Opis obsługę algorytmów kryptograficznych Suite B. został dodany do protokołu IPsec w dodatku Service Pack 1 dla systemu Windows Vista, Windows Server 2008 i Windows 7

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 949856 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Obsługa systemu Windows Vista Service Pack 1 (SP1) upływa z dniem 12 lipca 2011. Aby w dalszym ciągu otrzymywać aktualizacje zabezpieczeń dla systemu Windows, upewnij się, że jest uruchomiony system Windows Vista z dodatkiem Service Pack 2 (SP2). Aby uzyskać więcej informacji należy zapoznać się z tej strony sieci web firmy Microsoft: Obsługa kończące się w niektórych wersjach systemu Windows.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

WPROWADZENIE

W tym artykule opisano obsługę algorytmów kryptograficznych Suite B. zostały dodane w dodatku Service Pack 1 (SP1) dla systemu Windows Vista i Windows Server 2008. Pakiet b jest grupa algorytmy kryptograficzne, które są zatwierdzone przez Stany Zjednoczone National Security Agency (NSA).

Pakiet b jest używana jako interoperacyjnych RAM kryptograficznych dla ochrony poufnych danych. Obsługa została rozszerzona o algorytmy Suite B dla następujących obszarów:
  • Trybu głównego
  • Tryb szybki
  • Ustawienia uwierzytelniania
W tym artykule opisano również składni konfiguracji zabezpieczenia protokołu internetowego (IPsec) zasad wykorzystuje algorytmy Suite B.

Więcej informacji

Ograniczenia obsługi

Ograniczenia pomocy technicznej dla Suite B należą:
  • Tworzenie i wymuszanie zasad IPsec przy użyciu algorytmów Suite B jest obsługiwany tylko w dodatku Service Pack 1 (SP1) dla systemu Windows Vista, Windows Server 2008 lub w nowszych wersjach systemu Windows.
  • Autorstwo zasad, które zawierają algorytmy Suite B jest obsługiwana za pomocą przystawki "Zapora systemu Windows z zabezpieczeniami zaawansowanymi" Microsoft Management Console (MMC) dla systemu Windows 7 i nowsze wersje systemu Windows.
  • W Netsh advfirewall pomocy polecenie wyświetla opcje konfiguracji pakietu b algorytmów. Dotyczy tylko systemu Windows Vista z dodatkiem SP1.

Definicje

  • Pakiet B

    Pakiet b jest zestawem standardów, które są określone przez National Security Agency (NSA). Pakiet b zawiera przemysłu z wspólny zestaw algorytmy kryptograficzne, używane do tworzenia produktów spełniających najszerszy zakres potrzeb Rządu Stanów Zjednoczonych. Pakiet b zawiera specyfikację następujące algorytmy:
    • Integralność
    • Szyfrowanie
    • Wymiana kluczy
    • Podpis cyfrowy
  • Normy przetwarzania informacji federalnych (FIPS)

    FIPS to zbiór zasad i standardów, rządzące Federalnej zasobów komputerowych. Wszystkie algorytmy Suite B jest zatwierdzony przez FIPS.

    Aby uzyskać więcej informacji odwiedź następującą witrynę sieci Web:
    http://www.ITL.nist.gov/fipspubs/geninfo.htm
  • INSTYTUT NIST

    Jest akronimem Państwowy Instytut norm i technologii.
  • Algorytmy integralności danych

    Algorytmy integralności danych upewnij się, że informacje nie są zmieniane podczas tranzytu za pomocą skrótu.
  • Algorytmy szyfrowania danych

    Algorytmy szyfrowania danych są używane do ukrywania informacji, które są przesyłane. Algorytmy szyfrowania są używane do konwersji tekstu zwykłego na tajny kod.

    Na przykład algorytmów szyfrowania można przekonwertować tekstu zwykłego tekstu. Szyfrowany może następnie zdekodować na oryginalny zwykły tekst. Każdy algorytm wykorzystuje 'key' na przeprowadzenie konwersji. Typ klucza i długość klucza zależy od algorytmu, który jest używany.
  • Protokół IPsec

    Jest to skrót terminu "zabezpieczenia protokołu internetowego".

    Aby uzyskać więcej informacji na temat protokołu IPsec odwiedź następującą witrynę firmy Microsoft w sieci Web:
    http://technet.microsoft.com/en-us/Network/bb531150.aspx
  • Advanced Encryption Standard Galois kod uwierzytelniania wiadomości (AES-GMAC)

    Ten algorytm jest opisany w publikacji specjalny instytut NIST D 800 38. Aby wyświetlić ten dokument, odwiedź następującą witrynę sieci Web:
    http://csrc.nist.gov/publications/nistpubs/800-38D/SP-800-38D.PDF
  • Advanced Encryption Standard w trybie Galois i licznika (AES-GCM)

    Ten algorytm jest opisany w publikacji specjalny instytut NIST D 800 38. Aby wyświetlić ten dokument, odwiedź następującą witrynę sieci Web:
    http://csrc.nist.gov/publications/nistpubs/800-38D/SP-800-38D.PDF
  • Algorytm podpisu cyfrowego krzywej korzenia (Algorithm ECDSA)

    Krzywa eliptyczna (WE) jest wariantem algorytmu podpisu cyfrowego, który działa na grupach WE. Wariant WE zapewnia mniejsze rozmiary kluczy dla tego samego poziomu zabezpieczeń.

    Ten algorytm jest opisany w publikacji FIPS 186-2. Aby wyświetlić tę publikację, odwiedź następującą witrynę sieci Web:
    http://csrc.nist.gov/publications/FIPS/Archive/fips186-2/fips186-2.PDF
  • Urząd certyfikacji (CA)

    Urząd certyfikacji jest jednostką wydającą certyfikaty cyfrowe. Protokół IPsec może używać tych certyfikatów jako metoda uwierzytelniania.
  • Authentication Header (AH)

    Nagłówek uwierzytelniania jest protokół IPsec, który zapewnia uwierzytelnianie, integralność i funkcję przed powtarzaniem dla całego pakietu. Obejmuje to nagłówkiem IP a ładunkiem danych.

    Protokół AH nie zapewnia poufności. Oznacza to, że AH nie szyfruj danych. Dane są czytelne, ale jest nie do zapisania.
  • Encapsulating Security Payload (ESP)

    Protokół ESP jest protokół IPsec, który zapewnia poufność, uwierzytelnianie, integralność i funkcję przed powtarzaniem. Protokół ESP może używany samodzielnie lub mogą być używane razem z protokołem AH.

Algorytmy trybu głównego

W dodatku SP1 dla systemu Windows Vista i Windows Server 2008, oprócz tych algorytmów, które są już obsługiwane w wersji systemu Windows Vista są obsługiwane następujące algorytmy integralności:
  • SHA-256
  • SHA-384
Uwaga Algorytm wymiany kluczy oraz algorytm szyfrowania nie są zmieniane.

Algorytmy tryb szybki

W dodatku SP1 dla systemu Windows Vista i Windows Server 2008, oprócz tych algorytmów, które są już obsługiwane w wersji systemu Windows Vista są obsługiwane następujące algorytmy.

Integralność (AH lub ESP)

  • SHA-256
  • AES-GMAC-128
  • AES-GMAC-192
  • AES-GMAC-256

Integralność i szyfrowanie (ESP tylko)

  • AES-GCM-128
  • AES-GCM-192
  • AES-GCM-256
Aby uzyskać więcej informacji o kombinacji AH i ESP, które są obsługiwane i nie są obsługiwane, zobacz "Tryb szybki algorytm kryptograficzny kombinacji, które są obsługiwane i nieobsługiwane" sekcji.

Ograniczenia trybu szybkiego

  • Tego samego algorytmu integralności powinny służyć AH i ESP.
  • Algorytmy AES-GMAC są dostępne dla algorytmu integralności, który ma szyfrowania null. W związku z tym jeśli podano tych algorytmów integralności ESP, nie można określić algorytm szyfrowania.
  • Jeśli używany algorytm AES-GCM tego samego algorytmu powinny być wyszczególnione dla ESP integralności i szyfrowania.

Uwierzytelnianie

W dodatku SP1 dla systemu Windows Vista i Windows Server 2008, oprócz tych metod uwierzytelniania, które są już obsługiwane w wersji systemu Windows Vista są obsługiwane następujące metody uwierzytelniania.
  • Certyfikat komputera z podpisywania algorytmu ECDSA P256
  • Certyfikat komputera z podpisywania algorytmu ECDSA P384
Uwaga Domyślną metodą uwierzytelniania dla systemu Windows Vista jest uwierzytelnianie RSA SecurId.

Składnia i przykłady

W tej sekcji opisano składnię przy użyciu Polecenia netsh advfirewall polecenia do dodawania i modyfikowania reguły zabezpieczeń połączeń. Ta sekcja zawiera również przykłady Polecenia netsh advfirewall polecenia.

Dodawanie reguły zabezpieczeń połączeń

Netsh advfirewall
Usage: add rule name=<string>
      endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
      endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
      action=requireinrequestout|requestinrequestout|
         requireinrequireout|noauthentication
      [description=<string>]
      [mode=transport|tunnel (default=transport)]
      [enable=yes|no (default=yes)]
      [profile=public|private|domain|any[,...] (default=any)]
      [type=dynamic|static (default=static)]
      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
      [port1=0-65535|any (default=any)]
      [port2=0-65535|any (default=any)]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
      [interfacetype=wiresless|lan|ras|any (default=any)]
      [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
         computerntlm|anonymous[,...]]
      [auth1psk=<string>]
      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1healthcert=yes|no (default=no)]
      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap256healthcert=yes|no (default=no)]
      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap384healthcert=yes|no (default=no)]
      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
      [auth2ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
      [qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
         none (default=none)]
      [qmsecmethods=
         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
         |default]
        
Remarks:

      - The rule name should be unique, and it cannot be "all."
      - When mode=tunnel, both tunnel endpoints must be specified and must be
        the same IP version. Also, the action must be requireinrequireout.
      - At least one authentication must be specified.
      - Auth1 and auth2 can be comma-separated lists of options.
      - The "computerpsk" and "computerntlm" methods cannot be specified together
        for auth1.
      - Computercert cannot be specified with user credentials for auth2.
     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
      - Qmsecmethods can be a list of proposals separated by a comma (,).
      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
        encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
      - If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.  
     -  sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista. 
      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The default value for certmapping and for excludecaname is "no."
      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Przykład 1
Rozważmy następujący przykład Polecenia netsh advfirewall polecenia:
Netsh advfirewall consec dodać nazwę reguły = postąpić test1 = dowolny Punk końcowy 2 = wszelkich działań = opis requestinrequestout = "ECDSA256 użycia certyfikatu i AESGMAC256" auth1 = wartość computercert, computercertecdsap256 auth1ca = "C = US, O MSFT, CN = = \"Microsoft północ, południe, Wschód i Zachód głównego Authority\"" auth1healthcert = nie auth1ecdsap256ca = "C = US, O MSFT, CN = = \"Microsoft północ, południe, Wschód i Zachód głównego Authority\"" auth1ecdsap256healthcert tak qmsecmethods = = ah: aesgmac256 + esp:aesgmac256-Brak
To polecenie tworzy reguły zabezpieczeń połączeń, który posiada następujące metody uwierzytelniania w uwierzytelnianie ustawić:
  • Pierwsza metoda uwierzytelniania jest certyfikat, który używa podpisywania certyfikatów RSA.
  • Druga metoda uwierzytelniania jest świadectwo zdrowia używa ECDSA256 certyfikatu podpisywania.
Reguły zabezpieczeń połączeń chroni ruch przy użyciu protokołu AH i ESP integralności nowy algorytm AES-GMAC 256. Reguła nie obejmuje szyfrowania.
Przykład 2
Rozważmy następujący przykład Polecenia netsh advfirewall polecenia:
Netsh advfirewall consec dodać nazwę reguły = postąpić test2 = dowolny Punk końcowy 2 = wszelkich działań = opis requestinrequestout = "Użyj 256 SHA dla integralności" i AES192 szyfrowania auth1 = wartość computercert auth1ca = "C = US, O MSFT, CN = = \"Microsoft północ, południe, Wschód i Zachód głównego Authority\"" auth1healthcert nie qmsecmethods = = ah: sha256 + esp:sha256-aes192
To polecenie tworzy zawierający jedną metodę uwierzytelniania w uwierzytelnianie ustawić reguły zabezpieczeń połączeń. Metoda uwierzytelniania jest certyfikat, który używa podpisywania certyfikatów RSA.

Reguły zabezpieczeń połączeń chroni ruch za pomocą integralność AH i ESP z SHA256 w celu zapewnienia integralności i AES192 do szyfrowania.

Modyfikowanie istniejącej reguły zabezpieczeń połączeń

Netsh advfirewall
Usage: set rule
      group=<string> | name=<string>
      [type=dynamic|static]
      [profile=public|private|domain|any[,...] (default=any)]
      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [port1=0-65535|any]
      [port2=0-65535|any]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
      new
      [name=<string>]
      [profile=public|private|domain|any[,...]]
      [description=<string>]
      [mode=transport|tunnel]
      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [action=requireinrequestout|requestinrequestout|
         requireinrequireout|noauthentication]
      [enable=yes|no]
      [type=dynamic|static]
      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
      [port1=0-65535|any]
      [port2=0-65535|any]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
      [interfacetype=wiresless|lan|ras|any]
     [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
         computerntlm|anonymous[,...]]
      [auth1psk=<string>]
      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1healthcert=yes|no (default=no)]
      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap256healthcert=yes|no (default=no)]
      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap384healthcert=yes|no (default=no)]
      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
      [auth2ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
      [qmsecmethods=
         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
         default]


Remarks:

      - This sets a new parameter value on an identified rule. The command fails
        if the rule does not exist. To create a rule, use the "add" command.
      - Values after the new keyword are updated in the rule.  If there are
        no values, or if the "new" keyword is missing, no changes are made.
      - Only a group of rules can be enabled or disabled.
      - If multiple rules match the criteria, all matching rules are 
        updated.
      - The rule name should be unique, and it cannot be "all."
      - Auth1 and auth2 can be comma-separated lists of options.
      - The computerpsk and computerntlm methods cannot be specified together
        for auth1.
      - Computercert cannot be specified by using user credentials for auth2.
     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.  
      - Qmsecmethods can be a list of proposals that are separated by a comma (,).
      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
        encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
      - If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.  
     -  Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
      - If qmsemethods are set to "default," qmpfs will be set to "default" also.
      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The default value for "certmapping" and "excludecaname" is "no."
      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Oto przykład polecenie aktualizuje reguła "Przykład 1" został utworzony w poprzedniej sekcji:
Netsh advfirewall consec ustawiona nazwa reguły = badanie nowych qmsecmethods = ah: aesgmac256 + esp:aesgcm256-aesgcm256
To polecenie aktualizuje reguły za pomocą ESP integralności i szyfrowania AES-GCM 256 i używać AES GMAC 256 w celu zapewnienia integralności protokół AH.

Globalne ustawienia trybu głównego

Jest następujący tekst pomocy Netsh advfirewall zestawu globalnego polecenie.
netsh advfirewall>set global

Usage: set global statefulftp|statefulpptp  enable|disable|notconfigured
      set global IPsec (parameter) (value)
      set global mainmode (parameter) (value) | notconfigured

IPsec Parameters:

      strongcrlcheck    - Configures how CRL checking is enforced.
                          0: Disable CRL checking
                          1: Fail if cert is revoked and the CRL exists in the client’s CRL cache (default behavior)and the CRL exists in the client’s CRL cache (default behavior)                          2: Fail on any error
                          notconfigured: Returns the value to its unconfigured state.
      saidletimemin     - Configures the security association idle time in
                          minutes.
                        - Usage: 5-60|notconfigured (default=5)
      defaultexemptions - Configures the default IPsec exemptions. The default is
                          to exempt IPv6 neighbordiscovery protocol from
                          IPsec.
                        - Usage: none|neighbordiscovery|notconfigured

Main Mode Parameters:

      mmkeylifetime     - Sets the main mode key lifetime in minutes, in sessions, or in both.
                        - Usage: <num>min,<num>sess
      mmsecmethods      - Configures the main mode list of proposals
                        - Usage:
                          keyexch:enc-integrity,enc-integrity[,...]|default
                        - keyexch=dhgroup1|dhgroup2|dhgroup14|
                          ecdhp256|ecdhp384
                        - enc=3des|des|aes128|aes192|aes256
                        - integrity=md5|sha1|sha256|sha384

Remarks:

      - This configures global settings, such as advanced IPsec options.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The mmsecmethods keyword default sets the policy to the following:
        dhgroup2-aes128-sha1,dhgroup2-3des-sha1
      - Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
Oto przykład polecenia używane nowe algorytmy SHA zestawu kryptograficznego trybu głównego:
Polecenia netsh advfirewall ustawić global mainmode mmsecmethods dhgroup1:3des-sha256, 3des sha384

Rozwiązywanie problemów, konfiguracji i weryfikacji poleceń

Polecenia "Netsh advfirewall consec show reguły wszystkie"

W Netsh advfirewall consec show rule all polecenie wyświetla konfigurację dla wszystkich reguł zabezpieczeń połączeń.

Poniżej przedstawiono przykładowe dane wyjściowe tego polecenia.
Rule Name:				test
Enabled:					Yes
Profiles:					Domain,Private,Public
Type:					Static
Mode:					Transport
Endpoint1:				Any
Endpoint2:				Any
Protocol:					Any
Action:					RequestInRequestOut
Auth1:					ComputerPSK
Auth1PSK:				         12345
MainModeSecMethods			         ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethods			AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb

Polecenia "netsh advfirewall monitor show mmsa"

W Netsh advfirewall monitor show mmsa polecenie wyświetla skojarzenia zabezpieczeń trybu głównego.

Poniżej przedstawiono przykładowe dane wyjściowe tego polecenia.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:				157.59.24.101
Remote IP Address:			         157.59.24.119
My ID:
Peer ID:
First Auth:				ComputerPSK
Second Auth:				None
MM Offer:				         ECDHAP384-3DES-SHA256
Cookie Pair:				203d57505:5d088705
Health Pair:				No
Ok.

Polecenia "netsh advfirewall monitor show qmsa"

W Netsh advfirewall monitor show qmsa polecenie wyświetla skojarzenia zabezpieczeń trybu szybkiego.

Poniżej przedstawiono przykładowe dane wyjściowe tego polecenia.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:				157.59.24.101
Remote IP Address:			         157.59.24.119
Local Port:				Any
Remote Port:				Any
Protocol:					Any
Direction:				Both
QM Offer:				         AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb	
Ok.

Polecenia "netsh advfirewall show global"

W Netsh advfirewall show global polecenie wyświetla ustawienia globalne.

Poniżej przedstawiono przykładowe dane wyjściowe tego polecenia.
Global Settings:
IPsec:					
StrongCRLCheck				0:Disabled
SAIdleTimeMin				5min
DefaultExemptions			         NeighborDiscovery
IPsecThroughNAT			         Server and client behind NAT

StatefulFTP				Enable
StatefulPPTP				Enable

Main Mode:
KeyLifetime				2min,0sess
SecMethods				DHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384

Współdziałanie

Tworzenie, egzekwowania i zarządzanie zasady IPsec, która korzysta z algorytmów Suite B została wprowadzona w dodatku SP1 dla systemu Windows Vista i Windows Server 2008. Można zarządzać zasady grupy, zawierający algorytmy Suite B tylko przy użyciu narzędzia, które zostały wydane z dodatku SP1 dla systemu Windows Vista lub Windows Server 2008.

Przykładowe scenariusze i oczekiwane wyniki są.

Scenariusz 1

Stosowanie zasad, utworzony na komputerze z systemem Windows Vista z dodatkiem SP1 lub Windows Server 2008 na komputerze, na którym jest uruchomiona wersja systemu Windows Vista za pomocą nowych algorytmów kryptograficznych.
Oczekiwany wynik
Reguła zawiera kryptograficzne pakiety, które korzystają z nowych algorytmów kryptograficznych, te kryptograficznych pakiety są opuszczane, a zamiast tego używane są inne pakiety kryptograficznych w zestawu kryptograficznego.

Brak szyfrowania pakietów w regule są rozpoznawane, cała reguła jest odrzucany. Rejestrowane zdarzenie wskazuje, że reguły nie mogą być przetwarzane. W związku z tym jeśli wszystkie pakiety kryptograficznej wymiany kluczy zestawu kryptograficznego są opuszczane, brak reguł zabezpieczeń połączeń, zasady są stosowane. Jednakże wszystkie reguły zapory są nadal stosowane.

Proces uwierzytelniania zestaw podobny do procesu zestawu kryptograficznego. Zasada zawiera nowe flagi certyfikatu (algorytmu ECDSA P256 lub P384 algorytmu ECDSA) jest stosowany do komputera, na którym działa wersja systemu Windows Vista, metody uwierzytelniania są odrzucane.

Wszystkie metody uwierzytelniania w pierwszym zestawie uwierzytelniania są usuwane z tego powodu, cała reguła nie jest przetwarzany. Jeśli wszystkie metody uwierzytelniania w drugim zestawie uwierzytelniania są opuszczane, reguła jest przetwarzany przy użyciu pierwszego uwierzytelniania zestaw.

Scenariusz 2

Na komputerze, na którym jest uruchomiona wersja systemu Windows Vista nowych algorytmów kryptograficznych służy do wyświetlania zasad, który został utworzony na komputerze z systemem Windows Vista z dodatkiem SP1 lub Windows Server 2008.
Oczekiwany wynik
Nowe algorytmy są wyświetlane jako "Nieznane", zarówno na monitorowanie i tworzenia części przystawkę MMC zabezpieczeń zaawansowanych zapory systemu Windows Polecenia netsh advfirewall polecenie wyświetla również algorytmy jako "Nieznane" w systemie Windows Vista.

Ograniczenia dotyczące interoperacyjności

Ograniczenia dotyczące interoperacyjności są następujące:
  • Firma Microsoft nie obsługuje zdalnego zarządzania zasady, które używają algorytmów Suite B na komputerach z systemem Windows Vista z dodatkiem SP1 lub Windows Server 2008 z komputera, na którym działa wersja systemu Windows Vista.
  • Podczas importowania zasady, która jest tworzona na komputerze z systemem Windows Vista z dodatkiem SP1 lub Windows Server 2008 na komputerze, na którym jest uruchomiona wersja systemu Windows Vista są usuwane, niektóre części zasady. Dzieje się tak, ponieważ wersja systemu Windows Vista nie rozpoznaje nowych algorytmów.

Kombinacje algorytmów kryptograficznych tryb szybki obsługiwane i nieobsługiwane

W poniższej tabeli przedstawiono obsługiwane kombinacje algorytmów kryptograficznych tryb szybki.
Zwiń tę tabelęRozwiń tę tabelę
ProtokółAH integralnościIntegralność ESPSzyfrowanie
AHAES-GMAC 128BrakBrak
AHAES-GMAC 192BrakBrak
AHAES-GMAC 256BrakBrak
AHSHA256BrakBrak
AHSHA1BrakBrak
AHMD5BrakBrak
ESPBrakAES-GMAC 128Brak
ESPBrakAES-GMAC 192Brak
ESPBrakAES-GMAC 256Brak
ESPBrakSHA256Brak
ESPBrakSHA1Brak
ESPBrakMD5Brak
ESPBrakSHA256Dowolny obsługiwany algorytm szyfrowania AES-GCM algorytmy z wyjątkiem
ESPBrakSHA1Dowolny obsługiwany algorytm szyfrowania AES-GCM algorytmy z wyjątkiem
ESPBrakMD5Dowolny obsługiwany algorytm szyfrowania AES-GCM algorytmy z wyjątkiem
ESPBrakAES-GCM 128AES-GCM 128
ESPBrakAES-GCM 192AES-GCM 192
ESPBrakAES-GCM 256AES-GCM 256
AH + ESPAES-GMAC 128AES-GMAC 128Brak
AH + ESPAES-GMAC 128AES-GMAC 128Brak
AH + ESPAES-GMAC 128AES-GMAC 128Brak
AH + ESPSHA-256SHA-256Brak
AH + ESPSHA1SHA1Brak
AH + ESPMD5MD5Brak
AH + ESPSHA256SHA256Dowolny obsługiwany algorytm szyfrowania AES-GCM algorytmy z wyjątkiem
AH + ESPSHA1SHA1Dowolny obsługiwany algorytm szyfrowania AES-GCM algorytmy z wyjątkiem
AH + ESPMD5MD5Dowolny obsługiwany algorytm szyfrowania AES-GCM algorytmy z wyjątkiem
AH + ESPAES-GMAC 128AES-GCM 128AES-GCM 128
AH + ESPAES-GMAC 192AES-GCM 192AES-GCM 192
AH + ESPAES-GMAC 256AES-GCM 256AES-GCM 256
Uwaga AES-GMAC jest taka sama, jak AES-GCM szyfrowania null. Na przykład można określić integralność AH używać AES GMAC 128 i określić Integralność ESP, aby używać 128 AES-GCM. Jest jedynym wyjątkiem od reguły algorytmów integralności AH i ESP muszą być identyczne.

Kombinacje, które są opisane w poniższej tabeli nie są obsługiwane.
Zwiń tę tabelęRozwiń tę tabelę
ProtokółAH integralnościIntegralność ESPSzyfrowanie
ESPBrakAES-GMAC 128Dowolny algorytm szyfrowania obsługiwanych
ESPBrakAES-GMAC 192Dowolny algorytm szyfrowania obsługiwanych
ESPBrakAES-GMAC 256Dowolny algorytm szyfrowania obsługiwanych
ESPBrakAES-GCM 1281. Brak
2. Każdy algorytm szyfrowania, z wyjątkiem AES GCM 128
ESPBrakAES-GCM 1921. Brak
2. Każdy algorytm szyfrowania AES-GCM 192 z wyjątkiem
ESPBrakAES-GCM 2561. Brak
2. Każdy algorytm szyfrowania AES-GCM 256 z wyjątkiem
AH + ESPAES-GMAC 128AES-GMAC 128Dowolny algorytm szyfrowania obsługiwanych
AH + ESPAES-GMAC 192AES-GMAC 192Dowolny algorytm szyfrowania obsługiwanych
AH + ESPAES-GMAC 256AES-GMAC 256Dowolny algorytm szyfrowania obsługiwanych
Aby uzyskać więcej informacji dotyczących pakietu b odwiedź następującą witrynę sieci Web:
http://www.NSA.gov/IA/Programs/suiteb_cryptography/index.shtml
Aby uzyskać więcej informacji dotyczących zasad zabezpieczeń IPsec i połączeń odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://go.microsoft.com/fwlink/?linkid=96525
Aby uzyskać więcej informacji na temat kryptografii nowej generacji w systemie Windows Server 2008 odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://technet2.microsoft.com/windowsserver2008/en/Library/532ac164-da33-4369-bef0-8f019d5a18b81033.mspx?mfr=true
Aby uzyskać więcej informacji kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
949299Opis grupy zabezpieczeń Crypto operatorów, który został dodany do systemu Windows Vista Service Pack 1 do konfigurowania Zapory systemu Windows dla protokołu IPsec wspólnych kryteriów tryb

Właściwości

Numer ID artykułu: 949856 - Ostatnia weryfikacja: 11 września 2011 - Weryfikacja: 3.0
Informacje zawarte w tym artykule dotyczą:
  • Dodatek Service Pack 1 do systemu Windows Vista na następujących platformach
    • Windows Vista Business
    • Windows Vista Business 64-bit edition
    • Windows Vista Enterprise
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate
    • Windows Vista Ultimate 64-bit edition
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Słowa kluczowe: 
kbexpertiseinter kbhowto kbinfo kbmt KB949856 KbMtpl
Przetłumaczone maszynowo
WAŻNE: Ten artykuł nie został przetłumaczony przez człowieka, tylko przez oprogramowanie do tłumaczenia maszynowego firmy Microsoft. Firma Microsoft oferuje zarówno artykuły tłumaczone przez ludzi, jak i artykuły tłumaczone maszynowo, dzięki czemu każdy użytkownik może uzyskać dostęp do całej zawartości bazy wiedzy Knowledge Base we własnym języku. Prosimy jednak pamiętać, że artykuły przetłumaczone maszynowo nie zawsze są doskonałe. Mogą zawierać błędy słownictwa, składni i gramatyki, przypominające błędy robione przez osoby, dla których język użytkownika nie jest językiem ojczystym. Firma Microsoft nie odpowiada za wszelkie nieścisłości, błędy lub szkody spowodowane nieprawidłowym tłumaczeniem zawartości oraz za wykorzystanie tej zawartości przez klientów. Oprogramowanie do tłumaczenia maszynowego jest często aktualizowane przez firmę Microsoft.
Anglojęzyczna wersja tego artykułu to:949856

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com