Description de la prise en charge des algorithmes cryptographiques de Suite B a été ajouté à IPsec dans Windows Vista Service Pack 1, Windows Server 2008 et Windows 7

Traductions disponibles Traductions disponibles
Numéro d'article: 949856 - Voir les produits auxquels s'applique cet article
La prise en charge de Windows Vista Service Pack 1 (SP1) se termine le 12 juillet 2011. Pour continuer à recevoir des mises à jour de sécurité pour Windows, assurez-vous que vous utilisez Windows Vista Service Pack 2 (SP2). Pour plus d'informations, reportez-vous à cette page web de Microsoft : Prise en charge se termine pour certaines versions de Windows.
Agrandir tout | Réduire tout

Sommaire

INTRODUCTION

Cet article décrit la prise en charge des algorithmes cryptographiques de Suite B a été ajoutée dans Windows Vista Service Pack 1 (SP1) et Windows Server 2008. Suite B est un groupe d'algorithmes de chiffrement qui sont approuvés par les États-Unis NSA National Security Agency ().

Suite B est utilisée comme une structure cryptographique interopérable pour protéger les données sensibles. Prise en charge a été étendue aux algorithmes Suite B pour les domaines suivants :
  • Mode principal
  • En mode rapide
  • Paramètres d'authentification
Cet article décrit également la syntaxe de configuration stratégie de Internet Protocol security (IPsec) qui utilise les algorithmes Suite B.

Plus d'informations

Limitations de la prise en charge

Limitations de la prise en charge de Suite B sont les suivants :
  • La création et la mise en ?uvre de la stratégie IPsec à l'aide d'algorithmes Suite B est pris en charge uniquement dans Windows Vista Service Pack 1 (SP1), Windows Server 2008 ou dans les versions ultérieures de Windows.
  • La création de stratégies qui contiennent les algorithmes Suite B est pris en charge via le composant logiciel enfichable « Pare-feu Windows avec Advanced de sécurité » Microsoft Management Console (MMC) pour Windows 7 et les versions ultérieures de Windows.
  • La commande Netsh advfirewall help n'affiche pas les options de configuration pour les algorithmes Suite B. Cela s'applique uniquement à Windows Vista SP1.

Définitions

  • Suite B

    Suite B est un ensemble de normes qui sont spécifiées par la NSA National Security Agency (). Suite B fournit l'industrie avec un jeu commun d'algorithmes de chiffrement qui peut être utilisé pour créer des produits qui répondent à la plus large gamme de besoins du gouvernement américain. Suite B inclut la spécification des types d'algorithmes suivants :
    • Intégrité
    • Cryptage
    • Échange de clés
    • Signature numérique
  • Normes de transformation d'informations fédérale (FIPS)

    FIPS est un ensemble de directives et de normes qui régissent les ressources informatiques fédéraux. Tous les algorithmes Suite B sont approuvés par FIPS.

    Pour plus d'informations, visitez le site Web suivant :
    http://www.ITL.nist.gov/fipspubs/geninfo.htm
  • NIST

    C'est un acronyme pour le National Institute of Standards et la technologie.
  • Algorithmes d'intégrité des données

    Algorithmes d'intégrité de données utilisent des hachages de message afin de vous assurer que des informations ne sont pas modifiées lorsqu'il est en transit.
  • Algorithmes de cryptage de données

    Les algorithmes de cryptage de données sont utilisées pour masquer les informations qui sont transmises. Les algorithmes de chiffrement sont utilisés pour convertir un code secret en texte brut.

    Par exemple, les algorithmes de cryptage peuvent convertir en texte brut en texte chiffré. Le texte chiffré peut être décodé puis le texte brut d'origine. Chaque algorithme utilise une « clé » pour effectuer la conversion. Le type de clé et la longueur de la clé dépendent de l'algorithme qui est utilisé.
  • IPsec

    Il s'agit d'une abréviation du terme « Internet Protocol security ».

    Pour plus d'informations sur IPsec, visitez le site Web de Microsoft à l'adresse suivante :
    http://technet.Microsoft.com/en-us/Network/bb531150.aspx
  • Elliptic Curve Digital Signature Algorithm ECDSA)

    Courbe elliptique (EC) est une variante de l'algorithme de signature numérique qui fonctionne sur les groupes EC. La variante EC fournit de plus petites tailles de clé pour le même niveau de sécurité.

