Limitações de suporte
Limitações de suporte do conjunto de aplicações B incluem:
- A criação e imposição da política IPsec utilizando algoritmos de Suite B é suportada apenas no Windows Vista Service Pack 1 (SP1), no Windows Server 2008, ou em versões posteriores do Windows.
- A criação de políticas que contêm Suite B algoritmos é suportada através do snap-in "Firewall dos Windows com segurança avançada" Microsoft Management Console (MMC) para Windows 7 e para versões posteriores do Windows.
- O comando Netsh advfirewall help não apresenta opções de configuração para algoritmos de Suite B. Isto aplica-se apenas a Windows Vista SP1.
Definições
- conjunto B
Conjunto B é um conjunto de normas que forem especificados, a National Security Agency (NSA). Conjunto B fornece a indústria com um conjunto comum de algoritmos criptográficos que pode ser utilizado para criar produtos que cumpram o intervalo maior de necessidades de governo dos Estados Unidos. Conjunto B inclui a especificação dos seguintes tipos de algoritmos: - Integridade
- Encriptação
- Troca de chaves
- Assinatura digital
- Federal Information processamento Standards (FIPS)
FIPS é um conjunto de directrizes e padrões que controlam os recursos informáticos. Todos os algoritmos Suite B são aprovado por FIPS.
Para mais informações, visite o seguinte Web site: - NIST
Este é o acrónimo do National Institute of Standards and Technology. - algoritmos de integridade de dados
Algoritmos de integridade de dados utilizam hashes de mensagem para se certificar que informações não está a ser alteradas enquanto estiver em trânsito. - algoritmos de encriptação de dados
Algoritmos de encriptação de dados são utilizados para ocultar informações que está a ser transmitidas. Os algoritmos de encriptação são utilizados para converter texto simples para um código secreto.
Por exemplo, os algoritmos de encriptação podem converter texto simples texto cifrado. Em seguida, pode ser descodificado o texto cifrado em texto simples original. Cada algoritmo utiliza uma "chave" para efectuar a conversão. O tipo de chave e o comprimento da chave dependem o algoritmo que está a ser utilizado. - IPsec
Esta é uma abreviatura para o termo "Segurança IP".
Para obter mais informações sobre IPsec, visite o seguinte Web site da Microsoft: - Avançadas encriptação padrão Galois mensagem de código de autenticação (AES-GMAC)
Este algoritmo é descrito na publicação especial NIST D 800-38. Para ver este documento, visite o seguinte Web site: - padrão de encriptação avançada no modo de Galois/contador (AES-GCM)
Este algoritmo é descrito na publicação especial NIST D 800-38. Para ver este documento, visite o seguinte Web site: - algoritmo digital curva elíptica assinatura (ECDSA)
Curva elíptica (EC) é uma variante do algoritmo de assinatura digital que funciona em grupos EC. A variante EC fornece tamanhos de chaves mais pequenos para o mesmo nível de segurança.
Este algoritmo é descrito no FIPS publicação 186-2. Para ver esta publicação, visite o seguinte Web site: - autoridade de certificação (AC)
Uma autoridade de certificação é uma entidade que emite certificados digitais. IPsec pode utilizar estes certificados como um método de autenticação. - cabeçalho de autenticação (AH, Authentication Header)
Cabeçalho de autenticação é um protocolo IPsec fornece autenticação, integridade e funcionalidade de anti-reprodução para todo o pacote. Isto inclui o cabeçalho IP e o payload de dados.
AH não fornece confidencialidade. Isto significa que o AH não encripta os dados. Os dados são legíveis mas é unwriteable. - Encapsulating Security Payload (ESP)
ESP é um protocolo IPsec fornece confidencialidade, autenticação, integridade e anti-reprodução funcionalidade. ESP pode ser utilizado individualmente ou pode ser utilizado em conjunto com o AH.
