Descrição do suporte para algoritmos criptográficos do conjunto B que foi adicionado ao IPsec no Windows Vista Service Pack 1, no Windows Server 2008 e no Windows 7

Traduções deste artigo Traduções deste artigo
ID do artigo: 949856 - Exibir os produtos aos quais esse artigo se aplica.
Suporte para Windows Vista Service Pack 1 (SP1) termina em 12 de julho de 2011. Para continuar recebendo atualizações de segurança para o Windows, verifique se que você está executando o Windows Vista com Service Pack 2 (SP2). Para obter mais informações, consulte esta página da Web da Microsoft: Suporte está sendo encerrado para algumas versões do Windows.
Expandir tudo | Recolher tudo

Neste artigo

INTRODUÇÃO

Este artigo descreve o suporte para algoritmos criptográficos do conjunto B que foi adicionado no Windows Vista Service Pack 1 (SP1) e no Windows Server 2008. O pacote é um grupo de algoritmos de criptografia que foram aprovadas pelos Estados Unidos National Security Agency (NSA).

Pacote B é usada como uma estrutura de criptografia interoperável para proteger dados confidenciais. Suporte foi estendida aos algoritmos do conjunto B para as seguintes áreas:
  • Modo principal
  • Modo rápido
  • Configurações de autenticação
Este artigo também descreve a sintaxe de configuração de diretiva de segurança (IPsec) Internet Protocol que usa algoritmos do conjunto B.

Mais Informações

Limitações de suporte

Limitações de suporte para o conjunto B incluem o seguinte:
  • A criação e a aplicação da diretiva IPsec usando algoritmos do conjunto B é suportado somente no Windows Vista Service Pack 1 (SP1), no Windows Server 2008 ou em versões posteriores do Windows.
  • Há suporte para a criação de diretivas que contenham algoritmos do conjunto B através do snap-in "Firewall do Windows com segurança avançada" Microsoft Management Console (MMC) para Windows 7 e versões posteriores do Windows.
  • O comando Netsh advfirewall help não exibir as opções de configuração para algoritmos do conjunto B. Isso se aplica somente ao Windows Vista SP1.

Definições

  • Suite B

    O pacote é um conjunto de padrões que são especificados pela National Security Agency (NSA). Suite B fornece o setor com um conjunto comum de algoritmos criptográficos que podem ser usados para criar produtos que atendem a mais ampla variedade de necessidades do governo dos EUA. Pacote B inclui a especificação dos seguintes tipos de algoritmos:
    • Integridade
    • Criptografia
    • Troca de chaves
    • Assinatura digital
  • Padrões de processamento de informações Federal (FIPS)

    FIPS é um conjunto de diretrizes e padrões que controlam recursos computacionais federais. Todos os algoritmos do conjunto B são aprovado pelo FIPS.

    Para obter mais informações, visite o seguinte site:
    http://www.ITL.nist.gov/fipspubs/geninfo.htm
  • NIST

    Este é um acrônimo para Instituto Nacional de padrões e tecnologia.
  • Algoritmos de integridade de dados

    Algoritmos de integridade de dados usam mensagens de hash para certificar-se de que a informação não está sendo alterada enquanto estiver em trânsito.
  • Algoritmos de criptografia de dados

    Algoritmos de criptografia de dados são usados para ocultar as informações que estão sendo transmitidas. Os algoritmos de criptografia são usados para converter texto sem formatação em um código secreto.

    Por exemplo, os algoritmos de criptografia podem converter texto sem formatação em texto cifrado. Em seguida, pode ser decodificado o texto cifrado para o texto sem formatação original. Cada algoritmo usa uma "chave" para executar a conversão. O tipo de chave e o comprimento da chave dependem do algoritmo que está sendo usado.
  • IPsec

    Isso é uma abreviação para o termo "Segurança de protocolo Internet".

    Para obter mais informações sobre IPsec, visite o seguinte site da Microsoft:
    http://technet.microsoft.com/en-US/Network/bb531150.aspx
  • Algoritmo de Assinatura Digital de curva elíptica (ECDSA)

    Curva elíptica (EC) é uma variação do algoritmo de assinatura digital que opera em grupos EC. A variante EC fornece chaves menores para o mesmo nível de segurança.

