Beperkingen
De volgende: beperkingen voor Suite B
- De oprichting en handhaving van het IPSec-beleid met Suite B algoritmen wordt alleen ondersteund in Windows Vista Service Pack 1 (SP1) in Windows Server 2008 of in latere versies van Windows.
- Ontwerpen van beleid met Suite B algoritmen wordt via de module "Windows Firewall met geavanceerde beveiligings-" MMC (Microsoft Management Console) voor Windows 7 en latere versies van Windows ondersteund.
- DeHelp voor Netsh advfirewallconfiguratieopties voor Suite B algoritmen weergegeven opdracht niet. Dit geldt alleen voor Windows Vista SP1.
Definities
- Suite B
Suite b is een set standaarden die zijn opgegeven door de National Security Agency (NSA). Suite b biedt de industrie met een gemeenschappelijke set cryptografische algoritmen voor het maken van producten die voldoen aan de uiteenlopende behoeften van de Amerikaanse regering. Suite b bevat een specificatie van de volgende typen algoritmen:- Integriteit
- Codering
- Sleuteluitwisseling
- Digitale handtekening
- Verwerkingsnormen federale informatie (FIPS)
FIPS is een set van richtlijnen en normen voor federale computerbronnen. Alle Suite B-algoritmen zijn FIPS goedgekeurd.
Voor meer informatie de volgende website: - NIST
Dit is een acroniem voor het National Institute of Standards and Technology. - Algoritmen voor gegevensintegriteit
Algoritmen voor gegevensintegriteit bericht-hashes gebruikt om ervoor te zorgen dat informatie niet wordt gewijzigd in transit is. - Algoritmen voor codering van gegevens
Algoritmen voor codering van gegevens worden gebruikt voor het verbergen van de informatie die wordt verzonden. Tekst converteren naar een geheime code de coderingsalgoritmen gebruikt.
De coderingsalgoritmen kunnen bijvoorbeeld tekst zonder opmaak converteren naar kan. De oorspronkelijke tekst zonder opmaak kan vervolgens de kan worden gedecodeerd. Elk algoritme gebruikt 'sleutel' de conversie. Type sleutel en de lengte van de sleutel is afhankelijk van het algoritme dat wordt gebruikt. - IPsec
Dit is een afkorting voor de term "internetprotocol security".
Bezoek de volgende Microsoft-website voor meer informatie over IPsec: - Advanced Encryption Standard Galois Message Authentication Code (AES-GMAC)
Dit algoritme wordt beschreven in speciale publicatie NIST 800 38 D. Dit document wilt weergeven, gaat u naar de volgende website: - Geavanceerde codering standaard in de modus Galois/teller (AES-GCM)
Dit algoritme wordt beschreven in speciale publicatie NIST 800 38 D. Dit document wilt weergeven, gaat u naar de volgende website: - Handtekeningalgoritme Elliptic Curve Digital (ECDSA)
Elliptische curve (EG) is een variant van de digitale handtekeningalgoritme die wordt toegepast op de EG-groepen. De EG-variant biedt kleinere sleutels voor hetzelfde beveiligingsniveau.
Dit algoritme wordt beschreven in de FIPS-publicatie 186 2. Deze publicatie weergeven, de volgende website: - Certificeringsinstantie (CA)
Een certificeringsinstantie is een entiteit die digitale certificaten uitgeeft. IPsec kan deze certificaten als verificatiemethode gebruiken. - Authentication Header (AH)
Authentication Header is een IPsec-protocol verificatie, integriteit en functionaliteit tegen hergebruik voor het hele pakket biedt. Ook de IP-header en de nettolading.
AH biedt vertrouwelijkheid. Dit betekent dat AH gegevens niet coderen. De gegevens worden gelezen, maar is niet beschrijfbaar. - Encapsulating Security Payload (ESP)
ESP is een IPsec-protocol vertrouwelijkheid, verificatie, integriteit en functionaliteit tegen hergebruik biedt. ESP kan zelfstandig worden gebruikt of kunnen worden gebruikt samen met AH.
