Beschrijving van de ondersteuning voor cryptografische algoritmen van Suite B die is toegevoegd aan IPsec
In dit artikel wordt de ondersteuning beschreven voor cryptografische algoritmen van Suite B die is toegevoegd aan IPsec.
Van toepassing op: Windows Server 2012 R2, Windows 7 Service Pack 1
Origineel KB-nummer: 949856
Ondersteuning voor Windows Vista Service Pack 1 (SP1) eindigt op 12 juli 2011. Als u beveiligingsupdates voor Windows wilt blijven ontvangen, moet u Windows Vista met Service Pack 2 (SP2) uitvoeren. Zie Ondersteuning wordt beëindigd voor sommige versies van Windows voor meer informatie.
Inleiding
In dit artikel wordt de ondersteuning beschreven voor cryptografische Suite B-algoritmen die zijn toegevoegd in Windows Vista Service Pack 1 (SP1) en in Windows Server 2008. Suite B is een groep cryptografische algoritmen die zijn goedgekeurd door de Verenigde Staten National Security Agency (NSA).
Suite B wordt gebruikt als een interoperabel cryptografisch framework voor het beveiligen van gevoelige gegevens. Ondersteuning is uitgebreid naar de Suite B-algoritmen voor de volgende gebieden:
- Hoofdmodus
- Snelle modus
- Verificatie-instellingen
In dit artikel wordt ook de configuratiesyntaxis van het IPsec-beleid (Internet Protocol Security) beschreven die gebruikmaakt van Suite B-algoritmen.
Opmerking
Deze inhoud vervangt bepaalde inhoud die is gepubliceerd op gearchiveerde IPsec-algoritmen en methoden die worden ondersteund in Windows.
Meer informatie
Ondersteuningsbeperkingen
Ondersteuningsbeperkingen voor Suite B omvatten het volgende:
- Het maken en afdwingen van IPsec-beleid met behulp van Suite B-algoritmen wordt alleen ondersteund in Windows Vista Service Pack 1 (SP1), in Windows Server 2008 of in latere versies van Windows.
- Het ontwerpen van beleidsregels die Suite B-algoritmen bevatten, wordt ondersteund via de MMC-module (Windows Firewall met geavanceerde beveiliging) voor Windows 7 en voor latere versies van Windows.
- De Help-opdracht Netsh advfirewall geeft geen configuratieopties weer voor Suite B-algoritmen. Dit geldt alleen voor Windows Vista SP1.
Definities
- Suite B
Suite B is een set standaarden die zijn opgegeven door de National Security Agency (NSA). Suite B biedt de branche een gemeenschappelijke set cryptografische algoritmen die kunnen worden gebruikt om producten te maken die voldoen aan de meest uiteenlopende behoeften van de Amerikaanse overheid. Suite B bevat specificatie van de volgende typen algoritmen:
- Integriteit
- Versleuteling
- Sleuteluitwisseling
- Digitale handtekening
- Federal Information Processing Standards (FIPS)
FIPS is een set richtlijnen en standaarden die van toepassing zijn op federal computing-resources. Alle Suite B-algoritmen zijn GOEDGEKEURD door FIPS.
Zie Information Technology Laboratory (Information Technology Laboratory) voor meer informatie.
NIST
Dit is een acroniem voor het National Institute of Standards and Technology.
Algoritmen voor gegevensintegriteit
Algoritmen voor gegevensintegriteit maken gebruik van bericht-hashes om ervoor te zorgen dat informatie niet wordt gewijzigd terwijl deze wordt verzonden.
Gegevensversleutelingsalgoritmen
Gegevensversleutelingsalgoritmen worden gebruikt om informatie te verbergen die wordt verzonden. De versleutelingsalgoritmen worden gebruikt om tekst zonder opmaak te converteren naar een geheime code.
De versleutelingsalgoritmen kunnen bijvoorbeeld tekst zonder opmaak converteren naar coderingstekst. De coderingstekst kan vervolgens worden gedecodeerd naar de oorspronkelijke tekst zonder opmaak. Elk algoritme gebruikt een 'sleutel' om de conversie uit te voeren. Het type sleutel en de lengte van de sleutel zijn afhankelijk van het algoritme dat wordt gebruikt.
IPsec
Dit is een afkorting voor de term 'Internet Protocol-beveiliging'.
