Windows Vista Service Pack 1、Windows Server 2008、および Windows 7 の IPsec に追加された Suite B 暗号化アルゴリズムのサポートの説明

文書翻訳 文書翻訳
文書番号: 949856
Windows Vista Service Pack 1 (SP1)、2011 年 7 月 12日、終了をサポートしてください。Windows 用のセキュリティ更新プログラムを受信を続行するには、Service Pack 2 (SP2) で Windows Vista を実行しているかどうかを確認します。詳細についてには、このマイクロソフト web サイトを参照してください。 Windows の一部のバージョンのサポート終了します。.
すべて展開する | すべて折りたたむ

目次

はじめに

この資料では Windows Vista Service Pack 1 (SP1) および Windows Server 2008 で追加された Suite B 暗号化アルゴリズムのサポートについて説明します。スイート B は、米国国立セキュリティ機関 (NSA によって) が承認されている暗号化アルゴリズムの集まりです。

スイート B は機密性の高いデータを保護するため、相互運用可能な暗号化フレームワークとして使用されます。サポート Suite B アルゴリズムを次の領域に拡張されています。
  • メイン モード
  • クイック モード
  • 認証の設定
Suite B アルゴリズムを使用して、インターネット プロトコル セキュリティ (IPsec) ポリシー構成構文についても説明します。

詳細

サポートの制限事項

スイート B のサポートの制限事項は次のとおりです。
  • Suite B アルゴリズムを使用して IPsec ポリシーの適用と作成サポートされてのみ Windows Vista Service Pack 1 で (SP1)、Windows Server 2008 またはそれ以降のバージョンの Windows で。
  • Suite B アルゴリズムを含むポリシーを作成、"セキュリティが強化された Windows ファイアウォール] Microsoft 管理コンソール (MMC) スナップインは、Windows 7 およびそれ以降のバージョンの Windows ではサポートされています。
  • は、 Netsh advfirewall のヘルプ コマンドの Suite B アルゴリズムの構成オプションは表示されません。これは、Windows Vista SP1 にのみ適用されます。

定義

  • スイート B

    スイート B の国立セキュリティ機関 (NSA) によって指定されている標準のセットです。スイート B は、業界で最も幅の広い範囲の米国政府機関のニーズを満たす製品を作成するために使用できる暗号化アルゴリズムの共通セットを提供します。Suite B アルゴリズムの種類は次のをとおりです。
    • 整合性
    • 暗号化
    • キー交換
    • デジタル署名
  • 連邦情報処理規格 (FIPS)

    FIPS は一連のガイドラインおよび連邦のコンピューティング リソースを管理するための標準です。すべての Suite B アルゴリズムは、FIPS 承認されます。

    詳細については、次の Web サイトを参照してください。
    http://www.itl.nist.gov/fipspubs/geninfo.htm
  • NIST

    これは、国立研究所の標準とテクノロジの略語です。
  • データ整合性アルゴリズム

    データ整合性アルゴリズムは、メッセージのハッシュを使用して、送信中に情報が変更されていないようにかどうかを確認します。
  • データの暗号化アルゴリズム

    データの暗号化アルゴリズムを使用して、送信された情報を非表示にします。暗号化アルゴリズムを使用して、秘密のコードをテキスト形式に変換します。

    など、暗号化アルゴリズム プレーン テキストを暗号テキストに変換できます。暗号化テキストは、元のプレーン テキストにデコードできます。各アルゴリズムは、変換を実行するのに「キー」を使用します。キーの種類とキーの長さは、使用されているアルゴリズムによって異なります。
  • IPsec

    これは「インターネット プロトコル セキュリティ」という用語略称です。

    IPsec の詳細については、次のマイクロソフト Web サイトを参照してください。
    http://technet.microsoft.com/en-us/network/bb531150.aspx
  • 暗号化標準 Galois メッセージ認証コード (AES GMAC) の詳細

    このアルゴリズムは NIST 特別文書に記載されている 800 × 38 D。このドキュメントを表示するには、次の Web サイトを参照してください。
    http://csrc.nist.gov/publications/nistpubs/800-38D/SP-800-38D.pdf
  • 高度な暗号化標準 Galois/カウンター モード (AES GCM)

