Beschrijving van de ondersteuning voor cryptografische algoritmen Suite B toegevoegde IPSec in Windows Vista Service Pack 1, Windows Server 2008 en Windows 7

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 949856 - Bekijk de producten waarop dit artikel van toepassing is.
Alles uitklappen | Alles samenvouwen

Op deze pagina

INLEIDING

Ondersteuning voor cryptografische algoritmen Suite B die is toegevoegd in Windows Vista Service Pack 1 (SP1) en Windows Server 2008 beschreven. Suite b is een groep van cryptografische algoritmen die zijn goedgekeurd door de Amerikaanse National Security Agency (NSA).

Suite b wordt gebruikt als een interoperabele cryptografische framework voor het beveiligen van gevoelige gegevens. Ondersteuning is uitgebreid met de Suite B algoritmen voor de volgende gebieden:
  • Hoofdmodus
  • Snelle modus
  • Verificatie-instellingen
Dit artikel worden ook de Internet Protocol security (IPsec) beleid configuratie syntaxis Suite B algoritmen gebruikt.

Meer informatie

Beperkingen

De volgende: beperkingen voor Suite B
  • De oprichting en handhaving van het IPSec-beleid met Suite B algoritmen wordt alleen ondersteund in Windows Vista Service Pack 1 (SP1) in Windows Server 2008 of in latere versies van Windows.
  • Ontwerpen van beleid met Suite B algoritmen wordt via de module "Windows Firewall met geavanceerde beveiligings-" MMC (Microsoft Management Console) voor Windows 7 en latere versies van Windows ondersteund.
  • DeHelp voor Netsh advfirewallconfiguratieopties voor Suite B algoritmen weergegeven opdracht niet. Dit geldt alleen voor Windows Vista SP1.

Definities

  • Suite B

    Suite b is een set standaarden die zijn opgegeven door de National Security Agency (NSA). Suite b biedt de industrie met een gemeenschappelijke set cryptografische algoritmen voor het maken van producten die voldoen aan de uiteenlopende behoeften van de Amerikaanse regering. Suite b bevat een specificatie van de volgende typen algoritmen:
    • Integriteit
    • Codering
    • Sleuteluitwisseling
    • Digitale handtekening
  • Verwerkingsnormen federale informatie (FIPS)

    FIPS is een set van richtlijnen en normen voor federale computerbronnen. Alle Suite B-algoritmen zijn FIPS goedgekeurd.

    Voor meer informatie de volgende website:
    http://www.ITL.NIST.gov/fipspubs/geninfo.htm
  • NIST

    Dit is een acroniem voor het National Institute of Standards and Technology.
  • Algoritmen voor gegevensintegriteit

    Algoritmen voor gegevensintegriteit bericht-hashes gebruikt om ervoor te zorgen dat informatie niet wordt gewijzigd in transit is.
  • Algoritmen voor codering van gegevens

    Algoritmen voor codering van gegevens worden gebruikt voor het verbergen van de informatie die wordt verzonden. Tekst converteren naar een geheime code de coderingsalgoritmen gebruikt.

    De coderingsalgoritmen kunnen bijvoorbeeld tekst zonder opmaak converteren naar kan. De oorspronkelijke tekst zonder opmaak kan vervolgens de kan worden gedecodeerd. Elk algoritme gebruikt 'sleutel' de conversie. Type sleutel en de lengte van de sleutel is afhankelijk van het algoritme dat wordt gebruikt.
  • IPsec

    Dit is een afkorting voor de term "internetprotocol security".