Elliptic Curve Digital Signature Algorithm (ECDSA)
Elliptic Curve (EC) is een variant van het algoritme voor digitale handtekeningen dat werkt op EC-groepen. De EC-variant biedt kleinere sleutelgrootten voor hetzelfde beveiligingsniveau.
Dit algoritme wordt beschreven in FIPS-publicatie 186-2. Zie Digital Signature Standard (DSS) om deze publicatie te bekijken.
Certificeringsinstantie (CA)
Een certificeringsinstantie is een entiteit die digitale certificaten uitgeeft. IPsec kan deze certificaten gebruiken als verificatiemethode.
Verificatieheader (AH)
Authentication Header is een IPsec-protocol dat verificatie, integriteit en anti-replay-functionaliteit biedt voor het hele pakket. Dit omvat de IP-header en de nettolading van de gegevens.
AH biedt geen vertrouwelijkheid. Dit betekent dat AH de gegevens niet versleutelt. De gegevens zijn leesbaar, maar niet te schrijven.
Encapsulating Security Payload (ESP)
ESP is een IPsec-protocol dat vertrouwelijkheid, verificatie, integriteit en anti-herhalingsfunctionaliteit biedt. ESP kan alleen worden gebruikt of samen met AH.
Algoritmen voor de hoofdmodus
In Windows Vista SP1 en in Windows Server 2008 worden de volgende integriteitsalgoritmen ondersteund naast de algoritmen die al worden ondersteund in de releaseversie van Windows Vista:
- SHA-256
- SHA-384
Opmerking
Het algoritme voor sleuteluitwisseling en het versleutelingsalgoritmen worden niet gewijzigd.
Algoritmen voor snelle modus
In Windows Vista SP1 en in Windows Server 2008 worden de volgende algoritmen ondersteund naast de algoritmen die al worden ondersteund in de releaseversie van Windows Vista.
Integriteit (AH of ESP)
- SHA-256
- AES-GMAC-128
- AES-GMAC-192
- AES-GMAC-256
Integriteit en versleuteling (alleen ESP)
- AES-GCM-128
- AES-GCM-192
- AES-GCM-256
Zie de sectie 'Snelle cryptografische algoritmecombinaties die wel en niet worden ondersteund' voor meer informatie over AH- en ESP-combinaties die wel en niet worden ondersteund.
Beperkingen voor snelle modus
- Hetzelfde integriteitsalgoritmen moet worden gebruikt voor zowel AH als ESP.
- De AES-GMAC-algoritmen zijn beschikbaar voor een integriteitsalgoritmen met null-versleuteling. Als een van deze algoritmen is opgegeven voor ESP-integriteit, kan het versleutelingsalgoritmen daarom niet worden opgegeven.
- Als u een AES-GCM-algoritme gebruikt, moet hetzelfde algoritme worden opgegeven voor zowel ESP-integriteit als versleuteling.
Verificatie
In Windows Vista SP1 en in Windows Server 2008 worden de volgende verificatiemethoden ondersteund naast de verificatiemethoden die al worden ondersteund in de releaseversie van Windows Vista.
- Computercertificaat met ECDSA-P256-ondertekening
- Computercertificaat met ECDSA-P384-ondertekening>
Opmerking
De standaardverificatiemethode voor Windows Vista is RSA SecurId-verificatie.
Syntaxis en voorbeelden
In deze sectie wordt de syntaxis beschreven voor het gebruik van de opdracht Netsh advfirewall om verbindingsbeveiligingsregels toe te voegen en te wijzigen. In deze sectie vindt u ook voorbeelden van Netsh advfirewall-opdrachten.
Een verbindingsbeveiligingsregel toevoegen
Netsh advfirewall
Usage: add rule name=<string>
endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
action=requireinrequestout|requestinrequestout|
requireinrequireout|noauthentication
[description=<string>]
[mode=transport|tunnel (default=transport)]
[enable=yes|no (default=yes)]
[profile=public|private|domain|any[,...] (default=any)]
[type=dynamic|static (default=static)]
[localtunnelendpoint=<IPv4 address>|<IPv6 address>]
[remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
[port1=0-65535|any (default=any)]
[port2=0-65535|any (default=any)]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
[interfacetype=wiresless|lan|ras|any (default=any)]
[auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
computerntlm|anonymous[,...]]
