Limitações de suporte
Limitações de suporte para o conjunto B incluem o seguinte:
- A criação e a imposição da diretiva IPsec usando algoritmos do conjunto B é suportado apenas no Windows Vista Service Pack 1 (SP1), no Windows Server 2008, ou em versões posteriores do Windows.
- Há suporte para a criação de diretivas que contêm o conjunto B algoritmos por meio do snap-in de "Firewall do Windows com segurança avançada" Microsoft Management Console (MMC) para Windows 7 e para versões mais recentes do Windows.
- O comando Netsh advfirewall help não exibe opções de configuração para algoritmos do conjunto B. Isso se aplica somente ao Windows Vista SP1.
Definições
- conjunto B
Conjunto B é um conjunto de padrões que são especificados pelo National Security Agency (NSA). Conjunto B fornece o setor com um conjunto comum de algoritmos de criptografia que podem ser usados para criar produtos que atendem o intervalo maior de necessidades do governo dos EUA. Conjunto B inclui a especificação dos seguintes tipos de algoritmos: - Integridade
- Criptografia
- Troca de chaves
- Assinatura digital
- Federal Information Processing Standards (FIPS)
FIPS é um conjunto de diretrizes e padrões que controlam recursos de computação federais. Todos os algoritmos do conjunto B são aprovado pelo FIPS.
Para obter mais informações, visite o seguinte site: - NIST
Isso é um acrônimo para Instituto Nacional de normas e tecnologia. - algoritmos de integridade de dados
Algoritmos de integridade de dados use hashes de mensagem para garantir que informações não está sendo alteradas enquanto ele estiver em trânsito. - algoritmos de criptografia de dados
Algoritmos de criptografia de dados são usados para ocultar as informações que estão sendo transmitidas. Os algoritmos de criptografia são usados para converter texto sem formatação em um código secreto.
Por exemplo, os algoritmos de criptografia podem converter texto sem formatação em texto cifrado. O texto cifrado, em seguida, pode ser decodificado ao texto sem formatação original. Cada algoritmo usa uma "chave" para executar a conversão. O tipo de chave e o comprimento da chave dependem o algoritmo que está sendo usado. - IPsec
Isso é uma abreviação para o termo "Segurança do protocolo".
Para obter mais informações sobre o IPsec, visite o seguinte site: - Avançado de criptografia padrão Galois Message Authentication Code (AES-GMAC)
Esse algoritmo é descrito na publicação especial do NIST 800-38 D. Para exibir este documento, visite o seguinte site: - padrão de criptografia avançada no modo de contador/Galois (AES-GCM)
Esse algoritmo é descrito na publicação especial do NIST 800-38 D. Para exibir este documento, visite o seguinte site: - algoritmo de assinatura de digital de curva elíptica (ECDSA)
Curva elíptica (EC) é uma variante do algoritmo de assinatura digital que opera em grupos EC. A variante EC fornece chaves menores para o mesmo nível de segurança.
Esse algoritmo é descrito na publicação FIPS 186-2. Para exibir esta publicação, visite o seguinte site: - autoridade de certificação (CA)
Uma autoridade de certificação é uma entidade que emite certificados digitais. IPsec pode usar esses certificados como um método de autenticação. - cabeçalho de autenticação (AH)
O cabeçalho de autenticação é um protocolo IPsec fornece autenticação, integridade e anti-repetição funcionalidade para o pacote inteiro. Isso inclui o cabeçalho IP e a carga de dados.
AH não fornece confidencialidade. Isso significa que o AH não criptografa os dados. Os dados são legíveis, mas não é possível gravar. - carga de segurança de encapsulamento (ESP)
ESP é um protocolo IPsec fornece confidencialidade, autenticação, integridade e anti-repetição funcionalidade. ESP pode ser usado sozinho, ou pode ser usado em conjunto com AH.