    Cet algorithme est décrit dans composition FIPS 186-2. Pour afficher cette publication, reportez-vous au site Web suivant :
    http://csrc.nist.gov/publications/FIPS/archive/fips186-2/fips186-2.PDF
  • Autorité de certification (CA)

    Une autorité de certification est une entité qui émet des certificats numériques. IPsec peut utiliser ces certificats comme méthode d'authentification.
  • En-tête d'authentification (AH)

    En-tête d'authentification est un protocole IPsec fournit l'authentification, l'intégrité et la fonctionnalité anti-relecture pour le paquet entier. Cela inclut l'en-tête IP et la charge utile des données.

    AH ne garantit pas la confidentialité. Cela signifie que AH ne crypte pas les données. Les données sont lisibles, mais il est impossible d'écrire sur.
  • Encapsulating Security Payload (ESP)

    ESP est un protocole IPsec qui fournit la confidentialité, l'authentification, l'intégrité et la fonctionnalité anti-rejeu. ESP peut être utilisé seul, ou il peut être utilisé avec AH.

Algorithmes de mode principal

Dans Windows Vista SP1 et dans Windows Server 2008, les algorithmes d'intégrité suivants sont pris en charge en plus de ces algorithmes qui sont déjà pris en charge dans la version finale de Windows Vista :
  • SHA-256
  • SHA-384
Remarque L'algorithme d'échange de clé et l'algorithme de cryptage ne sont pas modifiées.

Algorithmes de mode rapide

Dans Windows Vista SP1 et dans Windows Server 2008, les algorithmes suivants sont pris en charge en plus de ces algorithmes qui sont déjà pris en charge dans la version finale de Windows Vista.

Intégrité (AH ou ESP)

  • SHA-256
  • GMAC-AES-128
  • AES-GMAC-192
  • GMAC-AES-256

Intégrité et chiffrement (ESP uniquement)

  • AES-GCM-128
  • AES-GCM-192
  • AES-GCM-256
Pour plus d'informations sur les combinaisons de protocoles AH et ESP sont prises en charge et non pris en charge, consultez les « mode rapide algorithme cryptographique combinaisons sont prises en charge et non pris en charge » section.

Restrictions pour le mode rapide

  • L'algorithme d'intégrité doit être utilisée pour les protocoles AH et ESP.
  • Les algorithmes AES-GMAC sont disponibles pour un algorithme d'intégrité avec le cryptage null. Par conséquent, si un de ces algorithmes sont spécifié pour l'intégrité ESP, l'algorithme de cryptage ne peut pas être spécifié.
  • Si vous utilisez un algorithme AES-GCM, le même algorithme doit être spécifié pour l'intégrité ESP et de cryptage.

Authentification

Dans Windows Vista SP1 et dans Windows Server 2008, les méthodes d'authentification suivantes sont prises en charge en plus de ces méthodes d'authentification qui sont déjà pris en charge dans la version finale de Windows Vista.
  • Certificat d'ordinateur avec la signature ECDSA-P256
  • Certificat d'ordinateur avec la signature ECDSA-P384
Remarque La méthode d'authentification par défaut pour Windows Vista est l'authentification RSA SecurId.

Syntaxe et exemples

Cette section décrit la syntaxe de la commande Netsh advfirewall pour ajouter et modifier des règles de sécurité de connexion. Cette section fournit également des exemples de commandes Netsh advfirewall .

Ajouter une règle de sécurité de connexion

Netsh advfirewall
Usage: add rule name=<string>
      endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
      endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
      action=requireinrequestout|requestinrequestout|
         requireinrequireout|noauthentication
      [description=<string>]
      [mode=transport|tunnel (default=transport)]
      [enable=yes|no (default=yes)]
      [profile=public|private|domain|any[,...] (default=any)]
      [type=dynamic|static (default=static)]
      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
      [port1=0-65535|any (default=any)]
      [port2=0-65535|any (default=any)]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
      [interfacetype=wiresless|lan|ras|any (default=any)]
      [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
         computerntlm|anonymous[,...]]
      [auth1psk=<string>]
      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1healthcert=yes|no (default=no)]
      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap256healthcert=yes|no (default=no)]
      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap384healthcert=yes|no (default=no)]
      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
      [auth2ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
      [qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
         none (default=none)]
      [qmsecmethods=
         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
         |default]
        
Remarks:

      - The rule name should be unique, and it cannot be "all."
      - When mode=tunnel, both tunnel endpoints must be specified and must be
        the same IP version. Also, the action must be requireinrequireout.
      - At least one authentication must be specified.
      - Auth1 and auth2 can be comma-separated lists of options.
      - The "computerpsk" and "computerntlm" methods cannot be specified together
        for auth1.
      - Computercert cannot be specified with user credentials for auth2.
     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
      - Qmsecmethods can be a list of proposals separated by a comma (,).
      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
        encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
      - If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.  
     -  sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista. 
      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The default value for certmapping and for excludecaname is "no."
      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Exemple 1
Prenons l'exemple d'une commande Netsh advfirewall suivante :
Netsh advfirewall consec ajouter le nom de la règle = test1 endpoint1 = n'importe quel endpoint2 = n'importe quelle action = requestinrequestout description = « certificat d'utiliser ECDSA256 et AESGMAC256 » auth1 = valeur computercert, computercertecdsap256 auth1ca = "C = US, O = MSFT, CN = \ « Microsoft North, South, East et West racine NT\ »" auth1healthcert ne = aucun auth1ecdsap256ca = "C = US, O = MSFT, CN = \ « Microsoft North, South, East et West racine NT\ »" auth1ecdsap256healthcert = Oui qmsecmethods = ah : aesgmac256 + esp:aesgmac256-aucun
Cette commande crée une règle de sécurité de connexion dont les méthodes d'authentification suivantes dans l'authentification définie :
  • La première méthode d'authentification est un certificat qui utilise la signature du certificat RSA.
  • La seconde méthode d'authentification est un certificat d'intégrité qui utilise ECDSA256 pour le certificat de signature.
La règle de sécurité de connexion protège le trafic en utilisant l'intégrité AH et ESP avec le nouvel algorithme de GMAC-AES 256. La règle ne comprend pas de cryptage.
Exemple 2
Prenons l'exemple d'une commande Netsh advfirewall suivante :
Netsh advfirewall consec ajouter le nom de la règle = test2 endpoint1 = n'importe quel endpoint2 = n'importe quelle action = requestinrequestout description = « 256 utilisez SHA pour l'intégrité » et AES192 pour le cryptage auth1 = valeur computercert auth1ca = "C = US, O = MSFT, CN = \ « Microsoft North, South, East et West racine NT\ »" auth1healthcert ne = aucun qmsecmethods = ah : sha256 + esp:sha256-aes192
Cette commande crée une règle de sécurité de connexion qui a une méthode d'authentification dans l'authentification définie. La méthode d'authentification est un certificat qui utilise la signature du certificat RSA.

La règle de sécurité de connexion protège le trafic en utilisant l'intégrité AH et ESP avec SHA256 pour l'intégrité et AES192 pour le cryptage.

Modifier une règle de sécurité de connexion existante

Netsh advfirewall
Usage: set rule
      group=<string> | name=<string>
      [type=dynamic|static]
      [profile=public|private|domain|any[,...] (default=any)]
      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [port1=0-65535|any]
      [port2=0-65535|any]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
      new
      [name=<string>]
      [profile=public|private|domain|any[,...]]
      [description=<string>]
      [mode=transport|tunnel]
      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [action=requireinrequestout|requestinrequestout|
         requireinrequireout|noauthentication]
      [enable=yes|no]
      [type=dynamic|static]
      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
      [port1=0-65535|any]
      [port2=0-65535|any]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
      [interfacetype=wiresless|lan|ras|any]
     [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
         computerntlm|anonymous[,...]]
      [auth1psk=<string>]
      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1healthcert=yes|no (default=no)]
      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap256healthcert=yes|no (default=no)]
      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap384healthcert=yes|no (default=no)]
      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
      [auth2ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
      [qmsecmethods=
         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
         default]


Remarks:

      - This sets a new parameter value on an identified rule. The command fails
        if the rule does not exist. To create a rule, use the "add" command.
      - Values after the new keyword are updated in the rule.  If there are
        no values, or if the "new" keyword is missing, no changes are made.
      - Only a group of rules can be enabled or disabled.
      - If multiple rules match the criteria, all matching rules are 
        updated.
      - The rule name should be unique, and it cannot be "all."
      - Auth1 and auth2 can be comma-separated lists of options.
      - The computerpsk and computerntlm methods cannot be specified together
        for auth1.
      - Computercert cannot be specified by using user credentials for auth2.
     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.  
      - Qmsecmethods can be a list of proposals that are separated by a comma (,).
      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
        encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
      - If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.  
     -  Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
      - If qmsemethods are set to "default," qmpfs will be set to "default" also.
      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The default value for "certmapping" and "excludecaname" is "no."
      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Voici un exemple d'une commande qui met à jour la règle qui a été créée dans « exemple 1 » dans la section précédente :
Nom de la règle du jeu de netsh advfirewall consec = test nouveau qmsecmethods = ah : aesgmac256 + esp:aesgcm256-aesgcm256
Cette commande met à jour la règle à utiliser 256 AES-GCM pour le chiffrement et intégrité ESP et utiliser GMAC-AES 256 pour l'intégrité AH.