[auth1psk=<string>]
[auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1healthcert=yes|no (default=no)]
[auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap256healthcert=yes|no (default=no)]
[auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap384healthcert=yes|no (default=no)]
[auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
[auth2ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
[qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
none (default=none)]
[qmsecmethods=
ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
|default]
Remarks:
- The rule name should be unique, and it cannot be "all."
- When mode=tunnel, both tunnel endpoints must be specified and must be
the same IP version. Also, the action must be requireinrequireout.
- At least one authentication must be specified.
- Auth1 and auth2 can be comma-separated lists of options.
- The "computerpsk" and "computerntlm" methods cannot be specified together
for auth1.
- Computercert cannot be specified with user credentials for auth2.
- Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmsecmethods can be a list of proposals separated by a comma (,).
- For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
- If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.
- sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmpfs=mainmode uses the main mode key exchange setting for PFS.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The default value for certmapping and for excludecaname is "no."
- The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Voorbeeld 1
Bekijk het volgende voorbeeld van een Netsh advfirewall-opdracht:
Netsh advfirewall consec add rule name=test1 endpoint1=any endpoint2=any action=requestinrequestout description="Use ECDSA256 certificate and AESGMAC256" auth1=computercert,computercertecdsap256 auth1ca="C=US, O=MSFT, CN='Microsoft North, South, East en West Root Authority'" auth1healthcert=no auth1ecdsap256ca="C=US, O=MSFT, CN='Microsoft North, South, East, And West Root Authority'" auth1ecdsap256healthcert=yes qmsecmethods=ah: aesgmac256+esp:aesgmac256-none
Met deze opdracht maakt u een verbindingsbeveiligingsregel met de volgende verificatiemethoden in de verificatieset:
- De eerste verificatiemethode is een certificaat dat gebruikmaakt van RSA-certificaatondertekening.
- De tweede verificatiemethode is een statuscertificaat dat gebruikmaakt van ECDSA256 voor certificaatondertekening.
- De verbindingsbeveiligingsregel beschermt verkeer met behulp van AH- en ESP-integriteit met het nieuwe algoritme AES-GMAC 256. De regel bevat geen versleuteling.
Voorbeeld 2
Bekijk het volgende voorbeeld van een Netsh advfirewall-opdracht:
Netsh advfirewall consec add rule name=test2 endpoint1=any endpoint2=any action=requestinrequestout description="Use SHA 256 for Integrity and AES192 for encryption" auth1=computercert auth1ca="C=US, O=MSFT, CN='Microsoft North, South, East en West Root Authority'" auth1healthcert=no qmsecmethods=ah:sha256+esp:sha256-aes192
Met deze opdracht maakt u een verbindingsbeveiligingsregel met één verificatiemethode in de verificatieset. De verificatiemethode is een certificaat dat gebruikmaakt van RSA-certificaatondertekening.
De verbindingsbeveiligingsregel beschermt verkeer met behulp van AH- en ESP-integriteit met SHA256 voor integriteit en met AES192 voor versleuteling.
Een bestaande verbindingsbeveiligingsregel wijzigen
Netsh advfirewall
Usage: set rule
group=<string> | name=<string>
[type=dynamic|static]
[profile=public|private|domain|any[,...] (default=any)]
[endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[port1=0-65535|any]
[port2=0-65535|any]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
new
[name=<string>]
[profile=public|private|domain|any[,...]]
[description=<string>]
[mode=transport|tunnel]
[endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[action=requireinrequestout|requestinrequestout|
requireinrequireout|noauthentication]
[enable=yes|no]
[type=dynamic|static]
[localtunnelendpoint=<IPv4 address>|<IPv6 address>]
[remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
[port1=0-65535|any]
[port2=0-65535|any]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
[interfacetype=wiresless|lan|ras|any]
[auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
computerntlm|anonymous[,...]]
[auth1psk=<string>]
[auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1healthcert=yes|no (default=no)]
[auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap256healthcert=yes|no (default=no)]
[auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap384healthcert=yes|no (default=no)]
[auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
[auth2ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
[qmsecmethods=
ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
default]
Remarks:
- This sets a new parameter value on an identified rule. The command fails
if the rule does not exist. To create a rule, use the "add" command.
- Values after the new keyword are updated in the rule. If there are
no values, or if the "new" keyword is missing, no changes are made.
- Only a group of rules can be enabled or disabled.
- If multiple rules match the criteria, all matching rules are
updated.