Algoritmos de modo principal
No Windows Vista SP1 e no Windows Server 2008, os algoritmos de integridade seguintes são suportados em conjunto com os algoritmos que já são suportados na versão original do Windows Vista:
Nota O algoritmo de troca de chaves e o algoritmo de encriptação não são alteradas.
Algoritmos de modo rápido
No Windows Vista SP1 e no Windows Server 2008, os algoritmos seguintes são suportados em conjunto com os algoritmos que já são suportados na versão original do Windows Vista.
Integridade (AH ou ESP)
- SHA-256
- AES-GMAC-128
- GMAC-AES-192
- AES-GMAC-256
Integridade e encriptação (ESP apenas)
- AES-GCM-128
- GCM-AES-192
- AES-GCM-256
Para obter mais informações sobre AH e ESP combinações que são suportados e não suportados, consulte as "modo rápido algoritmo criptográfico combinações que são suportadas e não suportadas" secção.
Restrições de modo rápido
- Deve ser utilizado o mesmo algoritmo de integridade para AH e ESP.
- Os algoritmos AES GMAC estão disponíveis para um algoritmo de integridade com encriptação nula. Por conseguinte, se qualquer uma destes algoritmos forem especificados para integridade ESP, é possível especificar o algoritmo de encriptação.
- Se utilizar um algoritmo AES GCM, deve ser especificado o mesmo algoritmo para integridade ESP e encriptação.
Autenticação
No Windows Vista SP1 e no Windows Server 2008, os seguintes métodos de autenticação são suportados em conjunto com esses métodos de autenticação que já são suportados na versão original do Windows Vista.
- Certificado de computador com ECDSA P256 assinatura
- Certificado de computador com ECDSA P384 assinatura
Nota O método de autenticação predefinido para o Windows Vista é RSA SecurId autenticação.
Sintaxe e exemplos
Esta secção descreve a sintaxe para utilizar o comando
Netsh advfirewall para adicionar e modificar regras de segurança de ligação. Esta secção também fornece exemplos de comandos de
Netsh advfirewall .
Adicionar uma regra de segurança de ligação
Netsh advfirewall
Usage: add rule name=<string>
endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
action=requireinrequestout|requestinrequestout|
requireinrequireout|noauthentication
[description=<string>]
[mode=transport|tunnel (default=transport)]
[enable=yes|no (default=yes)]
[profile=public|private|domain|any[,...] (default=any)]
[type=dynamic|static (default=static)]
[localtunnelendpoint=<IPv4 address>|<IPv6 address>]
[remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
[port1=0-65535|any (default=any)]
[port2=0-65535|any (default=any)]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
[interfacetype=wiresless|lan|ras|any (default=any)]
[auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
computerntlm|anonymous[,...]]
[auth1psk=<string>]
[auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1healthcert=yes|no (default=no)]
[auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap256healthcert=yes|no (default=no)]
[auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap384healthcert=yes|no (default=no)]
[auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
[auth2ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
[qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
none (default=none)]
[qmsecmethods=
ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
|default]
Remarks:
- The rule name should be unique, and it cannot be "all."
- When mode=tunnel, both tunnel endpoints must be specified and must be
the same IP version. Also, the action must be requireinrequireout.
- At least one authentication must be specified.
- Auth1 and auth2 can be comma-separated lists of options.
- The "computerpsk" and "computerntlm" methods cannot be specified together
for auth1.
- Computercert cannot be specified with user credentials for auth2.
- Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmsecmethods can be a list of proposals separated by a comma (,).
- For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
- If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.
- sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmpfs=mainmode uses the main mode key exchange setting for PFS.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The default value for certmapping and for excludecaname is "no."
