คำอธิบายการสนับสนุนสำหรับชุด B algorithms ที่เข้ารหัสลับที่ถูกเพิ่มลง ใน Windows Vista Service Pack 1 ใน Windows Server 2008 และ Windows 7 IPsec

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 949856 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

บทนำ

บทความนี้อธิบายการสนับสนุนสำหรับชุด B algorithms ที่เข้ารหัสลับที่ถูกเพิ่มลง ใน Windows Vista Service Pack 1 (SP1) และ ใน Windows Server 2008 ชุด B คือ กลุ่มของ algorithms ที่เข้ารหัสลับที่ได้รับการอนุมัติโดยในสหรัฐอเมริกาชาติ Security หน่วยงาน (NSA)

มีใช้ชุด B เป็นกรอบงานการเข้ารหัสลับข้อ interoperable สำหรับการป้องกันข้อมูลที่สำคัญ การสนับสนุนที่ได้ถูกขยายเพื่อ algorithms B ชุดสำหรับพื้นที่ต่อไปนี้:
  • โหมดหลัก
  • โหมดรวดเร็ว
  • การตั้งค่าการรับรองความถูกต้อง
บทความนี้อธิบาย Internet Protocol (IPsec) การรักษาความปลอดภัยนโยบายตั้งค่าคอนฟิกไวยากรณ์ที่ใช้ algorithms B ชุด

ข้อมูลเพิ่มเติม

ข้อจำกัดด้านการสนับสนุน

ข้อจำกัดด้านการสนับสนุนสำหรับชุด B รวมต่อไปนี้:
  • สร้างและการบังคับนโยบาย IPsec โดยใช้ชุด B algorithms ได้รับการสนับสนุนเฉพาะใน Windows Vista Service Pack 1 (SP1), ใน Windows Server 2008 หรือ ใน Windows รุ่นที่ใหม่กว่า
  • เขียนแก้นโยบายที่ประกอบด้วยชุด B algorithms ถูกสนับสนุนโดยใช้ "Windows Firewall โดยขั้นสูง Security" Microsoft Management Console (MMC) สแนปอิน สำหรับ Windows 7 และ Windows รุ่นที่ใหม่กว่า
  • กระบวนการวิธีใช้ advfirewall netshคำสั่งไม่สามารถแสดงตัวเลือกการตั้งค่าคอนฟิกสำหรับ algorithms ชุด B ซึ่งใช้เฉพาะกับ Windows Vista SP1

ข้อกำหนด

  • ชุด B

    ชุด B คือ ชุดของมาตรฐานที่ระบุโดยชาติ Security หน่วยงาน (NSA) ชุด B แสดงอุตสาหกรรม ด้วยชุด algorithms ที่เข้ารหัสลับที่สามารถใช้เพื่อสร้างผลิตภัณฑ์ที่ตรงกับความต้องการของรัฐบาลของสหรัฐอเมริกาช่วง widest ทั่วไป ชุด B ประกอบด้วยข้อมูลจำเพาะของชนิดต่อไปนี้ของ algorithms:
    • ความถูกต้อง
    • การเข้ารหัสลับ
    • การแลกเปลี่ยนคีย์
    • ลายเซ็นดิจิทัล
  • มาตรฐานการประมวลผลข้อมูลสหพันธ์ (FIPS)

    fips คือ ชุดของแนวทางและมาตรฐานซึ่งควบคุมทรัพยากรที่ใช้งานรัฐ algorithms B ชุดทั้งหมดจะได้รับอนุมัติ FIPS

    สำหรับข้อมูลเพิ่มเติม โปรดแวะไปที่เว็บไซต์ต่อไปนี้::
    http://www.itl.nist.gov/fipspubs/geninfo.htm
  • nist

    มีคำย่อสำหรับชาติ Institute ของมาตรฐานและเทคโนโลยีอยู่
  • algorithms ความสมบูรณ์ของข้อมูล

    algorithms ความสมบูรณ์ของข้อมูลที่ใช้ hashes ข้อความเพื่อให้แน่ใจว่า ข้อมูลจะไม่ถูกเปลี่ยนในขณะที่อยู่ในระหว่างขนส่ง
  • ข้อมูลการเข้ารหัสลับ algorithms

    algorithms การเข้ารหัสลับข้อมูลถูกใช้เพื่อซ่อนรายละเอียดที่จะถูกส่ง algorithms เข้ารหัสลับจะใช้การแปลงข้อความล้วนรหัสลับ

    ตัวอย่างเช่น algorithms เข้ารหัสลับสามารถแปลงข้อความล้วนเป็น ciphertext ciphertext สามารถถูก decoded เป็นข้อความล้วนเดิมแล้ว อัลกอริทึมแต่ละใช้ "คีย์" เพื่อดำเนินการแปลง ชนิดของคีย์และความยาวของคีย์ขึ้นอัลกอริทึมที่กำลังถูกใช้
  • ipsec

    นี่คือตัวย่อสำหรับเงื่อนไข "โพรโทคอลอินเทอร์เน็ตปลอดภัย"

    สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ IPsec แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
    http://technet.microsoft.com/en-us/network/bb531150.aspx
  • ขั้นสูงที่เข้ารหัสลับ Galois ข้อความพิสูจน์ตัวจริงของรหัสมาตรฐาน (GMAC AES)

    อัลกอริทึมนี้ได้อธิบายไว้ในสิ่งพิมพ์แบบพิเศษของ NIST D 800-38 เมื่อต้องการดูเอกสารนี้ ไปที่เว็บไซต์ต่อไปนี้:
    http://csrc.nist.gov/publications/nistpubs/800-38D/SP-800-38D.pdf
  • มาตรฐานการเข้ารหัสลับขั้นสูงในโหมด Galois/เคาน์เตอร์ (GCM AES)

    อัลกอริทึมนี้ได้อธิบายไว้ในสิ่งพิมพ์แบบพิเศษของ NIST D 800-38 เมื่อต้องการดูเอกสารนี้ ไปที่เว็บไซต์ต่อไปนี้:
    http://csrc.nist.gov/publications/nistpubs/800-38D/SP-800-38D.pdf
  • อัลกอริทึมลายเซ็นดิจิทัลเส้นโค้ง elliptic (ECDSA)

    เส้นโค้ง elliptic (EC) เป็นตัวแปรของอัลกอริทึมลายเซ็นดิจิทัลที่ดำเนินงานในกลุ่ม EC ตัวแปร EC แสดงขนาดคีย์เล็กกว่าระดับการรักษาความปลอดภัยเดียวกัน

    อัลกอริทึมนี้ได้อธิบายไว้ในสิ่งพิมพ์ FIPS 186-2 เมื่อต้องการดูการประกาศนี้ ไปที่เว็บไซต์ต่อไปนี้:
    http://csrc.nist.gov/publications/fips/archive/fips186-2/fips186-2.pdf
  • ใบรับรอง (CA)

    ผู้มีสิทธิ์ออกใบรับรองมีเอนทิตีที่ออกใบรับรองดิจิทัล ipsec สามารถใช้ใบรับรองเหล่านี้เป็นวิธีการรับรองความถูกต้อง
  • หัวข้อการรับรองความถูกต้อง (AH)

    หัวข้อการรับรองความถูกต้องเป็นโพรโทคอล IPsec ที่มีการรับรองความถูกต้อง ความสมบูรณ์ และฟังก์ชัน anti-replay สำหรับแพคเก็ตทั้งหมด ซึ่งรวมถึงส่วนหัวของ IP และส่วนของข้อมูลของข้อมูล

    AH ไม่ได้ให้ความลับ ซึ่งหมายความว่า รหัสว่า AH ไม่ลับข้อมูล ข้อมูลไม่สามารถอ่าน แต่เป็น unwriteable
  • ส่วนของข้อมูลความปลอดภัย encapsulating (ESP)

    ESP เป็นโพรโทคอล IPsec ที่ให้ความลับ ตรวจสอบ ความสมบูรณ์ และฟังก์ชัน anti-replay ESP สามารถใช้เดี่ยว หรือจะสามารถใช้ร่วมกับ AH

algorithms ของโหมดหลัก

ใน Windows Vista SP1 และ ใน Windows Server 2008, algorithms ความต่อไปนี้ได้รับการสนับสนุนนอกเหนือจากการ algorithms ที่สนับสนุนแล้วใน Windows Vista รุ่นวางจำหน่าย:
  • sha 256
  • sha 384
หมายเหตุ:อัลกอริทึมการแลกเปลี่ยนคีย์และอัลกอริทึมการเข้ารหัสลับจะไม่เปลี่ยนแปลง

โหมดด่วน algorithms

ใน Windows Vista SP1 และ ใน Windows Server 2008, algorithms ที่ต่อไปนี้จะได้รับการสนับสนุนนอกเหนือจากการ algorithms ที่สนับสนุนแล้วใน Windows Vista รุ่นวางจำหน่าย

ความถูกต้อง (AH หรือ ESP)

  • sha 256
  • aes gmac 128
  • aes gmac 192
  • aes gmac 256

ความถูกต้องและการเข้ารหัสลับ (ESP เท่านั้น)

  • aes gcm 128
  • aes gcm 192
  • aes gcm 256
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับชุด AH และ ESP ที่ได้รับการสนับสนุน และไม่ได้รับการสนับสนุน ให้ดูที่ "โหมดด่วนอัลกอริทึมการเข้ารหัสลับชุดที่ได้รับการสนับสนุน และไม่ได้รับการสนับสนุน" ส่วน

ข้อจำกัดสำหรับโหมดด่วน

  • ควรใช้อัลกอริทึมความถูกต้องเหมือนกันสำหรับทั้ง AH และ ESP
  • algorithms GMAC AES จะพร้อมใช้งานสำหรับอัลกอริทึมความสมบูรณ์ที่มีการเข้ารหัสลับที่เป็น null ดังนั้น ถ้าใด ๆ algorithms เหล่านี้มีการระบุไว้สำหรับความสมบูรณ์ ESP อัลกอริทึมการเข้ารหัสลับไม่สามารถระบุ
  • ถ้าคุณใช้อัลกอริทึมการ GCM AES อัลกอริทึมที่เหมือนกันควรระบุสำหรับความสมบูรณ์ ESP และเข้ารหัสลับ

รับรองความถูกต้อง

ใน Windows Vista SP1 และ ใน Windows Server 2008 วิธีการรับรองความถูกต้องต่อไปนี้จะได้รับการสนับสนุนนอกเหนือจากการดังกล่าววิธีการรับรองความถูกต้องที่มีอยู่แล้วสนับสนุนใน Windows Vista รุ่นวางจำหน่าย
  • ใบรับรองของคอมพิวเตอร์ ด้วย P256 ECDSA มีการเซ็นชื่อ
  • ใบรับรองของคอมพิวเตอร์ ด้วย P384 ECDSA มีการเซ็นชื่อ
หมายเหตุ:วิธีการรับรองความถูกต้องเป็นค่าเริ่มต้นสำหรับ Windows Vista มีการรับรองความถูกต้องของ RSA SecurId

ไวยากรณ์และตัวอย่าง

ส่วนนี้อธิบายไวยากรณ์สำหรับการใช้การnetsh advfirewallคำสั่ง การเพิ่ม และ การแก้ไขกฎความปลอดภัยการเชื่อมต่อ ส่วนนี้แสดงตัวอย่างเช่นกันnetsh advfirewallคำสั่ง

เพิ่มกฎความปลอดภัยการเชื่อมต่อ

Netsh advfirewall
Usage: add rule name=<string>
      endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
      endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
      action=requireinrequestout|requestinrequestout|
         requireinrequireout|noauthentication
      [description=<string>]
      [mode=transport|tunnel (default=transport)]
      [enable=yes|no (default=yes)]
      [profile=public|private|domain|any[,...] (default=any)]
      [type=dynamic|static (default=static)]
      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
      [port1=0-65535|any (default=any)]
      [port2=0-65535|any (default=any)]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
      [interfacetype=wiresless|lan|ras|any (default=any)]
      [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
         computerntlm|anonymous[,...]]
      [auth1psk=<string>]
      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1healthcert=yes|no (default=no)]
      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap256healthcert=yes|no (default=no)]
      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap384healthcert=yes|no (default=no)]
      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
      [auth2ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
      [qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
         none (default=none)]
      [qmsecmethods=
         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
         |default]
        
Remarks:

      - The rule name should be unique, and it cannot be "all."
      - When mode=tunnel, both tunnel endpoints must be specified and must be
        the same IP version. Also, the action must be requireinrequireout.
      - At least one authentication must be specified.
      - Auth1 and auth2 can be comma-separated lists of options.
      - The "computerpsk" and "computerntlm" methods cannot be specified together
        for auth1.
      - Computercert cannot be specified with user credentials for auth2.
     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
      - Qmsecmethods can be a list of proposals separated by a comma (,).
      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
        encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
      - If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.  
     -  sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista. 
      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The default value for certmapping and for excludecaname is "no."
      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
ตัวอย่างที่ 1
ให้พิจารณาตัวอย่างต่อไปนี้ของคำnetsh advfirewallคำสั่ง:
Netsh advfirewall consec เพิ่มชื่อกฎ = test1 endpoint1 = endpoint2 ใด ๆ =การดำเนินการใด ๆ =คำอธิบาย requestinrequestout = ”ใบรับรองใช้ ECDSA256 และ AESGMAC256 ” auth1 = computercert, computercertecdsap256 auth1ca = ” C =สหรัฐอเมริกา O = MSFT, CN =\ 'Microsoft เหนือ South, East และตะวันตกราก Authority\ ’ ” auth1healthcert = auth1ecdsap256ca ไม่ = ” C =สหรัฐอเมริกา O = MSFT, CN =\ 'Microsoft เหนือ South, East และตะวันตกราก Authority\ ’ ” auth1ecdsap256healthcert =ใช่ qmsecmethods = ah: aesgmac256 + esp:aesgmac256-ไม่มี
คำสั่งนี้สร้างกฎความปลอดภัยการเชื่อมต่อที่มีการรับรองความถูกต้องวิธีต่อไปนี้ในการตรวจสอบการตั้งค่า:
  • วิธีการรับรองความถูกต้องแรกคือ ใบรับรองที่ใช้ RSA ใบรับรองการเซ็นชื่อ
  • วิธีการรับรองความถูกต้องที่สองคือ ใบรับรองสุขภาพที่ใช้ ECDSA256 สำหรับใบรับรองการเซ็นชื่อ
กฎความปลอดภัยการเชื่อมต่อป้องกันปริมาณการใช้งาน โดยใช้ความสมบูรณ์ AH และ ESP กับอัลกอริทึม 256 GMAC AES ใหม่ กฎไม่มีการเข้ารหัสลับ
ตัวอย่างที่ 2
ให้พิจารณาตัวอย่างต่อไปนี้ของคำnetsh advfirewallคำสั่ง:
Netsh advfirewall consec เพิ่มชื่อกฎ = test2 endpoint1 = endpoint2 ใด ๆ =การดำเนินการใด ๆ =คำอธิบาย requestinrequestout = auth1 ”ใช้ SHA 256 สำหรับความสอดคล้องของ ” และ AES192 สำหรับการเข้ารหัสลับ = computercert auth1ca = ” C =สหรัฐอเมริกา O = MSFT, CN =\ 'Microsoft เหนือ South, East และตะวันตกราก Authority\ ’ ” auth1healthcert = qmsecmethods ไม่ = ah: sha256 + esp:sha256-aes192
คำสั่งนี้สร้างกฎความปลอดภัยการเชื่อมต่อที่มีการรับรองความถูกต้องวิธีหนึ่งในการรับรองความถูกต้องที่กำหนด วิธีการรับรองความถูกต้องมีใบรับรองที่ใช้ RSA ใบรับรองการเซ็นชื่อ

กฎความปลอดภัยการเชื่อมต่อป้องกันปริมาณการใช้งาน โดยใช้ความสมบูรณ์ AH และ ESP SHA256 สำหรับความสมบูรณ์ และ AES192 สำหรับการเข้ารหัสลับ

ปรับเปลี่ยนกฎการรักษาความปลอดภัยการเชื่อมต่อที่มีอยู่

Netsh advfirewall
Usage: set rule
      group=<string> | name=<string>
      [type=dynamic|static]
      [profile=public|private|domain|any[,...] (default=any)]
      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [port1=0-65535|any]
      [port2=0-65535|any]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
      new
      [name=<string>]
      [profile=public|private|domain|any[,...]]
      [description=<string>]
      [mode=transport|tunnel]
      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [action=requireinrequestout|requestinrequestout|
         requireinrequireout|noauthentication]
      [enable=yes|no]
      [type=dynamic|static]
      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
      [port1=0-65535|any]
      [port2=0-65535|any]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
      [interfacetype=wiresless|lan|ras|any]
     [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
         computerntlm|anonymous[,...]]
      [auth1psk=<string>]
      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1healthcert=yes|no (default=no)]
      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap256healthcert=yes|no (default=no)]
      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap384healthcert=yes|no (default=no)]
      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
      [auth2ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
      [qmsecmethods=
         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
         default]


Remarks:

      - This sets a new parameter value on an identified rule. The command fails
        if the rule does not exist. To create a rule, use the "add" command.
      - Values after the new keyword are updated in the rule.  If there are
        no values, or if the "new" keyword is missing, no changes are made.
      - Only a group of rules can be enabled or disabled.
      - If multiple rules match the criteria, all matching rules are 
        updated.
      - The rule name should be unique, and it cannot be "all."
      - Auth1 and auth2 can be comma-separated lists of options.
      - The computerpsk and computerntlm methods cannot be specified together
        for auth1.
      - Computercert cannot be specified by using user credentials for auth2.
     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.  
      - Qmsecmethods can be a list of proposals that are separated by a comma (,).
      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
        encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
      - If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.  
     -  Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
      - If qmsemethods are set to "default," qmpfs will be set to "default" also.
      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The default value for "certmapping" and "excludecaname" is "no."
      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
ต่อไปนี้เป็นตัวอย่างของคำสั่งที่อัพเดกฎที่ถูกสร้างขึ้นใน "ตัวอย่างที่ 1" ในส่วนก่อนหน้านี้:
ชื่อของกฎการตั้งค่า Netsh advfirewall consec = qmsecmethods ใหม่ของการทดสอบ = ah: aesgmac256 + esp:aesgcm256-aesgcm256
คำสั่งนี้เป็นการปรับปรุงกฎใช้ 256 GCM AES สำหรับความสมบูรณ์ ESP และการเข้ารหัสลับ และใช้ 256 GMAC AES สำหรับความสมบูรณ์ AH

การตั้งค่าการตั้งค่าของโหมดหลักสากล

ข้อความต่อไปนี้ของวิธีใช้สำหรับเป็นnetsh advfirewall ชุดส่วนกลางคำสั่ง
netsh advfirewall>set global

Usage: set global statefulftp|statefulpptp  enable|disable|notconfigured
      set global IPsec (parameter) (value)
      set global mainmode (parameter) (value) | notconfigured

IPsec Parameters:

      strongcrlcheck    - Configures how CRL checking is enforced.
                          0: Disable CRL checking
                          1: Fail if cert is revoked (default)
                          2: Fail on any error
                          notconfigured: Returns the value to its unconfigured state.
      saidletimemin     - Configures the security association idle time in
                          minutes.
                        - Usage: 5-60|notconfigured (default=5)
      defaultexemptions - Configures the default IPsec exemptions. The default is
                          to exempt IPv6 neighbordiscovery protocol from
                          IPsec.
                        - Usage: none|neighbordiscovery|notconfigured

Main Mode Parameters:

      mmkeylifetime     - Sets the main mode key lifetime in minutes, in sessions, or in both.
                        - Usage: <num>min,<num>sess
      mmsecmethods      - Configures the main mode list of proposals
                        - Usage:
                          keyexch:enc-integrity,enc-integrity[,...]|default
                        - keyexch=dhgroup1|dhgroup2|dhgroup14|
                          ecdhp256|ecdhp384
                        - enc=3des|des|aes128|aes192|aes256
                        - integrity=md5|sha1|sha256|sha384

Remarks:

      - This configures global settings, such as advanced IPsec options.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The mmsecmethods keyword default sets the policy to the following:
        dhgroup2-aes128-sha1,dhgroup2-3des-sha1
      - Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
ต่อไปนี้คือ ตัวอย่างของคำสั่งที่ใช้ algorithms SHA ใหม่ในการตั้งค่าการเข้ารหัสลับในโหมดหลัก ที่ใช้งาน:
Netsh advfirewall เซ็ต dhgroup1:3des mmsecmethods mainmode ส่วนกลาง-sha256, 3des sha384

แก้ไขปัญหาเบื้องต้น การกำหนดค่า และตรวจสอบคำสั่ง

คำสั่ง "Netsh แสดงการ consec advfirewall กฎทั้งหมด"

กระบวนการnetsh advfirewall consec แสดงกฎทั้งหมดคำสั่งแสดงการกำหนดค่าสำหรับกฎการรักษาความปลอดภัยการเชื่อมต่อทั้งหมด

ต่อไปนี้คือ ตัวอย่างของผลลัพธ์สำหรับคำสั่งนี้
Rule Name:				test
Enabled:					Yes
Profiles:					Domain,Private,Public
Type:					Static
Mode:					Transport
Endpoint1:				Any
Endpoint2:				Any
Protocol:					Any
Action:					RequestInRequestOut
Auth1:					ComputerPSK
Auth1PSK:				         12345
MainModeSecMethods			         ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethods			AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb

คำสั่ง "Netsh advfirewall จอภาพแสดง mmsa"

กระบวนการจอภาพ advfirewall netsh แสดง mmsaคำสั่งแสดงความสัมพันธ์ด้านความปลอดภัยของโหมดหลัก

ต่อไปนี้คือ ตัวอย่างของผลลัพธ์สำหรับคำสั่งนี้
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:				157.59.24.101
Remote IP Address:			         157.59.24.119
My ID:
Peer ID:
First Auth:				ComputerPSK
Second Auth:				None
MM Offer:				         ECDHAP384-3DES-SHA256
Cookie Pair:				203d57505:5d088705
Health Pair:				No
Ok.

คำสั่ง "Netsh advfirewall จอภาพแสดง qmsa"

กระบวนการจอภาพ advfirewall netsh แสดง qmsaคำสั่งแสดงความสัมพันธ์ด้านความปลอดภัยของโหมดด่วน

ต่อไปนี้คือ ตัวอย่างของผลลัพธ์สำหรับคำสั่งนี้
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:				157.59.24.101
Remote IP Address:			         157.59.24.119
Local Port:				Any
Remote Port:				Any
Protocol:					Any
Direction:				Both
QM Offer:				         AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb	
Ok.

คำสั่ง "Netsh advfirewall แสดงทั้งหมด"

กระบวนการnetsh advfirewall แสดงส่วนกลางคำสั่งแสดงการตั้งค่าสากล

ต่อไปนี้คือ ตัวอย่างของผลลัพธ์สำหรับคำสั่งนี้
Global Settings:
IPsec:					
StrongCRLCheck				0:Disabled
SAIdleTimeMin				5min
DefaultExemptions			         NeighborDiscovery
IPsecThroughNAT			         Server and client behind NAT

StatefulFTP				Enable
StatefulPPTP				Enable

Main Mode:
KeyLifetime				2min,0sess
SecMethods				DHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384

ทำงานร่วมกัน

นำมาการสร้าง บังคับ และการจัดการนโยบาย IPsec ที่ใช้ชุด B algorithms ถูกใช้ ใน Windows Vista SP1 และ ใน Windows Server 2008 คุณสามารถจัดการ Group Policy ที่ประกอบด้วยชุด B algorithms โดยการใช้เครื่องมือที่ มี Windows Vista SP1 หรือ Windows Server 2008 เท่านั้น

ตัวอย่างสถานการณ์และผลลัพธ์ที่คาดว่าจะเป็นดังนี้

สถานการณ์สมมติ 1

คุณสามารถใช้ algorithms การเข้ารหัสลับใหม่เพื่อใช้นโยบายที่ถูกสร้างขึ้นบนคอมพิวเตอร์ที่ใช้ Windows Server 2008 หรือ Windows Vista SP1 ไปยังคอมพิวเตอร์ที่กำลังเรียกใช้ Windows Vista รุ่นวางจำหน่าย
ผลลัพธ์ที่คาดไว้
ถ้ากฎประกอบด้วยชุดโปรแกรมการเข้ารหัสลับที่ใช้ algorithms การเข้ารหัสลับใหม่ ชุดการเข้ารหัสลับเหล่านี้ถูกส่งน้อยลง และชุดอื่นที่เข้ารหัสลับในการตั้งค่าการเข้ารหัสลับถูกใช้แทน

ถ้าไม่มีชุดโปรแกรมที่เข้ารหัสลับในกฎมีรู้จัก กฎทั้งหมดถูกส่งน้อยลง เหตุการณ์ถูกบันทึกไว้ที่บ่งชี้ว่า ไม่สามารถประมวลผลกฎ ดังนั้น ถ้าชุดการเข้ารหัสลับทั้งหมดในชุดการแลกเปลี่ยนคีย์การเข้ารหัสลับตกหาย ไม่มีกฎความปลอดภัยการเชื่อมต่อในนโยบายจะใช้ อย่างไรก็ตาม กฎของไฟร์วอลล์ทั้งหมดจะยังคงใช้

กระบวนการตั้งค่าการรับรองความถูกต้องคล้ายกับขั้นตอนการตั้งค่าการเข้ารหัสลับ ถ้านโยบายที่มี สถานะของใบรับรองใหม่ (P256 ECDSA หรือ P384 ECDSA) จะนำมาใช้กับคอมพิวเตอร์ที่ใช้ Windows Vista รุ่นวางจำหน่าย วิธีการรับรองความถูกต้องถูกส่งน้อยลง

ถ้าวิธีการรับรองความถูกต้องทั้งหมดในชุดการรับรองความถูกต้องแรกจะตกหายด้วยเหตุนี้ กฎทั้งหมดจะไม่ประมวลผล ถ้าวิธีการรับรองความถูกต้องทั้งหมดในชุดการรับรองความถูกต้องที่สองจะตกหาย กฎได้รับการประมวลผล โดยเฉพาะตรวจสอบการแรกในการใช้การตั้งค่า

สถานการณ์สมมติ 2

บนคอมพิวเตอร์ที่ใช้ Windows Vista รุ่นวางจำหน่าย คุณสามารถใช้ algorithms การเข้ารหัสลับใหม่ได้เมื่อต้องการดูนโยบายที่ถูกสร้างขึ้นบนคอมพิวเตอร์ที่ใช้ Windows Server 2008 หรือ Windows Vista SP1
ผลลัพธ์ที่คาดไว้
algorithms แบบใหม่จะปรากฏเป็น “ที่ไม่รู้จัก ” ในทั้งตรวจสอบและการเขียนแก้ส่วนต่าง ๆ ของแนป in.ขั้นสูง MMC ความปลอดภัย Windows Firewall ได้netsh advfirewallคำสั่งแสดง algorithms เป็น “ไม่รู้จัก ” ใน Windows Vista

ข้อจำกัดในการทำงานร่วมกัน

ข้อจำกัดในการทำงานร่วมกันเป็นดังนี้:
  • เราไม่สนับสนุนการจัดการระยะไกลของนโยบายที่ใช้ algorithms B ชุดสำหรับคอมพิวเตอร์ที่ใช้ Windows Vista SP1 หรือ Windows Server 2008 จากคอมพิวเตอร์ที่ใช้ Windows Vista รุ่นวางจำหน่าย
  • เมื่อต้องการนำนโยบายที่ถูกสร้างขึ้นบนคอมพิวเตอร์ที่ใช้ Windows Vista SP1 หรือ Windows Server 2008 เข้าไปยังคอมพิวเตอร์ที่กำลังเรียกใช้ Windows Vista รุ่นวางจำหน่าย บางส่วนของนโยบายตกหาย ปัญหานี้เกิดขึ้นเนื่องจาก Windows Vista รุ่นวางจำหน่ายไม่รู้จัก algorithms ใหม่

ชุดโหมดด่วนอัลกอริธึมการเข้ารหัสลับที่ได้รับการสนับสนุน และไม่ได้รับการสนับสนุน

ตารางต่อไปนี้แสดงชุดอัลกอริทึมการเข้ารหัสลับโหมดด่วนที่ได้รับการสนับสนุน
ยุบตารางนี้ขยายตารางนี้
ProtocolAH ความสมบูรณ์ของความสอดคล้องของ ESPการเข้ารหัสลับ
ahaes gmac 128NoneNone
ahaes gmac 192NoneNone
ahaes gmac 256NoneNone
ahsha256NoneNone
ahsha1NoneNone
ahmd5NoneNone
espNoneaes gmac 128None
espNoneaes gmac 192None
espNoneaes gmac 256None
espNonesha256None
espNonesha1None
espNonemd5None
espNonesha256อัลกอริทึมการเข้ารหัสลับที่ได้รับการสนับสนุนใด ๆ ยกเว้น algorithms GCM AES
espNonesha1อัลกอริทึมการเข้ารหัสลับที่ได้รับการสนับสนุนใด ๆ ยกเว้น algorithms GCM AES
espNonemd5อัลกอริทึมการเข้ารหัสลับที่ได้รับการสนับสนุนใด ๆ ยกเว้น algorithms GCM AES
espNoneaes gcm 128aes gcm 128
espNoneaes gcm 192aes gcm 192
espNoneaes gcm 256aes gcm 256
ah + espaes gmac 128aes gmac 128None
ah + espaes gmac 128aes gmac 128None
ah + espaes gmac 128aes gmac 128None
ah + espsha 256sha 256None
ah + espsha1sha1None
ah + espmd5md5None
ah + espsha256sha256อัลกอริทึมการเข้ารหัสลับที่ได้รับการสนับสนุนใด ๆ ยกเว้น algorithms GCM AES
ah + espsha1sha1อัลกอริทึมการเข้ารหัสลับที่ได้รับการสนับสนุนใด ๆ ยกเว้น algorithms GCM AES
ah + espmd5md5อัลกอริทึมการเข้ารหัสลับที่ได้รับการสนับสนุนใด ๆ ยกเว้น algorithms GCM AES
ah + espaes gmac 128aes gcm 128aes gcm 128
ah + espaes gmac 192aes gcm 192aes gcm 192
ah + espaes gmac 256aes gcm 256aes gcm 256
หมายเหตุ:GMAC aes จะเหมือนกับ GCM AES ด้วยการเข้ารหัสลับที่เป็น null ตัวอย่างเช่น คุณสามารถระบุความสมบูรณ์ AH ใช้ 128 GMAC AES และคุณสามารถระบุความสมบูรณ์ของ ESP ใช้ 128 GCM AES นี่คือข้อยกเว้นเดียวกับกฎที่ AH และ ESP algorithms ความถูกต้องเหมือนกัน

ชุดข้อมูลที่อธิบายไว้ในตารางต่อไปนี้ไม่ได้รับการสนับสนุน
ยุบตารางนี้ขยายตารางนี้
ProtocolAH ความสมบูรณ์ของความสอดคล้องของ ESPการเข้ารหัสลับ
espNoneaes gmac 128อัลกอริทึมการเข้ารหัสลับที่ได้รับการสนับสนุนใด ๆ
espNoneaes gmac 192อัลกอริทึมการเข้ารหัสลับที่ได้รับการสนับสนุนใด ๆ
espNoneaes gmac 256อัลกอริทึมการเข้ารหัสลับที่ได้รับการสนับสนุนใด ๆ
espNoneaes gcm 1281. none
2. อัลกอริทึมการเข้ารหัสลับใด ๆ ยกเว้น 128 GCM AES
espNoneaes gcm 1921. none
2. อัลกอริทึมการเข้ารหัสลับใด ๆ ยกเว้น 192 GCM AES
espNoneaes gcm 2561. none
2. อัลกอริทึมการเข้ารหัสลับใด ๆ ยกเว้น 256 GCM AES
ah + espaes gmac 128aes gmac 128อัลกอริทึมการเข้ารหัสลับที่ได้รับการสนับสนุนใด ๆ
ah + espaes gmac 192aes gmac 192อัลกอริทึมการเข้ารหัสลับที่ได้รับการสนับสนุนใด ๆ
ah + espaes gmac 256aes gmac 256อัลกอริทึมการเข้ารหัสลับที่ได้รับการสนับสนุนใด ๆ
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับชุด B แวะไปที่เว็บไซต์ต่อไปนี้:
http://www.nsa.gov/ia/programs/suiteb_cryptography/index.shtml
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ IPsec และการเชื่อมต่อกฎความปลอดภัย แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
http://go.microsoft.com/fwlink/?linkid=96525
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการเข้ารหัสสร้างถัดไปใน Windows Server 2008 แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
http://technet2.microsoft.com/windowsserver2008/en/library/532ac164-da33-4369-bef0-8f019d5a18b81033.mspx?mfr=true
สำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
949299คำอธิบายของกลุ่มการรักษาความปลอดภัยผู้ปฏิบัติการเข้ารหัสลับที่ถูกเพิ่มไปยัง Windows Vista Service Pack 1 การกำหนดค่าไฟร์วอลล์ Windows สำหรับ IPsec ร่วมในโหมดเกณฑ์

คุณสมบัติ

หมายเลขบทความ (Article ID): 949856 - รีวิวครั้งสุดท้าย: 11 กันยายน 2554 - Revision: 2.0
ใช้กับ
  • Windows Vista Service Pack 1 เมื่อใช้กับ:
    • Windows Vista Business
    • Windows Vista Business 64-bit edition
    • Windows Vista Enterprise
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate
    • Windows Vista Ultimate 64-bit edition
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Keywords: 
kbexpertiseinter kbhowto kbinfo kbmt KB949856 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:949856

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com