- The rule name should be unique, and it cannot be "all."
- Auth1 and auth2 can be comma-separated lists of options.
- The computerpsk and computerntlm methods cannot be specified together
for auth1.
- Computercert cannot be specified by using user credentials for auth2.
- Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmsecmethods can be a list of proposals that are separated by a comma (,).
- For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
- If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.
- Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- If qmsemethods are set to "default," qmpfs will be set to "default" also.
- Qmpfs=mainmode uses the main mode key exchange setting for PFS.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The default value for "certmapping" and "excludecaname" is "no."
- The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Hier volgt een voorbeeld van een opdracht waarmee de regel wordt bijgewerkt die is gemaakt in 'Voorbeeld 1' in de vorige sectie: Netsh advfirewall consec set rule name=test new qmsecmethods=ah:aesgmac256 +esp:aesgcm256-aesgcm256 Met deze opdracht wordt de regel bijgewerkt om AES-GCM 256 te gebruiken voor ESP-integriteit en -versleuteling en om AES-GMAC 256 te gebruiken voor AH-integriteit.
Algemene instellingen voor de hoofdmodus instellen
De volgende Help-tekst is voor de globale opdracht Netsh advfirewall set.
netsh advfirewall>set global
Usage: set global statefulftp|statefulpptp enable|disable|notconfigured
set global IPsec (parameter) (value)
set global mainmode (parameter) (value) | notconfigured
IPsec Parameters:
strongcrlcheck - Configures how CRL checking is enforced.
0: Disable CRL checking
1: Fail if cert is revoked and the CRL exists in the client's CRL cache (default behavior)and the CRL exists in the client's CRL cache (default behavior) 2: Fail on any error
notconfigured: Returns the value to its unconfigured state.
saidletimemin - Configures the security association idle time in
minutes.
- Usage: 5-60|notconfigured (default=5)
defaultexemptions - Configures the default IPsec exemptions. The default is
to exempt IPv6 neighbordiscovery protocol from
IPsec.
- Usage: none|neighbordiscovery|notconfigured
Main Mode Parameters:
mmkeylifetime - Sets the main mode key lifetime in minutes, in sessions, or in both.
- Usage: <num>min,<num>sess
mmsecmethods - Configures the main mode list of proposals
- Usage:
keyexch:enc-integrity,enc-integrity[,...]|default
- keyexch=dhgroup1|dhgroup2|dhgroup14|
ecdhp256|ecdhp384
- enc=3des|des|aes128|aes192|aes256
- integrity=md5|sha1|sha256|sha384
Remarks:
- This configures global settings, such as advanced IPsec options.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The mmsecmethods keyword default sets the policy to the following:
dhgroup2-aes128-sha1,dhgroup2-3des-sha1
- Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
Hier volgt een voorbeeld van een opdracht die gebruikmaakt van de nieuwe SHA-algoritmen in de cryptografische set Main-mode: Netsh advfirewall set global mainmode mmsecmethods dhgroup1:3des-sha256, 3des-sha384
Opdrachten voor probleemoplossing, configuratie en verificatie
De opdracht 'Netsh advfirewall consec show rule all'
De opdracht Netsh advfirewall consec show rule all geeft configuratie weer voor alle verbindingsbeveiligingsregels.
Hier volgt een voorbeeld van de uitvoer voor deze opdracht.
Rule Name:test
Enabled:Yes
Profiles:Domain,Private,Public
Type:Static
Mode:Transport
Endpoint1:Any
Endpoint2:Any
Protocol:Any
Action:RequestInRequestOut
Auth1:ComputerPSK
Auth1PSK: 12345
MainModeSecMethods ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethodsAH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb
De opdracht 'Netsh advfirewall monitor show mmsa'
De opdracht Netsh advfirewall monitor show mmsa geeft de beveiligingskoppeling voor de hoofdmodus weer.
Hier volgt een voorbeeld van de uitvoer voor deze opdracht.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:157.59.24.101
Remote IP Address: 157.59.24.119
My ID:
Peer ID:
First Auth:ComputerPSK
Second Auth:None
MM Offer: ECDHAP384-3DES-SHA256
Cookie Pair:203d57505:5d088705
Health Pair:No
Ok.
De opdracht 'Netsh advfirewall monitor show qmsa'
De opdracht Netsh advfirewall monitor show qmsa geeft de beveiligingskoppeling snelle modus weer.