    Bezoek de volgende Microsoft-website voor meer informatie over IPsec:
    http://technet.Microsoft.com/en-us/Network/bb531150.aspx
  • Advanced Encryption Standard Galois Message Authentication Code (AES-GMAC)

    Dit algoritme wordt beschreven in speciale publicatie NIST 800 38 D. Dit document wilt weergeven, gaat u naar de volgende website:
    http://csrc.NIST.gov/Publications/nistpubs/800-38D/SP-800-38D.PDF
  • Geavanceerde codering standaard in de modus Galois/teller (AES-GCM)

    Dit algoritme wordt beschreven in speciale publicatie NIST 800 38 D. Dit document wilt weergeven, gaat u naar de volgende website:
    http://csrc.NIST.gov/Publications/nistpubs/800-38D/SP-800-38D.PDF
  • Handtekeningalgoritme Elliptic Curve Digital (ECDSA)

    Elliptische curve (EG) is een variant van de digitale handtekeningalgoritme die wordt toegepast op de EG-groepen. De EG-variant biedt kleinere sleutels voor hetzelfde beveiligingsniveau.

    Dit algoritme wordt beschreven in de FIPS-publicatie 186 2. Deze publicatie weergeven, de volgende website:
    http://csrc.NIST.gov/Publications/FIPS/Archive/fips186-2/fips186-2.PDF
  • Certificeringsinstantie (CA)

    Een certificeringsinstantie is een entiteit die digitale certificaten uitgeeft. IPsec kan deze certificaten als verificatiemethode gebruiken.
  • Authentication Header (AH)

    Authentication Header is een IPsec-protocol verificatie, integriteit en functionaliteit tegen hergebruik voor het hele pakket biedt. Ook de IP-header en de nettolading.

    AH biedt vertrouwelijkheid. Dit betekent dat AH gegevens niet coderen. De gegevens worden gelezen, maar is niet beschrijfbaar.
  • Encapsulating Security Payload (ESP)

    ESP is een IPsec-protocol vertrouwelijkheid, verificatie, integriteit en functionaliteit tegen hergebruik biedt. ESP kan zelfstandig worden gebruikt of kunnen worden gebruikt samen met AH.

Hoofdmodus algoritmen

In Windows Vista SP1 en Windows Server 2008 worden de volgende integriteitsalgoritmen naast de algoritmen die al worden ondersteund in de versie van Windows Vista ondersteund:
  • SHA-256
  • SHA-384
OpmerkingAlgoritme voor sleuteluitwisseling en de coderingsalgoritme niet worden gewijzigd.

Snelle modus algoritmen

In Windows Vista SP1 en Windows Server 2008 worden de volgende algoritmen ondersteund naast de algoritmen die al in de versie van Windows Vista worden ondersteund.

Integriteit (AH of ESP)

  • SHA-256
  • AES-GMAC-128
  • AES-GMAC-192
  • AES-GMAC-256

Integriteit en codering (ESP alleen)

  • AES-GCM-128
  • AES-GCM-192
  • AES-GCM-256
Zie voor meer informatie over AH en ESP combinaties worden ondersteund en wordt niet ondersteund 'snelle modus cryptografische algoritmecombinaties worden ondersteund en wordt niet ondersteund' sectie.

Beperkingen voor de snelle modus

  • Dezelfde algoritme moet worden gebruikt voor zowel AH als ESP.
  • De AES-GMAC algoritmen zijn beschikbaar voor een integriteitsalgoritme null-codering heeft. Dus als deze algoritmen zijn opgegeven voor de ESP-integriteit, worden de coderingsalgoritme niet opgegeven.
  • Als u een algoritme AES-GCM, moet u dezelfde algoritme voor ESP-integriteit en versleuteling opgegeven.

Verificatie

In Windows Vista SP1 en Windows Server 2008 worden de volgende verificatiemethoden ondersteund naast de verificatiemethoden die al in de versie van Windows Vista worden ondersteund.
  • Computercertificaat ECDSA P256 ondertekenen
  • Computercertificaat ECDSA P384 ondertekenen
OpmerkingDe standaardverificatiemethode voor Windows Vista is verificatie RSA SecurId.