    このアルゴリズムは NIST 特別文書に記載されている 800 × 38 D。このドキュメントを表示するには、次の Web サイトを参照してください。
    http://csrc.nist.gov/publications/nistpubs/800-38D/SP-800-38D.pdf
  • 楕円曲線のデジタル署名アルゴリズム (ECDSA)

    楕円曲線 (EC) EC のグループの動作は、デジタル署名アルゴリズムの一種です。キーのサイズが小さく、同じセキュリティ レベルを EC のバリエーションを提供します。

    このアルゴリズムは、FIPS 文書 186-2 で説明します。この文書を表示するのには、次の Web サイトを参照してください。
    http://csrc.nist.gov/publications/fips/archive/fips186-2/fips186-2.pdf
  • 証明機関 (CA)

    証明機関は、デジタル証明書を発行するエンティティです。IPsec は、これらの証明書は、認証方法として使用できます。
  • 認証ヘッダー (AH)

    認証ヘッダーは、パケット全体の認証、整合性、および不正再実行機能を提供する IPsec プロトコルです。これには、IP ヘッダーとデータ ペイロードが含まれます。

    AH は、機密性は提供していません。AH ではデータは暗号化されないことを意味します。データは判読可能だが、書き込み不可です。
  • カプセル化セキュリティ ペイロード (ESP)

    ESP 機密性、認証、整合性、および不正再実行機能を提供する IPsec プロトコルです。ESP は単独で使用できますか、AH と組み合わせて使用できます。

メイン モードのアルゴリズム

Windows Vista SP1 と Windows Server 2008 では、既に Windows Vista のリリース バージョンでサポートされているそれらのアルゴリズムに加え、次の整合性アルゴリズムがサポートされます。
  • SHA 256
  • SHA-384
メモ キー交換アルゴリズムと暗号化アルゴリズムは変更されません。

クイック モードのアルゴリズム

Windows Vista SP1 と Windows Server 2008 では、既に Windows Vista のリリース バージョンでサポートされているそれらのアルゴリズムに加え、次のアルゴリズムがサポートされています。

整合性 (AH または ESP)

  • SHA 256
  • GMAC の AES-128
  • AES-GMAC-192
  • GMAC の AES-256

整合性と暗号化 (ESP のみ)

  • GCM で AES-128
  • AES の GCM-192
  • GCM-AES-256
サポートされ、サポートされていない AH と ESP の組み合わせの詳細については、「サポートされ、サポートされていないクイック モード暗号化アルゴリズムの組み合わせ」を参照してくださいセクション。

クイック モードの制限

  • AH と ESP の両方を同じ整合性アルゴリズムを使用する必要があります。
  • AES GMAC のアルゴリズムは、ヌル暗号化が整合性アルゴリズムを利用できます。したがって、ESP の整合性をこれらのアルゴリズムを指定する場合は、暗号化アルゴリズムを指定できません。
  • AES GCM アルゴリズムを使用すると、ESP 整合性と暗号化の両方を同じアルゴリズムを指定する必要があります。

認証

Windows Vista SP1 と Windows Server 2008 では、既に Windows Vista のリリース バージョンでサポートされているそれらの認証方法のほかに次の認証方法がサポートされています。
  • ECDSA P256 の署名では、コンピューターの証明書
  • ECDSA P384 の署名では、コンピューターの証明書
メモ Windows Vista の既定の認証方法は、RSA SecurId の認証です。

構文と例

この説明を使用する構文は、 Netsh advfirewall コマンドを追加するのには、接続セキュリティ規則を変更するのには。ここでの例も説明します。 Netsh advfirewall コマンドをします。

接続セキュリティの規則を追加します。

Netsh advfirewall
Usage: add rule name=<string>
      endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
      endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
      action=requireinrequestout|requestinrequestout|
         requireinrequireout|noauthentication
      [description=<string>]
      [mode=transport|tunnel (default=transport)]
      [enable=yes|no (default=yes)]
      [profile=public|private|domain|any[,...] (default=any)]
      [type=dynamic|static (default=static)]
      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
      [port1=0-65535|any (default=any)]
      [port2=0-65535|any (default=any)]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
      [interfacetype=wiresless|lan|ras|any (default=any)]
      [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
         computerntlm|anonymous[,...]]
      [auth1psk=<string>]
      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1healthcert=yes|no (default=no)]
      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap256healthcert=yes|no (default=no)]
      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap384healthcert=yes|no (default=no)]
      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
      [auth2ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
      [qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
         none (default=none)]
      [qmsecmethods=
         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
         |default]
        