Hoofdmodus algoritmen
In Windows Vista SP1 en Windows Server 2008 worden de volgende integriteitsalgoritmen naast de algoritmen die al worden ondersteund in de versie van Windows Vista ondersteund:
OpmerkingAlgoritme voor sleuteluitwisseling en de coderingsalgoritme niet worden gewijzigd.
Snelle modus algoritmen
In Windows Vista SP1 en Windows Server 2008 worden de volgende algoritmen ondersteund naast de algoritmen die al in de versie van Windows Vista worden ondersteund.
Integriteit (AH of ESP)
- SHA-256
- AES-GMAC-128
- AES-GMAC-192
- AES-GMAC-256
Integriteit en codering (ESP alleen)
- AES-GCM-128
- AES-GCM-192
- AES-GCM-256
Zie voor meer informatie over AH en ESP combinaties worden ondersteund en wordt niet ondersteund 'snelle modus cryptografische algoritmecombinaties worden ondersteund en wordt niet ondersteund' sectie.
Beperkingen voor de snelle modus
- Dezelfde algoritme moet worden gebruikt voor zowel AH als ESP.
- De AES-GMAC algoritmen zijn beschikbaar voor een integriteitsalgoritme null-codering heeft. Dus als deze algoritmen zijn opgegeven voor de ESP-integriteit, worden de coderingsalgoritme niet opgegeven.
- Als u een algoritme AES-GCM, moet u dezelfde algoritme voor ESP-integriteit en versleuteling opgegeven.
Verificatie
In Windows Vista SP1 en Windows Server 2008 worden de volgende verificatiemethoden ondersteund naast de verificatiemethoden die al in de versie van Windows Vista worden ondersteund.
- Computercertificaat ECDSA P256 ondertekenen
- Computercertificaat ECDSA P384 ondertekenen
OpmerkingDe standaardverificatiemethode voor Windows Vista is verificatie RSA SecurId.
Syntaxis en voorbeelden
Deze sectie beschrijft de syntaxis voor de
Netsh advfirewallopdracht toevoegen en regels voor verbindingsbeveiliging wijzigen. Deze sectie bevat ook voorbeelden van
Netsh advfirewallopdrachten.
Een beveiligingsregel toevoegen
Netsh advfirewall
Usage: add rule name=<string>
endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
action=requireinrequestout|requestinrequestout|
requireinrequireout|noauthentication
[description=<string>]
[mode=transport|tunnel (default=transport)]
[enable=yes|no (default=yes)]
[profile=public|private|domain|any[,...] (default=any)]
[type=dynamic|static (default=static)]
[localtunnelendpoint=<IPv4 address>|<IPv6 address>]
[remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
[port1=0-65535|any (default=any)]
[port2=0-65535|any (default=any)]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
[interfacetype=wiresless|lan|ras|any (default=any)]
[auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
computerntlm|anonymous[,...]]
[auth1psk=<string>]
[auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1healthcert=yes|no (default=no)]
[auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap256healthcert=yes|no (default=no)]
[auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap384healthcert=yes|no (default=no)]
[auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
[auth2ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
[qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
none (default=none)]
[qmsecmethods=
ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
|default]
Remarks:
- The rule name should be unique, and it cannot be "all."
- When mode=tunnel, both tunnel endpoints must be specified and must be
the same IP version. Also, the action must be requireinrequireout.
- At least one authentication must be specified.
- Auth1 and auth2 can be comma-separated lists of options.
- The "computerpsk" and "computerntlm" methods cannot be specified together
for auth1.
- Computercert cannot be specified with user credentials for auth2.
- Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmsecmethods can be a list of proposals separated by a comma (,).
- For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
- If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.
- sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmpfs=mainmode uses the main mode key exchange setting for PFS.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The default value for certmapping and for excludecaname is "no."
