Descripción de la compatibilidad con los algoritmos criptográficos Suite B que se agregó a IPsec en Windows Vista Service Pack 1 de Windows Server 2008 y en Windows 7

Seleccione idioma Seleccione idioma
Id. de artículo: 949856 - Ver los productos a los que se aplica este artículo
El Soporte técnico para Windows Vista Service Pack 1 (SP1) finaliza el 12 de julio de 2011. Para seguir recibiendo actualizaciones de seguridad para Windows, asegúrese de que está ejecutando Windows Vista con Service Pack 2 (SP2). Para obtener más información, consulte la página web de Microsoft: Finaliza el soporte para algunas versiones de Windows.
Expandir todo | Contraer todo

En esta página

INTRODUCCIÓN

En este artículo se describe la compatibilidad con algoritmos criptográficos de Suite B que se agregó en el Service Pack 1 (SP1) de Windows Vista y en Windows Server 2008. Suite B es un grupo de algoritmos de cifrado que están aprobados por la Agencia de seguridad nacional (NSA) de Estados Unidos.

Suite B se utiliza como una estructura criptográfica interoperable para proteger los datos confidenciales. Se ha ampliado la compatibilidad para los algoritmos de la Suite B para las siguientes áreas:
  • Modo principal
  • Modo rápido
  • Configuración de autenticación
Este artículo también describe la sintaxis de configuración de directiva de seguridad (IPsec) protocolo de Internet que utiliza algoritmos de la Suite B.

Más información

Limitaciones de compatibilidad

Limitaciones de la compatibilidad de la Suite B son las siguientes:
  • La creación y la aplicación de la directiva IPsec mediante el uso de algoritmos de la Suite B sólo se admite en Windows Vista Service Pack 1 (SP1) en Windows Server 2008 o en versiones posteriores de Windows.
  • La creación de directivas que contienen algoritmos de la Suite B se admite mediante el complemento Microsoft Management Console (MMC) de "Servidor de seguridad con avanzada seguridad de Windows" para Windows 7 y versiones posteriores de Windows.
  • El comando Netsh advfirewall ayuda no muestra las opciones de configuración para los algoritmos de la Suite B. Esto sólo se aplica a Windows Vista SP1.

Definiciones

  • Suite B

    Suite B es un conjunto de estándares que se especifican por la National Security Agency (NSA). Suite B proporciona la industria con un conjunto común de algoritmos criptográficos que se puede utilizar para crear productos que cumplan con la más amplia gama de necesidades del gobierno de Estados Unidos. Suite B incluye la especificación de los siguientes tipos de algoritmos:
    • Integridad
    • Cifrado
    • Intercambio de claves
    • Firma digital
  • Normas de procesamiento de información federal (FIPS)

    FIPS es un conjunto de directrices y estándares que rigen los recursos informáticos federales. Todos los algoritmos de Suite B son aprobados por FIPS.

    Para obtener más información, visite el siguiente sitio Web:
    http://www.ITL.nist.gov/fipspubs/geninfo.htm
  • NIST

    Esto es un acrónimo del Instituto nacional de estándares y tecnología.
  • Algoritmos de integridad de datos

    Algoritmos de integridad de datos utilizan valores hash de mensaje para asegurarse de que información no cambie mientras está en tránsito.
  • Algoritmos de cifrado de datos

    Los algoritmos de cifrado de datos se utilizan para ocultar la información que se transmite. Los algoritmos de cifrado se utilizan para convertir texto sin formato a un código secreto.

    Por ejemplo, los algoritmos de cifrado pueden convertir texto sin formato en texto cifrado. El texto cifrado se puede descifrar el texto sin formato original. Cada algoritmo utiliza una "clave" para realizar la conversión. El tipo de clave y la longitud de la clave dependen el algoritmo que se utiliza.
  • IPsec

    Esto es una abreviatura para el término "Seguridad de protocolo de Internet".

    Para obtener más información acerca de IPsec, visite el siguiente sitio Web de Microsoft:
    http://technet.Microsoft.com/en-us/Network/bb531150.aspx
  • Algoritmo de firma Digital de curva elíptica (ECDSA)

    Curva elíptica (EC) es una variante del algoritmo de firma digital que opera en los grupos de la CE. La variante de CE proporciona tamaños de clave más pequeños para el mismo nivel de seguridad.

