port:				Any
Remote Port:				Any
Protocol:					Any
Direction:				Both
QM Offer:				         AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb	
Ok.

Η εντολή "Netsh advfirewall show καθολικό"

Για ναNetsh advfirewall show καθολικώνη εντολή εμφανίζει τις καθολικές ρυθμίσεις.

Ακολουθεί ένα δείγμα εξόδου για αυτήν την εντολή.
Global Settings:
IPsec:					
StrongCRLCheck				0:Disabled
SAIdleTimeMin				5min
DefaultExemptions			         NeighborDiscovery
IPsecThroughNAT			         Server and client behind NAT

StatefulFTP				Enable
StatefulPPTP				Enable

Main Mode:
KeyLifetime				2min,0sess
SecMethods				DHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384

Διαλειτουργικότητα

Δημιουργία, επιβολή και τη διαχείριση της πολιτικής IPsec που χρησιμοποιεί αλγορίθμους Suite B Παρουσιάστηκε στο Windows Vista SP1 και το Windows Server 2008. Μπορείτε να διαχειριστείτε μια πολιτική ομάδας που περιέχει αλγορίθμους Suite B μόνο με τη χρήση των εργαλείων που κυκλοφόρησαν με τα Windows Vista SP1 ή Windows Server 2008.

Δείγματα σεναρίων και τα αναμενόμενα αποτελέσματα είναι ως εξής.

Σενάριο 1

Μπορείτε να χρησιμοποιήσετε το νέο αλγορίθμους κρυπτογράφησης για να εφαρμόσετε μια πολιτική που έχει δημιουργηθεί σε έναν υπολογιστή που εκτελεί τον Windows Server 2008 ή Windows Vista SP1 σε έναν υπολογιστή που εκτελεί την έκδοση των Windows Vista.
Αναμενόμενο αποτέλεσμα
Εάν ένας κανόνας περιέχει τις οικογένειες προγραμμάτων κρυπτογράφησης που χρησιμοποιούν το νέο αλγορίθμους κρυπτογράφησης, απορρίπτονται αυτών των οικογενειών προγραμμάτων κρυπτογράφησης και άλλες οικογένειες προγραμμάτων κρυπτογράφησης του συνόλου κρυπτογράφησης χρησιμοποιούνται αντί για αυτό.

Εάν καμία από τις οικογένειες προγραμμάτων κρυπτογράφησης του κανόνα δεν αναγνωρίζονται, απορρίπτεται ολόκληρο τον κανόνα. Καταγράφεται ένα συμβάν που υποδεικνύει ότι δεν είναι δυνατή η επεξεργασία του κανόνα. Επομένως, εάν απορρίπτονται όλες οι οικογένειες προγραμμάτων κρυπτογράφησης στο σύνολο ανταλλαγής κλειδιών κρυπτογράφησης, κανένας από τους κανόνες ασφαλείας σύνδεσης της πολιτικής εφαρμόζονται. Ωστόσο, εξακολουθούν να εφαρμόζονται όλοι οι κανόνες τείχους προστασίας.

Διαδικασία ελέγχου ταυτότητας σύνολο μοιάζει με τη διαδικασία σύνολο κρυπτογράφησης. Εάν μια πολιτική που περιέχει το νέο σημαίες πιστοποιητικού (ECDSA P256 ή ECDSA P384) εφαρμόζεται σε έναν υπολογιστή που εκτελεί την έκδοση των Windows Vista, απορρίπτονται οι μέθοδοι ελέγχου ταυτότητας.

Εάν απορρίπτονται όλες οι μέθοδοι ελέγχου ταυτότητας στο πρώτο σύνολο ελέγχου ταυτότητας για αυτόν το λόγο, δεν γίνεται επεξεργασία του κανόνα ολόκληρο. Εάν απορρίπτονται όλες οι μέθοδοι ελέγχου ταυτότητας στο δεύτερο σύνολο ελέγχου ταυτότητας, ο κανόνας γίνεται με τη χρήση μόνο του πρώτου ελέγχου ταυτότητας οριστεί.