- The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').Voorbeeld 1
Bekijk het volgende voorbeeld van een
Netsh advfirewallopdracht:
Netsh advfirewall consec regelnaam toevoegen tunneleindpunten test1 = = alle endpoint2 = actie = requestinrequestout description = "certificaat gebruik ECDSA256 en AESGMAC256" auth1 = computercert computercertecdsap256 auth1ca = ' C = US, O MSFT, CN = \ "Microsoft Noord, Zuid, Oost en West hoofdmap Authority\" = "auth1healthcert = geen auth1ecdsap256ca = ' C = USO = MSFT, CN = \ "Microsoft Noord, Zuid, Oost en West hoofdmap Authority\" "auth1ecdsap256healthcert Ja qmsecmethods = = ah: aesgmac256 + esp:aesgmac256-geen
Deze opdracht maakt u een beveiligingsregel voor verbinding heeft de volgende verificatiemethoden in de verificatie instellen
- De eerste verificatiemethode is een certificaat RSA certificaat ondertekenen gebruikt.
- Tweede verificatiemethode is een statuscertificaat ECDSA256 voor het certificaat ondertekenen gebruikt.
De regel voor verbindingsbeveiliging beschermt verkeer door het nieuwe algoritme AES-GMAC 256 met AH en ESP-integriteit. De regel geen codering.
Voorbeeld 2
Bekijk het volgende voorbeeld van een
Netsh advfirewallopdracht:
Netsh advfirewall consec regelnaam toevoegen test2 tunneleindpunten = = alle endpoint2 = actie = requestinrequestout description = auth1 'Gebruik SHA-256 integriteit' en AES192 voor codering = computercert auth1ca = ' C = US, O MSFT, CN = \ "Microsoft Noord, Zuid, Oost en West hoofdmap Authority\" = "auth1healthcert geen qmsecmethods = = ah: sha256 + esp:sha256-aes192
Deze opdracht maakt een beveiligingsregel voor verbindingen heeft één verificatiemethode in de verificatie instellen. De verificatiemethode is een certificaat RSA certificaat ondertekenen gebruikt.
De regel voor verbindingsbeveiliging beschermt verkeer via AH en ESP-integriteit met SHA256 voor integriteit en AES192 voor codering.
Wijzig een bestaande regel voor verbindingsbeveiliging
Netsh advfirewall
Usage: set rule
group=<string> | name=<string>
[type=dynamic|static]
[profile=public|private|domain|any[,...] (default=any)]
[endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[port1=0-65535|any]
[port2=0-65535|any]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
new
[name=<string>]
[profile=public|private|domain|any[,...]]
[description=<string>]
[mode=transport|tunnel]
[endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[action=requireinrequestout|requestinrequestout|
requireinrequireout|noauthentication]
[enable=yes|no]
[type=dynamic|static]
[localtunnelendpoint=<IPv4 address>|<IPv6 address>]
[remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
[port1=0-65535|any]
[port2=0-65535|any]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
[interfacetype=wiresless|lan|ras|any]
[auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
computerntlm|anonymous[,...]]
[auth1psk=<string>]
[auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1healthcert=yes|no (default=no)]
[auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap256healthcert=yes|no (default=no)]
[auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap384healthcert=yes|no (default=no)]
[auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
[auth2ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
[qmsecmethods=
ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
default]
Remarks:
- This sets a new parameter value on an identified rule. The command fails
if the rule does not exist. To create a rule, use the "add" command.
- Values after the new keyword are updated in the rule. If there are
no values, or if the "new" keyword is missing, no changes are made.
- Only a group of rules can be enabled or disabled.
- If multiple rules match the criteria, all matching rules are
updated.
- The rule name should be unique, and it cannot be "all."
- Auth1 and auth2 can be comma-separated lists of options.
- The computerpsk and computerntlm methods cannot be specified together
for auth1.
- Computercert cannot be specified by using user credentials for auth2.
- Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmsecmethods can be a list of proposals that are separated by a comma (,).
- For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
- If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.
- Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- If qmsemethods are set to "default," qmpfs will be set to "default" also.
- Qmpfs=mainmode uses the main mode key exchange setting for PFS.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The default value for "certmapping" and "excludecaname" is "no."
