Descrizione del supporto per algoritmi di crittografia Suite B che Ŕ stato aggiunto a IPsec in Windows Vista Service Pack 1, Windows Server 2008 e Windows 7

Traduzione articoli Traduzione articoli
Identificativo articolo: 949856 - Visualizza i prodotti a cui si riferisce l?articolo.
Il supporto per Windows Vista Service Pack 1 (SP1) termina il 12 luglio 2011. Per continuare a ricevere gli aggiornamenti della sicurezza per Windows, assicurarsi di eseguire Windows Vista con Service Pack 2 (SP2). Per ulteriori informazioni, fare riferimento alla pagina web Microsoft: Sta per terminare il supporto per alcune versioni di Windows.
Espandi tutto | Chiudi tutto

In questa pagina

INTRODUZIONE

In questo articolo viene descritto il supporto per algoritmi di crittografia Suite B Ŕ stato aggiunto in Windows Vista Service Pack 1 (SP1) e in Windows Server 2008. Suite B Ŕ un gruppo di algoritmi crittografici approvati da Stati Uniti National Security Agency (NSA).

Suite B viene utilizzato come un framework interoperabile di crittografico per la protezione dei dati riservati. ╚ stato esteso il supporto per gli algoritmi Suite B per le seguenti aree:
  • In modalitÓ principale
  • In modalitÓ rapida
  • Impostazioni di autenticazione
In questo articolo viene descritto anche la sintassi di configurazione Internet Protocol security (IPsec) criteri utilizza gli algoritmi Suite B.

Informazioni

Limitazioni del supporto

Limitazioni del supporto per Suite B seguenti:
  • La creazione e l'applicazione del criterio IPsec utilizzando gli algoritmi Suite B Ŕ supportato solo in Windows Vista Service Pack 1 (SP1) in Windows Server 2008 o versioni successive di Windows.
  • La creazione di criteri che contengono gli algoritmi Suite B Ŕ supportata tramite lo snap-in "Windows Firewall con protezione avanzata" Microsoft Management Console (MMC) per Windows 7 e versioni successive di Windows.
  • Il comando Netsh advfirewall help non visualizza le opzioni di configurazione per gli algoritmi Suite B. Questo vale solo per Windows Vista SP1.

Definizioni

  • Suite B

    Suite B Ŕ un insieme di standard che sono specificati dalla National Security Agency (NSA). Suite B fornisce all'industria con un insieme comune di algoritmi di crittografia che consente di creare prodotti che soddisfano una vasta gamma di esigenze del governo degli Stati Uniti. Suite B include la specifica dei seguenti tipi di algoritmi:
    • IntegritÓ
    • Crittografia
    • Scambio di chiave
    • Firma digitale
  • Informazioni federali elaborazione standard (FIPS)

    FIPS Ŕ un insieme di linee guida e standard che regolano le risorse di elaborazione federale. Tutti gli algoritmi Suite B sono approvati FIPS.

    Per ulteriori informazioni, visitare il seguente sito Web:
    http://www.ITL.nist.gov/fipspubs/geninfo.htm
  • NIST

    Questo Ŕ l'acronimo del National Institute of Standards e la tecnologia.
  • Algoritmi di integritÓ dei dati

    Algoritmi di integritÓ dei dati utilizzano gli hash del messaggio per assicurarsi che informazioni non viene modificati mentre Ŕ in transito.
  • Algoritmi di crittografia dati

    Gli algoritmi di crittografia di dati vengono utilizzati per nascondere le informazioni trasmesse. Gli algoritmi di crittografia vengono utilizzati per convertire il testo normale in un codice segreto.

    Gli algoritmi di crittografia, ad esempio, Ŕ possono convertire testo normale in testo crittografato. Il testo crittografato pu˛ essere decodificato quindi il testo normale originale. Ogni algoritmo utilizza una "chiave" per eseguire la conversione. Il tipo di chiave e la lunghezza della chiave dipendono dall'algoritmo utilizzato.
  • IPsec

    Questa Ŕ un'abbreviazione del termine "Internet Protocol security".

    Per ulteriori informazioni su IPsec, visitare il seguente sito Web Microsoft:
    http://technet.microsoft.com/en-us/Network/bb531150.aspx
  • Elliptic Curve Digital Signature Algorithm (ECDSA)

    Curva ellittica (CE) Ŕ una variante dell'algoritmo di firma digitale che opera su gruppi di CE. La variante CE fornisce pi¨ piccole dimensioni delle chiavi per lo stesso livello di protezione.

    Questo algoritmo Ŕ descritto nella pubblicazione FIPS 186-2. Per visualizzare questa pubblicazione, visitare il seguente sito Web:
    http://csrc.nist.gov/publications/fips/Archive/fips186-2/fips186-2.PDF
  • AutoritÓ di certificazione (CA)

    Un'autoritÓ di certificazione Ŕ un'entitÓ che emette certificati digitali. IPsec Ŕ possibile utilizzare questi certificati come metodo di autenticazione.
  • AH (Authentication Header)

    Intestazione di autenticazione Ŕ un protocollo IPsec fornisce autenticazione, integritÓ e funzionalitÓ di anti-riproduzione per l'intero pacchetto. Ci˛ include l'intestazione IP e il payload dei dati.

    AH non garantisce la riservatezza. Ci˛ significa che AH non crittografa i dati. I dati sono leggibili, ma Ŕ Impossibile scrivere.
  • Encapsulating Security Payload (ESP)

    ESP Ŕ un protocollo IPsec fornisce riservatezza, autenticazione, integritÓ e funzionalitÓ di protezione contro la riproduzione. ESP pu˛ essere utilizzato da solo o pu˛ essere utilizzato con AH.

Algoritmi della modalitÓ principale

In Windows Vista SP1 e Windows Server 2008, sono supportati i seguenti algoritmi di integritÓ oltre a tali algoritmi sono giÓ supportati nella versione di rilascio di Windows Vista:
  • SHA-256
  • SHA-384.
Nota. L'algoritmo di scambio delle chiavi e l'algoritmo di crittografia non vengono modificati.

Algoritmi della modalitÓ veloce

In Windows Vista SP1 e Windows Server 2008, sono supportati i seguenti algoritmi oltre a tali algoritmi sono giÓ supportati nella versione di rilascio di Windows Vista.

IntegritÓ (AH o ESP)

  • SHA-256
  • GMAC-AES-128
  • AES-GMAC-192
  • AES-256-GMAC

IntegritÓ e crittografia (ESP solo)

  • AES-GCM-128
  • AES-GCM-192
  • AES-GCM-256.
Per ulteriori informazioni sulle combinazioni di AH ed ESP sono supportate e non supportate, vedere la "modalitÓ veloce algoritmo di crittografia combinazioni supportate e non supportate" di sezione.

Restrizioni per la modalitÓ veloce

  • Lo stesso algoritmo di integritÓ deve essere utilizzato per AH ed ESP.
  • Gli algoritmi di GMAC AES sono disponibili per un algoritmo di integritÓ con crittografia null. Pertanto, se uno qualsiasi di questi algoritmi sono specificato per l'integritÓ ESP, non Ŕ possibile specificare l'algoritmo di crittografia.
  • Se si utilizza un algoritmo AES-GCM, Ŕ necessario specificare lo stesso algoritmo di crittografia e integritÓ ESP.

Autenticazione

In Windows Vista SP1 e Windows Server 2008, oltre a questi metodi di autenticazione giÓ supportati nella versione di rilascio di Windows Vista sono supportati i seguenti metodi di autenticazione.
  • Certificato di computer con la firma ECDSA P256
  • Certificato di computer con la firma ECDSA P384
Nota. Il metodo di autenticazione predefinito per Windows Vista Ŕ l'autenticazione RSA SecurId.

Sintassi ed esempi

In questa sezione viene descritta la sintassi per il comando Netsh advfirewall per aggiungere e modificare le regole di protezione di connessione. In questa sezione vengono inoltre forniti esempi di comandi Netsh advfirewall .

Aggiungere una regola di protezione di connessione

Netsh advfirewall
Usage: add rule name=<string>
      endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
      endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
      action=requireinrequestout|requestinrequestout|
         requireinrequireout|noauthentication
      [description=<string>]
      [mode=transport|tunnel (default=transport)]
      [enable=yes|no (default=yes)]
      [profile=public|private|domain|any[,...] (default=any)]
      [type=dynamic|static (default=static)]
      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
      [port1=0-65535|any (default=any)]
      [port2=0-65535|any (default=any)]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
      [interfacetype=wiresless|lan|ras|any (default=any)]
      [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
         computerntlm|anonymous[,...]]
      [auth1psk=<string>]
      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1healthcert=yes|no (default=no)]
      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap256healthcert=yes|no (default=no)]
      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap384healthcert=yes|no (default=no)]
      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
      [auth2ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
      [qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
         none (default=none)]
      [qmsecmethods=
         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
         |default]
        
Remarks:

      - The rule name should be unique, and it cannot be "all."
      - When mode=tunnel, both tunnel endpoints must be specified and must be
        the same IP version. Also, the action must be requireinrequireout.
      - At least one authentication must be specified.
      - Auth1 and auth2 can be comma-separated lists of options.
      - The "computerpsk" and "computerntlm" methods cannot be specified together
        for auth1.
      - Computercert cannot be specified with user credentials for auth2.
     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
      - Qmsecmethods can be a list of proposals separated by a comma (,).
      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
        encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
      - If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.  
     -  sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista. 
      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The default value for certmapping and for excludecaname is "no."
      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Esempio 1
Si consideri il seguente esempio di comando Netsh advfirewall :
Netsh advfirewall consec aggiungere il nome della regola = endpoint1 test1 = qualsiasi endpoint2 = qualsiasi azione = requestinrequestout descrizione = "certificato utilizzare ECDSA256 e AESGMAC256" auth1 = computercert, computercertecdsap256 auth1ca = "C = US, O = MSFT, CN = \ 'Microsoft North, Sud, est e Ovest radice Authority\'" auth1healthcert non = Nessun auth1ecdsap256ca = "C = US, O = MSFT, CN = \ 'Microsoft North, Sud, est e Ovest radice Authority\'" auth1ecdsap256healthcert = yes qmsecmethods = ah: aesgmac256 + esp:aesgmac256-nessuno
Questo comando crea una regola di protezione di connessione con i seguenti metodi di autenticazione nell'autenticazione impostato:
  • Il primo metodo di autenticazione Ŕ un certificato che utilizza la firma dei certificati RSA.
  • Il secondo metodo di autenticazione Ŕ un certificato sanitario che utilizza ECDSA256 per la firma del certificato.
La regola di protezione di connessione protegge il traffico utilizzando integritÓ AH ed ESP con il nuovo algoritmo di GMAC AES 256. La regola non include la crittografia.
Esempio 2
Si consideri il seguente esempio di comando Netsh advfirewall :
Netsh advfirewall consec aggiungere il nome della regola = endpoint1 test2 = qualsiasi endpoint2 = qualsiasi azione = requestinrequestout descrizione = "256 utilizzare SHA per l'integritÓ" e AES192 per la crittografia auth1 = computercert auth1ca = "C = US, O = MSFT, CN = \ 'Microsoft North, Sud, est e Ovest radice Authority\'" auth1healthcert non = Nessuna qmsecmethods = ah: sha256 + esp:sha256-aes192
Questo comando crea una regola di protezione di connessione che Ŕ un metodo di autenticazione per l'autenticazione impostata. Il metodo di autenticazione Ŕ un certificato che utilizza la firma dei certificati RSA.

La regola di protezione di connessione protegge il traffico utilizzando integritÓ AH ed ESP con SHA256 per l'integritÓ e AES192 per la crittografia.

Modificare una regola di protezione di connessione esistente

Netsh advfirewall
Usage: set rule
      group=<string> | name=<string>
      [type=dynamic|static]
      [profile=public|private|domain|any[,...] (default=any)]
      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [port1=0-65535|any]
      [port2=0-65535|any]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
      new
      [name=<string>]
      [profile=public|private|domain|any[,...]]
      [description=<string>]
      [mode=transport|tunnel]
      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [action=requireinrequestout|requestinrequestout|
         requireinrequireout|noauthentication]
      [enable=yes|no]
      [type=dynamic|static]
      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
      [port1=0-65535|any]
      [port2=0-65535|any]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
      [interfacetype=wiresless|lan|ras|any]
     [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
         computerntlm|anonymous[,...]]
      [auth1psk=<string>]
      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1healthcert=yes|no (default=no)]
      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap256healthcert=yes|no (default=no)]
      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap384healthcert=yes|no (default=no)]
      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
      [auth2ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
      [qmsecmethods=
         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
         default]


Remarks:

      - This sets a new parameter value on an identified rule. The command fails
        if the rule does not exist. To create a rule, use the "add" command.
      - Values after the new keyword are updated in the rule.  If there are
        no values, or if the "new" keyword is missing, no changes are made.
      - Only a group of rules can be enabled or disabled.
      - If multiple rules match the criteria, all matching rules are 
        updated.
      - The rule name should be unique, and it cannot be "all."
      - Auth1 and auth2 can be comma-separated lists of options.
      - The computerpsk and computerntlm methods cannot be specified together
        for auth1.
      - Computercert cannot be specified by using user credentials for auth2.
     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.  
      - Qmsecmethods can be a list of proposals that are separated by a comma (,).
      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
        encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
      - If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.  
     -  Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
      - If qmsemethods are set to "default," qmpfs will be set to "default" also.
      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The default value for "certmapping" and "excludecaname" is "no."
      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Riportato di seguito Ŕ riportato un esempio di un comando che aggiorna la regola Ŕ stata creata in "Example 1" nella sezione precedente:
Netsh advfirewall consec impostare nome regola = test nuovo qmsecmethods = ah: aesgmac256 + esp:aesgcm256-aesgcm256
Questo comando Aggiorna la regola per utilizzare AES-GCM 256 per la crittografia e integritÓ ESP e utilizzare GMAC AES 256 per integritÓ AH.

Impostare le impostazioni globali della modalitÓ principale

Il testo della Guida seguente Ŕ per il comando Netsh advfirewall impostare globale .
netsh advfirewall>set global

Usage: set global statefulftp|statefulpptp  enable|disable|notconfigured
      set global IPsec (parameter) (value)
      set global mainmode (parameter) (value) | notconfigured

IPsec Parameters:

      strongcrlcheck    - Configures how CRL checking is enforced.
                          0: Disable CRL checking
                          1: Fail if cert is revoked and the CRL exists in the client?s CRL cache (default behavior)and the CRL exists in the client?s CRL cache (default behavior)                          2: Fail on any error
                          notconfigured: Returns the value to its unconfigured state.
      saidletimemin     - Configures the security association idle time in
                          minutes.
                        - Usage: 5-60|notconfigured (default=5)
      defaultexemptions - Configures the default IPsec exemptions. The default is
                          to exempt IPv6 neighbordiscovery protocol from
                          IPsec.
                        - Usage: none|neighbordiscovery|notconfigured

Main Mode Parameters:

      mmkeylifetime     - Sets the main mode key lifetime in minutes, in sessions, or in both.
                        - Usage: <num>min,<num>sess
      mmsecmethods      - Configures the main mode list of proposals
                        - Usage:
                          keyexch:enc-integrity,enc-integrity[,...]|default
                        - keyexch=dhgroup1|dhgroup2|dhgroup14|
                          ecdhp256|ecdhp384
                        - enc=3des|des|aes128|aes192|aes256
                        - integrity=md5|sha1|sha256|sha384

Remarks:

      - This configures global settings, such as advanced IPsec options.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The mmsecmethods keyword default sets the policy to the following:
        dhgroup2-aes128-sha1,dhgroup2-3des-sha1
      - Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
Di seguito Ŕ riportato un esempio di un comando che utilizza gli algoritmi SHA nuovi nel set di crittografia modalitÓ principale:
Netsh advfirewall impostato in modalitÓ principale globale mmsecmethods dhgroup1:3des-sha256, sha384 3des

Comandi di risoluzione dei problemi di configurazione e di verifica

Il comando "Netsh advfirewall consec show regola tutti"

Il comando Netsh advfirewall consec show rule tutti Visualizza configurazione per tutte le regole di protezione di connessione.

Di seguito Ŕ riportato un esempio di output di questo comando.
Rule Name:				test
Enabled:					Yes
Profiles:					Domain,Private,Public
Type:					Static
Mode:					Transport
Endpoint1:				Any
Endpoint2:				Any
Protocol:					Any
Action:					RequestInRequestOut
Auth1:					ComputerPSK
Auth1PSK:				         12345
MainModeSecMethods			         ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethods			AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb

Il comando "Netsh advfirewall monitor show mmsa"

Il comando Netsh advfirewall monitor show mmsa Visualizza l'associazione di protezione in modalitÓ principale.

Di seguito Ŕ riportato un esempio di output di questo comando.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:				157.59.24.101
Remote IP Address:			         157.59.24.119
My ID:
Peer ID:
First Auth:				ComputerPSK
Second Auth:				None
MM Offer:				         ECDHAP384-3DES-SHA256
Cookie Pair:				203d57505:5d088705
Health Pair:				No
Ok.

Il comando "Netsh advfirewall monitor show qmsa"

Il comando Netsh advfirewall monitor show qmsa Visualizza l'associazione di protezione in modalitÓ rapida.

Di seguito Ŕ riportato un esempio di output di questo comando.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:				157.59.24.101
Remote IP Address:			         157.59.24.119
Local Port:				Any
Remote Port:				Any
Protocol:					Any
Direction:				Both
QM Offer:				         AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb	
Ok.

Il comando "Netsh advfirewall globale Mostra"

Il comando Netsh advfirewall show global Visualizza le impostazioni globali.

Di seguito Ŕ riportato un esempio di output di questo comando.
Global Settings:
IPsec:					
StrongCRLCheck				0:Disabled
SAIdleTimeMin				5min
DefaultExemptions			         NeighborDiscovery
IPsecThroughNAT			         Server and client behind NAT

StatefulFTP				Enable
StatefulPPTP				Enable

Main Mode:
KeyLifetime				2min,0sess
SecMethods				DHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384

InteroperabilitÓ

Creazione, l'applicazione e gestione del criterio IPsec che utilizza gli algoritmi Suite B Ŕ stato introdotto in Windows Vista SP1 e Windows Server 2008. ╚ possibile gestire criteri di gruppo che contiene gli algoritmi Suite B solo utilizzando strumenti che sono stati rilasciati con Windows Vista SP1 o Windows Server 2008.

Di seguito sono illustrati gli scenari di esempio e i risultati previsti.

Scenario 1

╚ possibile utilizzare i nuovi algoritmi di crittografico per applicare un criterio che viene creato in un computer che esegue Windows Server 2008 o Windows Vista SP1 in un computer che esegue la versione di Windows Vista.
Risultato previsto
Se una regola contiene una suite di crittografiche che utilizzano i nuovi algoritmi di crittografico, queste suite di crittografiche vengono scartati e altri gruppi di crittografiche nel set di crittografia vengono invece utilizzati.

Se nessuna delle suite di crittografiche nella regola vengono riconosciuta, viene eliminata l'intera regola. Viene registrato un evento che indica che la regola non pu˛ essere elaborata. Pertanto, se vengono rilasciati tutti gruppi nel set di crittografia di scambio delle chiavi di crittografico, nessuna delle regole di protezione di connessione nel criterio vengono applicata. Tuttavia, tutte le regole firewall ancora vengono applicate.

Il processo di autenticazione insieme Ŕ simile al processo di set di crittografia. Se un criterio che contiene i nuovi flag di certificato (ECDSA P256 o P384 ECDSA) viene applicato a un computer che esegue la versione di Windows Vista, i metodi di autenticazione vengono eliminati.

Se vengono eliminati tutti i metodi di autenticazione del primo set di autenticazione per questo motivo, l'intera regola non viene elaborata. Se vengono eliminati tutti i metodi di autenticazione nel secondo set di autenticazione, la regola viene elaborata utilizzando solo la prima autenticazione impostata.

Scenario 2

In un computer che esegue la versione di Windows Vista, Ŕ possibile utilizzare i nuovi algoritmi di crittografico per visualizzare un criterio che Ŕ stato creato in un computer che esegue Windows Server 2008 o Windows Vista SP1.
Risultato previsto
I nuovi algoritmi vengono visualizzati come "sconosciuto", il monitoraggio e la creazione di parti dello snap-in MMC di protezione avanzata di Windows Firewall. Il comando Netsh advfirewall Visualizza inoltre gli algoritmi come "sconosciuto" in Windows Vista.

Restrizioni sull'interoperabilitÓ

Restrizioni sull'interoperabilitÓ sono i seguenti:
  • Gestione remota dei criteri che utilizzano algoritmi Suite B nei computer che eseguono Windows Vista SP1 o Windows Server 2008 da un computer che esegue la versione di Windows Vista non Ŕ supportato.
  • Quando un criterio che viene creato in un computer che esegue Windows Vista SP1 o Windows Server 2008 viene importato in un computer che esegue la versione finale di Windows Vista, vengono eliminate alcune parti del criterio. Ci˛ si verifica perchÚ la versione di Windows Vista Ŕ in grado di riconoscere i nuovi algoritmi.

Combinazioni di algoritmi di crittografia modalitÓ rapida supportate e non supportate

Nella seguente tabella sono combinazioni di algoritmo di crittografia supportate modalitÓ veloce.
Riduci questa tabellaEspandi questa tabella
ProtocolloAH integritÓIntegritÓ ESPCrittografia
AHAES-128 GMACNessunoNessuno
AHAES-192 GMACNessunoNessuno
AHAES-256 GMACNessunoNessuno
AHSHA256NessunoNessuno
AHSHA1NessunoNessuno
AHMD5NessunoNessuno
ESPNessunoAES-128 GMACNessuno
ESPNessunoAES-192 GMACNessuno
ESPNessunoAES-256 GMACNessuno
ESPNessunoSHA256Nessuno
ESPNessunoSHA1Nessuno
ESPNessunoMD5Nessuno
ESPNessunoSHA256Qualsiasi algoritmo di crittografia supportati, ad eccezione di algoritmi AES-GCM
ESPNessunoSHA1Qualsiasi algoritmo di crittografia supportati, ad eccezione di algoritmi AES-GCM
ESPNessunoMD5Qualsiasi algoritmo di crittografia supportati, ad eccezione di algoritmi AES-GCM
ESPNessunoAES-GCM 128AES-GCM 128
ESPNessunoAES-GCM 192AES-GCM 192
ESPNessunoAES-GCM 256AES-GCM 256
AH + ESPAES-128 GMACAES-128 GMACNessuno
AH + ESPAES-128 GMACAES-128 GMACNessuno
AH + ESPAES-128 GMACAES-128 GMACNessuno
AH + ESPSHA-256SHA-256Nessuno
AH + ESPSHA1SHA1Nessuno
AH + ESPMD5MD5Nessuno
AH + ESPSHA256SHA256Qualsiasi algoritmo di crittografia supportati, ad eccezione di algoritmi AES-GCM
AH + ESPSHA1SHA1Qualsiasi algoritmo di crittografia supportati, ad eccezione di algoritmi AES-GCM
AH + ESPMD5MD5Qualsiasi algoritmo di crittografia supportati, ad eccezione di algoritmi AES-GCM
AH + ESPAES-128 GMACAES-GCM 128AES-GCM 128
AH + ESPAES-192 GMACAES-GCM 192AES-GCM 192
AH + ESPAES-256 GMACAES-GCM 256AES-GCM 256
Nota. AES-GMAC Ŕ lo stesso come AES-GCM con crittografia null. Ad esempio, Ŕ possibile specificare l'integritÓ AH per l'utilizzo di GMAC AES 128 ed Ŕ possibile specificare l'integritÓ ESP per utilizzare AES-GCM 128. Questo Ŕ l'unica eccezione alla regola che gli algoritmi di integritÓ AH ed ESP devono essere identici.

Le combinazioni sono descritti nella tabella riportata di seguito non sono supportate.
Riduci questa tabellaEspandi questa tabella
ProtocolloAH integritÓIntegritÓ ESPCrittografia
ESPNessunoAES-128 GMACQualsiasi algoritmo di crittografia supportati
ESPNessunoAES-192 GMACQualsiasi algoritmo di crittografia supportati
ESPNessunoAES-256 GMACQualsiasi algoritmo di crittografia supportati
ESPNessunoAES-GCM 1281. None
2. Qualsiasi algoritmo di crittografia, ad eccezione di AES-GCM 128
ESPNessunoAES-GCM 1921. None
2. Qualsiasi algoritmo di crittografia, ad eccezione di 192 AES-GCM
ESPNessunoAES-GCM 2561. None
2. Qualsiasi algoritmo di crittografia, ad eccezione di 256 AES-GCM
AH + ESPAES-128 GMACAES-128 GMACQualsiasi algoritmo di crittografia supportati
AH + ESPAES-192 GMACAES-192 GMACQualsiasi algoritmo di crittografia supportati
AH + ESPAES-256 GMACAES-256 GMACQualsiasi algoritmo di crittografia supportati
Per ulteriori informazioni su Suite B, visitare il seguente sito Web:
http://www.NSA.gov/IA/Programs/suiteb_cryptography/index.shtml
Per ulteriori informazioni sulle regole di protezione IPsec e di connessione, visitare il seguente sito Web Microsoft:
http://go.microsoft.com/fwlink/?LinkId=96525
Per ulteriori informazioni sulla crittografia di ultima generazione in Windows Server 2008, visitare il seguente sito Web Microsoft:
http://technet2.microsoft.com/windowsserver2008/en/library/532ac164-da33-4369-bef0-8f019d5a18b81033.mspx?mfr=true
Per ulteriori informazioni, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
949299 Descrizione del gruppo di protezione Crypto operatori che Ŕ stato aggiunto a Windows Vista Service Pack 1 per configurare Windows Firewall per IPsec in comune modalitÓ di criteri

ProprietÓ

Identificativo articolo: 949856 - Ultima modifica: sabato 21 settembre 2013 - Revisione: 5.0
Le informazioni in questo articolo si applicano a:
  • Windows Vista Service Pack 1áalle seguenti piattaforme
    • Windows Vista Business
    • Windows Vista Business 64-bit edition
    • Windows Vista Enterprise
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate
    • Windows Vista Ultimate 64-bit edition
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Chiavi:á
kbexpertiseinter kbhowto kbinfo kbmt KB949856 KbMtit
Traduzione automatica articoli
IMPORTANTE: il presente articolo Ŕ stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l?obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre Ŕ perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilitÓ per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualitÓ della traduzione.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 949856
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com