Définir des paramètres globaux en mode principal

Le texte d'aide est de la commande Netsh advfirewall la valeur globale .
netsh advfirewall>set global

Usage: set global statefulftp|statefulpptp  enable|disable|notconfigured
      set global IPsec (parameter) (value)
      set global mainmode (parameter) (value) | notconfigured

IPsec Parameters:

      strongcrlcheck    - Configures how CRL checking is enforced.
                          0: Disable CRL checking
                          1: Fail if cert is revoked and the CRL exists in the client?s CRL cache (default behavior)and the CRL exists in the client?s CRL cache (default behavior)                          2: Fail on any error
                          notconfigured: Returns the value to its unconfigured state.
      saidletimemin     - Configures the security association idle time in
                          minutes.
                        - Usage: 5-60|notconfigured (default=5)
      defaultexemptions - Configures the default IPsec exemptions. The default is
                          to exempt IPv6 neighbordiscovery protocol from
                          IPsec.
                        - Usage: none|neighbordiscovery|notconfigured

Main Mode Parameters:

      mmkeylifetime     - Sets the main mode key lifetime in minutes, in sessions, or in both.
                        - Usage: <num>min,<num>sess
      mmsecmethods      - Configures the main mode list of proposals
                        - Usage:
                          keyexch:enc-integrity,enc-integrity[,...]|default
                        - keyexch=dhgroup1|dhgroup2|dhgroup14|
                          ecdhp256|ecdhp384
                        - enc=3des|des|aes128|aes192|aes256
                        - integrity=md5|sha1|sha256|sha384

Remarks:

      - This configures global settings, such as advanced IPsec options.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The mmsecmethods keyword default sets the policy to the following:
        dhgroup2-aes128-sha1,dhgroup2-3des-sha1
      - Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
Voici un exemple d'une commande qui utilise de nouveaux algorithmes SHA dans le jeu de chiffrement de mode principal :
Netsh advfirewall définie global mainmode mmsecmethods dhgroup1:3des-sha256, sha384-3des

Résolution des problèmes, la configuration et la vérification des commandes

La commande « Netsh advfirewall consec show règle toutes les »

La commande Netsh advfirewall consec show rule tous les affiche la configuration de toutes les règles de sécurité de connexion.

Voici un exemple de sortie de cette commande.
Rule Name:				test
Enabled:					Yes
Profiles:					Domain,Private,Public
Type:					Static
Mode:					Transport
Endpoint1:				Any
Endpoint2:				Any
Protocol:					Any
Action:					RequestInRequestOut
Auth1:					ComputerPSK
Auth1PSK:				         12345
MainModeSecMethods			         ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethods			AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb

La commande « Netsh advfirewall monitor show mmsa »

La commande Netsh advfirewall monitor show mmsa affiche l'association de sécurité de mode principal.

Voici un exemple de sortie de cette commande.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:				157.59.24.101
Remote IP Address:			         157.59.24.119
My ID:
Peer ID:
First Auth:				ComputerPSK
Second Auth:				None
MM Offer:				         ECDHAP384-3DES-SHA256
Cookie Pair:				203d57505:5d088705
Health Pair:				No
Ok.

La commande « Netsh advfirewall monitor show qmsa »

La commande Netsh advfirewall monitor show qmsa affiche l'association de sécurité en mode rapide.

Voici un exemple de sortie de cette commande.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:				157.59.24.101
Remote IP Address:			         157.59.24.119
Local Port:				Any
Remote Port:				Any
Protocol:					Any
Direction:				Both
QM Offer:				         AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb	
Ok.

La commande « Netsh advfirewall show global »

La commande Netsh advfirewall show global affiche les paramètres globaux.

Voici un exemple de sortie de cette commande.
Global Settings:
IPsec:					
StrongCRLCheck				0:Disabled
SAIdleTimeMin				5min
DefaultExemptions			         NeighborDiscovery
IPsecThroughNAT			         Server and client behind NAT

StatefulFTP				Enable
StatefulPPTP				Enable

Main Mode:
KeyLifetime				2min,0sess
SecMethods				DHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384

Interopérabilité

Création, mise en ?uvre et la gestion de la stratégie IPsec qui utilise les algorithmes Suite B a été introduit dans Windows Vista SP1 et dans Windows Server 2008. Vous pouvez gérer une stratégie de groupe qui contient les algorithmes Suite B uniquement à l'aide d'outils qui ont été publiés avec Windows Vista SP1 ou Windows Server 2008.

Exemples de scénarios et les résultats attendus sont les suivantes :

Scénario 1

Les nouveaux algorithmes de chiffrement vous permet d'appliquer une stratégie qui est créée sur un ordinateur qui exécute Windows Server 2008 ou Windows Vista SP1 sur un ordinateur qui exécute la version finale de Windows Vista.
Résultat attendu
Si une règle contient des suites de chiffrement qui utilisent les nouveaux algorithmes de chiffrement, ces suites de chiffrement sont perdus et autres suites de chiffrement dans le jeu de chiffrement sont utilisés à la place.

Si aucune des suites de chiffrement dans la règle sont reconnues, la règle entière est supprimée. Un événement est enregistré qui indique que la règle ne peut pas être traitée. Par conséquent, si toutes les suites de chiffrement dans le jeu d'échange de clés cryptographiques sont supprimées, aucune des règles de sécurité de connexion dans la stratégie sont appliqués. Toutefois, toutes les règles de pare-feu sont toujours appliquées.

Le processus de jeu d'authentification ressemble à du jeu de chiffrement de processus. Si une stratégie qui contient les nouveaux indicateurs de certificat (ECDSA-P256 ou ECDSA-P384) sont appliqués à un ordinateur qui exécute la version finale de Windows Vista, les méthodes d'authentification sont supprimées.

Si toutes les méthodes d'authentification dans le premier jeu d'authentification sont rejetés pour cette raison, la règle entière n'est pas traitée. Si toutes les méthodes d'authentification dans le deuxième jeu d'authentification sont supprimés, la règle est traitée à l'aide uniquement de la première authentification définie.

Scénario 2

Sur un ordinateur qui exécute la version finale de Windows Vista, les nouveaux algorithmes de chiffrement vous permet d'afficher une stratégie qui a été créée sur un ordinateur qui exécute Windows Server 2008 ou Windows Vista SP1.
Résultat attendu
Les nouveaux algorithmes sont affichés comme « inconnu » dans la surveillance et la création de pièces du composant logiciel enfichable MMC de sécurité avancée de Windows Firewall. La commande Netsh advfirewall affiche également les algorithmes comme « inconnu » dans Windows Vista.

Restrictions sur l'interopérabilité

Restrictions sur l'interopérabilité sont les suivants :
  • Nous ne charge pas de gestion à distance des stratégies qui utilisent les algorithmes Suite B sur les ordinateurs qui exécutent Windows Vista SP1 ou Windows Server 2008 à partir d'un ordinateur qui exécute la version finale de Windows Vista.
  • Lorsqu'une stratégie est créée sur un ordinateur qui exécute Windows Vista SP1 ou Windows Server 2008 est importée sur un ordinateur qui exécute la version finale de Windows Vista, certaines parties de la stratégie sont supprimés. Cela se produit car la version finale de Windows Vista ne reconnaît pas les nouveaux algorithmes.

Combinaisons d'algorithme de chiffrement mode rapide qui sont pris en charge et non pris en charge

Le tableau suivant montre les combinaisons d ' algorithmes de chiffrement mode rapide pris en charge.
Réduire ce tableauAgrandir ce tableau
ProtocoleAH l'intégritéIntégrité ESPCryptage
AHAES-128 DE GMACAucunAucun
AHAES-GMAC 192AucunAucun
AHAES-256 DE GMACAucunAucun
AHSHA256AucunAucun
AHSHA1AucunAucun
AHMD5AucunAucun
ESPAucunAES-128 DE GMACAucun
ESPAucunAES-GMAC 192Aucun
ESPAucunAES-256 DE GMACAucun
ESPAucunSHA256Aucun
ESPAucunSHA1Aucun
ESPAucunMD5Aucun
ESPAucunSHA256N'importe quel algorithme de cryptage pris en charge, à l'exception des algorithmes AES-GCM
ESPAucunSHA1N'importe quel algorithme de cryptage pris en charge, à l'exception des algorithmes AES-GCM
ESPAucunMD5N'importe quel algorithme de cryptage pris en charge, à l'exception des algorithmes AES-GCM
ESPAucunAES-GCM 128AES-GCM 128
ESPAucunAES-GCM 192AES-GCM 192
ESPAucunAES-GCM 256AES-GCM 256
AH + ESPAES-128 DE GMACAES-128 DE GMACAucun
AH + ESPAES-128 DE GMACAES-128 DE GMACAucun
AH + ESPAES-128 DE GMACAES-128 DE GMACAucun
AH + ESPSHA-256SHA-256Aucun
AH + ESPSHA1SHA1Aucun
AH + ESPMD5MD5Aucun
AH + ESPSHA256SHA256N'importe quel algorithme de cryptage pris en charge, à l'exception des algorithmes AES-GCM
AH + ESPSHA1SHA1N'importe quel algorithme de cryptage pris en charge, à l'exception des algorithmes AES-GCM
AH + ESPMD5MD5N'importe quel algorithme de cryptage pris en charge, à l'exception des algorithmes AES-GCM
AH + ESPAES-128 DE GMACAES-GCM 128AES-GCM 128
AH + ESPAES-GMAC 192AES-GCM 192AES-GCM 192
AH + ESPAES-256 DE GMACAES-GCM 256AES-GCM 256
Remarque AES-GMAC est la même que AES-GCM avec le cryptage null. Par exemple, vous pouvez spécifier l'intégrité AH pour utiliser GMAC-AES 128, et vous pouvez spécifier l'intégrité ESP pour utiliser 128 AES-GCM. Il s'agit de la seule exception à la règle que les algorithmes d'intégrité AH et ESP doivent être identiques.

Les combinaisons qui sont décrits dans le tableau suivant ne sont pas pris en charge.
Réduire ce tableauAgrandir ce tableau
ProtocoleAH l'intégritéIntégrité ESPCryptage
ESPAucunAES-128 DE GMACN'importe quel algorithme de cryptage pris en charge
ESPAucunAES-GMAC 192N'importe quel algorithme de cryptage pris en charge
ESPAucunAES-256 DE GMACN'importe quel algorithme de cryptage pris en charge
ESPAucunAES-GCM 1281 Aucun
2.En tout algorithme de cryptage, à l'exception de 128 AES-GCM
ESPAucunAES-GCM 1921 Aucun
2.En tout algorithme de cryptage, à l'exception de 192 AES-GCM
ESPAucunAES-GCM 2561 Aucun
2.En tout algorithme de cryptage, à l'exception de 256 AES-GCM
AH + ESPAES-128 DE GMACAES-128 DE GMACN'importe quel algorithme de cryptage pris en charge
AH + ESPAES-GMAC 192AES-GMAC 192N'importe quel algorithme de cryptage pris en charge
AH + ESPAES-256 DE GMACAES-256 DE GMACN'importe quel algorithme de cryptage pris en charge
Pour plus d'informations sur Suite B, visitez le site Web suivant :
http://www.nsa.gov/IA/Programs/suiteb_cryptography/index.shtml
Pour plus d'informations sur les règles de sécurité IPsec et de la connexion, visitez le site Web de Microsoft à l'adresse suivante :
http://go.Microsoft.com/fwlink/?LinkId=96525
Pour plus d'informations sur la cryptographie nouvelle génération dans Windows Server 2008, visitez le site Web de Microsoft à l'adresse suivante :
http://technet2.Microsoft.com/windowsserver2008/en/Library/532ac164-da33-4369-bef0-8f019d5a18b81033.mspx?mfr=true
Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
949299 Description du groupe de sécurité opérateurs de chiffrement qui a été ajouté à Windows Vista Service Pack 1 pour configurer le pare-feu Windows en commun pour IPsec en mode de critères

Propriétés

Numéro d'article: 949856 - Dernière mise à jour: samedi 21 septembre 2013 - Version: 5.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Windows Vista Service Pack 1 sur le système suivant
    • Windows Vista Professionnel
    • Windows Vista Professionnel 64 bits
    • Windows Vista Entreprise
    • Windows Vista Entreprise 64 bits
    • Windows Vista Édition Familiale Basique
    • Windows Vista Édition Familiale Basique 64 bits
    • Windows Vista Édition Familiale Premium
    • Windows Vista Édition Familiale Premium 64 bits
    • Windows Vista Édition Intégrale
    • Windows Vista Édition Intégrale 64 bits
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Mots-clés : 
kbexpertiseinter kbhowto kbinfo kbmt KB949856 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d?une traduction incorrecte du contenu ou de son utilisation par les clients.
La version anglaise de cet article est la suivante: 949856
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com