- The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Hier volgt een voorbeeld van een opdracht waarmee de regel 'Voorbeeld 1' is gemaakt in het vorige gedeelte:
Netsh advfirewall consec regelnaam instellen = test nieuwe qmsecmethods = ah: aesgmac256 + esp:aesgcm256-aesgcm256
Deze opdracht werkt de regel GCM AES 256 gebruiken voor ESP-integriteit en codering en AES-GMAC 256 voor AH-integriteit.
Algemene instellingen van de hoofdmodus instellen
De volgende Help-tekst is voor de
Netsh advfirewall set globalopdracht.
netsh advfirewall>set global
Usage: set global statefulftp|statefulpptp enable|disable|notconfigured
set global IPsec (parameter) (value)
set global mainmode (parameter) (value) | notconfigured
IPsec Parameters:
strongcrlcheck - Configures how CRL checking is enforced.
0: Disable CRL checking
1: Fail if cert is revoked and the CRL exists in the client?s CRL cache (default behavior)and the CRL exists in the client?s CRL cache (default behavior) 2: Fail on any error
notconfigured: Returns the value to its unconfigured state.
saidletimemin - Configures the security association idle time in
minutes.
- Usage: 5-60|notconfigured (default=5)
defaultexemptions - Configures the default IPsec exemptions. The default is
to exempt IPv6 neighbordiscovery protocol from
IPsec.
- Usage: none|neighbordiscovery|notconfigured
Main Mode Parameters:
mmkeylifetime - Sets the main mode key lifetime in minutes, in sessions, or in both.
- Usage: <num>min,<num>sess
mmsecmethods - Configures the main mode list of proposals
- Usage:
keyexch:enc-integrity,enc-integrity[,...]|default
- keyexch=dhgroup1|dhgroup2|dhgroup14|
ecdhp256|ecdhp384
- enc=3des|des|aes128|aes192|aes256
- integrity=md5|sha1|sha256|sha384
Remarks:
- This configures global settings, such as advanced IPsec options.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The mmsecmethods keyword default sets the policy to the following:
dhgroup2-aes128-sha1,dhgroup2-3des-sha1
- Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.Hier volgt een voorbeeld van een opdracht met de nieuwe algoritmen SHA in de hoofdmodus cryptografische:
Netsh advfirewall instellen globale hoofdmodus mmsecmethods dhgroup1:3des-sha256, 3des sha384
Configuratie, probleemoplossing en controle-opdrachten
De opdracht "Netsh advfirewall consec show regel alle"
De
Netsh advfirewall consec show rule allopdracht weergegeven voor alle beveiligingsregels configuratie.
Hier volgt een voorbeeld van de uitvoer van deze opdracht.
Rule Name: test
Enabled: Yes
Profiles: Domain,Private,Public
Type: Static
Mode: Transport
Endpoint1: Any
Endpoint2: Any
Protocol: Any
Action: RequestInRequestOut
Auth1: ComputerPSK
Auth1PSK: 12345
MainModeSecMethods ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethods AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb
De opdracht "Netsh advfirewall monitor weergeven mmsa"
De
Netsh advfirewall monitor weergeven mmsaopdracht weergegeven modus beveiligingskoppeling in de hoofdmodus.
Hier volgt een voorbeeld van de uitvoer van deze opdracht.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address: 157.59.24.101
Remote IP Address: 157.59.24.119
My ID:
Peer ID:
First Auth: ComputerPSK
Second Auth: None
MM Offer: ECDHAP384-3DES-SHA256
Cookie Pair: 203d57505:5d088705
Health Pair: No
Ok.
De opdracht "Netsh advfirewall monitor weergeven qmsa"
De
Netsh advfirewall monitor weergeven qmsaopdracht weergegeven beveiligingskoppeling in de snelle modus.
Hier volgt een voorbeeld van de uitvoer van deze opdracht.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address: 157.59.24.101
Remote IP Address: 157.59.24.119
Local Port: Any
Remote Port: Any
Protocol: Any
Direction: Both
QM Offer: AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb
Ok.
De opdracht 'netsh advfirewall show global'
De
Netsh advfirewall show globalopdracht geeft u globale instellingen.
Hier volgt een voorbeeld van de uitvoer van deze opdracht.