- The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').Exemplo 1
Considere o seguinte exemplo de um comando
Netsh advfirewall :
Netsh advfirewall consec adicionar o nome da regra = Teste1 endpoint1 = qualquer endpoint2 = qualquer acção = requestinrequestout Descrição = ? ECDSA256 utilizar certificados e AESGMAC256 ? auth1 = computercert, computercertecdsap256 auth1ca = ? C = US, O = MSFT, CN = \ 'Microsoft Norte, Sul, este e Oeste raiz Authority\ ? ? auth1healthcert = não auth1ecdsap256ca = ? C = US, O = MSFT, CN = \ 'Microsoft Norte, Sul, este e Oeste raiz Authority\ ? ? auth1ecdsap256healthcert = Sim qmsecmethods = ah: aesgmac256 + esp:aesgmac256-nenhum
Este comando cria uma regra de segurança de ligação que tem os seguintes métodos de autenticação da autenticação definir:
- O primeiro método de autenticação é um certificado que utiliza a assinatura de certificado RSA.
- O segundo método autenticação é um certificado de estado de funcionamento que utiliza ECDSA256 para assinar certificados.
Regra de segurança de ligação protege o tráfego utilizando integridade AH e ESP com o novo algoritmo GMAC AES 256. A regra não inclui a encriptação.
Exemplo 2
Considere o seguinte exemplo de um comando
Netsh advfirewall :
Netsh advfirewall consec adicionar o nome da regra = Teste2 endpoint1 = qualquer endpoint2 = qualquer acção = requestinrequestout Descrição = auth1 ? utilizar 256 SHA para integridade ? e AES192 para encriptação = computercert auth1ca = ? C = US, O = MSFT, CN = \ 'Microsoft Norte, Sul, este e Oeste raiz Authority\ ? ? auth1healthcert = não qmsecmethods = ah: sha256 + esp:sha256-aes192
Este comando cria uma regra de segurança de ligação que tem um método de autenticação da autenticação definida. O método de autenticação é um certificado que utiliza a assinatura de certificado RSA.
Regra de segurança de ligação protege o tráfego por através de integridade AH e ESP com SHA256 para integridade e AES192 para encriptação.
Modificar uma regra de segurança de ligação existente
Netsh advfirewall
Usage: set rule
group=<string> | name=<string>
[type=dynamic|static]
[profile=public|private|domain|any[,...] (default=any)]
[endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[port1=0-65535|any]
[port2=0-65535|any]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
new
[name=<string>]
[profile=public|private|domain|any[,...]]
[description=<string>]
[mode=transport|tunnel]
[endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[action=requireinrequestout|requestinrequestout|
requireinrequireout|noauthentication]
[enable=yes|no]
[type=dynamic|static]
[localtunnelendpoint=<IPv4 address>|<IPv6 address>]
[remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
[port1=0-65535|any]
[port2=0-65535|any]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
[interfacetype=wiresless|lan|ras|any]
[auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
computerntlm|anonymous[,...]]
[auth1psk=<string>]
[auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1healthcert=yes|no (default=no)]
[auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap256healthcert=yes|no (default=no)]
[auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap384healthcert=yes|no (default=no)]
[auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
[auth2ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
[qmsecmethods=
ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
default]
Remarks:
- This sets a new parameter value on an identified rule. The command fails
if the rule does not exist. To create a rule, use the "add" command.
- Values after the new keyword are updated in the rule. If there are
no values, or if the "new" keyword is missing, no changes are made.
- Only a group of rules can be enabled or disabled.
- If multiple rules match the criteria, all matching rules are
updated.
- The rule name should be unique, and it cannot be "all."
- Auth1 and auth2 can be comma-separated lists of options.
- The computerpsk and computerntlm methods cannot be specified together
for auth1.
- Computercert cannot be specified by using user credentials for auth2.
- Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmsecmethods can be a list of proposals that are separated by a comma (,).
- For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
- If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.
- Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- If qmsemethods are set to "default," qmpfs will be set to "default" also.
- Qmpfs=mainmode uses the main mode key exchange setting for PFS.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The default value for "certmapping" and "excludecaname" is "no."
- The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Segue-se um exemplo de um comando que actualiza a regra que foi criada no "Exemplo 1" na secção anterior:
Netsh advfirewall consec definir nome de regra = teste novo qmsecmethods = ah: aesgmac256 + esp:aesgcm256-aesgcm256
Este comando actualiza a regra para utilizar GCM AES 256 para encriptação e integridade ESP e utilizar GMAC AES 256 para integridade AH.
Configurar definições de modo principal globais
O seguinte texto de ajuda é para o comando
Netsh advfirewall set global .
netsh advfirewall>set global
Usage: set global statefulftp|statefulpptp enable|disable|notconfigured
set global IPsec (parameter) (value)
set global mainmode (parameter) (value) | notconfigured
IPsec Parameters:
strongcrlcheck - Configures how CRL checking is enforced.
0: Disable CRL checking
1: Fail if cert is revoked (default)
2: Fail on any error
notconfigured: Returns the value to its unconfigured state.
saidletimemin - Configures the security association idle time in
minutes.
- Usage: 5-60|notconfigured (default=5)
defaultexemptions - Configures the default IPsec exemptions. The default is
to exempt IPv6 neighbordiscovery protocol from
IPsec.
- Usage: none|neighbordiscovery|notconfigured
Main Mode Parameters:
mmkeylifetime - Sets the main mode key lifetime in minutes, in sessions, or in both.
- Usage: <num>min,<num>sess
mmsecmethods - Configures the main mode list of proposals
- Usage:
keyexch:enc-integrity,enc-integrity[,...]|default
- keyexch=dhgroup1|dhgroup2|dhgroup14|
ecdhp256|ecdhp384
- enc=3des|des|aes128|aes192|aes256
- integrity=md5|sha1|sha256|sha384
Remarks:
- This configures global settings, such as advanced IPsec options.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The mmsecmethods keyword default sets the policy to the following:
dhgroup2-aes128-sha1,dhgroup2-3des-sha1
- Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista. segue-se um exemplo de um comando que utiliza os novos algoritmos SHA no conjunto de criptografia de modo principal:
Netsh advfirewall definir global mainmode mmsecmethods dhgroup1:3des-sha256, 3des sha384
Comandos de resolução de problemas, configuração e verificação
O comando "netsh advfirewall consec apresentação regra tudo"
O comando
Netsh advfirewall consec show rule all apresenta a configuração para todas as regras de segurança de ligação.
Segue-se um exemplo de saída para este comando.
Rule Name: test
Enabled: Yes
Profiles: Domain,Private,Public
Type: Static
Mode: Transport
Endpoint1: Any
Endpoint2: Any
Protocol: Any
Action: RequestInRequestOut
Auth1: ComputerPSK
Auth1PSK: 12345
MainModeSecMethods ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethods AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb
O comando "Netsh advfirewall monitor show mmsa"
O comando
Netsh advfirewall monitor show mmsa apresenta a associação de segurança de modo principal.
Segue-se um exemplo de saída para este comando.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address: 157.59.24.101
Remote IP Address: 157.59.24.119
My ID:
Peer ID:
First Auth: ComputerPSK
Second Auth: None
MM Offer: ECDHAP384-3DES-SHA256
Cookie Pair: 203d57505:5d088705
Health Pair: No
Ok.
O comando "Netsh advfirewall monitor show qmsa"
O comando
Netsh advfirewall monitor show qmsa apresenta a associação de segurança de modo rápido.
O seguinte é um exemplo de saída para este comando.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address: 157.59.24.101
Remote IP Address: 157.59.24.119
Local Port: Any
Remote Port: Any
Protocol: Any
Direction: Both
QM Offer: AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb
Ok.
O comando "Netsh advfirewall show global"
O comando
Netsh advfirewall show global apresenta definições globais.
Segue-se um exemplo de saída para este comando.
Global Settings:
IPsec:
StrongCRLCheck 0:Disabled
SAIdleTimeMin 5min
DefaultExemptions NeighborDiscovery
IPsecThroughNAT Server and client behind NAT
StatefulFTP Enable
StatefulPPTP Enable
Main Mode:
KeyLifetime 2min,0sess
SecMethods DHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384
Interoperabilidade
Criação de imposição e gestão da política IPsec que utiliza algoritmos Suite B foi introduzido no Windows Vista SP1 e no Windows Server 2008. Pode gerir uma política de grupo que contém Suite B algoritmos só utilizando ferramentas disponibilizadas com o Windows Vista SP1 ou com o Windows Server 2008.
Cenários de exemplo e os resultados esperados são os seguintes.
Cenário 1
Utilizar os novos algoritmos criptográficos para aplicar uma política que é criada num computador com o Windows Server 2008 ou Windows Vista SP1 num computador com a versão do Windows Vista.
Resultado esperado
Se uma regra contém conjuntos de criptografia que utilizam os novos algoritmos criptográficos, estes conjuntos criptográficos são ignorados e outros conjuntos de criptografia no conjunto de criptografia utilizados em vez disso.
Se nenhum dos conjuntos de criptografia na regra são reconhecidos, toda a regra será ignorada. É registado um evento que indica que a regra não pode ser processada. Por este motivo, se todos os pacotes no conjunto criptográfico de troca de chaves criptográficos são ignorados, nenhuma das regras de segurança de ligação na política serão aplicadas. No entanto, todas as regras de firewall ainda são aplicadas.
O processo de conjunto de autenticação assemelha-se o processo de conjunto criptográfico. Se uma política que contém os sinalizadores de certificado novo (ECDSA P256 ou ECDSA P384) são aplicados a um computador com a versão do Windows Vista, os métodos de autenticação são ignorados.
Se todos os métodos de autenticação no primeiro conjunto de autenticação são ignorados por este motivo, a regra toda não será processada. Se todos os métodos de autenticação no segundo conjunto de autenticação são ignorados, a regra é processada utilizando apenas a primeira autenticação definido.
Cenário 2
Num computador com a versão do Windows Vista, utilize os novos algoritmos criptográficos para visualizar uma política que foi criada num computador com o Windows Server 2008 ou Windows Vista SP1.
Resultado esperado
Os novos algoritmos são apresentados como ? desconhecido ? na monitorização e criação de partes do snap-in do Windows Firewall de segurança avançada da MMC. O comando
Netsh advfirewall também apresenta os algoritmos como ? desconhecido ? no Windows Vista.
Restrições de interoperabilidade
Restrições de interoperabilidade são:
- A Microsoft não suportam a gestão remota de políticas que utilizam algoritmos B de conjunto de aplicações em computadores que estão a executar o Windows Vista SP1 ou Windows Server 2008 de um computador com a versão do Windows Vista.
- Quando uma política que é criada num computador com o Windows Vista SP1 ou Windows Server 2008 é importada para um computador com a versão do Windows Vista, algumas partes da política são ignoradas. Isto ocorre porque a versão do Windows Vista não consegue reconhecer os novos algoritmos.
Combinações de modo rápido algoritmo criptográfico que são suportadas e não suportadas
A tabela seguinte mostra suportadas combinações de algoritmo criptográfico de modo rápido.