Remarks:

      - The rule name should be unique, and it cannot be "all."
      - When mode=tunnel, both tunnel endpoints must be specified and must be
        the same IP version. Also, the action must be requireinrequireout.
      - At least one authentication must be specified.
      - Auth1 and auth2 can be comma-separated lists of options.
      - The "computerpsk" and "computerntlm" methods cannot be specified together
        for auth1.
      - Computercert cannot be specified with user credentials for auth2.
     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
      - Qmsecmethods can be a list of proposals separated by a comma (,).
      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
        encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
      - If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.  
     -  sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista. 
      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The default value for certmapping and for excludecaname is "no."
      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
例 1
次の使用例の検討、 Netsh advfirewall コマンド:
Netsh advfirewall の consec にルールの名前を追加"test1"エンドポイント =、endpoint2 = アクション = = requestinrequestout の説明 =「証明書の使用の ECDSA256 と AESGMAC256」auth1 computercert、computercertecdsap256 auth1ca = ="C、O = = MSFT、CN = \ 'マイクロソフトの北、南、東と西ルート Authority\'"auth1healthcert = auth1ecdsap256ca ="C、O = = MSFT、CN = \ 'マイクロソフトの北、南、東と西ルート Authority\'"auth1ecdsap256healthcert はい qmsecmethods = そうそう =: aesgmac256 + esp:aesgmac256-なし
このコマンドは以下の認証方式の認証設定が、接続セキュリティの規則を作成します。
  • 1 番目の認証方法は、RSA 署名の証明書を使用する証明書です。
  • 2 番目の認証方法は、ECDSA256 の署名証明書を使用して、正常性証明書です。
接続セキュリティの規則は、新しい AES GMAC 256 アルゴリズム AH と ESP の整合性を使用してトラフィックを保護します。ルール暗号化は含みません。
例 2
次の使用例の検討、 Netsh advfirewall コマンド:
Netsh advfirewall の consec にルールの名前を追加 test2 エンドポイント =、endpoint2 = 何を = = requestinrequestout の説明「使用 SHA 256 の整合性」と暗号化の AES192 auth1 = computercert auth1ca = ="C、O = = MSFT、CN = \ 'マイクロソフトの北、南、東と西ルート Authority\'"auth1healthcert qmsecmethods = なしそうそう =: sha256 + esp:sha256-aes192
このコマンドは、1 つの認証方法、認証の設定が、接続セキュリティの規則を作成します。認証方法は、RSA 署名の証明書を使用する証明書です。

接続セキュリティの規則は、AH と ESP の整合性整合性を SHA256 と暗号化は AES192 を使用してトラフィックを保護します。

既存の接続セキュリティ規則を変更します。

Netsh advfirewall
Usage: set rule
      group=<string> | name=<string>
      [type=dynamic|static]
      [profile=public|private|domain|any[,...] (default=any)]
      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [port1=0-65535|any]
      [port2=0-65535|any]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
      new
      [name=<string>]
      [profile=public|private|domain|any[,...]]
      [description=<string>]
      [mode=transport|tunnel]
      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [action=requireinrequestout|requestinrequestout|
         requireinrequireout|noauthentication]
      [enable=yes|no]
      [type=dynamic|static]
      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
      [port1=0-65535|any]
      [port2=0-65535|any]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
      [interfacetype=wiresless|lan|ras|any]
     [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
         computerntlm|anonymous[,...]]
      [auth1psk=<string>]
      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1healthcert=yes|no (default=no)]
      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap256healthcert=yes|no (default=no)]
      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap384healthcert=yes|no (default=no)]
      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
      [auth2ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
      [qmsecmethods=
         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
         default]


Remarks:

      - This sets a new parameter value on an identified rule. The command fails
        if the rule does not exist. To create a rule, use the "add" command.
      - Values after the new keyword are updated in the rule.  If there are
        no values, or if the "new" keyword is missing, no changes are made.
      - Only a group of rules can be enabled or disabled.
      - If multiple rules match the criteria, all matching rules are 
        updated.
      - The rule name should be unique, and it cannot be "all."
      - Auth1 and auth2 can be comma-separated lists of options.
      - The computerpsk and computerntlm methods cannot be specified together
        for auth1.
      - Computercert cannot be specified by using user credentials for auth2.
     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.  
      - Qmsecmethods can be a list of proposals that are separated by a comma (,).
      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
        encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
      - If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.  
     -  Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
      - If qmsemethods are set to "default," qmpfs will be set to "default" also.
      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The default value for "certmapping" and "excludecaname" is "no."
      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
前のセクションでは「例 1」で作成したルールを更新するコマンドの例を次に示します。
Netsh advfirewall consec 設定ルールの名前テスト新しい qmsecmethods = ああ =: aesgmac256 + esp:aesgcm256 ・ aesgcm256
このコマンドは ESP 整合性と暗号化に AES-GCM 256 を使用して、AES GMAC 256 を AH 整合性を使用するルールを更新します。

メイン モードのグローバル設定を設定します。

次のヘルプのテキストは、 Netsh advfirewall セットのグローバル コマンドです。
netsh advfirewall>set global

Usage: set global statefulftp|statefulpptp  enable|disable|notconfigured
      set global IPsec (parameter) (value)
      set global mainmode (parameter) (value) | notconfigured

IPsec Parameters:

      strongcrlcheck    - Configures how CRL checking is enforced.
                          0: Disable CRL checking
                          1: Fail if cert is revoked and the CRL exists in the client’s CRL cache (default behavior)and the CRL exists in the client’s CRL cache (default behavior)                          2: Fail on any error
                          notconfigured: Returns the value to its unconfigured state.
      saidletimemin     - Configures the security association idle time in
                          minutes.
                        - Usage: 5-60|notconfigured (default=5)
      defaultexemptions - Configures the default IPsec exemptions. The default is
                          to exempt IPv6 neighbordiscovery protocol from
                          IPsec.
                        - Usage: none|neighbordiscovery|notconfigured

Main Mode Parameters:

      mmkeylifetime     - Sets the main mode key lifetime in minutes, in sessions, or in both.
                        - Usage: <num>min,<num>sess
      mmsecmethods      - Configures the main mode list of proposals
                        - Usage:
                          keyexch:enc-integrity,enc-integrity[,...]|default
                        - keyexch=dhgroup1|dhgroup2|dhgroup14|
                          ecdhp256|ecdhp384
                        - enc=3des|des|aes128|aes192|aes256
                        - integrity=md5|sha1|sha256|sha384

Remarks:

      - This configures global settings, such as advanced IPsec options.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The mmsecmethods keyword default sets the policy to the following:
        dhgroup2-aes128-sha1,dhgroup2-3des-sha1
      - Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
新しい SHA アルゴリズム内のメイン モード暗号セットを使用するコマンドの例を次に示します。
Netsh advfirewall 設定のメイン モードのグローバル ・ mmsecmethods ・ dhgroup1:3des ・ sha256、sha384 3 des

トラブルシューティング、構成、および検証コマンド

「Netsh advfirewall consec ショー ルールすべて」コマンド

は、 Netsh advfirewall consec すべてのルールを表示します。 コマンドは、すべての接続セキュリティの規則の構成を表示します。

このコマンドの出力の例を次に示します。
Rule Name:				test
Enabled:					Yes
Profiles:					Domain,Private,Public
Type:					Static
Mode:					Transport
Endpoint1:				Any
Endpoint2:				Any
Protocol:					Any
Action:					RequestInRequestOut
Auth1:					ComputerPSK
Auth1PSK:				         12345
MainModeSecMethods			         ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethods			AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb

「Netsh advfirewall モニター表示 mmsa」コマンド

は、 Netsh advfirewall モニター表示 mmsa コマンドは、メイン モードのセキュリティ アソシエーションを表示します。

このコマンドの出力の例を次に示します。
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:				157.59.24.101
Remote IP Address:			         157.59.24.119
My ID:
Peer ID:
First Auth:				ComputerPSK
Second Auth:				None
MM Offer:				         ECDHAP384-3DES-SHA256
Cookie Pair:				203d57505:5d088705
Health Pair:				No
Ok.