Global Settings:
IPsec:
StrongCRLCheck 0:Disabled
SAIdleTimeMin 5min
DefaultExemptions NeighborDiscovery
IPsecThroughNAT Server and client behind NAT
StatefulFTP Enable
StatefulPPTP Enable
Main Mode:
KeyLifetime 2min,0sess
SecMethods DHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384
Interoperabiliteit
Maken, tenuitvoerlegging en beheer van het IPSec-beleid dat met algoritmen Suite B is geïntroduceerd in Windows Vista SP1 en Windows Server 2008. U kunt een Suite B algoritmen alleen met de hulpprogramma's die zijn uitgebracht met Windows Vista SP1 of Windows Server 2008 bevat Groepsbeleid beheren.
Voorbeeldscenario's en verwachte resultaten zijn.
Scenario 1
Nieuwe cryptografische algoritmen kunt u een beleid wordt gemaakt op een computer waarop Windows Server 2008 of Windows Vista SP1 op een computer waarop de releaseversie van Windows Vista toepassen.
Verwacht resultaat
Als een regel cryptografische suites nieuwe cryptografische algoritmen gebruiken bevat, deze cryptografische pakketten verloren en andere cryptografische pakketten in de cryptografische gebruikt.
Als geen van de cryptografische pakketten in de regel worden herkend, wordt de hele regel weggehaald. Een gebeurtenis vastgelegd die aangeeft dat de regel kan niet worden verwerkt. Dus als alle cryptografische suites in de cryptografische sleutels worden neergezet, geen van de regels in het beleid toegepast. Alle firewallregels zijn echter nog steeds toegepast.
Het verificatieproces set lijkt op het proces cryptografische instellen. Als een beleid dat het nieuwe certificaat vlaggen (ECDSA-P256 of P384 ECDSA) wordt toegepast op een computer waarop de releaseversie van Windows Vista, de verificatiemethoden worden neergezet.
Als alle verificatiemethoden die in de eerste verificatie om deze reden worden neergezet, wordt de hele regel niet verwerkt. Als alle verificatiemethoden in de tweede verificatie worden neergezet, wordt de regel verwerkt met behulp van de eerste verificatie instellen.
Scenario 2
Op een computer waarop de releaseversie van Windows Vista, kunt u nieuwe cryptografische algoritmen gebruiken een beleid op een computer waarop Windows Server 2008 of Windows Vista SP1 is gemaakt.
Verwacht resultaat
De nieuwe algoritmen worden weergegeven als 'Onbekend' in de bewaking en delen van de module Windows Firewall geavanceerde beveiligingsinstellingen MMC ontwerpen de
Netsh advfirewallopdracht geeft ook de algoritmen als 'Onbekend' in Windows Vista.
Beperkingen voor interoperabiliteit
Dit zijn de beperkingen op interoperabiliteit:
- We ondersteunen geen extern beheer van beleid Suite B algoritmen gebruiken op computers met Windows Vista SP1 of Windows Server 2008 vanaf een computer waarop de releaseversie van Windows Vista.
- Wanneer een beleid is gemaakt op een computer waarop Windows Vista SP1 of Windows Server 2008 wordt geïmporteerd op een computer waarop de releaseversie van Windows Vista, worden sommige onderdelen van het beleid verwijderd. Dit gebeurt omdat de versie van Windows Vista niet de nieuwe algoritmen herkent.
Snelle modus cryptografische algoritmecombinaties worden ondersteund en worden niet ondersteund
De volgende tabel ziet ondersteunde cryptografische algoritmecombinaties van de snelle modus.