Hier volgt een voorbeeld van de uitvoer voor deze opdracht.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:157.59.24.101
Remote IP Address: 157.59.24.119
Local Port:Any
Remote Port:Any
Protocol:Any
Direction:Both
QM Offer: AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb
Ok.
De opdracht 'Netsh advfirewall show global'
Met de opdracht Netsh advfirewall show global worden globale instellingen weergegeven.
Hier volgt een voorbeeld van de uitvoer voor deze opdracht.
Global Settings:
IPsec:
StrongCRLCheck0:Disabled
SAIdleTimeMin5min
DefaultExemptions NeighborDiscovery
IPsecThroughNAT Server and client behind NAT
StatefulFTPEnable
StatefulPPTPEnable
Main Mode:
KeyLifetime2min,0sess
SecMethodsDHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384
Interoperabiliteit
Het maken, afdwingen en beheren van het IPsec-beleid dat gebruikmaakt van Suite B-algoritmen is geïntroduceerd in Windows Vista SP1 en in Windows Server 2008. U kunt een groepsbeleid met Suite B-algoritmen alleen beheren met behulp van hulpprogramma's die zijn uitgebracht met Windows Vista SP1 of met Windows Server 2008.
Voorbeeldscenario's en verwachte resultaten zijn als volgt.
Scenario 1
U gebruikt de nieuwe cryptografische algoritmen om een beleid toe te passen dat is gemaakt op een computer met Windows Server 2008 of Windows Vista SP1 op een computer waarop de releaseversie van Windows Vista wordt uitgevoerd.
Verwacht resultaat
Als een regel cryptografische suites bevat die gebruikmaken van de nieuwe cryptografische algoritmen, worden deze cryptografische suites verwijderd en worden in plaats daarvan andere cryptografische suites in de cryptografische set gebruikt.
Als geen van de cryptografische suites in de regel wordt herkend, wordt de hele regel verwijderd. Er wordt een gebeurtenis vastgelegd die aangeeft dat de regel niet kan worden verwerkt. Als daarom alle cryptografische suites in de cryptografische set voor sleuteluitwisseling worden verwijderd, worden geen van de beveiligingsregels voor verbindingen in het beleid toegepast. Alle firewallregels worden echter nog steeds toegepast.
Het verificatiesetproces lijkt op het cryptografische setproces. Als een beleid met de nieuwe certificaatvlagmen (ECDSA-P256 of ECDSA-P384) wordt toegepast op een computer waarop de releaseversie van Windows Vista wordt uitgevoerd, worden de verificatiemethoden verwijderd.
Als alle verificatiemethoden in de eerste verificatieset om deze reden worden verwijderd, wordt de hele regel niet verwerkt. Als alle verificatiemethoden in de tweede verificatieset worden verwijderd, wordt de regel verwerkt met alleen de eerste verificatieset.
Scenario 2
Op een computer waarop de releaseversie van Windows Vista wordt uitgevoerd, gebruikt u de nieuwe cryptografische algoritmen om een beleid weer te geven dat is gemaakt op een computer met Windows Server 2008 of Windows Vista SP1.
Verwacht resultaat
De nieuwe algoritmen worden weergegeven als 'onbekend' in zowel de bewakings- als ontwerponderdelen van de MMC-module Windows Firewall Advanced Security. Met de opdracht Netsh advfirewall worden de algoritmen ook weergegeven als 'onbekend' in Windows Vista.
Beperkingen voor interoperabiliteit
Beperkingen voor interoperabiliteit zijn als volgt:
- We bieden geen ondersteuning voor extern beheer van beleidsregels die gebruikmaken van Suite B-algoritmen op computers met Windows Vista SP1 of Windows Server 2008 vanaf een computer waarop de releaseversie van Windows Vista wordt uitgevoerd.
- Wanneer een beleid dat is gemaakt op een computer met Windows Vista SP1 of Windows Server 2008 wordt geïmporteerd op een computer waarop de releaseversie van Windows Vista wordt uitgevoerd, worden sommige onderdelen van het beleid verwijderd. Dit komt doordat de releaseversie van Windows Vista de nieuwe algoritmen niet kan herkennen.
Cryptografische algoritmecombinaties in de snelle modus die wel en niet worden ondersteund
In de volgende tabel ziet u ondersteunde cryptografische algoritmecombinaties in de snelle modus.