「Netsh advfirewall モニター表示 qmsa」コマンド

は、 Netsh advfirewall モニター qmsa が表示します。 コマンド、クイック モードのセキュリティ アソシエーションを表示します。

このコマンドの出力の例を次に示します。
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:				157.59.24.101
Remote IP Address:			         157.59.24.119
Local Port:				Any
Remote Port:				Any
Protocol:					Any
Direction:				Both
QM Offer:				         AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb	
Ok.

"Netsh advfirewall [グローバル] コマンド

は、 Netsh advfirewall の表示グローバル コマンドは、グローバル設定を表示します。

このコマンドの出力の例を次に示します。
Global Settings:
IPsec:					
StrongCRLCheck				0:Disabled
SAIdleTimeMin				5min
DefaultExemptions			         NeighborDiscovery
IPsecThroughNAT			         Server and client behind NAT

StatefulFTP				Enable
StatefulPPTP				Enable

Main Mode:
KeyLifetime				2min,0sess
SecMethods				DHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384

相互運用性

Windows Vista sp1 と Windows Server 2008 での作成、施行、および Suite B アルゴリズムを使用して、IPsec ポリシーの管理が導入されました。のみリリースされたツールと Windows Vista SP1 と Windows Server 2008 で Suite B アルゴリズムを含むグループ ポリシーを管理できます。

サンプルのシナリオと予想される結果は、次のとおりです。

シナリオ 1

リリース版の Windows Vista を実行しているコンピューターに Windows Server 2008 または Windows Vista SP1 を実行しているコンピューターで作成されたポリシーを適用するのにには、新しい暗号化アルゴリズムを使用します。
期待される結果
ルール暗号化スイートは、新しい暗号化アルゴリズムを使用してが含まれている場合は、これらの暗号スイートを削除して、他の暗号スイート暗号セットの代わりに使用されます。

ルール暗号化スイートの認識している場合は、全体のルールが削除されます。イベント ルールが処理できないことを示すに記録されます。したがって、すべての暗号スイートのキー交換暗号セットが削除される場合は、の接続セキュリティの規則をポリシーに適用されます。ただし、すべてのファイアウォールの規則が適用されます。

認証セットが暗号セット プロセスを似ています。ポリシーに含まれている場合、新しい証明書フラグ (ECDSA P384 ECDSA P256) が、リリース版の Windows Vista を実行しているコンピューターに適用される、認証方法が削除されます。

このため、最初の認証セット内のすべての認証方法が削除される場合は、全体のルールは処理されません。2 つ目の認証セット内のすべての認証方法を削除する場合は、ルールは、最初の認証のみを使用して処理を設定します。

シナリオ 2

リリース版の Windows Vista を実行しているコンピューターでは、新しい暗号化アルゴリズムを使用して Windows Server 2008 または Windows Vista SP1 を実行しているコンピューターで作成したポリシーを表示するのには。
期待される結果
新しいアルゴリズムを監視し、Windows ファイアウォールの高度なセキュリティ MMC スナップインの作成には、「不明」として表示されます、 Netsh advfirewall コマンドには、アルゴリズムでは Windows Vista では「不明」としても表示されます。

相互運用性に関する制限事項

相互運用性に関する制限事項は次のとおりです。
  • 私たちは、Suite B アルゴリズムを使用して Windows Vista SP1 または Windows Server 2008 のリリース版の Windows Vista を実行しているコンピューターから実行しているコンピューター上のポリシーのリモート管理はサポートされていません。
  • リリース版の Windows Vista を実行しているコンピューターに Windows Vista SP1 または Windows Server 2008 を実行しているコンピューターで作成したポリシーがインポートされると、ポリシーの一部が削除されます。これは、リリース版の Windows Vista の新しいアルゴリズムを認識できないために発生します。