Deze tabel samenvouwenDeze tabel uitklappen
| Protocol | AH integriteit | ESP-integriteit | Codering |
|---|
| AH | AES-GMAC 128 | Geen | Geen |
| AH | AES-GMAC 192 | Geen | Geen |
| AH | AES-GMAC 256 | Geen | Geen |
| AH | SHA256 | Geen | Geen |
| AH | SHA1 | Geen | Geen |
| AH | MD5 | Geen | Geen |
| ESP | Geen | AES-GMAC 128 | Geen |
| ESP | Geen | AES-GMAC 192 | Geen |
| ESP | Geen | AES-GMAC 256 | Geen |
| ESP | Geen | SHA256 | Geen |
| ESP | Geen | SHA1 | Geen |
| ESP | Geen | MD5 | Geen |
| ESP | Geen | SHA256 | Een ondersteunde algoritme behalve AES-GCM-algoritmen |
| ESP | Geen | SHA1 | Een ondersteunde algoritme behalve AES-GCM-algoritmen |
| ESP | Geen | MD5 | Een ondersteunde algoritme behalve AES-GCM-algoritmen |
| ESP | Geen | AES-GCM 128 | AES-GCM 128 |
| ESP | Geen | AES-GCM 192 | AES-GCM 192 |
| ESP | Geen | AES-256 GCM | AES-256 GCM |
| AH + ESP | AES-GMAC 128 | AES-GMAC 128 | Geen |
| AH + ESP | AES-GMAC 128 | AES-GMAC 128 | Geen |
| AH + ESP | AES-GMAC 128 | AES-GMAC 128 | Geen |
| AH + ESP | SHA-256 | SHA-256 | Geen |
| AH + ESP | SHA1 | SHA1 | Geen |
| AH + ESP | MD5 | MD5 | Geen |
| AH + ESP | SHA256 | SHA256 | Een ondersteunde algoritme behalve AES-GCM-algoritmen |
| AH + ESP | SHA1 | SHA1 | Een ondersteunde algoritme behalve AES-GCM-algoritmen |
| AH + ESP | MD5 | MD5 | Een ondersteunde algoritme behalve AES-GCM-algoritmen |
| AH + ESP | AES-GMAC 128 | AES-GCM 128 | AES-GCM 128 |
| AH + ESP | AES-GMAC 192 | AES-GCM 192 | AES-GCM 192 |
| AH + ESP | AES-GMAC 256 | AES-256 GCM | AES-256 GCM |
AES-GMAC is hetzelfde als AES-GCM null-codering. Bijvoorbeeld kunt u AH-integriteit GMAC AES 128 gebruiken en kunt u ESP-integriteit GCM AES 128 gebruiken. Dit is de enige uitzondering op de regel AH en ESP-integriteitsalgoritmen moet identiek zijn.
De combinaties die worden beschreven in de volgende tabel worden niet ondersteund.
Deze tabel samenvouwenDeze tabel uitklappen
| Protocol | AH integriteit | ESP-integriteit | Codering |
|---|
| ESP | Geen | AES-GMAC 128 | Een ondersteunde algoritme |
| ESP | Geen | AES-GMAC 192 | Een ondersteunde algoritme |
| ESP | Geen | AES-GMAC 256 | Een ondersteunde algoritme |
| ESP | Geen | AES-GCM 128 | 1. Geen
2. Een coderingsalgoritme behalve GCM AES 128 |
| ESP | Geen | AES-GCM 192 | 1. Geen
2. Een coderingsalgoritme behalve AES-GCM 192 |
| ESP | Geen | AES-256 GCM | 1. Geen
2. Een coderingsalgoritme behalve GCM AES-256 |
| AH + ESP | AES-GMAC 128 | AES-GMAC 128 | Een ondersteunde algoritme |
| AH + ESP | AES-GMAC 192 | AES-GMAC 192 | Een ondersteunde algoritme |
| AH + ESP | AES-GMAC 256 | AES-GMAC 256 | Een ondersteunde algoritme |
Bezoek de volgende website voor meer informatie over Suite B:
Voor meer informatie over IPsec en regels voor verbindingsbeveiliging op de volgende Microsoft-website:
Bezoek de volgende Microsoft-website voor meer informatie over Cryptography Next Generation in Windows Server 2008:
Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
949299
(http://support.microsoft.com/kb/949299/
)
Beschrijving van de Crypto-Operators beveiligingsgroep die is toegevoegd aan Windows Vista Service Pack 1 Windows Firewall configureren voor IPsec gemeenschappelijke Criteria modus
Naar boven