Σενάριο 2

Σε έναν υπολογιστή που εκτελεί την έκδοση των Windows Vista, μπορείτε να χρησιμοποιήσετε το νέο αλγορίθμους κρυπτογράφησης για να προβάλετε μια πολιτική που δημιουργήθηκε σε έναν υπολογιστή που εκτελεί τον Windows Server 2008 ή Windows Vista SP1.
Αναμενόμενο αποτέλεσμα
Οι αλγόριθμοι νέα εμφανίζονται ως “ άγνωστη ” με την παρακολούθηση και σύνταξης τμημάτων του συμπληρωματικού προγράμματος τείχους προστασίας των Windows για προχωρημένους MMC ασφαλείας-ίντσες ΗNetsh advfirewallη εντολή εμφανίζει επίσης τους αλγόριθμους ως “ άγνωστο ” στα Windows Vista.

Περιορισμοί για διαλειτουργικότητα

Περιορισμοί για διαλειτουργικότητα είναι οι εξής:
  • Δεν υποστηρίζεται απομακρυσμένη διαχείριση των πολιτικών που χρησιμοποιούν αλγορίθμους Suite B σε υπολογιστές που εκτελούν Windows Vista SP1 ή Windows Server 2008 από έναν υπολογιστή που εκτελεί την έκδοση των Windows Vista.
  • Όταν εισάγεται μια πολιτική που έχει δημιουργηθεί σε έναν υπολογιστή που εκτελεί Windows Vista SP1 ή Windows Server 2008 σε έναν υπολογιστή που εκτελεί την έκδοση των Windows Vista, ορισμένα τμήματα της πολιτικής απορρίπτονται. Αυτό συμβαίνει επειδή η επίσημη έκδοση των Windows Vista δεν μπορεί να αναγνωρίσει το νέο αλγόριθμοι.

Συνδυασμοί αλγόριθμος κρυπτογράφησης γρήγορης κατάστασης λειτουργίας που υποστηρίζονται και δεν υποστηρίζονται

Ο παρακάτω πίνακας εμφανίζει υποστηριζόμενους συνδυασμούς αλγόριθμος κρυπτογράφησης γρήγορης κατάστασης λειτουργίας.
Σύμπτυξη αυτού του πίνακαΑνάπτυξη αυτού του πίνακα
ΠρωτόκολλοAH ακεραιότηταςΑκεραιότητα ESPΚρυπτογράφηση
AHAES GMAC 128NONENONE
AHAES-GMAC 192NONENONE
AHAES-GMAC 256NONENONE
AHSHA256NONENONE
AHSHA1NONENONE
AHMD5NONENONE
ESPNONEAES GMAC 128NONE
ESPNONEAES-GMAC 192NONE
ESPNONEAES-GMAC 256NONE
ESPNONESHA256NONE
ESPNONESHA1NONE
ESPNONEMD5NONE
ESPNONESHA256Οποιαδήποτε υποστηρίζονται αλγόριθμο κρυπτογράφησης, εκτός από τους αλγόριθμους GCM AES
ESPNONESHA1Οποιαδήποτε υποστηρίζονται αλγόριθμο κρυπτογράφησης, εκτός από τους αλγόριθμους GCM AES
ESPNONEMD5Οποιαδήποτε υποστηρίζονται αλγόριθμο κρυπτογράφησης, εκτός από τους αλγόριθμους GCM AES
ESPNONEAES GCM 128AES GCM 128
ESPNONEAES GCM 192AES GCM 192
ESPNONE256 AES-GCM256 AES-GCM
AH + ESPAES GMAC 128AES GMAC 128NONE
AH + ESPAES GMAC 128AES GMAC 128NONE
AH + ESPAES GMAC 128AES GMAC 128NONE
AH + ESPSHA-256SHA-256NONE
AH + ESPSHA1SHA1NONE
AH + ESPMD5MD5NONE
AH + ESPSHA256SHA256Οποιαδήποτε υποστηρίζονται αλγόριθμο κρυπτογράφησης, εκτός από τους αλγόριθμους GCM AES
AH + ESPSHA1SHA1Οποιαδήποτε υποστηρίζονται αλγόριθμο κρυπτογράφησης, εκτός από τους αλγόριθμους GCM AES
AH + ESPMD5MD5Οποιαδήποτε υποστηρίζονται αλγόριθμο κρυπτογράφησης, εκτός από τους αλγόριθμους GCM AES
AH + ESPAES GMAC 128AES GCM 128AES GCM 128
AH + ESPAES-GMAC 192AES GCM 192AES GCM 192
AH + ESPAES-GMAC 256256 AES-GCM256 AES-GCM
ΣΗΜΕΙΩΣΗΟι υπηρεσίες AES GMAC ισοδυναμεί με GCM AES με κρυπτογράφηση null. Για παράδειγμα, μπορείτε να καθορίσετε την ακεραιότητα AH χρήσης GMAC AES 128 και μπορείτε να καθορίσετε ακεραιότητας ESP χρήσης GCM AES 128. Αυτή είναι η μόνη εξαίρεση στον κανόνα αλγόριθμους ακεραιότητα AH και ESP πρέπει να είναι ίδια.