    Este algoritmo se describe en la publicación FIPS 186-2. Para ver esta publicación, visite el siguiente sitio Web:
    http://csrc.nist.gov/publications/FIPS/Archive/fips186-2/fips186-2.PDF
  • Entidad emisora de certificados (CA)

    Una entidad emisora de certificados es una entidad que emite los certificados digitales. IPsec puede utilizar estos certificados como método de autenticación.
  • Encabezado de autenticación (AH)

    Encabezado de autenticación es un protocolo de IPsec que proporciona autenticación, integridad y anti-repetición funcionalidad para todo el paquete. Esto incluye el encabezado IP y la carga de datos.

    AH no proporciona confidencialidad. Esto significa que AH no cifra los datos. Los datos están legibles, pero es que se puede escribir.
  • De seguridad encapsuladora (ESP)

    ESP es un protocolo de IPsec que proporciona confidencialidad, autenticación, integridad y anti-repetición funcionalidad. ESP puede utilizarse solo, o se puede usar junto con AH.

Algoritmos de modo principal

En Windows Vista SP1 y en Windows Server 2008, se admiten los siguientes algoritmos de integridad además de los algoritmos que ya son compatibles con la versión de lanzamiento de Windows Vista:
  • SHA-256
  • SHA-384
Nota El algoritmo de intercambio de claves y el algoritmo de cifrado no se cambian.

Algoritmos de modo rápido

En Windows Vista SP1 y en Windows Server 2008, se admiten los siguientes algoritmos además de los algoritmos que ya son compatibles con la versión de lanzamiento de Windows Vista.

Integridad (AH o ESP)

  • SHA-256
  • GMAC-AES-128
  • AES-GMAC-192
  • GMAC-AES-256

Integridad y cifrado (ESP sólo)

  • AES-GCM-128
  • AES-GCM-192
  • AES-GCM-256
Para obtener más información acerca de las combinaciones de AH y ESP que son compatibles y no compatibles, consulte las "modo rápido algoritmo criptográfico combinaciones que son compatibles y no compatibles" sección.

Restricciones de modo rápido

  • Debe utilizarse el mismo algoritmo de integridad para AH y ESP.
  • Los algoritmos AES-GMAC están disponibles para un algoritmo de integridad con cifrado nulo. Por lo tanto, si no se especifica ninguno de estos algoritmos de integridad ESP, no se puede especificar el algoritmo de cifrado.
  • Si se utiliza un algoritmo AES-GCM, debe especificarse el mismo algoritmo de integridad ESP y cifrado.

Autenticación

En Windows Vista SP1 y en Windows Server 2008, se admiten los métodos de autenticación siguientes además de los métodos de autenticación que ya son compatibles con la versión de lanzamiento de Windows Vista.
  • Certificado de equipo con la firma ECDSA P256
  • Certificado de equipo con la firma ECDSA P384
Nota El método de autenticación predeterminado para Windows Vista es la autenticación de RSA SecurId.

Sintaxis y ejemplos

Esta sección describe la sintaxis para utilizar el comando Netsh advfirewall para agregar y modificar las reglas de seguridad. Esta sección ofrece ejemplos de comandos de Netsh advfirewall .

Agregar una regla de seguridad de conexión

Netsh advfirewall
Usage: add rule name=<string>
      endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
      endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
      action=requireinrequestout|requestinrequestout|
         requireinrequireout|noauthentication
      [description=<string>]
      [mode=transport|tunnel (default=transport)]
      [enable=yes|no (default=yes)]
      [profile=public|private|domain|any[,...] (default=any)]
      [type=dynamic|static (default=static)]
      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
      [port1=0-65535|any (default=any)]
      [port2=0-65535|any (default=any)]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
      [interfacetype=wiresless|lan|ras|any (default=any)]
      [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
         computerntlm|anonymous[,...]]
      [auth1psk=<string>]
      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1healthcert=yes|no (default=no)]
      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap256healthcert=yes|no (default=no)]
      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap384healthcert=yes|no (default=no)]
      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
      [auth2ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
      [qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
         none (default=none)]
      [qmsecmethods=
         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
         |default]
        
Remarks:

      - The rule name should be unique, and it cannot be "all."
      - When mode=tunnel, both tunnel endpoints must be specified and must be
        the same IP version. Also, the action must be requireinrequireout.
      - At least one authentication must be specified.
      - Auth1 and auth2 can be comma-separated lists of options.
      - The "computerpsk" and "computerntlm" methods cannot be specified together
        for auth1.
      - Computercert cannot be specified with user credentials for auth2.
     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
      - Qmsecmethods can be a list of proposals separated by a comma (,).
      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
        encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
      - If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.  
     -  sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista. 
      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The default value for certmapping and for excludecaname is "no."
      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Ejemplo 1
Considere el siguiente ejemplo de un comando Netsh advfirewall :
Netsh advfirewall consec agregar el nombre de la regla = Prueba1 endpoint1 = cualquier endpoint2 = cualquier acción = requestinrequestout descripción = "certificado de uso de ECDSA256 y AESGMAC256" auth1 = computercert, computercertecdsap256 auth1ca = "C = US, O = MSFT, CN = \ 'Microsoft North, South, East y West raíz Authority\'" auth1healthcert no = auth1ecdsap256ca = "C = US, O = MSFT, CN = \ 'Microsoft North, South, East y West raíz Authority\'" auth1ecdsap256healthcert = yes qmsecmethods = ah: aesgmac256 + esp:aesgmac256-ninguno
Este comando crea una regla de seguridad de conexión que tiene los siguientes métodos de autenticación en la autenticación establecido:
  • El primer método de autenticación es un certificado que utiliza el certificado de firma de RSA.
  • El segundo método de autenticación es un certificado sanitario que utiliza ECDSA256 para firmar el certificado.
La regla de seguridad de conexión protege el tráfico mediante el uso de integridad AH y ESP con el algoritmo AES-GMAC 256 nuevo. La regla no incluye cifrado.
Ejemplo 2
Considere el siguiente ejemplo de un comando Netsh advfirewall :
Netsh advfirewall consec agregar el nombre de la regla = test2 endpoint1 = cualquier endpoint2 = cualquier acción = requestinrequestout descripción = "Uso SHA 256 para integridad" y AES192 para el cifrado de auth1 = computercert auth1ca = "C = US, O = MSFT, CN = \ 'Microsoft North, South, East y West raíz Authority\'" auth1healthcert no = qmsecmethods = ah: sha256 + esp:sha256-aes192
Este comando crea una regla de seguridad de conexión que tiene un método de autenticación en la autenticación establecida. El método de autenticación es un certificado que utiliza el certificado de firma de RSA.

La regla de seguridad de conexión protege el tráfico mediante el uso de integridad AH y ESP con SHA256 para la integridad y AES192 para el cifrado.

Modificar una regla de seguridad de conexión existente

Netsh advfirewall
Usage: set rule
      group=<string> | name=<string>
      [type=dynamic|static]
      [profile=public|private|domain|any[,...] (default=any)]
      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [port1=0-65535|any]
      [port2=0-65535|any]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
      new
      [name=<string>]
      [profile=public|private|domain|any[,...]]
      [description=<string>]
      [mode=transport|tunnel]
      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [action=requireinrequestout|requestinrequestout|
         requireinrequireout|noauthentication]
      [enable=yes|no]
      [type=dynamic|static]
      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
      [port1=0-65535|any]
      [port2=0-65535|any]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
      [interfacetype=wiresless|lan|ras|any]
     [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
         computerntlm|anonymous[,...]]
      [auth1psk=<string>]
      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1healthcert=yes|no (default=no)]
      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap256healthcert=yes|no (default=no)]
      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap384healthcert=yes|no (default=no)]
      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
      [auth2ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
      [qmsecmethods=
         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
         default]


Remarks:

      - This sets a new parameter value on an identified rule. The command fails
        if the rule does not exist. To create a rule, use the "add" command.
      - Values after the new keyword are updated in the rule.  If there are
        no values, or if the "new" keyword is missing, no changes are made.
      - Only a group of rules can be enabled or disabled.
      - If multiple rules match the criteria, all matching rules are 
        updated.
      - The rule name should be unique, and it cannot be "all."
      - Auth1 and auth2 can be comma-separated lists of options.
      - The computerpsk and computerntlm methods cannot be specified together
        for auth1.
      - Computercert cannot be specified by using user credentials for auth2.
     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.  
      - Qmsecmethods can be a list of proposals that are separated by a comma (,).
      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
        encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
      - If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.  
     -  Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
      - If qmsemethods are set to "default," qmpfs will be set to "default" also.
      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The default value for "certmapping" and "excludecaname" is "no."
      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
El siguiente es un ejemplo de un comando que actualiza la regla que se ha creado en "ejemplo 1" en la sección anterior:
Nombre de la regla del conjunto de netsh advfirewall consec = qmsecmethods nueva de prueba = ah: aesgmac256 + esp:aesgcm256-aesgcm256
Este comando actualiza la regla para utilizar 256 AES-GCM para el cifrado y la integridad de ESP y utilizar GMAC de AES 256 para integridad AH.

