Destek kısıtlamaları
Paketi B için destek sınırlamaları şunlardır:
- Oluşturma ve paketi B algoritmaları kullanılarak, ıpsec ilkesinin zorlama desteklenir yalnızca Windows Vista Service Pack 1'de (SP1), Windows Server 2008 veya Windows'un sonraki sürümleri.
- Paketi B algoritmaları içeren ilkelerini geliştirme "Windows Güvenlik Duvarı ile Advanced Security" Microsoft Yönetim Konsolu'nu (MMC) ek bileşenini ve Windows'un sonraki sürümleri için Windows 7 aracılığıyla desteklenir.
- Netsh advfirewall help komutunu, paketi B algoritmalar için yapılandırma seçenekleri görüntülemez. Bu, yalnızca Windows Vista SP1'e uygulanır.
Tanımlar
- B paketi
B paketi, National Security Agency (NSA) tarafından belirtilen standartları kümesidir. B paketi en geniş aralığını ABD hükümeti gereksinimlerine uyan ürünleri oluşturmak için kullanılan şifreleme algoritmaları ortak kümesiyle endüstri sağlar. B paketi, aşağıdaki türde algoritmaları tayini içerir: - Bütünlük
- Şifreleme
- Anahtar değişimi
- Dijital imza
- Federal Bilgi işleme standartları (FIPS)
FIPS kuralları ve standartlar, federal bilgi işlem kaynağı yöneten kümesidir. Tüm paketi B algoritmaları, FIPS onaylanmış olan.
Daha fazla bilgi için aşağıdaki Web sitesini ziyaret edin: - NIST
Bu teknoloji ve National ınstitute of Standards kısaltmasıdır. - Veri bütünlüğü algoritmaları
Veri bütünlüğü algoritmaları, aktarım sırasında bilgi değiştiriliyor değil, emin olmak için ileti karmalarını kullanır. - Veri şifreleme algoritmaları
Veri şifreleme algoritmaları aktarılmasına neden bilgileri gizlemek için kullanılır. Şifreleme algoritmaları, düz metin için gizli bir kod dönüştürmek için kullanılır.
Örneğin, şifreleme algoritmaları, düz metin için ciphertext dönüştürebilirsiniz. The ciphertext özgün düz metne sonra sorunsuz. Dönüştürme gerçekleştirmek için "anahtarı" her algoritmasını kullanır. Anahtar türü ve anahtar uzunluğunu, kullanılan algoritma bağlıdır. - Ipsec
Bu "Internet Protokolü güvenliği" terimi için anlamındadır
ıpsec hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin: - Gelişmiş Şifreleme Standardı Galois ileti kimlik doğrulama kodu (AES-GMAC)
Bu algoritma, NIST özel yayın içinde açıklanan 800-38 D. Bu belgeyi görüntülemek için aşağıdaki Web sitesini ziyaret edin: - Gelişmiş Şifreleme Standardı (AES-GCM) modunda Galois/sayacı
Bu algoritma, NIST özel yayın içinde açıklanan 800-38 D. Bu belgeyi görüntülemek için aşağıdaki Web sitesini ziyaret edin: - Eliptik Eğri dijital imza algoritması (ECDSA)
Eliptik Eğri (EC) bir türevini EC gruplarında çalışan dijital imza algoritması ' dir. AB türevi düzeyde güvenlik için en küçük anahtar boyutları sağlar.
Bu algoritma FIPS yayında 186 2 açıklanır. Bu yayını görüntülemek için <a0></a0>, aşağıdaki Microsoft Web sitesini ziyaret edin: - Sertifika yetkilisi (CA)
Bir sertifika yetkilisinden dijital sertifika veren bir varlıktır. Bu sertifikalar, ıpsec kimlik doğrulama yöntemi olarak kullanabilirsiniz. - Kimlik doğrulama üstbilgisi (AH)
Kimlik doğrulama üstbilgisi tüm paket için kimlik doğrulama, bütünlük ve yeniden yürütmeye karşı işlevsellik sağlayan bir ıpsec kuralıdır. Bu, IP üstbilgisi ve veri yükü içerir.