Δεν υποστηρίζονται οι συνδυασμοί που περιγράφονται στον παρακάτω πίνακα.
Σύμπτυξη αυτού του πίνακαΑνάπτυξη αυτού του πίνακα
ΠρωτόκολλοAH ακεραιότηταςΑκεραιότητα ESPΚρυπτογράφηση
ESPNONEAES GMAC 128Κάθε αλγόριθμο κρυπτογράφησης που υποστηρίζεται
ESPNONEAES-GMAC 192Κάθε αλγόριθμο κρυπτογράφησης που υποστηρίζεται
ESPNONEAES-GMAC 256Κάθε αλγόριθμο κρυπτογράφησης που υποστηρίζεται
ESPNONEAES GCM 1281. Κανένα
2. Οποιαδήποτε αλγόριθμο κρυπτογράφησης, εκτός από GCM AES 128
ESPNONEAES GCM 1921. Κανένα
2. Οποιαδήποτε αλγόριθμο κρυπτογράφησης, εκτός από 192 GCM AES
ESPNONE256 AES-GCM1. Κανένα
2. Οποιαδήποτε αλγόριθμο κρυπτογράφησης, εκτός από τα 256 AES-GCM
AH + ESPAES GMAC 128AES GMAC 128Κάθε αλγόριθμο κρυπτογράφησης που υποστηρίζεται
AH + ESPAES-GMAC 192AES-GMAC 192Κάθε αλγόριθμο κρυπτογράφησης που υποστηρίζεται
AH + ESPAES-GMAC 256AES-GMAC 256Κάθε αλγόριθμο κρυπτογράφησης που υποστηρίζεται
Για περισσότερες πληροφορίες σχετικά με την οικογένεια προγραμμάτων B, επισκεφθείτε την ακόλουθη τοποθεσία Web:
http://www.NSA.gov/IA/Programs/suiteb_cryptography/Index.shtml
Για περισσότερες πληροφορίες σχετικά με τους κανόνες ασφαλείας IPsec και σύνδεσης, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
http://go.Microsoft.com/fwlink/?LinkId=96525
Για περισσότερες πληροφορίες σχετικά με την κρυπτογράφηση Επόμενο δημιουργίας στον Windows Server 2008, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
http://technet2.Microsoft.com/windowsserver2008/en/Library/532ac164-da33-4369-bef0-8f019d5a18b81033.mspx?mfr=TRUE
Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
949299Περιγραφή της ομάδας ασφαλείας διαχειριστών Crypto που προστέθηκε για τα Windows Vista Service Pack 1 για να ρυθμίσετε το τείχος προστασίας των Windows για IPsec σε κοινά κριτήρια λειτουργίας

Ιδιότητες

Αναγν. άρθρου: 949856 - Τελευταία αναθεώρηση: Κυριακή, 11 Σεπτεμβρίου 2011 - Αναθεώρηση: 3.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Service Pack 1 για Windows Vista στις ακόλουθες πλατφόρμες
    • Windows Vista Business
    • Windows Vista Business 64-bit edition
    • Windows Vista Enterprise
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate
    • Windows Vista Ultimate 64-bit edition
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Λέξεις-κλειδιά: 
kbexpertiseinter kbhowto kbinfo kbmt KB949856 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:949856

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com