Поддержка ограничения
Поддержку ограничений для набора B относятся следующие:
- Создание и принудительного применения IPSec политики с помощью алгоритмы набора B поддерживается только в Windows Vista с пакетом обновления 1 (SP1), в Windows Server 2008 или более поздних версиях Windows.
- Разработка политики, которые содержат алгоритмы набора B поддерживается через «брандмауэр Windows с улучшенной безопасностью» консоли управления (MMC) snap-in для Windows 7 и более поздних версиях Windows.
- Netsh advfirewall справкикоманда не отображает параметры конфигурации для алгоритмы набора B. Это относится только к Windows Vista с пакетом обновления 1.
Определения
- Пакет B
Пакет B — это набор стандартов, указанных в национальной поддержки безопасности (NSA). Пакет B содержит отрасли с общим набором криптографических алгоритмов, которые могут использоваться для создания продукты, удовлетворяющие широкий спектр требования правительства США. Пакет B содержит спецификацию следующие типы алгоритмов:- Целостность
- Шифрование
- Обмен ключами
- Цифровые подписи
- Обработка стандартов (FIPS) федеральной информации
FIPS — это набор правил и стандартов, которые управляют федеральным вычислительных ресурсов. Все алгоритмы набора B являются утвержденные FIPS.
Для получения дополнительных сведений посетите следующий веб-узла: - NIST
Это аббревиатура Национальным институтом стандартов и технологий. - Алгоритмы целостности данных
Алгоритмы целостности данных с помощью хеш-коды сообщений, убедитесь, что данные не изменяется во время его передачи. - Алгоритмы шифрования данных
Чтобы скрыть информацию, которая передается используются алгоритмы шифрования данных . Для преобразования текстовых секретный код используются алгоритмы шифрования.
Алгоритмы , шифрование можно преобразовать обычный текст зашифрованного текста. Затем можно расшифровать зашифрованный текст к исходным открытым текстом. Каждый алгоритм использует "ключ" для выполнения преобразования. Тип ключа и длину ключа зависит от алгоритма, который уже используется. - IPsec
Это сокращение для термина "протокола безопасности".
Для получения дополнительных сведений об IPsec, посетите следующий веб-узел корпорации Майкрософт: - Расширенный стандарт Galois шифрования сообщений проверки подлинности кода (AES-GMAC)
Этот алгоритм является в публикации специальные NIST 800-38 D. Для этого посетите следующий веб-узла: - Расширенный стандарт шифрования в режиме Galois и счетчика (AES-GCM)
Этот алгоритм является в публикации специальные NIST 800-38 D. Для этого посетите следующий веб-узла: - Алгоритма Эллиптическая кривая цифровой к подписи (ECDSA)
Elliptic кривой (EC) — это разновидность алгоритма цифровой подписи, который работает на базе групп. Вариант EC предоставляет меньшего размера ключа для одного и того же уровня безопасности.
Этот алгоритм является описано в FIPS публикации 186-2. Чтобы просмотреть эту публикацию, посетите следующий веб-узла: - Центр сертификации (ЦС)
Центр сертификации A — это сущность, которая выдает цифровые сертификаты. IPsec может использовать эти сертификаты в качестве метода проверки подлинности. - Заголовок проверки подлинности (AH)
— Заголовок проверки подлинности является протоколом IPsec, обеспечивающий проверку подлинности, целостности и функциональности повторов для всего пакета. Это включает в себя заголовка IP и полезных данных.
AH не обеспечивает конфиденциальность. Это означает, что AH не шифрует данные. Данные для чтения, но не удается записать. - Инкапсуляция Security Payload (ESP)
ESP используется IPsec протокол, обеспечивающий конфиденциальность, проверку подлинности, целостность и функциональные возможности повторов. ESP может использоваться отдельно или он может использоваться вместе с AH.
Алгоритмы основного режима
В пакете обновления 1 для Windows Vista и Windows Server 2008, в дополнение к этим алгоритмы, которые уже поддерживаются в версии Windows Vista поддерживаются следующие алгоритмы проверки целостности:
ПримечаниеАлгоритма обмена ключами и алгоритм шифрования, не изменяются.
Алгоритмы быстрый режим
В Windows Vista SP1 и Windows Server 2008 следующие алгоритмы поддерживаются в дополнение к этим алгоритмы, которые уже поддерживаются в версии для Windows Vista.
Целостность (AH или ESP)
- SHA-256
- AES-GMAC 128
- AES GMAC от 192
- AES-GMAC 256
Целостность и шифрованием (ESP)
- AES-GCM 128
- AES-GCM-192
- AES-GCM 256
Дополнительные сведения о комбинациях AH и ESP, а не поддерживаются, содержатся в разделе «быстрый режим криптографического алгоритма комбинации, а не поддерживаются» раздел.
Ограничения для быстрого режима
- Следует использовать тот же самый алгоритм проверки целостности AH и ESP.
- Алгоритмы the AES-GMAC доступны алгоритмом проверки целостности, имеющий нулевое шифрование. Таким образом, если все эти алгоритмы проверки целостности ESP, алгоритм шифрования не может указываться.
- Если использовать алгоритм AES GCM тот же самый алгоритм должен быть указан для ESP целостность и шифрование.
Проверка подлинности
В Windows Vista SP1 и Windows Server 2008 поддерживает следующие методы проверки подлинности Помимо этих методов проверки подлинности, которые уже поддерживаются в версии для Windows Vista.
- Сертификат компьютера с P256 ECDSA подписи
- Сертификат компьютера с P384 ECDSA подписи
ПримечаниеМетод проверки подлинности по умолчанию для Windows Vista является RSA SecurId проверки подлинности.
Синтаксис и примеры
В этом разделе описывается синтаксис для использования
Netsh advfirewallкоманда для добавления и изменения правил безопасности подключения. В этом разделе также приводятся примеры
Netsh advfirewallкоманды .
Добавить правила безопасности подключения
Netsh advfirewall
Usage: add rule name=<string>
endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
action=requireinrequestout|requestinrequestout|
requireinrequireout|noauthentication
[description=<string>]
[mode=transport|tunnel (default=transport)]
[enable=yes|no (default=yes)]
[profile=public|private|domain|any[,...] (default=any)]
[type=dynamic|static (default=static)]
[localtunnelendpoint=<IPv4 address>|<IPv6 address>]
[remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
[port1=0-65535|any (default=any)]
[port2=0-65535|any (default=any)]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
[interfacetype=wiresless|lan|ras|any (default=any)]
[auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
computerntlm|anonymous[,...]]
[auth1psk=<string>]
[auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1healthcert=yes|no (default=no)]
[auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap256healthcert=yes|no (default=no)]
[auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap384healthcert=yes|no (default=no)]
[auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
[auth2ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
[qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
none (default=none)]
[qmsecmethods=
ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
|default]
Remarks:
- The rule name should be unique, and it cannot be "all."
- When mode=tunnel, both tunnel endpoints must be specified and must be
the same IP version. Also, the action must be requireinrequireout.
- At least one authentication must be specified.
- Auth1 and auth2 can be comma-separated lists of options.
- The "computerpsk" and "computerntlm" methods cannot be specified together
for auth1.
- Computercert cannot be specified with user credentials for auth2.
- Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmsecmethods can be a list of proposals separated by a comma (,).
- For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
- If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.
- sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmpfs=mainmode uses the main mode key exchange setting for PFS.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The default value for certmapping and for excludecaname is "no."
- The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').Пример 1.
Рассмотрим следующий пример
Netsh advfirewallкоманды:
Netsh advfirewall consec добавления к имени правила = test1 endpoint1 = любой endpoint2 = любое действие = описание requestinrequestout = ” ECDSA256 использование сертификатов и AESGMAC256 ” auth1 = computercert computercertecdsap256 auth1ca = ” C = US, O MSFT, CN = = \ Microsoft Север, Юг, Восток и Запад корневой Authority\ ’ ” auth1healthcert = нет auth1ecdsap256ca = ” C = US, O MSFT, CN = = \ Microsoft Север, Юг, Восток и Запад корневой Authority\ ’ ” auth1ecdsap256healthcert = Да qmsecmethods = ah: aesgmac256 + esp:aesgmac256-ни один
Эта команда создает правило безопасности подключения, который имеет следующие методы проверки подлинности в параметры проверки подлинности:
- Первый метод проверки подлинности используется сертификат, который использует RSA подпись сертификата.
- Метод второй проверки подлинности используется сертификат работоспособности, ECDSA256 для сертификата подписи.
Правило безопасности подключения защищает трафик с помощью проверки целостности AH и ESP с новым алгоритмом GMAC AES 256. Оно не включает шифрование.
Пример 2
Рассмотрим следующий пример
Netsh advfirewallкоманды:
Netsh advfirewall consec добавить правило с именем = test2 endpoint1 = любой endpoint2 = любое действие = описание requestinrequestout = auth1 ” 256 SHA используется для проверки целостности ” и AES192 для шифрования = computercert auth1ca = ” C = US, O MSFT, CN = = \ Microsoft Север, Юг, Восток и Запад корневой Authority\ ’ ” auth1healthcert = нет qmsecmethods = ah: sha256 + esp:sha256-aes192
Эта команда создает правило безопасности подключения, который имеет один метод проверки подлинности в проверки подлинности установите. Метод проверки подлинности используется сертификат, который использует RSA подпись сертификата.
Правила безопасности подключения защищает трафик с помощью проверки целостности AH и ESP с SHA256 для проверки целостности и AES192 для шифрования.
Изменение существующего правила безопасности подключения
Netsh advfirewall
Usage: set rule
group=<string> | name=<string>
[type=dynamic|static]
[profile=public|private|domain|any[,...] (default=any)]
[endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[port1=0-65535|any]
[port2=0-65535|any]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
new
[name=<string>]
[profile=public|private|domain|any[,...]]
[description=<string>]
[mode=transport|tunnel]
[endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[action=requireinrequestout|requestinrequestout|
requireinrequireout|noauthentication]
[enable=yes|no]
[type=dynamic|static]
[localtunnelendpoint=<IPv4 address>|<IPv6 address>]
[remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
[port1=0-65535|any]
[port2=0-65535|any]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
[interfacetype=wiresless|lan|ras|any]
[auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
computerntlm|anonymous[,...]]
[auth1psk=<string>]
[auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1healthcert=yes|no (default=no)]
[auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap256healthcert=yes|no (default=no)]
[auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap384healthcert=yes|no (default=no)]
[auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
[auth2ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
[qmsecmethods=
ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
default]
Remarks:
- This sets a new parameter value on an identified rule. The command fails
if the rule does not exist. To create a rule, use the "add" command.
- Values after the new keyword are updated in the rule. If there are
no values, or if the "new" keyword is missing, no changes are made.
- Only a group of rules can be enabled or disabled.
- If multiple rules match the criteria, all matching rules are
updated.
- The rule name should be unique, and it cannot be "all."
- Auth1 and auth2 can be comma-separated lists of options.
- The computerpsk and computerntlm methods cannot be specified together
for auth1.
- Computercert cannot be specified by using user credentials for auth2.
- Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmsecmethods can be a list of proposals that are separated by a comma (,).
- For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
- If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.
- Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- If qmsemethods are set to "default," qmpfs will be set to "default" also.
- Qmpfs=mainmode uses the main mode key exchange setting for PFS.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The default value for "certmapping" and "excludecaname" is "no."
- The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Ниже приведен пример команды, которая обновляет правило, которое было создано в "Пример 1" в предыдущем разделе:
Netsh advfirewall consec задайте имя правила = тестирования новых qmsecmethods = ah: aesgmac256 + esp:aesgcm256-aesgcm256
Эта команда обновляет правила использования GCM AES 256 для проверки целостности ESP с шифрованием и GMAC AES 256 для проверки целостности AH.
Установка глобальных параметров для основного режима
Является следующий текст справки для
Netsh advfirewall задать глобальныекоманды.
netsh advfirewall>set global
Usage: set global statefulftp|statefulpptp enable|disable|notconfigured
set global IPsec (parameter) (value)
set global mainmode (parameter) (value) | notconfigured
IPsec Parameters:
strongcrlcheck - Configures how CRL checking is enforced.
0: Disable CRL checking
1: Fail if cert is revoked (default)
2: Fail on any error
notconfigured: Returns the value to its unconfigured state.
saidletimemin - Configures the security association idle time in
minutes.
- Usage: 5-60|notconfigured (default=5)
defaultexemptions - Configures the default IPsec exemptions. The default is
to exempt IPv6 neighbordiscovery protocol from
IPsec.
- Usage: none|neighbordiscovery|notconfigured
Main Mode Parameters:
mmkeylifetime - Sets the main mode key lifetime in minutes, in sessions, or in both.
- Usage: <num>min,<num>sess
mmsecmethods - Configures the main mode list of proposals
- Usage:
keyexch:enc-integrity,enc-integrity[,...]|default
- keyexch=dhgroup1|dhgroup2|dhgroup14|
ecdhp256|ecdhp384
- enc=3des|des|aes128|aes192|aes256
- integrity=md5|sha1|sha256|sha384
Remarks:
- This configures global settings, such as advanced IPsec options.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The mmsecmethods keyword default sets the policy to the following:
dhgroup2-aes128-sha1,dhgroup2-3des-sha1
- Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.Ниже приведен пример команды, которая используется в основной режим шифрования набора новых алгоритмов SHA:
Netsh advfirewall установить dhgroup1:3des mmsecmethods глобальной mainmode-sha256, 3des sha384
Устранение неполадок, настройки и проверки команд
Команды «Netsh advfirewall consec Показать все правила»
Netsh advfirewall consec Показать все правилакоманда выводит конфигурацию для всех правил подключения для системы безопасности.
Ниже приведен пример выходных данных команды.
Rule Name: test
Enabled: Yes
Profiles: Domain,Private,Public
Type: Static
Mode: Transport
Endpoint1: Any
Endpoint2: Any
Protocol: Any
Action: RequestInRequestOut
Auth1: ComputerPSK
Auth1PSK: 12345
MainModeSecMethods ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethods AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb
Команды «Netsh advfirewall монитора Показать mmsa»
Монитор netsh advfirewall Показать mmsaкоманда отображает сопоставления безопасности основного режима.
Ниже приведен пример выходных данных команды.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address: 157.59.24.101
Remote IP Address: 157.59.24.119
My ID:
Peer ID:
First Auth: ComputerPSK
Second Auth: None
MM Offer: ECDHAP384-3DES-SHA256
Cookie Pair: 203d57505:5d088705
Health Pair: No
Ok.
Команды «Netsh advfirewall монитора Показать qmsa»
Монитор netsh advfirewall Показать qmsaкоманда отображает сопоставление безопасности быстрого режима.
Ниже приведен пример выходных данных команды.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address: 157.59.24.101
Remote IP Address: 157.59.24.119
Local Port: Any
Remote Port: Any
Protocol: Any
Direction: Both
QM Offer: AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb
Ok.
Команды «Netsh advfirewall Показать глобального»
Отображение глобальной netsh advfirewallкоманда отображает глобальные параметры.
Ниже приведен пример выходных данных команды.