Syntaxis en voorbeelden

Deze sectie beschrijft de syntaxis voor deNetsh advfirewallopdracht toevoegen en regels voor verbindingsbeveiliging wijzigen. Deze sectie bevat ook voorbeelden vanNetsh advfirewallopdrachten.

Een beveiligingsregel toevoegen

Netsh advfirewall
Usage: add rule name=<string>
      endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
      endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
      action=requireinrequestout|requestinrequestout|
         requireinrequireout|noauthentication
      [description=<string>]
      [mode=transport|tunnel (default=transport)]
      [enable=yes|no (default=yes)]
      [profile=public|private|domain|any[,...] (default=any)]
      [type=dynamic|static (default=static)]
      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
      [port1=0-65535|any (default=any)]
      [port2=0-65535|any (default=any)]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
      [interfacetype=wiresless|lan|ras|any (default=any)]
      [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
         computerntlm|anonymous[,...]]
      [auth1psk=<string>]
      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1healthcert=yes|no (default=no)]
      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap256healthcert=yes|no (default=no)]
      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap384healthcert=yes|no (default=no)]
      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
      [auth2ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
      [qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
         none (default=none)]
      [qmsecmethods=
         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
         |default]
        
Remarks:

      - The rule name should be unique, and it cannot be "all."
      - When mode=tunnel, both tunnel endpoints must be specified and must be
        the same IP version. Also, the action must be requireinrequireout.
      - At least one authentication must be specified.
      - Auth1 and auth2 can be comma-separated lists of options.
      - The "computerpsk" and "computerntlm" methods cannot be specified together
        for auth1.
      - Computercert cannot be specified with user credentials for auth2.
     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
      - Qmsecmethods can be a list of proposals separated by a comma (,).
      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
        encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
      - If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.  
     -  sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista. 
      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The default value for certmapping and for excludecaname is "no."
      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Voorbeeld 1
Bekijk het volgende voorbeeld van eenNetsh advfirewallopdracht:
Netsh advfirewall consec regelnaam toevoegen tunneleindpunten test1 = = alle endpoint2 = actie = requestinrequestout description = "certificaat gebruik ECDSA256 en AESGMAC256" auth1 = computercert computercertecdsap256 auth1ca = ' C = US, O MSFT, CN = \ "Microsoft Noord, Zuid, Oost en West hoofdmap Authority\" = "auth1healthcert = geen auth1ecdsap256ca = ' C = USO = MSFT, CN = \ "Microsoft Noord, Zuid, Oost en West hoofdmap Authority\" "auth1ecdsap256healthcert Ja qmsecmethods = = ah: aesgmac256 + esp:aesgmac256-geen
Deze opdracht maakt u een beveiligingsregel voor verbinding heeft de volgende verificatiemethoden in de verificatie instellen
  • De eerste verificatiemethode is een certificaat RSA certificaat ondertekenen gebruikt.
  • Tweede verificatiemethode is een statuscertificaat ECDSA256 voor het certificaat ondertekenen gebruikt.
De regel voor verbindingsbeveiliging beschermt verkeer door het nieuwe algoritme AES-GMAC 256 met AH en ESP-integriteit. De regel geen codering.
Voorbeeld 2
Bekijk het volgende voorbeeld van eenNetsh advfirewallopdracht:
Netsh advfirewall consec regelnaam toevoegen test2 tunneleindpunten = = alle endpoint2 = actie = requestinrequestout description = auth1 'Gebruik SHA-256 integriteit' en AES192 voor codering = computercert auth1ca = ' C = US, O MSFT, CN = \ "Microsoft Noord, Zuid, Oost en West hoofdmap Authority\" = "auth1healthcert geen qmsecmethods = = ah: sha256 + esp:sha256-aes192
Deze opdracht maakt een beveiligingsregel voor verbindingen heeft één verificatiemethode in de verificatie instellen. De verificatiemethode is een certificaat RSA certificaat ondertekenen gebruikt.

De regel voor verbindingsbeveiliging beschermt verkeer via AH en ESP-integriteit met SHA256 voor integriteit en AES192 voor codering.

Wijzig een bestaande regel voor verbindingsbeveiliging

Netsh advfirewall
Usage: set rule
      group=<string> | name=<string>
      [type=dynamic|static]
      [profile=public|private|domain|any[,...] (default=any)]
      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [port1=0-65535|any]
      [port2=0-65535|any]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
      new
      [name=<string>]
      [profile=public|private|domain|any[,...]]
      [description=<string>]
      [mode=transport|tunnel]
      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [action=requireinrequestout|requestinrequestout|
         requireinrequireout|noauthentication]
      [enable=yes|no]
      [type=dynamic|static]
      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
      [port1=0-65535|any]
      [port2=0-65535|any]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
      [interfacetype=wiresless|lan|ras|any]
     [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
         computerntlm|anonymous[,...]]
      [auth1psk=<string>]
      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1healthcert=yes|no (default=no)]
      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap256healthcert=yes|no (default=no)]
      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap384healthcert=yes|no (default=no)]
      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
      [auth2ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
      [qmsecmethods=
         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
         default]


Remarks:

      - This sets a new parameter value on an identified rule. The command fails
        if the rule does not exist. To create a rule, use the "add" command.
      - Values after the new keyword are updated in the rule.  If there are
        no values, or if the "new" keyword is missing, no changes are made.
      - Only a group of rules can be enabled or disabled.
      - If multiple rules match the criteria, all matching rules are 
        updated.
      - The rule name should be unique, and it cannot be "all."
      - Auth1 and auth2 can be comma-separated lists of options.
      - The computerpsk and computerntlm methods cannot be specified together
        for auth1.
      - Computercert cannot be specified by using user credentials for auth2.
     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.  
      - Qmsecmethods can be a list of proposals that are separated by a comma (,).
      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
        encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
      - If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.  
     -  Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
      - If qmsemethods are set to "default," qmpfs will be set to "default" also.
      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The default value for "certmapping" and "excludecaname" is "no."
      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Hier volgt een voorbeeld van een opdracht waarmee de regel 'Voorbeeld 1' is gemaakt in het vorige gedeelte:
Netsh advfirewall consec regelnaam instellen = test nieuwe qmsecmethods = ah: aesgmac256 + esp:aesgcm256-aesgcm256
Deze opdracht werkt de regel GCM AES 256 gebruiken voor ESP-integriteit en codering en AES-GMAC 256 voor AH-integriteit.

Algemene instellingen van de hoofdmodus instellen

De volgende Help-tekst is voor deNetsh advfirewall set globalopdracht.
netsh advfirewall>set global

Usage: set global statefulftp|statefulpptp  enable|disable|notconfigured
      set global IPsec (parameter) (value)
      set global mainmode (parameter) (value) | notconfigured

IPsec Parameters:

      strongcrlcheck    - Configures how CRL checking is enforced.
                          0: Disable CRL checking
                          1: Fail if cert is revoked and the CRL exists in the client?s CRL cache (default behavior)and the CRL exists in the client?s CRL cache (default behavior)                          2: Fail on any error
                          notconfigured: Returns the value to its unconfigured state.
      saidletimemin     - Configures the security association idle time in
                          minutes.
                        - Usage: 5-60|notconfigured (default=5)
      defaultexemptions - Configures the default IPsec exemptions. The default is
                          to exempt IPv6 neighbordiscovery protocol from
                          IPsec.
                        - Usage: none|neighbordiscovery|notconfigured

Main Mode Parameters:

      mmkeylifetime     - Sets the main mode key lifetime in minutes, in sessions, or in both.
                        - Usage: <num>min,<num>sess
      mmsecmethods      - Configures the main mode list of proposals
                        - Usage:
                          keyexch:enc-integrity,enc-integrity[,...]|default
                        - keyexch=dhgroup1|dhgroup2|dhgroup14|
                          ecdhp256|ecdhp384
                        - enc=3des|des|aes128|aes192|aes256
                        - integrity=md5|sha1|sha256|sha384

Remarks:

      - This configures global settings, such as advanced IPsec options.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The mmsecmethods keyword default sets the policy to the following:
        dhgroup2-aes128-sha1,dhgroup2-3des-sha1
      - Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
Hier volgt een voorbeeld van een opdracht met de nieuwe algoritmen SHA in de hoofdmodus cryptografische:
Netsh advfirewall instellen globale hoofdmodus mmsecmethods dhgroup1:3des-sha256, 3des sha384

Configuratie, probleemoplossing en controle-opdrachten

De opdracht "Netsh advfirewall consec show regel alle"

DeNetsh advfirewall consec show rule allopdracht weergegeven voor alle beveiligingsregels configuratie.

Hier volgt een voorbeeld van de uitvoer van deze opdracht.
Rule Name:				test
Enabled:					Yes
Profiles:					Domain,Private,Public
Type:					Static
Mode:					Transport
Endpoint1:				Any
Endpoint2:				Any
Protocol:					Any
Action:					RequestInRequestOut
Auth1:					ComputerPSK
Auth1PSK:				         12345
MainModeSecMethods			         ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethods			AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb

De opdracht "Netsh advfirewall monitor weergeven mmsa"

DeNetsh advfirewall monitor weergeven mmsaopdracht weergegeven modus beveiligingskoppeling in de hoofdmodus.

Hier volgt een voorbeeld van de uitvoer van deze opdracht.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:				157.59.24.101
Remote IP Address:			         157.59.24.119
My ID:
Peer ID:
First Auth:				ComputerPSK
Second Auth:				None
MM Offer:				         ECDHAP384-3DES-SHA256
Cookie Pair:				203d57505:5d088705
Health Pair:				No
Ok.

De opdracht "Netsh advfirewall monitor weergeven qmsa"

DeNetsh advfirewall monitor weergeven qmsaopdracht weergegeven beveiligingskoppeling in de snelle modus.

Hier volgt een voorbeeld van de uitvoer van deze opdracht.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:				157.59.24.101
Remote IP Address:			         157.59.24.119
Local Port:				Any
Remote Port:				Any
Protocol:					Any
Direction:				Both
QM Offer:				         AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb	
Ok.

De opdracht 'netsh advfirewall show global'

DeNetsh advfirewall show globalopdracht geeft u globale instellingen.

Hier volgt een voorbeeld van de uitvoer van deze opdracht.
Global Settings:
IPsec:					
StrongCRLCheck				0:Disabled
SAIdleTimeMin				5min
DefaultExemptions			         NeighborDiscovery
IPsecThroughNAT			         Server and client behind NAT

StatefulFTP				Enable
StatefulPPTP				Enable

Main Mode:
KeyLifetime				2min,0sess
SecMethods				DHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384

Interoperabiliteit

Maken, tenuitvoerlegging en beheer van het IPSec-beleid dat met algoritmen Suite B is geïntroduceerd in Windows Vista SP1 en Windows Server 2008. U kunt een Suite B algoritmen alleen met de hulpprogramma's die zijn uitgebracht met Windows Vista SP1 of Windows Server 2008 bevat Groepsbeleid beheren.

Voorbeeldscenario's en verwachte resultaten zijn.

Scenario 1

Nieuwe cryptografische algoritmen kunt u een beleid wordt gemaakt op een computer waarop Windows Server 2008 of Windows Vista SP1 op een computer waarop de releaseversie van Windows Vista toepassen.
Verwacht resultaat
Als een regel cryptografische suites nieuwe cryptografische algoritmen gebruiken bevat, deze cryptografische pakketten verloren en andere cryptografische pakketten in de cryptografische gebruikt.