Algoritmos de modo principal
No Windows Vista SP1 e no Windows Server 2008, os seguintes algoritmos de integridade são suportados juntamente com os algoritmos que já têm suporte na versão do Windows Vista:
Observação O algoritmo de troca de chaves e o algoritmo de criptografia não são alterados.
Algoritmos de modo rápido
No Windows Vista SP1 e no Windows Server 2008, os seguintes algoritmos são compatíveis com os algoritmos que já têm suporte na versão do Windows Vista.
Integridade (AH ou ESP)
- SHA-256
- AES-GMAC-128
- AES-GMAC-192
- AES-GMAC-256
Integridade e criptografia (ESP somente)
- O GCM-AES-128
- O GCM-AES-192
- O GCM-AES-256
Para obter mais informações sobre AH e ESP combinações que são suportados e não tem suporte, consulte as "modo rápido algoritmo criptográfico combinações que são suportadas e não suportadas" seção.
Restrições de modo rápido
- O mesmo algoritmo de integridade deve ser usado para AH e ESP.
- Os algoritmos de AES-GMAC estão disponíveis para um algoritmo de integridade com criptografia nula. Portanto, se algum desses algoritmos for especificado para integridade ESP, o algoritmo de criptografia não pode ser especificado.
- Se você usar um algoritmo AES GCM, deve ser especificado o mesmo algoritmo para criptografia e integridade ESP.
Autenticação
No Windows Vista SP1 e no Windows Server 2008, os seguintes métodos de autenticação são suportados juntamente com os métodos de autenticação que já têm suporte na versão do Windows Vista.
- Certificado de computador com assinatura ECDSA P256
- Certificado de computador com assinatura ECDSA P384
Observação O método de autenticação padrão para o Windows Vista é autenticação RSA SecurId.
Sintaxe e exemplos
Esta seção descreve a sintaxe para usar o comando
Netsh advfirewall para adicionar e modificar regras de segurança de conexão. Esta seção também fornece exemplos de comandos
Netsh advfirewall .
Adicionar uma regra de segurança de conexão
Netsh advfirewall
Usage: add rule name=<string>
endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
action=requireinrequestout|requestinrequestout|
requireinrequireout|noauthentication
[description=<string>]
[mode=transport|tunnel (default=transport)]
[enable=yes|no (default=yes)]
[profile=public|private|domain|any[,...] (default=any)]
[type=dynamic|static (default=static)]
[localtunnelendpoint=<IPv4 address>|<IPv6 address>]
[remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
[port1=0-65535|any (default=any)]
[port2=0-65535|any (default=any)]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
[interfacetype=wiresless|lan|ras|any (default=any)]
[auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
computerntlm|anonymous[,...]]
[auth1psk=<string>]
[auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1healthcert=yes|no (default=no)]
[auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap256healthcert=yes|no (default=no)]
[auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap384healthcert=yes|no (default=no)]
[auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
[auth2ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
[qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
none (default=none)]
[qmsecmethods=
ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
|default]
Remarks:
- The rule name should be unique, and it cannot be "all."
- When mode=tunnel, both tunnel endpoints must be specified and must be
the same IP version. Also, the action must be requireinrequireout.
- At least one authentication must be specified.
- Auth1 and auth2 can be comma-separated lists of options.
- The "computerpsk" and "computerntlm" methods cannot be specified together
for auth1.
- Computercert cannot be specified with user credentials for auth2.
- Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmsecmethods can be a list of proposals separated by a comma (,).
- For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
- If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.
- sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmpfs=mainmode uses the main mode key exchange setting for PFS.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The default value for certmapping and for excludecaname is "no."
- The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').Exemplo 1
Considere o seguinte exemplo de um comando
Netsh advfirewall :
Netsh advfirewall consec Adicionar nome da regra test1 endpoint1 = qualquer endpoint2 = = qualquer ação = requestinrequestout descrição = ? ECDSA256 usar certificados e AESGMAC256 ? auth1 = computercert, computercertecdsap256 auth1ca = ? C = US, O = MSFT, CN = \ 'Microsoft Norte, Sul, Leste e Oeste raiz Authority\ ? ? auth1healthcert = não auth1ecdsap256ca = ? C = US, O = MSFT, CN = \ 'Microsoft Norte, Sul, Leste e Oeste raiz Authority\ ? ? auth1ecdsap256healthcert = Sim qmsecmethods = ah: aesgmac256 + esp:aesgmac256-nenhum
Este comando cria uma regra de segurança de conexão que tenha os seguintes métodos de autenticação na autenticação definida:
- O primeiro método de autenticação é um certificado que usa a assinatura de certificado RSA.
- O segundo método de autenticação é um certificado de integridade que usa ECDSA256 para assinatura de certificado.
A regra de segurança de conexão protege o tráfego usando integridade AH e ESP com o novo algoritmo GMAC AES 256. A regra não inclui criptografia.
Exemplo 2
Considere o seguinte exemplo de um comando
Netsh advfirewall :
Netsh advfirewall consec Adicionar nome da regra test2 endpoint1 = = qualquer endpoint2 = qualquer ação = requestinrequestout descrição = auth1 ? usar 256 de SHA para integridade ? e AES192 para criptografia = computercert auth1ca = ? C = US, O = MSFT, CN = \ 'Microsoft Norte, Sul, Leste e Oeste raiz Authority\ ? ? auth1healthcert = não qmsecmethods = ah: sha256 + esp:sha256-aes192
Esse comando cria uma regra de segurança de conexão que tem um método de autenticação na autenticação definida. O método de autenticação é um certificado que usa a assinatura de certificado RSA.
A regra de segurança de conexão protege o tráfego usando integridade AH e ESP com SHA256 para integridade e com AES192 para criptografia.
Modificar uma regra de segurança de conexão existente
Netsh advfirewall
Usage: set rule
group=<string> | name=<string>
[type=dynamic|static]
[profile=public|private|domain|any[,...] (default=any)]
[endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[port1=0-65535|any]
[port2=0-65535|any]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
new
[name=<string>]
[profile=public|private|domain|any[,...]]
[description=<string>]
[mode=transport|tunnel]
[endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[action=requireinrequestout|requestinrequestout|
requireinrequireout|noauthentication]
[enable=yes|no]
[type=dynamic|static]
[localtunnelendpoint=<IPv4 address>|<IPv6 address>]
[remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
[port1=0-65535|any]
[port2=0-65535|any]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
[interfacetype=wiresless|lan|ras|any]
[auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
computerntlm|anonymous[,...]]
[auth1psk=<string>]
[auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1healthcert=yes|no (default=no)]
[auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap256healthcert=yes|no (default=no)]
[auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap384healthcert=yes|no (default=no)]
[auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
[auth2ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
[qmsecmethods=
ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
default]
Remarks:
- This sets a new parameter value on an identified rule. The command fails
if the rule does not exist. To create a rule, use the "add" command.
- Values after the new keyword are updated in the rule. If there are
no values, or if the "new" keyword is missing, no changes are made.
- Only a group of rules can be enabled or disabled.
- If multiple rules match the criteria, all matching rules are
updated.
- The rule name should be unique, and it cannot be "all."
- Auth1 and auth2 can be comma-separated lists of options.
- The computerpsk and computerntlm methods cannot be specified together
for auth1.
- Computercert cannot be specified by using user credentials for auth2.
- Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmsecmethods can be a list of proposals that are separated by a comma (,).
- For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
- If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.
- Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- If qmsemethods are set to "default," qmpfs will be set to "default" also.
- Qmpfs=mainmode uses the main mode key exchange setting for PFS.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The default value for "certmapping" and "excludecaname" is "no."
- The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Este é um exemplo de um comando que atualiza a regra que foi criada no "Exemplo 1" na seção anterior:
Netsh advfirewall consec define nome de regra = teste novo qmsecmethods = ah: aesgmac256 + esp:aesgcm256-aesgcm256
Este comando atualiza a regra para usar 256 GCM AES para criptografia e integridade ESP e usar GMAC AES 256 para integridade AH.
Definir configurações globais de modo principal
O texto de ajuda a seguir é para o comando
Netsh advfirewall set global .
netsh advfirewall>set global
Usage: set global statefulftp|statefulpptp enable|disable|notconfigured
set global IPsec (parameter) (value)
set global mainmode (parameter) (value) | notconfigured
IPsec Parameters:
strongcrlcheck - Configures how CRL checking is enforced.
0: Disable CRL checking
1: Fail if cert is revoked (default)
2: Fail on any error
notconfigured: Returns the value to its unconfigured state.
saidletimemin - Configures the security association idle time in
minutes.
- Usage: 5-60|notconfigured (default=5)
defaultexemptions - Configures the default IPsec exemptions. The default is
to exempt IPv6 neighbordiscovery protocol from
IPsec.
- Usage: none|neighbordiscovery|notconfigured
Main Mode Parameters:
mmkeylifetime - Sets the main mode key lifetime in minutes, in sessions, or in both.
- Usage: <num>min,<num>sess
mmsecmethods - Configures the main mode list of proposals
- Usage:
keyexch:enc-integrity,enc-integrity[,...]|default
- keyexch=dhgroup1|dhgroup2|dhgroup14|
ecdhp256|ecdhp384
- enc=3des|des|aes128|aes192|aes256
- integrity=md5|sha1|sha256|sha384
Remarks:
- This configures global settings, such as advanced IPsec options.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The mmsecmethods keyword default sets the policy to the following:
dhgroup2-aes128-sha1,dhgroup2-3des-sha1
- Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista. a seguir está um exemplo de um comando que usa os novos algoritmos SHA no conjunto de criptografia de modo principal:
Netsh advfirewall definir global mainmode mmsecmethods dhgroup1:3des-sha256, 3des-sha384
Comandos de solução de problemas, configuração e verificação
O comando "netsh advfirewall consec show rule todos"
O comando
Netsh advfirewall consec show rule all Exibe configuração para todas as regras de segurança de conexão.
A seguir está um exemplo de saída desse comando.
Rule Name: test
Enabled: Yes
Profiles: Domain,Private,Public
Type: Static
Mode: Transport
Endpoint1: Any
Endpoint2: Any
Protocol: Any
Action: RequestInRequestOut
Auth1: ComputerPSK
Auth1PSK: 12345
MainModeSecMethods ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethods AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb
O comando "Netsh advfirewall monitor show mmsa"
O comando
Netsh advfirewall monitor show mmsa exibe a associação de segurança de modo principal.
A seguir está um exemplo de saída desse comando.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address: 157.59.24.101
Remote IP Address: 157.59.24.119
My ID:
Peer ID:
First Auth: ComputerPSK
Second Auth: None
MM Offer: ECDHAP384-3DES-SHA256
Cookie Pair: 203d57505:5d088705
Health Pair: No
Ok.
O comando "Netsh advfirewall monitor show qmsa"
O comando
Netsh advfirewall monitor show qmsa exibe a associação de segurança de modo rápido.
A seguir está um exemplo de saída para este comando.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address: 157.59.24.101
Remote IP Address: 157.59.24.119
Local Port: Any
Remote Port: Any
Protocol: Any
Direction: Both
QM Offer: AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb
Ok.
O comando "Netsh advfirewall show global"
O comando
Netsh advfirewall show global exibe configurações globais.
A seguir está um exemplo de saída desse comando.
Global Settings:
IPsec:
StrongCRLCheck 0:Disabled
SAIdleTimeMin 5min
DefaultExemptions NeighborDiscovery
IPsecThroughNAT Server and client behind NAT
StatefulFTP Enable
StatefulPPTP Enable
Main Mode:
KeyLifetime 2min,0sess
SecMethods DHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384
Interoperabilidade
Criação, imposição e gerenciamento da diretiva IPsec que usa algoritmos do conjunto B foi introduzido no Windows Vista SP1 e no Windows Server 2008. Você pode gerenciar uma diretiva de grupo que contém algoritmos do conjunto B somente usando ferramentas que foram lançadas com o Windows Vista SP1 ou com o Windows Server 2008.
Cenários de exemplo e os resultados esperados são os seguintes.
Cenário 1
Você usa os novos algoritmos de criptografia para aplicar uma diretiva que é criada em um computador que está executando o Windows Server 2008 ou Windows Vista SP1 em um computador que está executando a versão do Windows Vista.
Resultado esperado
Se uma regra contém conjuntos de criptografia que usam os novos algoritmos de criptografia, esses conjuntos de criptografia são ignorados e outros conjuntos de criptografia no conjunto de criptografia são usados em vez disso.
Se nenhuma criptografia conjuntos na regra de são reconhecidas, a regra inteira será ignorada. É registrado um evento que indica que a regra não pode ser processada. Portanto, se todos os conjuntos de criptografia no conjunto de criptografia de troca de chaves são descartados, nenhuma das regras de segurança de conexão na diretiva serão aplicadas. No entanto, todas as regras de firewall ainda são aplicadas.
O processo de conjunto de autenticação é semelhante ao processo conjunto de criptografia. Se uma diretiva que contém os sinalizadores de certificado novo (ECDSA P256 ou ECDSA P384) são aplicados a um computador que está executando a versão do Windows Vista, os métodos de autenticação são ignorados.
Se todos os métodos de autenticação no primeiro conjunto de autenticação são ignorados por esse motivo, a regra inteira não será processada. Se todos os métodos de autenticação no segundo conjunto de autenticação são ignorados, a regra será processada usando somente a primeira autenticação definida.
Cenário 2
Em um computador que está executando a versão do Windows Vista, você pode usar os novos algoritmos criptográficos para exibir uma diretiva que foi criada em um computador que esteja executando o Windows Server 2008 ou Windows Vista SP1.
Resultado esperado
Os novos algoritmos são exibidos como ? desconhecido ? no monitoramento e criação de partes do snap-in do MMC de segurança avançada do Windows Firewall. O comando
Netsh advfirewall também exibe os algoritmos como ? desconhecido ? no Windows Vista.
Restrições de interoperabilidade
Restrições sobre interoperabilidade são:
- Não há suporte para gerenciamento remoto de diretivas que usam algoritmos do conjunto B em computadores que estão executando o Windows Vista SP1 ou Windows Server 2008 de um computador que está executando a versão do Windows Vista.
- Quando uma diretiva que é criada em um computador que esteja executando o Windows Vista SP1 ou Windows Server 2008 é importada para um computador que está executando a versão do Windows Vista, algumas partes da diretiva são ignorados. Isso ocorre porque a versão do Windows Vista não reconhece os novos algoritmos.
Combinações de modo rápido algoritmo criptográfico que são suportadas e não tem suporte
A tabela a seguir mostra combinações de algoritmo de criptografia com suporte do modo rápido.