Protocol | AH-integriteit | ESP-integriteit | Versleuteling |
---|---|---|---|
AH | AES-GMAC 128 | Geen | Geen |
AH | AES-GMAC 192 | Geen | Geen |
AH | AES-GMAC 256 | Geen | Geen |
AH | SHA256 | Geen | Geen |
AH | SHA1 | Geen | Geen |
AH | MD5 | Geen | Geen |
ESP | Geen | AES-GMAC 128 | Geen |
ESP | Geen | AES-GMAC 192 | Geen |
ESP | Geen | AES-GMAC 256 | Geen |
ESP | Geen | SHA256 | Geen |
ESP | Geen | SHA1 | Geen |
ESP | Geen | MD5 | Geen |
ESP | Geen | SHA256 | Elk ondersteund versleutelingsalgoritmen, behalve AES-GCM-algoritmen |
ESP | Geen | SHA1 | Elk ondersteund versleutelingsalgoritmen, behalve AES-GCM-algoritmen |
ESP | Geen | MD5 | Elk ondersteund versleutelingsalgoritmen, behalve AES-GCM-algoritmen |
ESP | Geen | AES-GCM 128 | AES-GCM 128 |
ESP | Geen | AES-GCM 192 | AES-GCM 192 |
ESP | Geen | AES-GCM 256 | AES-GCM 256 |
AH+ESP | AES-GMAC 128 | AES-GMAC 128 | Geen |
AH+ESP | AES-GMAC 128 | AES-GMAC 128 | Geen |
AH+ESP | AES-GMAC 128 | AES-GMAC 128 | Geen |
AH+ESP | SHA-256 | SHA-256 | Geen |
AH+ESP | SHA1 | SHA1 | Geen |
AH+ESP | MD5 | MD5 | Geen |
AH+ESP | SHA256 | SHA256 | Elk ondersteund versleutelingsalgoritmen, behalve AES-GCM-algoritmen |
AH+ESP | SHA1 | SHA1 | Elk ondersteund versleutelingsalgoritmen, behalve AES-GCM-algoritmen |
AH+ESP | MD5 | MD5 | Elk ondersteund versleutelingsalgoritmen, behalve AES-GCM-algoritmen |
AH+ESP | AES-GMAC 128 | AES-GCM 128 | AES-GCM 128 |
AH+ESP | AES-GMAC 192 | AES-GCM 192 | AES-GCM 192 |
AH+ESP | AES-GMAC 256 | AES-GCM 256 | AES-GCM 256 |
Opmerking
AES-GMAC is hetzelfde als AES-GCM met null-versleuteling. U kunt bijvoorbeeld AH-integriteit opgeven voor het gebruik van AES-GMAC 128 en u kunt ESP-integriteit opgeven om AES-GCM 128 te gebruiken. Dit is de enige uitzondering op de regel dat AH- en ESP-integriteitsalgoritmen identiek moeten zijn.
De combinaties die in de volgende tabel worden beschreven, worden niet ondersteund.
Protocol | AH-integriteit | ESP-integriteit | Versleuteling |
---|---|---|---|
ESP | Geen | AES-GMAC 128 | Elk ondersteund versleutelingsalgoritmen |
ESP | Geen | AES-GMAC 192 | Elk ondersteund versleutelingsalgoritmen |
ESP | Geen | AES-GMAC 256 | Elk ondersteund versleutelingsalgoritmen |
ESP | Geen | AES-GCM 128 | 1.None 2.Any encryption algorithm behalve AES-GCM 128 |
ESP | Geen | AES-GCM 192 | 1.None 2.Any encryption algorithm behalve AES-GCM 192 |
ESP | Geen | AES-GCM 256 | 1.None 2.Any encryption algorithm behalve AES-GCM 256 |
AH+ESP | AES-GMAC 128 | AES-GMAC 128 | Elk ondersteund versleutelingsalgoritmen |
AH+ESP | AES-GMAC 192 | AES-GMAC 192 | Elk ondersteund versleutelingsalgoritmen |
AH+ESP | AES-GMAC 256 | AES-GMAC 256 | Elk ondersteund versleutelingsalgoritmen |
Zie Commercial National Security Algorithm Suite voor meer informatie over Suite B.
Zie Windows Firewall met geavanceerde beveiliging en IPsec voor meer informatie over IPsec- en verbindingsbeveiligingsregels.
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor