Описание поддержки криптографические алгоритмы набора B, который был добавлен к IPsec в Windows Vista с пакетом обновления 1 (SP1), в Windows Server 2008 и Windows 7

Переводы статьи Переводы статьи
Код статьи: 949856 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Введение

В данной статье описывается поддержка криптографические алгоритмы набора B, который был добавлен в пакет обновления 1 (SP1) для Windows Vista и Windows Server 2008. Пакет B представляет собой группу алгоритмов, которые подтверждены по национальным агентством безопасности (NSA) США.

Набора B используется как платформу взаимодействия шифрования для защиты конфиденциальных данных. Поддержка была расширена для алгоритмы набора B, для следующих областей:
  • Основной режим
  • Быстрый режим
  • Параметры проверки подлинности
В данной статье также описываются конфигурации синтаксис политики IP-безопасность (IPsec), который использует алгоритмы набора B.

Дополнительная информация

Поддержка ограничения

Поддержку ограничений для набора B относятся следующие:
  • Создание и принудительного применения IPSec политики с помощью алгоритмы набора B поддерживается только в Windows Vista с пакетом обновления 1 (SP1), в Windows Server 2008 или более поздних версиях Windows.
  • Разработка политики, которые содержат алгоритмы набора B поддерживается через «брандмауэр Windows с улучшенной безопасностью» консоли управления (MMC) snap-in для Windows 7 и более поздних версиях Windows.
  • Netsh advfirewall справкикоманда не отображает параметры конфигурации для алгоритмы набора B. Это относится только к Windows Vista с пакетом обновления 1.

Определения

  • Пакет B

    Пакет B — это набор стандартов, указанных в национальной поддержки безопасности (NSA). Пакет B содержит отрасли с общим набором криптографических алгоритмов, которые могут использоваться для создания продукты, удовлетворяющие широкий спектр требования правительства США. Пакет B содержит спецификацию следующие типы алгоритмов:
    • Целостность
    • Шифрование
    • Обмен ключами
    • Цифровые подписи
  • Обработка стандартов (FIPS) федеральной информации

    FIPS — это набор правил и стандартов, которые управляют федеральным вычислительных ресурсов. Все алгоритмы набора B являются утвержденные FIPS.

    Для получения дополнительных сведений посетите следующий веб-узла:
    http://www.ITL.nist.gov/fipspubs/geninfo.htm
  • NIST

    Это аббревиатура Национальным институтом стандартов и технологий.
  • Алгоритмы целостности данных

    Алгоритмы целостности данных с помощью хеш-коды сообщений, убедитесь, что данные не изменяется во время его передачи.
  • Алгоритмы шифрования данных

    Чтобы скрыть информацию, которая передается используются алгоритмы шифрования данных . Для преобразования текстовых секретный код используются алгоритмы шифрования.

    Алгоритмы , шифрование можно преобразовать обычный текст зашифрованного текста. Затем можно расшифровать зашифрованный текст к исходным открытым текстом. Каждый алгоритм использует "ключ" для выполнения преобразования. Тип ключа и длину ключа зависит от алгоритма, который уже используется.
  • IPsec

    Это сокращение для термина "протокола безопасности".

    Для получения дополнительных сведений об IPsec, посетите следующий веб-узел корпорации Майкрософт:
    http://TechNet.Microsoft.com/en-us/Network/bb531150.aspx
  • Расширенный стандарт Galois шифрования сообщений проверки подлинности кода (AES-GMAC)

    Этот алгоритм является в публикации специальные NIST 800-38 D. Для этого посетите следующий веб-узла:
    http://csrc.nist.gov/publications/nistpubs/800-38D/SP-800-38D.PDF
  • Расширенный стандарт шифрования в режиме Galois и счетчика (AES-GCM)

    Этот алгоритм является в публикации специальные NIST 800-38 D. Для этого посетите следующий веб-узла:
    http://csrc.nist.gov/publications/nistpubs/800-38D/SP-800-38D.PDF
  • Алгоритма Эллиптическая кривая цифровой к подписи (ECDSA)

    Elliptic кривой (EC) — это разновидность алгоритма цифровой подписи, который работает на базе групп. Вариант EC предоставляет меньшего размера ключа для одного и того же уровня безопасности.

    Этот алгоритм является описано в FIPS публикации 186-2. Чтобы просмотреть эту публикацию, посетите следующий веб-узла:
    http://csrc.nist.gov/publications/FIPS/Archive/fips186-2/fips186-2.PDF
  • Центр сертификации (ЦС)

    Центр сертификации A — это сущность, которая выдает цифровые сертификаты. IPsec может использовать эти сертификаты в качестве метода проверки подлинности.
  • Заголовок проверки подлинности (AH)

    — Заголовок проверки подлинности является протоколом IPsec, обеспечивающий проверку подлинности, целостности и функциональности повторов для всего пакета. Это включает в себя заголовка IP и полезных данных.

    AH не обеспечивает конфиденциальность. Это означает, что AH не шифрует данные. Данные для чтения, но не удается записать.
  • Инкапсуляция Security Payload (ESP)

    ESP используется IPsec протокол, обеспечивающий конфиденциальность, проверку подлинности, целостность и функциональные возможности повторов. ESP может использоваться отдельно или он может использоваться вместе с AH.

Алгоритмы основного режима

В пакете обновления 1 для Windows Vista и Windows Server 2008, в дополнение к этим алгоритмы, которые уже поддерживаются в версии Windows Vista поддерживаются следующие алгоритмы проверки целостности:
  • SHA-256
  • SHA-384
ПримечаниеАлгоритма обмена ключами и алгоритм шифрования, не изменяются.

Алгоритмы быстрый режим

В Windows Vista SP1 и Windows Server 2008 следующие алгоритмы поддерживаются в дополнение к этим алгоритмы, которые уже поддерживаются в версии для Windows Vista.

Целостность (AH или ESP)

  • SHA-256
  • AES-GMAC 128
  • AES GMAC от 192
  • AES-GMAC 256

Целостность и шифрованием (ESP)

  • AES-GCM 128
  • AES-GCM-192
  • AES-GCM 256
Дополнительные сведения о комбинациях AH и ESP, а не поддерживаются, содержатся в разделе «быстрый режим криптографического алгоритма комбинации, а не поддерживаются» раздел.

Ограничения для быстрого режима

  • Следует использовать тот же самый алгоритм проверки целостности AH и ESP.
  • Алгоритмы the AES-GMAC доступны алгоритмом проверки целостности, имеющий нулевое шифрование. Таким образом, если все эти алгоритмы проверки целостности ESP, алгоритм шифрования не может указываться.
  • Если использовать алгоритм AES GCM тот же самый алгоритм должен быть указан для ESP целостность и шифрование.

Проверка подлинности

В Windows Vista SP1 и Windows Server 2008 поддерживает следующие методы проверки подлинности Помимо этих методов проверки подлинности, которые уже поддерживаются в версии для Windows Vista.
  • Сертификат компьютера с P256 ECDSA подписи
  • Сертификат компьютера с P384 ECDSA подписи
ПримечаниеМетод проверки подлинности по умолчанию для Windows Vista является RSA SecurId проверки подлинности.

Синтаксис и примеры

В этом разделе описывается синтаксис для использованияNetsh advfirewallкоманда для добавления и изменения правил безопасности подключения. В этом разделе также приводятся примерыNetsh advfirewallкоманды .

Добавить правила безопасности подключения

Netsh advfirewall
Usage: add rule name=<string>
      endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
      endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
      action=requireinrequestout|requestinrequestout|
         requireinrequireout|noauthentication
      [description=<string>]
      [mode=transport|tunnel (default=transport)]
      [enable=yes|no (default=yes)]
      [profile=public|private|domain|any[,...] (default=any)]
      [type=dynamic|static (default=static)]
      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
      [port1=0-65535|any (default=any)]
      [port2=0-65535|any (default=any)]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
      [interfacetype=wiresless|lan|ras|any (default=any)]
      [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
         computerntlm|anonymous[,...]]
      [auth1psk=<string>]
      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1healthcert=yes|no (default=no)]
      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap256healthcert=yes|no (default=no)]
      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap384healthcert=yes|no (default=no)]
      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
      [auth2ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
      [qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
         none (default=none)]
      [qmsecmethods=
         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
         |default]
        
Remarks:

      - The rule name should be unique, and it cannot be "all."
      - When mode=tunnel, both tunnel endpoints must be specified and must be
        the same IP version. Also, the action must be requireinrequireout.
      - At least one authentication must be specified.
      - Auth1 and auth2 can be comma-separated lists of options.
      - The "computerpsk" and "computerntlm" methods cannot be specified together
        for auth1.
      - Computercert cannot be specified with user credentials for auth2.
     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
      - Qmsecmethods can be a list of proposals separated by a comma (,).
      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
        encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
      - If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.  
     -  sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista. 
      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The default value for certmapping and for excludecaname is "no."
      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Пример 1.
Рассмотрим следующий примерNetsh advfirewallкоманды:
Netsh advfirewall consec добавления к имени правила = test1 endpoint1 = любой endpoint2 = любое действие = описание requestinrequestout = ” ECDSA256 использование сертификатов и AESGMAC256 ” auth1 = computercert computercertecdsap256 auth1ca = ” C = US, O MSFT, CN = = \ Microsoft Север, Юг, Восток и Запад корневой Authority\ ’ ” auth1healthcert = нет auth1ecdsap256ca = ” C = US, O MSFT, CN = = \ Microsoft Север, Юг, Восток и Запад корневой Authority\ ’ ” auth1ecdsap256healthcert = Да qmsecmethods = ah: aesgmac256 + esp:aesgmac256-ни один
Эта команда создает правило безопасности подключения, который имеет следующие методы проверки подлинности в параметры проверки подлинности:
  • Первый метод проверки подлинности используется сертификат, который использует RSA подпись сертификата.
  • Метод второй проверки подлинности используется сертификат работоспособности, ECDSA256 для сертификата подписи.
Правило безопасности подключения защищает трафик с помощью проверки целостности AH и ESP с новым алгоритмом GMAC AES 256. Оно не включает шифрование.
Пример 2
Рассмотрим следующий примерNetsh advfirewallкоманды:
Netsh advfirewall consec добавить правило с именем = test2 endpoint1 = любой endpoint2 = любое действие = описание requestinrequestout = auth1 ” 256 SHA используется для проверки целостности ” и AES192 для шифрования = computercert auth1ca = ” C = US, O MSFT, CN = = \ Microsoft Север, Юг, Восток и Запад корневой Authority\ ’ ” auth1healthcert = нет qmsecmethods = ah: sha256 + esp:sha256-aes192
Эта команда создает правило безопасности подключения, который имеет один метод проверки подлинности в проверки подлинности установите. Метод проверки подлинности используется сертификат, который использует RSA подпись сертификата.

Правила безопасности подключения защищает трафик с помощью проверки целостности AH и ESP с SHA256 для проверки целостности и AES192 для шифрования.

Изменение существующего правила безопасности подключения

Netsh advfirewall
Usage: set rule
      group=<string> | name=<string>
      [type=dynamic|static]
      [profile=public|private|domain|any[,...] (default=any)]
      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [port1=0-65535|any]
      [port2=0-65535|any]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
      new
      [name=<string>]
      [profile=public|private|domain|any[,...]]
      [description=<string>]
      [mode=transport|tunnel]
      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [action=requireinrequestout|requestinrequestout|
         requireinrequireout|noauthentication]
      [enable=yes|no]
      [type=dynamic|static]
      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
      [port1=0-65535|any]
      [port2=0-65535|any]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
      [interfacetype=wiresless|lan|ras|any]
     [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
         computerntlm|anonymous[,...]]
      [auth1psk=<string>]
      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1healthcert=yes|no (default=no)]
      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap256healthcert=yes|no (default=no)]
      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap384healthcert=yes|no (default=no)]
      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
      [auth2ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
      [qmsecmethods=
         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
         default]


Remarks:

      - This sets a new parameter value on an identified rule. The command fails
        if the rule does not exist. To create a rule, use the "add" command.
      - Values after the new keyword are updated in the rule.  If there are
        no values, or if the "new" keyword is missing, no changes are made.
      - Only a group of rules can be enabled or disabled.
      - If multiple rules match the criteria, all matching rules are 
        updated.
      - The rule name should be unique, and it cannot be "all."
      - Auth1 and auth2 can be comma-separated lists of options.
      - The computerpsk and computerntlm methods cannot be specified together
        for auth1.
      - Computercert cannot be specified by using user credentials for auth2.
     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.  
      - Qmsecmethods can be a list of proposals that are separated by a comma (,).
      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
        encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
      - If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.  
     -  Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
      - If qmsemethods are set to "default," qmpfs will be set to "default" also.
      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The default value for "certmapping" and "excludecaname" is "no."
      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Ниже приведен пример команды, которая обновляет правило, которое было создано в "Пример 1" в предыдущем разделе:
Netsh advfirewall consec задайте имя правила = тестирования новых qmsecmethods = ah: aesgmac256 + esp:aesgcm256-aesgcm256
Эта команда обновляет правила использования GCM AES 256 для проверки целостности ESP с шифрованием и GMAC AES 256 для проверки целостности AH.

Установка глобальных параметров для основного режима

Является следующий текст справки дляNetsh advfirewall задать глобальныекоманды.
netsh advfirewall>set global

Usage: set global statefulftp|statefulpptp  enable|disable|notconfigured
      set global IPsec (parameter) (value)
      set global mainmode (parameter) (value) | notconfigured

IPsec Parameters:

      strongcrlcheck    - Configures how CRL checking is enforced.
                          0: Disable CRL checking
                          1: Fail if cert is revoked (default)
                          2: Fail on any error
                          notconfigured: Returns the value to its unconfigured state.
      saidletimemin     - Configures the security association idle time in
                          minutes.
                        - Usage: 5-60|notconfigured (default=5)
      defaultexemptions - Configures the default IPsec exemptions. The default is
                          to exempt IPv6 neighbordiscovery protocol from
                          IPsec.
                        - Usage: none|neighbordiscovery|notconfigured

Main Mode Parameters:

      mmkeylifetime     - Sets the main mode key lifetime in minutes, in sessions, or in both.
                        - Usage: <num>min,<num>sess
      mmsecmethods      - Configures the main mode list of proposals
                        - Usage:
                          keyexch:enc-integrity,enc-integrity[,...]|default
                        - keyexch=dhgroup1|dhgroup2|dhgroup14|
                          ecdhp256|ecdhp384
                        - enc=3des|des|aes128|aes192|aes256
                        - integrity=md5|sha1|sha256|sha384

Remarks:

      - This configures global settings, such as advanced IPsec options.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The mmsecmethods keyword default sets the policy to the following:
        dhgroup2-aes128-sha1,dhgroup2-3des-sha1
      - Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
Ниже приведен пример команды, которая используется в основной режим шифрования набора новых алгоритмов SHA:
Netsh advfirewall установить dhgroup1:3des mmsecmethods глобальной mainmode-sha256, 3des sha384

Устранение неполадок, настройки и проверки команд

Команды «Netsh advfirewall consec Показать все правила»

Netsh advfirewall consec Показать все правилакоманда выводит конфигурацию для всех правил подключения для системы безопасности.

Ниже приведен пример выходных данных команды.
Rule Name:				test
Enabled:					Yes
Profiles:					Domain,Private,Public
Type:					Static
Mode:					Transport
Endpoint1:				Any
Endpoint2:				Any
Protocol:					Any
Action:					RequestInRequestOut
Auth1:					ComputerPSK
Auth1PSK:				         12345
MainModeSecMethods			         ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethods			AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb

Команды «Netsh advfirewall монитора Показать mmsa»

Монитор netsh advfirewall Показать mmsaкоманда отображает сопоставления безопасности основного режима.

Ниже приведен пример выходных данных команды.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:				157.59.24.101
Remote IP Address:			         157.59.24.119
My ID:
Peer ID:
First Auth:				ComputerPSK
Second Auth:				None
MM Offer:				         ECDHAP384-3DES-SHA256
Cookie Pair:				203d57505:5d088705
Health Pair:				No
Ok.

Команды «Netsh advfirewall монитора Показать qmsa»

Монитор netsh advfirewall Показать qmsaкоманда отображает сопоставление безопасности быстрого режима.

Ниже приведен пример выходных данных команды.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:				157.59.24.101
Remote IP Address:			         157.59.24.119
Local Port:				Any
Remote Port:				Any
Protocol:					Any
Direction:				Both
QM Offer:				         AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb	
Ok.

Команды «Netsh advfirewall Показать глобального»

Отображение глобальной netsh advfirewallкоманда отображает глобальные параметры.

Ниже приведен пример выходных данных команды.
Global Settings:
IPsec:					
StrongCRLCheck				0:Disabled
SAIdleTimeMin				5min
DefaultExemptions			         NeighborDiscovery
IPsecThroughNAT			         Server and client behind NAT

StatefulFTP				Enable
StatefulPPTP				Enable

Main Mode:
KeyLifetime				2min,0sess
SecMethods				DHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384

Взаимодействие

Создания в случае принудительного применения и управления политики IPsec, которая использует алгоритмы набора B была введена в Windows Vista SP1 и Windows Server 2008. Можно управлять групповой политикой, содержащий алгоритмы набора B только с помощью средств, которые были выпущены с пакетом обновления 1 для Windows Vista или Windows Server 2008.

Примеры сценариев и ожидаемые результаты, как показано ниже.

В сценарии 1

Использовать новые алгоритмы шифрования, чтобы применить политику, которая создается на компьютере под управлением Windows Server 2008 или пакета обновления на компьютере под управлением версии для Windows Vista.
Ожидаемый результат
, Если правило содержит криптографических комплектов, новые алгоритмы шифрования, будут удалены следующие криптографических комплектов и вместо них используются другие криптографических комплектов набора шифрования.

Удаляется, если нет шифрования пакетов в правиле будут признаны все правила. Регистрируется событие, указывающее, что правило не может быть обработан. Таким образом Если удаляются все криптографические наборы в наборе данных обмена ключами шифрования, ни одно из правил безопасности подключения политики будут применены. Тем не менее, по-прежнему применяются все правила брандмауэра.

Процесс проверки подлинности набора похож на процесс шифрования набора. Если политики, содержащий новый сертификат флаги (ECDSA P256 или P384 ECDSA) применяется к компьютеру под управлением версии Windows Vista, методы проверки подлинности, удаляются.

, Если все методы проверки подлинности в первом наборе проверки подлинности, удаляются по этой причине все правила не обрабатывается. Если удаляются все методы проверки подлинности во втором наборе проверки подлинности, оно обрабатывается с использованием только первой проверки подлинности наборе.

Вариант 2

На компьютере под управлением версии Windows Vista использовать новые алгоритмы шифрования для просмотра политики, который был создан на компьютере под управлением Windows Server 2008 или Windows Vista с пакетом обновления 1.
Ожидаемый результат
Новые алгоритмы отображаются в виде “ неизвестный ” мониторинг и разработка части оснастки MMC безопасности расширенного брандмауэра Windows. Netsh advfirewallкоманда также отображает алгоритмы как “ неизвестный ” в Windows Vista.

Ограничения на совместимость

Ограничения взаимодействия выглядят следующим образом:
  • Корпорация Майкрософт не поддерживает удаленное управление политиками, которые используют алгоритмы набора B на компьютерах, работающих под управлением Windows Vista с пакетом обновления 1 или Windows Server 2008 с компьютера под управлением версии для Windows Vista.
  • При политику, которая создается на компьютере под управлением Windows Vista с пакетом обновления 1 или Windows Server 2008, импортируется на компьютере под управлением версии Windows Vista, некоторые части политики удаляются. Это происходит потому, что версии Windows Vista не удается распознать новые алгоритмы.

Быстрый режим криптографического алгоритма комбинаций, которые поддерживаются и не поддерживается

В следующей таблице показаны поддерживаемые комбинации быстрого режима для криптографического алгоритма.
Свернуть эту таблицуРазвернуть эту таблицу
ПротоколЦелостность AHЦелостность ESPШифрование
AHAES-GMAC 128НетНет
AHAES-GMAC 192НетНет
AHAES-GMAC 256НетНет
AHSHA256НетНет
AHSHA1НетНет
AHMD5НетНет
ESPНетAES-GMAC 128Нет
ESPНетAES-GMAC 192Нет
ESPНетAES-GMAC 256Нет
ESPНетSHA256Нет
ESPНетSHA1Нет
ESPНетMD5Нет
ESPНетSHA256Любой алгоритм шифрования, поддерживаемые только алгоритмы AES GCM
ESPНетSHA1Любой алгоритм шифрования, поддерживаемые только алгоритмы AES GCM
ESPНетMD5Любой алгоритм шифрования, поддерживаемые только алгоритмы AES GCM
ESPНетAES-GCM 128AES-GCM 128
ESPНетAES-GCM 192AES-GCM 192
ESPНетAES-GCM 256AES-GCM 256
AH + ESPAES-GMAC 128AES-GMAC 128Нет
AH + ESPAES-GMAC 128AES-GMAC 128Нет
AH + ESPAES-GMAC 128AES-GMAC 128Нет
AH + ESPSHA-256SHA-256Нет
AH + ESPSHA1SHA1Нет
AH + ESPMD5MD5Нет
AH + ESPSHA256SHA256Любой алгоритм шифрования, поддерживаемые только алгоритмы AES GCM
AH + ESPSHA1SHA1Любой алгоритм шифрования, поддерживаемые только алгоритмы AES GCM
AH + ESPMD5MD5Любой алгоритм шифрования, поддерживаемые только алгоритмы AES GCM
AH + ESPAES-GMAC 128AES-GCM 128AES-GCM 128
AH + ESPAES-GMAC 192AES-GCM 192AES-GCM 192
AH + ESPAES-GMAC 256AES-GCM 256AES-GCM 256
ПримечаниеGMAC AES такой же, как AES GCM с шифрованием null. Например можно задать целостность AH использовать GMAC AES 128, и указать целостности ESP с помощью GCM AES 128. Это единственное исключение из правила, что алгоритмы проверки целостности AH и ESP, должны быть одинаковыми.

Комбинаций, которые описаны в следующей таблице, не поддерживаются.
Свернуть эту таблицуРазвернуть эту таблицу
ПротоколЦелостность AHЦелостность ESPШифрование
ESPНетAES-GMAC 128Любой алгоритм шифрования, поддерживаемые
ESPНетAES-GMAC 192Любой алгоритм шифрования, поддерживаемые
ESPНетAES-GMAC 256Любой алгоритм шифрования, поддерживаемые
ESPНетAES-GCM 1281. Нет
2. Любой алгоритм шифрования, за исключением GCM AES 128
ESPНетAES-GCM 1921. Нет
2. Любой алгоритм шифрования, за исключением GCM AES 192
ESPНетAES-GCM 2561. Нет
2. Любой алгоритм шифрования, за исключением GCM AES 256
AH + ESPAES-GMAC 128AES-GMAC 128Любой алгоритм шифрования, поддерживаемые
AH + ESPAES-GMAC 192AES-GMAC 192Любой алгоритм шифрования, поддерживаемые
AH + ESPAES-GMAC 256AES-GMAC 256Любой алгоритм шифрования, поддерживаемые
Для получения дополнительных сведений о набора B, посетите следующий веб-узла:
http://www.NSA.gov/IA/Programs/suiteb_cryptography/index.shtml
Дополнительные сведения о IPsec и подключение правил безопасности, посетите следующий веб-узел корпорации Майкрософт:
http://go.Microsoft.com/fwlink/?LinkId=96525
Для получения дополнительных сведений о криптографии следующего поколения в Windows Server 2008, посетите следующий веб-узел корпорации Майкрософт:
http://technet2.Microsoft.com/windowsserver2008/en/Library/532ac164-da33-4369-bef0-8f019d5a18b81033.mspx?mfr=true
Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
949299Описание группы безопасности операторы шифрования, был добавлен к Windows Vista с пакетом обновления 1 (SP2) для настройки брандмауэра Windows для IPsec в общие критерии режим

Свойства

Код статьи: 949856 - Последний отзыв: 11 сентября 2011 г. - Revision: 3.0
Информация в данной статье относится к следующим продуктам.
  • Service Pack 1 для Windows Vista на следующих платформах
    • Windows Vista Business
    • Windows Vista Business 64-bit edition
    • Windows Vista Enterprise
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate
    • Windows Vista Ultimate 64-bit edition
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Ключевые слова: 
kbexpertiseinter kbhowto kbinfo kbmt KB949856 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:949856

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com