    Esse algoritmo é descrito na publicação FIPS 186-2. Para exibir esta publicação, visite o seguinte site:
    http://csrc.nist.gov/publications/FIPS/Archive/fips186-2/fips186-2.PDF
  • Autoridade de certificação (CA)

    Uma autoridade de certificação é uma entidade que emite certificados digitais. IPsec pode usar esses certificados como um método de autenticação.
  • Cabeçalho de autenticação (AH)

    Cabeçalho de autenticação é um protocolo IPsec fornece autenticação, integridade e anti-repetição funcionalidade para todo o pacote. Isso inclui o cabeçalho IP e a carga de dados.

    O AH não proporciona a confidencialidade. Isso significa que o AH não criptografa os dados. Os dados são legíveis, mas ele não é possível gravar.
  • Encapsulating Security Payload (ESP)

    O ESP é um protocolo IPsec que fornece confidencialidade, autenticação, integridade e anti-repetição funcionalidade. O ESP pode ser usado sozinho ou ele pode ser usado em conjunto com AH.

Algoritmos de modo principal

No Windows Vista SP1 e no Windows Server 2008, os seguintes algoritmos de integridade são suportados além desses algoritmos que já têm suporte na versão de lançamento do Windows Vista:
  • SHA-256
  • SHA-384
Observação O algoritmo de troca de chaves e o algoritmo de criptografia não são alterados.

Algoritmos de modo rápido

No Windows Vista SP1 e no Windows Server 2008, os seguintes algoritmos são suportados além desses algoritmos que já têm suporte na versão de lançamento do Windows Vista.

Integridade (AH ou ESP)

  • SHA-256
  • GMAC-AES-128
  • AES-GMAC-192
  • GMAC-AES-256

Integridade e criptografia (ESP)

  • AES-GCM-128
  • AES-GCM-192
  • AES-GCM-256
Para obter mais informações sobre AH e ESP combinações que são suportadas e não suportadas, consulte as "modo rápido algoritmo criptográfico combinações que são suportadas e não suportadas" seção.

Restrições de modo rápido

  • Deve ser usado o mesmo algoritmo de integridade AH e ESP.
  • Os algoritmos AES-GMAC estão disponíveis para um algoritmo de integridade com criptografia nula. Portanto, se algum desses algoritmos forem especificados para integridade ESP, o algoritmo de criptografia não pode ser especificado.
  • Se você usar um algoritmo AES-GCM, o mesmo algoritmo deve ser especificado para criptografia e integridade ESP.

Autenticação

No Windows Vista SP1 e no Windows Server 2008, os seguintes métodos de autenticação são suportados além desses métodos de autenticação que já têm suporte na versão de lançamento do Windows Vista.
  • Certificado de computador com assinatura ECDSA P256
  • Certificado de computador com assinatura ECDSA P384
Observação O método de autenticação padrão para o Windows Vista é a autenticação RSA SecurId.

Sintaxe e exemplos

Esta seção descreve a sintaxe para usar o comando Netsh advfirewall para adicionar e modificar as regras de segurança de conexão. Esta seção também fornece exemplos de comandos Netsh advfirewall .

Adicionar uma regra de segurança de conexão

Netsh advfirewall
Usage: add rule name=<string>
      endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
      endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
      action=requireinrequestout|requestinrequestout|
         requireinrequireout|noauthentication
      [description=<string>]
      [mode=transport|tunnel (default=transport)]
      [enable=yes|no (default=yes)]
      [profile=public|private|domain|any[,...] (default=any)]
      [type=dynamic|static (default=static)]
      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
      [port1=0-65535|any (default=any)]
      [port2=0-65535|any (default=any)]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
      [interfacetype=wiresless|lan|ras|any (default=any)]
      [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
         computerntlm|anonymous[,...]]
      [auth1psk=<string>]
      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1healthcert=yes|no (default=no)]
      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap256healthcert=yes|no (default=no)]
      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap384healthcert=yes|no (default=no)]
      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
      [auth2ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
      [qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
         none (default=none)]
      [qmsecmethods=
         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
         |default]
        
Remarks:

      - The rule name should be unique, and it cannot be "all."
      - When mode=tunnel, both tunnel endpoints must be specified and must be
        the same IP version. Also, the action must be requireinrequireout.
      - At least one authentication must be specified.
      - Auth1 and auth2 can be comma-separated lists of options.
      - The "computerpsk" and "computerntlm" methods cannot be specified together
        for auth1.
      - Computercert cannot be specified with user credentials for auth2.
     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
      - Qmsecmethods can be a list of proposals separated by a comma (,).
      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
        encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
      - If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.  
     -  sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista. 
      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The default value for certmapping and for excludecaname is "no."
      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Exemplo 1
Considere o seguinte exemplo de um comando Netsh advfirewall :
Netsh advfirewall consec Adicionar nome da regra = test1 endpoint1 = qualquer endpoint2 = qualquer ação = requestinrequestout descrição = "certificado de uso ECDSA256 e AESGMAC256" auth1 = computercert, computercertecdsap256 auth1ca = "C = US, O = MSFT, CN = \ 'Microsoft North, Sul, Leste e Oeste raiz Authority\'" auth1healthcert = não auth1ecdsap256ca = "C = US, O = MSFT, CN = \ 'Microsoft North, Sul, Leste e Oeste raiz Authority\'" auth1ecdsap256healthcert = Sim qmsecmethods = ah: aesgmac256 + esp:aesgmac256-nenhum
Este comando cria uma regra de segurança de conexão que possui os seguintes métodos de autenticação na autenticação definido:
  • O primeiro método de autenticação é um certificado que usa assinatura de certificado RSA.
  • O segundo método de autenticação é um certificado de integridade que usa ECDSA256 para a assinatura do certificado.
A regra de segurança de conexão protege o tráfego usando integridade AH e ESP com o novo algoritmo GMAC AES 256. A regra não inclui criptografia.
Exemplo 2
Considere o seguinte exemplo de um comando Netsh advfirewall :
Netsh advfirewall consec Adicionar nome da regra = test2 endpoint1 = qualquer endpoint2 = qualquer ação = requestinrequestout descrição = "Use SHA 256 para assegurar a integridade" e AES192 para criptografia auth1 = computercert auth1ca = "C = US, O = MSFT, CN = \ 'Microsoft North, Sul, Leste e Oeste raiz Authority\'" auth1healthcert = não há qmsecmethods = ah: sha256 + esp:sha256-aes192
Esse comando cria uma regra de segurança de conexão que tem um método de autenticação na autenticação definida. O método de autenticação é um certificado que usa assinatura de certificado RSA.

A regra de segurança de conexão protege o tráfego usando integridade AH e ESP com SHA256 para integridade e AES192 para criptografia.

Modificar uma regra de segurança de conexão existente

Netsh advfirewall
Usage: set rule
      group=<string> | name=<string>
      [type=dynamic|static]
      [profile=public|private|domain|any[,...] (default=any)]
      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [port1=0-65535|any]
      [port2=0-65535|any]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
      new
      [name=<string>]
      [profile=public|private|domain|any[,...]]
      [description=<string>]
      [mode=transport|tunnel]
      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [action=requireinrequestout|requestinrequestout|
         requireinrequireout|noauthentication]
      [enable=yes|no]
      [type=dynamic|static]
      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
      [port1=0-65535|any]
      [port2=0-65535|any]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
      [interfacetype=wiresless|lan|ras|any]
     [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
         computerntlm|anonymous[,...]]
      [auth1psk=<string>]
      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1healthcert=yes|no (default=no)]
      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap256healthcert=yes|no (default=no)]
      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap384healthcert=yes|no (default=no)]
      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
      [auth2ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
      [qmsecmethods=
         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
         default]


Remarks:

      - This sets a new parameter value on an identified rule. The command fails
        if the rule does not exist. To create a rule, use the "add" command.
      - Values after the new keyword are updated in the rule.  If there are
        no values, or if the "new" keyword is missing, no changes are made.
      - Only a group of rules can be enabled or disabled.
      - If multiple rules match the criteria, all matching rules are 
        updated.
      - The rule name should be unique, and it cannot be "all."
      - Auth1 and auth2 can be comma-separated lists of options.
      - The computerpsk and computerntlm methods cannot be specified together
        for auth1.
      - Computercert cannot be specified by using user credentials for auth2.
     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.  
      - Qmsecmethods can be a list of proposals that are separated by a comma (,).
      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
        encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
      - If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.  
     -  Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
      - If qmsemethods are set to "default," qmpfs will be set to "default" also.
      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The default value for "certmapping" and "excludecaname" is "no."
      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
A seguir está um exemplo de um comando que atualiza a regra que foi criada no "exemplo 1" na seção anterior:
Netsh advfirewall consec define nome da regra = teste novo qmsecmethods = ah: aesgmac256 + esp:aesgcm256-aesgcm256
Este comando atualiza a regra para usar 256 AES-GCM para criptografia e integridade ESP e usar GMAC AES 256 para assegurar a integridade AH.

Definir configurações globais de modo principal

É o seguinte texto de ajuda para o comando Netsh advfirewall conjunto global .
netsh advfirewall>set global

Usage: set global statefulftp|statefulpptp  enable|disable|notconfigured
      set global IPsec (parameter) (value)
      set global mainmode (parameter) (value) | notconfigured

IPsec Parameters:

      strongcrlcheck    - Configures how CRL checking is enforced.
                          0: Disable CRL checking
                          1: Fail if cert is revoked and the CRL exists in the client?s CRL cache (default behavior)and the CRL exists in the client?s CRL cache (default behavior)                          2: Fail on any error
                          notconfigured: Returns the value to its unconfigured state.
      saidletimemin     - Configures the security association idle time in
                          minutes.
                        - Usage: 5-60|notconfigured (default=5)
      defaultexemptions - Configures the default IPsec exemptions. The default is
                          to exempt IPv6 neighbordiscovery protocol from
                          IPsec.
                        - Usage: none|neighbordiscovery|notconfigured

Main Mode Parameters:

      mmkeylifetime     - Sets the main mode key lifetime in minutes, in sessions, or in both.
                        - Usage: <num>min,<num>sess
      mmsecmethods      - Configures the main mode list of proposals
                        - Usage:
                          keyexch:enc-integrity,enc-integrity[,...]|default
                        - keyexch=dhgroup1|dhgroup2|dhgroup14|
                          ecdhp256|ecdhp384
                        - enc=3des|des|aes128|aes192|aes256
                        - integrity=md5|sha1|sha256|sha384

Remarks:

      - This configures global settings, such as advanced IPsec options.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The mmsecmethods keyword default sets the policy to the following:
        dhgroup2-aes128-sha1,dhgroup2-3des-sha1
      - Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
Este é um exemplo de um comando que usa os novos algoritmos SHA no conjunto de criptografia de modo principal:
Netsh advfirewall conjunto global mainmode mmsecmethods dhgroup1:3des-sha256, sha384 3des

Comandos de verificação, configuração e solução de problemas

O comando "Netsh advfirewall consec show regra"

O comando Netsh advfirewall consec show rule todos os exibe a configuração de todas as regras de segurança de conexão.

A seguir está um exemplo de saída para este comando.
Rule Name:				test
Enabled:					Yes
Profiles:					Domain,Private,Public
Type:					Static
Mode:					Transport
Endpoint1:				Any
Endpoint2:				Any
Protocol:					Any
Action:					RequestInRequestOut
Auth1:					ComputerPSK
Auth1PSK:				         12345
MainModeSecMethods			         ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethods			AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb

O comando "Netsh advfirewall monitor show mmsa"

O comando Netsh advfirewall monitor show mmsa exibe a associação de segurança de modo principal.

A seguir está um exemplo de saída para este comando.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:				157.59.24.101
Remote IP Address:			         157.59.24.119
My ID:
Peer ID:
First Auth:				ComputerPSK
Second Auth:				None
MM Offer:				         ECDHAP384-3DES-SHA256
Cookie Pair:				203d57505:5d088705
Health Pair:				No
Ok.

O comando "Netsh advfirewall monitor show qmsa"

O comando Netsh advfirewall monitor show qmsa exibe a associação de segurança de modo rápido.

A seguir está um exemplo de saída para este comando.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:				157.59.24.101
Remote IP Address:			         157.59.24.119
Local Port:				Any
Remote Port:				Any
Protocol:					Any
Direction:				Both
QM Offer:				         AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb	
Ok.

O comando "Netsh advfirewall show global"

O comando Netsh advfirewall show global exibe configurações globais.