AH, gizliliği sağlamaz. Bunun anlamı, AH verileri şifrelemez. Veriler okunabilir, ancak bunu yazılamaz. - Kapsüllenen Güvenlik Yükü (ESP)
ESP gizliliği, kimlik doğrulama, bütünlük ve yeniden yürütmeye karşı işlevsellik sağlayan bir ıpsec kuralıdır. ESP tek başına kullanılabilir veya AH ile birlikte kullanılabilir.
Ana mod algoritmaları
Windows Vista SP1 ve Windows Server 2008'de, aşağıdaki bütünlük algoritmaları, zaten Windows Vista'nın yayın sürümünde desteklenen bu algoritmaların ek olarak desteklenir:
Not Anahtar değişimi algoritması ve şifreleme algoritması değiştirilmez.
Hızlı mod algoritmaları
Windows Vista SP1 ve Windows Server 2008'de, Windows Vista'nın yayın sürümünde desteklenen zaten bu algoritmaların ek olarak aşağıdaki algoritmalarını destekler.
Bütünlük (AH veya ESP)
- sha-256
- aes-128-gmac
- aes-192-gmac
- aes-gmac-256
Bütünlük ve şifreleme (ESP yalnızca)
- aes-128-gcm
- aes-192-gcm
- aes-gcm-256
Desteklenen ve desteklenmeyen AH ve ESP birleşimler hakkında daha fazla bilgi için bkz: "desteklenen ve desteklenmeyen hızlı mod şifreleme algoritması birleşimler" bölümü.
Hızlı mod için sınırlamalar
- Aynı bütünlük algoritması, AH ve ESP için kullanılmalıdır.
- AES-GMAC algoritmaları, boş şifreleme olan bütünlük algoritması için kullanılabilir. Bu nedenle, bu algoritmaların herhangi birini ESP bütünlük için belirtilmişse, şifreleme algoritması belirtilemez.
- AES-GCM algoritma kullanırsanız, aynı algoritma ESP bütünlük ve şifreleme için belirtilmelidir.
kimlik doğrulaması
Windows Vista SP1 ve Windows Server 2008'de, aşağıdaki kimlik doğrulama yöntemleri zaten Windows Vista'nın yayın sürümünde desteklenen bu kimlik doğrulama yöntemlerini ek olarak desteklenir.
- Bilgisayar sertifikası, ECDSA P256 imzası
- Bilgisayar sertifikası, ECDSA P384 imzası
Not Windows Vista için varsayılan kimlik doğrulama yöntemi, RSA SecurId kimlik doğrulamasıdır.
Sözdizimi ve örnekler
Bu bölümde, eklemek ve bağlantı güvenliği kuralları değiştirmek için
Netsh advfirewall</a0> komutunu kullanma sözdizimi anlatılmaktadır. Bu bölümde,
Netsh advfirewall komutları örnekler de sağlar.
Bir bağlantı güvenliği kuralı Ekle
Netsh advfirewall
Usage: add rule name=<string>
endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
action=requireinrequestout|requestinrequestout|
requireinrequireout|noauthentication
[description=<string>]
[mode=transport|tunnel (default=transport)]
[enable=yes|no (default=yes)]
[profile=public|private|domain|any[,...] (default=any)]
[type=dynamic|static (default=static)]
[localtunnelendpoint=<IPv4 address>|<IPv6 address>]
[remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
[port1=0-65535|any (default=any)]
[port2=0-65535|any (default=any)]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
[interfacetype=wiresless|lan|ras|any (default=any)]
[auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
computerntlm|anonymous[,...]]
[auth1psk=<string>]
[auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1healthcert=yes|no (default=no)]
[auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap256healthcert=yes|no (default=no)]
[auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap384healthcert=yes|no (default=no)]
[auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
[auth2ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
[qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
none (default=none)]
[qmsecmethods=
ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
|default]
Remarks:
- The rule name should be unique, and it cannot be "all."