Als geen van de cryptografische pakketten in de regel worden herkend, wordt de hele regel weggehaald. Een gebeurtenis vastgelegd die aangeeft dat de regel kan niet worden verwerkt. Dus als alle cryptografische suites in de cryptografische sleutels worden neergezet, geen van de regels in het beleid toegepast. Alle firewallregels zijn echter nog steeds toegepast.

Het verificatieproces set lijkt op het proces cryptografische instellen. Als een beleid dat het nieuwe certificaat vlaggen (ECDSA-P256 of P384 ECDSA) wordt toegepast op een computer waarop de releaseversie van Windows Vista, de verificatiemethoden worden neergezet.

Als alle verificatiemethoden die in de eerste verificatie om deze reden worden neergezet, wordt de hele regel niet verwerkt. Als alle verificatiemethoden in de tweede verificatie worden neergezet, wordt de regel verwerkt met behulp van de eerste verificatie instellen.

Scenario 2

Op een computer waarop de releaseversie van Windows Vista, kunt u nieuwe cryptografische algoritmen gebruiken een beleid op een computer waarop Windows Server 2008 of Windows Vista SP1 is gemaakt.
Verwacht resultaat
De nieuwe algoritmen worden weergegeven als 'Onbekend' in de bewaking en delen van de module Windows Firewall geavanceerde beveiligingsinstellingen MMC ontwerpen deNetsh advfirewallopdracht geeft ook de algoritmen als 'Onbekend' in Windows Vista.

Beperkingen voor interoperabiliteit

Dit zijn de beperkingen op interoperabiliteit:
  • We ondersteunen geen extern beheer van beleid Suite B algoritmen gebruiken op computers met Windows Vista SP1 of Windows Server 2008 vanaf een computer waarop de releaseversie van Windows Vista.
  • Wanneer een beleid is gemaakt op een computer waarop Windows Vista SP1 of Windows Server 2008 wordt geïmporteerd op een computer waarop de releaseversie van Windows Vista, worden sommige onderdelen van het beleid verwijderd. Dit gebeurt omdat de versie van Windows Vista niet de nieuwe algoritmen herkent.

Snelle modus cryptografische algoritmecombinaties worden ondersteund en worden niet ondersteund

De volgende tabel ziet ondersteunde cryptografische algoritmecombinaties van de snelle modus.
Deze tabel samenvouwenDeze tabel uitklappen
ProtocolAH integriteitESP-integriteitCodering
AHAES-GMAC 128GeenGeen
AHAES-GMAC 192GeenGeen
AHAES-GMAC 256GeenGeen
AHSHA256GeenGeen
AHSHA1GeenGeen
AHMD5GeenGeen
ESPGeenAES-GMAC 128Geen
ESPGeenAES-GMAC 192Geen
ESPGeenAES-GMAC 256Geen
ESPGeenSHA256Geen
ESPGeenSHA1Geen
ESPGeenMD5Geen
ESPGeenSHA256Een ondersteunde algoritme behalve AES-GCM-algoritmen
ESPGeenSHA1Een ondersteunde algoritme behalve AES-GCM-algoritmen
ESPGeenMD5Een ondersteunde algoritme behalve AES-GCM-algoritmen
ESPGeenAES-GCM 128AES-GCM 128
ESPGeenAES-GCM 192AES-GCM 192
ESPGeenAES-256 GCMAES-256 GCM
AH + ESPAES-GMAC 128AES-GMAC 128Geen
AH + ESPAES-GMAC 128AES-GMAC 128Geen
AH + ESPAES-GMAC 128AES-GMAC 128Geen
AH + ESPSHA-256SHA-256Geen
AH + ESPSHA1SHA1Geen
AH + ESPMD5MD5Geen
AH + ESPSHA256SHA256Een ondersteunde algoritme behalve AES-GCM-algoritmen
AH + ESPSHA1SHA1Een ondersteunde algoritme behalve AES-GCM-algoritmen
AH + ESPMD5MD5Een ondersteunde algoritme behalve AES-GCM-algoritmen
AH + ESPAES-GMAC 128AES-GCM 128AES-GCM 128
AH + ESPAES-GMAC 192AES-GCM 192AES-GCM 192
AH + ESPAES-GMAC 256AES-256 GCMAES-256 GCM
OpmerkingAES-GMAC is hetzelfde als AES-GCM null-codering. Bijvoorbeeld kunt u AH-integriteit GMAC AES 128 gebruiken en kunt u ESP-integriteit GCM AES 128 gebruiken. Dit is de enige uitzondering op de regel AH en ESP-integriteitsalgoritmen moet identiek zijn.