A seguir está um exemplo de saída para este comando.
Global Settings:
IPsec:					
StrongCRLCheck				0:Disabled
SAIdleTimeMin				5min
DefaultExemptions			         NeighborDiscovery
IPsecThroughNAT			         Server and client behind NAT

StatefulFTP				Enable
StatefulPPTP				Enable

Main Mode:
KeyLifetime				2min,0sess
SecMethods				DHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384

Interoperabilidade

Criação, imposição e gerenciamento da diretiva IPsec que usa algoritmos do conjunto B foi introduzida no Windows Vista SP1 e no Windows Server 2008. Você pode gerenciar uma diretiva de grupo que contém algoritmos do conjunto B somente usando ferramentas lançadas com o Windows Vista SP1 ou no Windows Server 2008.

Cenários de exemplo e os resultados esperados são os seguintes.

Cenário 1

Use os novos algoritmos de criptografia para aplicar uma diretiva que é criada em um computador que esteja executando o Windows Server 2008 ou Windows Vista SP1 em um computador que esteja executando a versão de lançamento do Windows Vista.
Resultado esperado
Se uma regra contém conjuntos de criptografia que usam os novos algoritmos de criptografia, esses pacotes de criptografia são descartados e outros conjuntos de criptografia no conjunto de criptografia são usados em vez disso.

Se nenhum dos pacotes de criptografia na regra são reconhecidas, a regra inteira será descartada. É registrado um evento que indica que a regra não pode ser processada. Portanto, se todos os conjuntos de criptografia no conjunto de criptografia de troca de chaves são descartados, nenhuma das regras de segurança de conexão na diretiva serão aplicadas. No entanto, todas as regras de firewall ainda são aplicadas.

O processo de conjunto de autenticação se parece com o processo de conjunto de criptografia. Se uma diretiva que contém os novos sinalizadores de certificado (ECDSA P256 ou ECDSA P384) são aplicados a um computador que esteja executando a versão de lançamento do Windows Vista, os métodos de autenticação são ignorados.

Se todos os métodos de autenticação no primeiro conjunto de autenticação são cancelados por esse motivo, a regra inteira não será processada. Se todos os métodos de autenticação no segundo conjunto de autenticação são descartados, a regra é processada usando apenas a primeira autenticação definida.

Cenário 2

Em um computador que esteja executando a versão de lançamento do Windows Vista, você pode usar os novos algoritmos de criptografia para exibir uma diretiva que foi criada em um computador que esteja executando o Windows Server 2008 ou Windows Vista SP1.
Resultado esperado
Novos algoritmos são exibidos como "desconhecido" no monitoramento e criação de partes do snap-in MMC de segurança avançada do Windows Firewall. O comando Netsh advfirewall também exibe os algoritmos como "desconhecido" no Windows Vista.

Restrições de interoperabilidade

Restrições de interoperabilidade são da seguinte maneira:
  • Não oferecemos suporte para gerenciamento remoto de políticas que usam algoritmos do conjunto B em computadores que estejam executando o Windows Vista SP1 ou Windows Server 2008 em um computador que esteja executando a versão de lançamento do Windows Vista.
  • Quando uma diretiva é criada em um computador que esteja executando o Windows Vista SP1 ou Windows Server 2008 é importada para um computador que esteja executando a versão de lançamento do Windows Vista, algumas partes da diretiva são descartados. Isso ocorre porque a versão de lançamento do Windows Vista não reconhece os novos algoritmos.

Combinações de algoritmo de criptografia de modo rápido que são suportadas e não suportadas