Establecer la configuración global de modo principal

Es el siguiente texto de ayuda para el comando Netsh advfirewall set global .
netsh advfirewall>set global

Usage: set global statefulftp|statefulpptp  enable|disable|notconfigured
      set global IPsec (parameter) (value)
      set global mainmode (parameter) (value) | notconfigured

IPsec Parameters:

      strongcrlcheck    - Configures how CRL checking is enforced.
                          0: Disable CRL checking
                          1: Fail if cert is revoked and the CRL exists in the client?s CRL cache (default behavior)and the CRL exists in the client?s CRL cache (default behavior)                          2: Fail on any error
                          notconfigured: Returns the value to its unconfigured state.
      saidletimemin     - Configures the security association idle time in
                          minutes.
                        - Usage: 5-60|notconfigured (default=5)
      defaultexemptions - Configures the default IPsec exemptions. The default is
                          to exempt IPv6 neighbordiscovery protocol from
                          IPsec.
                        - Usage: none|neighbordiscovery|notconfigured

Main Mode Parameters:

      mmkeylifetime     - Sets the main mode key lifetime in minutes, in sessions, or in both.
                        - Usage: <num>min,<num>sess
      mmsecmethods      - Configures the main mode list of proposals
                        - Usage:
                          keyexch:enc-integrity,enc-integrity[,...]|default
                        - keyexch=dhgroup1|dhgroup2|dhgroup14|
                          ecdhp256|ecdhp384
                        - enc=3des|des|aes128|aes192|aes256
                        - integrity=md5|sha1|sha256|sha384

Remarks:

      - This configures global settings, such as advanced IPsec options.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The mmsecmethods keyword default sets the policy to the following:
        dhgroup2-aes128-sha1,dhgroup2-3des-sha1
      - Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
El siguiente es un ejemplo de un comando que utiliza los nuevos algoritmos SHA en el conjunto de cifrado de modo principal:
Netsh advfirewall establece modo principal global mmsecmethods dhgroup1:3des-sha256, sha384 de 3des

Comandos de solución de problemas, configuración y comprobación

El comando "Netsh advfirewall consec show regla todo"

El comando Netsh advfirewall consec show rule todos muestra la configuración de todas las reglas de seguridad de conexión.

El siguiente es un ejemplo de resultado de este comando.
Rule Name:				test
Enabled:					Yes
Profiles:					Domain,Private,Public
Type:					Static
Mode:					Transport
Endpoint1:				Any
Endpoint2:				Any
Protocol:					Any
Action:					RequestInRequestOut
Auth1:					ComputerPSK
Auth1PSK:				         12345
MainModeSecMethods			         ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethods			AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb

El comando "Netsh advfirewall monitor mostrar mmsa"

El comando Netsh advfirewall monitor show mmsa muestra la asociación de seguridad de modo principal.

El siguiente es un ejemplo de resultado de este comando.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:				157.59.24.101
Remote IP Address:			         157.59.24.119
My ID:
Peer ID:
First Auth:				ComputerPSK
Second Auth:				None
MM Offer:				         ECDHAP384-3DES-SHA256
Cookie Pair:				203d57505:5d088705
Health Pair:				No
Ok.

El comando "Netsh advfirewall monitor mostrar qmsa"

El comando Netsh advfirewall monitor show qmsa muestra la asociación de seguridad de modo rápido.

El siguiente es un ejemplo de resultado de este comando.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:				157.59.24.101
Remote IP Address:			         157.59.24.119
Local Port:				Any
Remote Port:				Any
Protocol:					Any
Direction:				Both
QM Offer:				         AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb	
Ok.

El comando "Netsh advfirewall show global"

El comando Netsh advfirewall show global muestra la configuración global.