De combinaties die worden beschreven in de volgende tabel worden niet ondersteund.
Deze tabel samenvouwenDeze tabel uitklappen
ProtocolAH integriteitESP-integriteitCodering
ESPGeenAES-GMAC 128Een ondersteunde algoritme
ESPGeenAES-GMAC 192Een ondersteunde algoritme
ESPGeenAES-GMAC 256Een ondersteunde algoritme
ESPGeenAES-GCM 1281. Geen
2. Een coderingsalgoritme behalve GCM AES 128
ESPGeenAES-GCM 1921. Geen
2. Een coderingsalgoritme behalve AES-GCM 192
ESPGeenAES-256 GCM1. Geen
2. Een coderingsalgoritme behalve GCM AES-256
AH + ESPAES-GMAC 128AES-GMAC 128Een ondersteunde algoritme
AH + ESPAES-GMAC 192AES-GMAC 192Een ondersteunde algoritme
AH + ESPAES-GMAC 256AES-GMAC 256Een ondersteunde algoritme
Bezoek de volgende website voor meer informatie over Suite B:
http://www.nsa.gov/IA/Programs/suiteb_cryptography/index.shtml
Voor meer informatie over IPsec en regels voor verbindingsbeveiliging op de volgende Microsoft-website:
http://go.Microsoft.com/fwlink/?LinkId=96525
Bezoek de volgende Microsoft-website voor meer informatie over Cryptography Next Generation in Windows Server 2008:
http://technet2.Microsoft.com/windowsserver2008/en/Library/532ac164-da33-4369-bef0-8f019d5a18b81033.mspx?mfr=true
Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
949299Beschrijving van de Crypto-Operators beveiligingsgroep die is toegevoegd aan Windows Vista Service Pack 1 Windows Firewall configureren voor IPsec gemeenschappelijke Criteria modus

Eigenschappen

Artikel ID: 949856 - Laatste beoordeling: zondag 11 september 2011 - Wijziging: 3.0
De informatie in dit artikel is van toepassing op:
  • Windows Vista Service Pack 1 op de volgende platformen
    • Windows Vista Business
    • Windows Vista Business 64-bit edition
    • Windows Vista Enterprise
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate
    • Windows Vista Ultimate 64-bit edition
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Trefwoorden: 
kbexpertiseinter kbhowto kbinfo kbmt KB949856 KbMtnl
Automatisch vertaald artikel
BELANGRIJK: Dit artikel is vertaald door de vertaalmachine software van Microsoft in plaats van door een professionele vertaler. Microsoft biedt u professioneel vertaalde artikelen en artikelen vertaald door de vertaalmachine, zodat u toegang heeft tot al onze knowledge base artikelen in uw eigen taal. Artikelen vertaald door de vertaalmachine zijn niet altijd perfect vertaald. Deze artikelen kunnen fouten bevatten in de vocabulaire, zinsopbouw en grammatica en kunnen lijken op hoe een anderstalige de taal spreekt en schrijft. Microsoft is niet verantwoordelijk voor onnauwkeurigheden, fouten en schade ontstaan door een incorrecte vertaling van de content of het gebruik ervan door onze klanten. Microsoft past continue de kwaliteit van de vertaalmachine software aan door deze te updaten.
De Engelstalige versie van dit artikel is de volgende:949856

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com