Global Settings:
IPsec:
StrongCRLCheck 0:Disabled
SAIdleTimeMin 5min
DefaultExemptions NeighborDiscovery
IPsecThroughNAT Server and client behind NAT
StatefulFTP Enable
StatefulPPTP Enable
Main Mode:
KeyLifetime 2min,0sess
SecMethods DHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384
Взаимодействие
Создания в случае принудительного применения и управления политики IPsec, которая использует алгоритмы набора B была введена в Windows Vista SP1 и Windows Server 2008. Можно управлять групповой политикой, содержащий алгоритмы набора B только с помощью средств, которые были выпущены с пакетом обновления 1 для Windows Vista или Windows Server 2008.
Примеры сценариев и ожидаемые результаты, как показано ниже.
В сценарии 1
Использовать новые алгоритмы шифрования, чтобы применить политику, которая создается на компьютере под управлением Windows Server 2008 или пакета обновления на компьютере под управлением версии для Windows Vista.
Ожидаемый результат
, Если правило содержит криптографических комплектов, новые алгоритмы шифрования, будут удалены следующие криптографических комплектов и вместо них используются другие криптографических комплектов набора шифрования.
Удаляется, если нет шифрования пакетов в правиле будут признаны все правила. Регистрируется событие, указывающее, что правило не может быть обработан. Таким образом Если удаляются все криптографические наборы в наборе данных обмена ключами шифрования, ни одно из правил безопасности подключения политики будут применены. Тем не менее, по-прежнему применяются все правила брандмауэра.
Процесс проверки подлинности набора похож на процесс шифрования набора. Если политики, содержащий новый сертификат флаги (ECDSA P256 или P384 ECDSA) применяется к компьютеру под управлением версии Windows Vista, методы проверки подлинности, удаляются.
, Если все методы проверки подлинности в первом наборе проверки подлинности, удаляются по этой причине все правила не обрабатывается. Если удаляются все методы проверки подлинности во втором наборе проверки подлинности, оно обрабатывается с использованием только первой проверки подлинности наборе.
Вариант 2
На компьютере под управлением версии Windows Vista использовать новые алгоритмы шифрования для просмотра политики, который был создан на компьютере под управлением Windows Server 2008 или Windows Vista с пакетом обновления 1.
Ожидаемый результат
Новые алгоритмы отображаются в виде “ неизвестный ” мониторинг и разработка части оснастки MMC безопасности расширенного брандмауэра Windows.
Netsh advfirewallкоманда также отображает алгоритмы как “ неизвестный ” в Windows Vista.
Ограничения на совместимость
Ограничения взаимодействия выглядят следующим образом:
- Корпорация Майкрософт не поддерживает удаленное управление политиками, которые используют алгоритмы набора B на компьютерах, работающих под управлением Windows Vista с пакетом обновления 1 или Windows Server 2008 с компьютера под управлением версии для Windows Vista.
- При политику, которая создается на компьютере под управлением Windows Vista с пакетом обновления 1 или Windows Server 2008, импортируется на компьютере под управлением версии Windows Vista, некоторые части политики удаляются. Это происходит потому, что версии Windows Vista не удается распознать новые алгоритмы.
Быстрый режим криптографического алгоритма комбинаций, которые поддерживаются и не поддерживается
В следующей таблице показаны поддерживаемые комбинации быстрого режима для криптографического алгоритма.
Свернуть эту таблицуРазвернуть эту таблицу
| Протокол | Целостность AH | Целостность ESP | Шифрование |
|---|
| AH | AES-GMAC 128 | Нет | Нет |
| AH | AES-GMAC 192 | Нет | Нет |
| AH | AES-GMAC 256 | Нет | Нет |
| AH | SHA256 | Нет | Нет |
| AH | SHA1 | Нет | Нет |
| AH | MD5 | Нет | Нет |
| ESP | Нет | AES-GMAC 128 | Нет |
| ESP | Нет | AES-GMAC 192 | Нет |
| ESP | Нет | AES-GMAC 256 | Нет |
| ESP | Нет | SHA256 | Нет |
| ESP | Нет | SHA1 | Нет |
| ESP | Нет | MD5 | Нет |
| ESP | Нет | SHA256 | Любой алгоритм шифрования, поддерживаемые только алгоритмы AES GCM |
| ESP | Нет | SHA1 | Любой алгоритм шифрования, поддерживаемые только алгоритмы AES GCM |
| ESP | Нет | MD5 | Любой алгоритм шифрования, поддерживаемые только алгоритмы AES GCM |
| ESP | Нет | AES-GCM 128 | AES-GCM 128 |
| ESP | Нет | AES-GCM 192 | AES-GCM 192 |
| ESP | Нет | AES-GCM 256 | AES-GCM 256 |
| AH + ESP | AES-GMAC 128 | AES-GMAC 128 | Нет |
| AH + ESP | AES-GMAC 128 | AES-GMAC 128 | Нет |
| AH + ESP | AES-GMAC 128 | AES-GMAC 128 | Нет |
| AH + ESP | SHA-256 | SHA-256 | Нет |
| AH + ESP | SHA1 | SHA1 | Нет |
| AH + ESP | MD5 | MD5 | Нет |
| AH + ESP | SHA256 | SHA256 | Любой алгоритм шифрования, поддерживаемые только алгоритмы AES GCM |
| AH + ESP | SHA1 | SHA1 | Любой алгоритм шифрования, поддерживаемые только алгоритмы AES GCM |
| AH + ESP | MD5 | MD5 | Любой алгоритм шифрования, поддерживаемые только алгоритмы AES GCM |
| AH + ESP | AES-GMAC 128 | AES-GCM 128 | AES-GCM 128 |
| AH + ESP | AES-GMAC 192 | AES-GCM 192 | AES-GCM 192 |
| AH + ESP | AES-GMAC 256 | AES-GCM 256 | AES-GCM 256 |
GMAC AES такой же, как AES GCM с шифрованием null. Например можно задать целостность AH использовать GMAC AES 128, и указать целостности ESP с помощью GCM AES 128. Это единственное исключение из правила, что алгоритмы проверки целостности AH и ESP, должны быть одинаковыми.
Комбинаций, которые описаны в следующей таблице, не поддерживаются.
Свернуть эту таблицуРазвернуть эту таблицу
| Протокол | Целостность AH | Целостность ESP | Шифрование |
|---|
| ESP | Нет | AES-GMAC 128 | Любой алгоритм шифрования, поддерживаемые |
| ESP | Нет | AES-GMAC 192 | Любой алгоритм шифрования, поддерживаемые |
| ESP | Нет | AES-GMAC 256 | Любой алгоритм шифрования, поддерживаемые |
| ESP | Нет | AES-GCM 128 | 1. Нет
2. Любой алгоритм шифрования, за исключением GCM AES 128 |
| ESP | Нет | AES-GCM 192 | 1. Нет
2. Любой алгоритм шифрования, за исключением GCM AES 192 |
| ESP | Нет | AES-GCM 256 | 1. Нет
2. Любой алгоритм шифрования, за исключением GCM AES 256 |
| AH + ESP | AES-GMAC 128 | AES-GMAC 128 | Любой алгоритм шифрования, поддерживаемые |
| AH + ESP | AES-GMAC 192 | AES-GMAC 192 | Любой алгоритм шифрования, поддерживаемые |
| AH + ESP | AES-GMAC 256 | AES-GMAC 256 | Любой алгоритм шифрования, поддерживаемые |
Для получения дополнительных сведений о набора B, посетите следующий веб-узла:
Дополнительные сведения о IPsec и подключение правил безопасности, посетите следующий веб-узел корпорации Майкрософт:
Для получения дополнительных сведений о криптографии следующего поколения в Windows Server 2008, посетите следующий веб-узел корпорации Майкрософт:
Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
949299
(http://support.microsoft.com/kb/949299/
)
Описание группы безопасности операторы шифрования, был добавлен к Windows Vista с пакетом обновления 1 (SP2) для настройки брандмауэра Windows для IPsec в общие критерии режим
Перейти к началу страницы