クイック モード暗号化アルゴリズム組み合わせサポートされ、サポートされていません。

次の表は、サポートされているクイック モード暗号化アルゴリズムの組み合わせを示します。
元に戻す全体を表示する
プロトコルAH 整合性ESP 整合性暗号化
ああAES GMAC の 128[なし][なし]
ああAES GMAC の 192[なし][なし]
ああAES GMAC の 256[なし][なし]
ああSHA256[なし][なし]
ああSHA1[なし][なし]
ああMD5[なし][なし]
ESP[なし]AES GMAC の 128[なし]
ESP[なし]AES GMAC の 192[なし]
ESP[なし]AES GMAC の 256[なし]
ESP[なし]SHA256[なし]
ESP[なし]SHA1[なし]
ESP[なし]MD5[なし]
ESP[なし]SHA256AES GCM アルゴリズムを除くのすべてのサポートされている暗号化アルゴリズム
ESP[なし]SHA1AES GCM アルゴリズムを除くのすべてのサポートされている暗号化アルゴリズム
ESP[なし]MD5AES GCM アルゴリズムを除くのすべてのサポートされている暗号化アルゴリズム
ESP[なし]AES-GCM 128AES-GCM 128
ESP[なし]AES-GCM 192AES-GCM 192
ESP[なし]AES-GCM 256AES-GCM 256
AH と ESPAES GMAC の 128AES GMAC の 128[なし]
AH と ESPAES GMAC の 128AES GMAC の 128[なし]
AH と ESPAES GMAC の 128AES GMAC の 128[なし]
AH と ESPSHA 256SHA 256[なし]
AH と ESPSHA1SHA1[なし]
AH と ESPMD5MD5[なし]
AH と ESPSHA256SHA256AES GCM アルゴリズムを除くのすべてのサポートされている暗号化アルゴリズム
AH と ESPSHA1SHA1AES GCM アルゴリズムを除くのすべてのサポートされている暗号化アルゴリズム
AH と ESPMD5MD5AES GCM アルゴリズムを除くのすべてのサポートされている暗号化アルゴリズム
AH と ESPAES GMAC の 128AES-GCM 128AES-GCM 128
AH と ESPAES GMAC の 192AES-GCM 192AES-GCM 192
AH と ESPAES GMAC の 256AES-GCM 256AES-GCM 256
メモ AES GMAC は AES GCM と同じ null 暗号化です。たとえば、AES GMAC の 128 を使用するのには、AH 整合性を指定できます、AES-GCM 128 を使用するのには、ESP 整合性を指定できます。これは、AH と ESP の整合性アルゴリズムは同じでなければなりません、ルールには例外です。

次の表に記載されているの組み合わせはサポートされていません。
元に戻す全体を表示する
プロトコルAH 整合性ESP 整合性暗号化
ESP[なし]AES GMAC の 128任意のサポートされている暗号化アルゴリズム
ESP[なし]AES GMAC の 192任意のサポートされている暗号化アルゴリズム
ESP[なし]AES GMAC の 256任意のサポートされている暗号化アルゴリズム
ESP[なし]AES-GCM 1281. なし
2. 任意の暗号化アルゴリズム AES-GCM 128 を除く
ESP[なし]AES-GCM 1921. なし
2. 任意の暗号化アルゴリズム AES-GCM 192 を除く
ESP[なし]AES-GCM 2561. なし
2. 任意の暗号化アルゴリズム AES-GCM 256 を除く
AH と ESPAES GMAC の 128AES GMAC の 128任意のサポートされている暗号化アルゴリズム
AH と ESPAES GMAC の 192AES GMAC の 192任意のサポートされている暗号化アルゴリズム
AH と ESPAES GMAC の 256AES GMAC の 256任意のサポートされている暗号化アルゴリズム
スイート B の詳細については、次の Web サイトを参照してください。
http://www.nsa.gov/ia/programs/suiteb_cryptography/index.shtml
IPsec と接続セキュリティの規則の詳細については、次のマイクロソフト Web サイトを参照してください。
http://go.microsoft.com/fwlink/?linkid=96525
Windows Server 2008 の次世代の暗号化の詳細については、次のマイクロソフト Web サイトを参照してください。
http://technet2.microsoft.com/windowsserver2008/en/library/532ac164-da33-4369-bef0-8f019d5a18b81033.mspx?mfr=true
詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
949299Windows Vista Service Pack 共通の IPsec が Windows ファイアウォールを構成する 1 に抽出条件のモードが追加された暗号化オペレーターのセキュリティ グループの説明

プロパティ

文書番号: 949856 - 最終更新日: 2011年8月11日 - リビジョン: 6.0
キーワード:?
kbhowto kbinfo kbexpertiseinter kbmt KB949856 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:949856
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com