El siguiente es un ejemplo de resultado de este comando.
Global Settings:
IPsec:					
StrongCRLCheck				0:Disabled
SAIdleTimeMin				5min
DefaultExemptions			         NeighborDiscovery
IPsecThroughNAT			         Server and client behind NAT

StatefulFTP				Enable
StatefulPPTP				Enable

Main Mode:
KeyLifetime				2min,0sess
SecMethods				DHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384

Interoperabilidad

Creación, aplicación y administración de la directiva IPsec que utiliza algoritmos de la Suite B se introdujo en Windows Vista SP1 y en Windows Server 2008. Puede administrar una directiva de grupo que contiene los algoritmos de la Suite B sólo mediante herramientas lanzadas con Windows Vista SP1 o Windows Server 2008.

Escenarios de ejemplo y los resultados esperados son los siguientes:

Escenario 1

Utilice los nuevos algoritmos de cifrado para aplicar una política que se crea en un equipo que ejecuta Windows Server 2008 o Windows Vista SP1 en un equipo que está ejecutando la versión de lanzamiento de Windows Vista.
Resultado esperado
Si una regla contiene conjuntos de cifrado que utilizan los nuevos algoritmos de cifrado, se eliminan estos conjuntos de cifrado y otros conjuntos de cifrado en el conjunto de cifrado se utilizan en su lugar.

Si se reconoce ninguno de los conjuntos de cifrado en la regla, se quita la regla completa. Se registra un suceso que indica que la regla no se puede procesar. Por lo tanto, si se quitan todos los conjuntos de cifrado en el conjunto de intercambio de claves criptográficas, ninguna de las reglas de seguridad de conexión en la directiva se aplican. Sin embargo, todavía se aplican todas las reglas de firewall.

El proceso de conjunto de autenticación es similar al proceso conjunto de cifrado. Si una directiva que contiene las nuevas marcas de certificado (ECDSA P256 o P384 de ECDSA) se aplican a un equipo que está ejecutando la versión de lanzamiento de Windows Vista, se eliminan los métodos de autenticación.

Si se quitan todos los métodos de autenticación en el primer conjunto de autenticación por este motivo, no se procesa la regla completa. Si se quitan todos los métodos de autenticación en el segundo conjunto de autenticación, se procesa la regla utilizando sólo la primera autenticación establecido.

Escenario 2

En un equipo que está ejecutando la versión de lanzamiento de Windows Vista, utilice los nuevos algoritmos de cifrado para ver una política que se creó en un equipo que ejecuta Windows Server 2008 o Windows Vista SP1.
Resultado esperado
Los nuevos algoritmos se muestran como "desconocido" en el seguimiento y la creación de partes del complemento MMC de seguridad avanzada de Firewall de Windows. El comando Netsh advfirewall también muestra los algoritmos como "desconocido" en Windows Vista.

Restricciones de interoperabilidad

Restricciones en la interoperabilidad son los siguientes:
  • No se admite la administración remota de las directivas que utilizan los algoritmos de la Suite B en equipos que ejecutan Windows Vista SP1 o Windows Server 2008 desde un equipo que está ejecutando la versión de lanzamiento de Windows Vista.
  • Cuando se importa una directiva que se crea en un equipo que está ejecutando Windows Vista SP1 o Windows Server 2008 en un equipo que está ejecutando la versión de lanzamiento de Windows Vista, se pierden algunas partes de la directiva. Esto se produce porque la versión de lanzamiento de Windows Vista no reconoce los nuevos algoritmos.

Combinaciones de algoritmos de cifrado de modo rápido que son compatibles y no compatibles