Recolher esta tabelaExpandir esta tabela
| Protocolo | AH integridade | Integridade ESP | Criptografia |
|---|
| AH | AES-GMAC 128 | Nenhum | Nenhum |
| AH | AES-GMAC 192 | Nenhum | Nenhum |
| AH | AES-GMAC 256 | Nenhum | Nenhum |
| AH | SHA256 | Nenhum | Nenhum |
| AH | SHA1 | Nenhum | Nenhum |
| AH | MD5 | Nenhum | Nenhum |
| ESP | Nenhum | AES-GMAC 128 | Nenhum |
| ESP | Nenhum | AES-GMAC 192 | Nenhum |
| ESP | Nenhum | AES-GMAC 256 | Nenhum |
| ESP | Nenhum | SHA256 | Nenhum |
| ESP | Nenhum | SHA1 | Nenhum |
| ESP | Nenhum | MD5 | Nenhum |
| ESP | Nenhum | SHA256 | Qualquer algoritmo de criptografia com suporte, exceto GCM AES de algoritmos |
| ESP | Nenhum | SHA1 | Qualquer algoritmo de criptografia com suporte, exceto GCM AES de algoritmos |
| ESP | Nenhum | MD5 | Qualquer algoritmo de criptografia com suporte, exceto GCM AES de algoritmos |
| ESP | Nenhum | AES GCM 128 | AES GCM 128 |
| ESP | Nenhum | AES GCM 192 | AES GCM 192 |
| ESP | Nenhum | AES GCM 256 | AES GCM 256 |
| AH ESP + | AES-GMAC 128 | AES-GMAC 128 | Nenhum |
| AH ESP + | AES-GMAC 128 | AES-GMAC 128 | Nenhum |
| AH ESP + | AES-GMAC 128 | AES-GMAC 128 | Nenhum |
| AH ESP + | SHA-256 | SHA-256 | Nenhum |
| AH ESP + | SHA1 | SHA1 | Nenhum |
| AH ESP + | MD5 | MD5 | Nenhum |
| AH ESP + | SHA256 | SHA256 | Qualquer algoritmo de criptografia com suporte, exceto GCM AES de algoritmos |
| AH ESP + | SHA1 | SHA1 | Qualquer algoritmo de criptografia com suporte, exceto GCM AES de algoritmos |
| AH ESP + | MD5 | MD5 | Qualquer algoritmo de criptografia com suporte, exceto GCM AES de algoritmos |
| AH ESP + | AES-GMAC 128 | AES GCM 128 | AES GCM 128 |
| AH ESP + | AES-GMAC 192 | AES GCM 192 | AES GCM 192 |
| AH ESP + | AES-GMAC 256 | AES GCM 256 | AES GCM 256 |
AES-GMAC é o mesmo como AES-GCM com criptografia nula. Por exemplo, você pode especificar a integridade AH usar GMAC AES 128, e você pode especificar integridade ESP para usar GCM AES 128. Isso é a única exceção a regra que algoritmos de integridade AH e ESP devem ser idênticos.
Não há suporte para as combinações de descritos na tabela a seguir.
Recolher esta tabelaExpandir esta tabela
| Protocolo | AH integridade | Integridade ESP | Criptografia |
|---|
| ESP | Nenhum | AES-GMAC 128 | Qualquer algoritmo de criptografia com suporte |
| ESP | Nenhum | AES-GMAC 192 | Qualquer algoritmo de criptografia com suporte |
| ESP | Nenhum | AES-GMAC 256 | Qualquer algoritmo de criptografia com suporte |
| ESP | Nenhum | AES GCM 128 | 1. Nenhum
2. Qualquer algoritmo de criptografia, exceto GCM AES 128 |
| ESP | Nenhum | AES GCM 192 | 1. Nenhum
2. Qualquer algoritmo de criptografia, exceto GCM AES 192 |
| ESP | Nenhum | AES GCM 256 | 1. Nenhum
2. Qualquer algoritmo de criptografia, exceto GCM AES 256 |
| AH ESP + | AES-GMAC 128 | AES-GMAC 128 | Qualquer algoritmo de criptografia com suporte |
| AH ESP + | AES-GMAC 192 | AES-GMAC 192 | Qualquer algoritmo de criptografia com suporte |
| AH ESP + | AES-GMAC 256 | AES-GMAC 256 | Qualquer algoritmo de criptografia com suporte |
Para obter mais informações sobre conjunto B, visite o seguinte site:
Para obter mais informações sobre regras de segurança IPsec e a conexão, visite o seguinte site:
Para obter mais informações sobre Cryptography Next Generation no Windows Server 2008, visite o seguinte site:
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
949299
(http://support.microsoft.com/kb/949299/
)
Descrição do grupo de segurança Operadores de criptografia que foi adicionado ao Windows Vista Service Pack 1 para configurar o Windows Firewall para IPsec comuns em modo de critérios
Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email
Tradução automática
Voltar para o início