A tabela a seguir mostra as combinações de algoritmo de criptografia do modo rápido.
Recolher esta tabelaExpandir esta tabela
ProtocoloAH integridadeIntegridade ESPCriptografia
AHAES-128 DE GMACNenhumNenhum
AHAES-GMAC 192NenhumNenhum
AHAES-256 DE GMACNenhumNenhum
AHSHA256NenhumNenhum
AHSHA1NenhumNenhum
AHMD5NenhumNenhum
ESPNenhumAES-128 DE GMACNenhum
ESPNenhumAES-GMAC 192Nenhum
ESPNenhumAES-256 DE GMACNenhum
ESPNenhumSHA256Nenhum
ESPNenhumSHA1Nenhum
ESPNenhumMD5Nenhum
ESPNenhumSHA256Qualquer algoritmo de criptografia com suporte exceto algoritmos AES-GCM
ESPNenhumSHA1Qualquer algoritmo de criptografia com suporte exceto algoritmos AES-GCM
ESPNenhumMD5Qualquer algoritmo de criptografia com suporte exceto algoritmos AES-GCM
ESPNenhumAES-GCM 128AES-GCM 128
ESPNenhumAES-GCM 192AES-GCM 192
ESPNenhumAES-GCM 256AES-GCM 256
AH + ESPAES-128 DE GMACAES-128 DE GMACNenhum
AH + ESPAES-128 DE GMACAES-128 DE GMACNenhum
AH + ESPAES-128 DE GMACAES-128 DE GMACNenhum
AH + ESPSHA-256SHA-256Nenhum
AH + ESPSHA1SHA1Nenhum
AH + ESPMD5MD5Nenhum
AH + ESPSHA256SHA256Qualquer algoritmo de criptografia com suporte exceto algoritmos AES-GCM
AH + ESPSHA1SHA1Qualquer algoritmo de criptografia com suporte exceto algoritmos AES-GCM
AH + ESPMD5MD5Qualquer algoritmo de criptografia com suporte exceto algoritmos AES-GCM
AH + ESPAES-128 DE GMACAES-GCM 128AES-GCM 128
AH + ESPAES-GMAC 192AES-GCM 192AES-GCM 192
AH + ESPAES-256 DE GMACAES-GCM 256AES-GCM 256
ObservaçãoAES-GMAC é o mesmo que o AES-GCM com criptografia nula. Por exemplo, você pode especificar a integridade AH para usar GMAC AES 128, e você pode especificar integridade ESP para usar AES-GCM 128. Esta é a única exceção à regra de que os algoritmos de integridade AH e ESP devem ser idênticos.

Não há suporte para as combinações que são descritas na tabela a seguir.
Recolher esta tabelaExpandir esta tabela
ProtocoloAH integridadeIntegridade ESPCriptografia
ESPNenhumAES-128 DE GMACQualquer algoritmo de criptografia com suporte
ESPNenhumAES-GMAC 192Qualquer algoritmo de criptografia com suporte
ESPNenhumAES-256 DE GMACQualquer algoritmo de criptografia com suporte
ESPNenhumAES-GCM 1281. None
2. Qualquer algoritmo de criptografia, exceto GCM AES 128
ESPNenhumAES-GCM 1921. None
2. Qualquer algoritmo de criptografia, exceto GCM AES 192
ESPNenhumAES-GCM 2561. None
2. Qualquer algoritmo de criptografia, exceto GCM AES 256
AH + ESPAES-128 DE GMACAES-128 DE GMACQualquer algoritmo de criptografia com suporte
AH + ESPAES-GMAC 192AES-GMAC 192Qualquer algoritmo de criptografia com suporte
AH + ESPAES-256 DE GMACAES-256 DE GMACQualquer algoritmo de criptografia com suporte
Para obter mais informações sobre o Suite B, visite o seguinte site:
http://www.nsa.gov/ia/Programs/suiteb_cryptography/index.shtml
Para obter mais informações sobre regras de segurança de conexão e de IPsec, visite o seguinte site da Microsoft:
http://go.microsoft.com/fwlink/?LinkId=96525
Para obter mais informações sobre criptografia de última geração no Windows Server 2008, visite o seguinte site da Microsoft:
http://technet2.microsoft.com/windowsserver2008/en/Library/532ac164-da33-4369-bef0-8f019d5a18b81033.mspx?mfr=true
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento Microsoft:
949299 Descrição do grupo de segurança Operadores de criptografia que foi adicionado ao Windows Vista Service Pack 1 para configurar o Firewall do Windows para IPsec em comum modo de critérios

Propriedades

ID do artigo: 949856 - Última revisão: sábado, 21 de setembro de 2013 - Revisão: 5.0
A informação contida neste artigo aplica-se a:
  • Service Pack 1 para Windows Vista nas seguintes plataformas
    • Windows Vista Business
    • Windows Vista Business 64-bit edition
    • Windows Vista Enterprise
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate
    • Windows Vista Ultimate 64-bit edition
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Palavras-chave: 
kbexpertiseinter kbhowto kbinfo kbmt KB949856 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.
Clique aqui para ver a versão em Inglês deste artigo: 949856

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com