La siguiente tabla muestra combinaciones compatibles de algoritmo criptográfico de modo rápido.
Contraer esta tablaAmpliar esta tabla
ProtocoloAH integridadIntegridad ESPCifrado
AHAES-128 DE GMACNingunoNinguno
AHAES-192 DE GMACNingunoNinguno
AHAES-256 DE GMACNingunoNinguno
AHSHA256NingunoNinguno
AHSHA1NingunoNinguno
AHMD5NingunoNinguno
ESPNingunoAES-128 DE GMACNinguno
ESPNingunoAES-192 DE GMACNinguno
ESPNingunoAES-256 DE GMACNinguno
ESPNingunoSHA256Ninguno
ESPNingunoSHA1Ninguno
ESPNingunoMD5Ninguno
ESPNingunoSHA256Cualquier algoritmo de cifrado admitidos excepto los algoritmos AES-GCM
ESPNingunoSHA1Cualquier algoritmo de cifrado admitidos excepto los algoritmos AES-GCM
ESPNingunoMD5Cualquier algoritmo de cifrado admitidos excepto los algoritmos AES-GCM
ESPNingunoAES-GCM 128AES-GCM 128
ESPNingunoAES-GCM 192AES-GCM 192
ESPNingunoAES-GCM 256AES-GCM 256
AH + ESPAES-128 DE GMACAES-128 DE GMACNinguno
AH + ESPAES-128 DE GMACAES-128 DE GMACNinguno
AH + ESPAES-128 DE GMACAES-128 DE GMACNinguno
AH + ESPSHA-256SHA-256Ninguno
AH + ESPSHA1SHA1Ninguno
AH + ESPMD5MD5Ninguno
AH + ESPSHA256SHA256Cualquier algoritmo de cifrado admitidos excepto los algoritmos AES-GCM
AH + ESPSHA1SHA1Cualquier algoritmo de cifrado admitidos excepto los algoritmos AES-GCM
AH + ESPMD5MD5Cualquier algoritmo de cifrado admitidos excepto los algoritmos AES-GCM
AH + ESPAES-128 DE GMACAES-GCM 128AES-GCM 128
AH + ESPAES-192 DE GMACAES-GCM 192AES-GCM 192
AH + ESPAES-256 DE GMACAES-GCM 256AES-GCM 256
NotaAES-GMAC es el mismo que AES-GCM con cifrado nulo. Por ejemplo, puede especificar la integridad AH para utilizar GMAC de AES de 128 y puede especificar integridad ESP para utilizar AES-GCM 128. Se trata de la única excepción a la regla de que los algoritmos de integridad AH y ESP deben ser idénticos.

No se admiten las combinaciones que se describen en la tabla siguiente.
Contraer esta tablaAmpliar esta tabla
ProtocoloAH integridadIntegridad ESPCifrado
ESPNingunoAES-128 DE GMACCualquier algoritmo de cifrado admitidos
ESPNingunoAES-192 DE GMACCualquier algoritmo de cifrado admitidos
ESPNingunoAES-256 DE GMACCualquier algoritmo de cifrado admitidos
ESPNingunoAES-GCM 1281.El ninguno
2.En cualquier algoritmo de cifrado excepto 128 AES-GCM
ESPNingunoAES-GCM 1921.El ninguno
2.En cualquier algoritmo de cifrado excepto AES-GCM 192
ESPNingunoAES-GCM 2561.El ninguno
2.En cualquier algoritmo de cifrado excepto AES-GCM 256
AH + ESPAES-128 DE GMACAES-128 DE GMACCualquier algoritmo de cifrado admitidos
AH + ESPAES-192 DE GMACAES-192 DE GMACCualquier algoritmo de cifrado admitidos
AH + ESPAES-256 DE GMACAES-256 DE GMACCualquier algoritmo de cifrado admitidos
Para obtener más información acerca de la Suite B, visite el siguiente sitio Web:
http://www.nsa.gov/IA/Programs/suiteb_cryptography/index.shtml
Para obtener más información acerca de las reglas de seguridad de IPsec y conexión, visite el siguiente sitio Web de Microsoft:
http://go.Microsoft.com/fwlink/?linkid=96525
Para obtener más información acerca de la criptografía de próxima generación de Windows Server 2008, visite el siguiente sitio Web de Microsoft:
http://technet2.Microsoft.com/windowsserver2008/en/Library/532ac164-da33-4369-bef0-8f019d5a18b81033.mspx?mfr=true
Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
949299 Descripción del grupo de seguridad operadores de cifrado que se agregó a Windows Vista Service Pack 1 para configurar Firewall de Windows para IPsec en común modo de criterio

Propiedades

Id. de artículo: 949856 - Última revisión: sábado, 21 de septiembre de 2013 - Versión: 5.0
La información de este artículo se refiere a:
  • Service Pack 1 para Windows Vista sobre las siguientes plataformas
    • Windows Vista Business
    • Windows Vista Business 64-bit edition
    • Windows Vista Enterprise
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate
    • Windows Vista Ultimate 64-bit edition
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Palabras clave: 
kbexpertiseinter kbhowto kbinfo kbmt KB949856 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 949856

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com