Reduzir esta tabelaExpandir esta tabela
| Protocolo | AH integridade | Integridade ESP | Encriptação |
|---|
| AH | AES-GMAC 128 | Nenhum | Nenhum |
| AH | AES-GMAC 192 | Nenhum | Nenhum |
| AH | AES-GMAC 256 | Nenhum | Nenhum |
| AH | SHA256 | Nenhum | Nenhum |
| AH | SHA1 | Nenhum | Nenhum |
| AH | MD5 | Nenhum | Nenhum |
| ESP | Nenhum | AES-GMAC 128 | Nenhum |
| ESP | Nenhum | AES-GMAC 192 | Nenhum |
| ESP | Nenhum | AES-GMAC 256 | Nenhum |
| ESP | Nenhum | SHA256 | Nenhum |
| ESP | Nenhum | SHA1 | Nenhum |
| ESP | Nenhum | MD5 | Nenhum |
| ESP | Nenhum | SHA256 | Qualquer algoritmo de encriptação suportados, excepto AES GCM algoritmos |
| ESP | Nenhum | SHA1 | Qualquer algoritmo de encriptação suportados, excepto AES GCM algoritmos |
| ESP | Nenhum | MD5 | Qualquer algoritmo de encriptação suportados, excepto AES GCM algoritmos |
| ESP | Nenhum | AES-GCM 128 | AES-GCM 128 |
| ESP | Nenhum | AES-GCM 192 | AES-GCM 192 |
| ESP | Nenhum | AES-GCM 256 | AES-GCM 256 |
| AH ESP + | AES-GMAC 128 | AES-GMAC 128 | Nenhum |
| AH ESP + | AES-GMAC 128 | AES-GMAC 128 | Nenhum |
| AH ESP + | AES-GMAC 128 | AES-GMAC 128 | Nenhum |
| AH ESP + | SHA-256 | SHA-256 | Nenhum |
| AH ESP + | SHA1 | SHA1 | Nenhum |
| AH ESP + | MD5 | MD5 | Nenhum |
| AH ESP + | SHA256 | SHA256 | Qualquer algoritmo de encriptação suportados, excepto AES GCM algoritmos |
| AH ESP + | SHA1 | SHA1 | Qualquer algoritmo de encriptação suportados, excepto AES GCM algoritmos |
| AH ESP + | MD5 | MD5 | Qualquer algoritmo de encriptação suportados, excepto AES GCM algoritmos |
| AH ESP + | AES-GMAC 128 | AES-GCM 128 | AES-GCM 128 |
| AH ESP + | AES-GMAC 192 | AES-GCM 192 | AES-GCM 192 |
| AH ESP + | AES-GMAC 256 | AES-GCM 256 | AES-GCM 256 |
AES-GMAC é o mesmo AES GCM com encriptação nula. Por exemplo, pode especificar integridade AH utilizar GMAC AES 128 e pode especificar integridade ESP para utilizar GCM AES 128. Esta é a única excepção à regra que devem ser idênticos algoritmos de integridade AH e ESP.
Não são suportadas as combinações que são descritas na seguinte tabela.
Reduzir esta tabelaExpandir esta tabela
| Protocolo | AH integridade | Integridade ESP | Encriptação |
|---|
| ESP | Nenhum | AES-GMAC 128 | Qualquer algoritmo de encriptação suportado |
| ESP | Nenhum | AES-GMAC 192 | Qualquer algoritmo de encriptação suportado |
| ESP | Nenhum | AES-GMAC 256 | Qualquer algoritmo de encriptação suportado |
| ESP | Nenhum | AES-GCM 128 | 1. Nenhum
2. Qualquer algoritmo de encriptação excepto GCM AES 128 |
| ESP | Nenhum | AES-GCM 192 | 1. Nenhum
2. Qualquer algoritmo de encriptação excepto AES GCM 192 |
| ESP | Nenhum | AES-GCM 256 | 1. Nenhum
2. Qualquer algoritmo de encriptação excepto GCM AES 256 |
| AH ESP + | AES-GMAC 128 | AES-GMAC 128 | Qualquer algoritmo de encriptação suportado |
| AH ESP + | AES-GMAC 192 | AES-GMAC 192 | Qualquer algoritmo de encriptação suportado |
| AH ESP + | AES-GMAC 256 | AES-GMAC 256 | Qualquer algoritmo de encriptação suportado |
Para obter mais informações sobre B de conjunto de aplicações, visite o seguinte Web site:
Para obter mais informações sobre regras de segurança IPsec e a ligação, visite o seguinte Web site da Microsoft:
Para obter mais informações sobre criptografia The Next Generation no Windows Server 2008, visite o seguinte Web site da Microsoft:
Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
949299
(http://support.microsoft.com/kb/949299/
)
Descrição do grupo de segurança operadores de criptografia que foi adicionada para o Windows Vista Service Pack 1 para configurar o Firewall do Windows para IPsec comum em modo de critérios
Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email
Tradução automática
Voltar ao topo