- When mode=tunnel, both tunnel endpoints must be specified and must be
the same IP version. Also, the action must be requireinrequireout.
- At least one authentication must be specified.
- Auth1 and auth2 can be comma-separated lists of options.
- The "computerpsk" and "computerntlm" methods cannot be specified together
for auth1.
- Computercert cannot be specified with user credentials for auth2.
- Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmsecmethods can be a list of proposals separated by a comma (,).
- For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
- If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.
- sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmpfs=mainmode uses the main mode key exchange setting for PFS.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The default value for certmapping and for excludecaname is "no."
- The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').Örnek 1
Aşağıdaki örnek bir
Netsh advfirewall komutun göz önünde bulundurun:
Netsh advfirewall consec ekleme rule name test1 endpoint1 = tüm endpoint2 = herhangi bir eylem = requestinrequestout açıklama = ” kullan ECDSA256 sertifika ve AESGMAC256 ” = auth1 computercert, computercertecdsap256 auth1ca = = ” C = US, O = MSFT, CN = = \ 'Microsoft Kuzey, Güney, Doğu ve Batı kök Authority\ ’ ” auth1healthcert hiçbir auth1ecdsap256ca = = ” C = US, O = MSFT, CN = = \ 'Microsoft Kuzey, Güney, Doğu ve Batı kök Authority\ ’ ” auth1ecdsap256healthcert yes qmsecmethods = ah =: aesgmac256 + esp:aesgmac256-hiçbiri
Bu komut, ayarlama aşağıdaki kimlik doğrulama yöntemleri kimlik doğrulaması olan bir bağlantı güvenliği kuralı oluşturur:
- Birinci kimlik doğrulama yöntemi RSA imza sertifikası kullanan bir sertifikadır.
- Ikinci kimlik doğrulama yöntemi ECDSA256 sertifika imzalama için kullanılan bir sistem durumu sertifikasıdır.
Bağlantı güvenliği kuralı trafik, AH ve ESP bütünlüğü ile yeni AES GMAC 256 algoritmayı kullanarak korur. Kuralın, şifreleme içermez.
Örnek 2
Aşağıdaki örnek bir
Netsh advfirewall komutun göz önünde bulundurun:
Netsh advfirewall consec ekleme rule name test2 endpoint1 = herhangi bir endpoint2 = herhangi bir eylem = requestinrequestout açıklama = ” kullan SHA 256 ” için bütünlük ve şifreleme AES192 auth1 = computercert auth1ca = = ” C = US, O = MSFT, CN = \ 'Microsoft Kuzey, Güney, Doğu ve Batı kök Authority\ ’ = ” auth1healthcert hiçbir qmsecmethods = ah =: sha256 + esp:sha256-aes192
Bu komut, bir kimlik doğrulama yöntemi kimlik doğrulama kümesi olan bir bağlantı güvenliği kuralı oluşturur. RSA imza sertifikası kullanan bir sertifika kimlik doğrulama yöntemidir.
Bağlantı güvenliği kuralı trafik, AH ve ESP bütünlüğü SHA256 bütünlük ve şifreleme AES192 kullanarak korur.
Varolan bir bağlantı güvenliği kuralı değiştirme
Netsh advfirewall
Usage: set rule
group=<string> | name=<string>
[type=dynamic|static]
[profile=public|private|domain|any[,...] (default=any)]
[endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[port1=0-65535|any]
[port2=0-65535|any]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
new
[name=<string>]
[profile=public|private|domain|any[,...]]
[description=<string>]
[mode=transport|tunnel]
[endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[action=requireinrequestout|requestinrequestout|
requireinrequireout|noauthentication]
[enable=yes|no]
[type=dynamic|static]
[localtunnelendpoint=<IPv4 address>|<IPv6 address>]
[remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
[port1=0-65535|any]
[port2=0-65535|any]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
[interfacetype=wiresless|lan|ras|any]
[auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
computerntlm|anonymous[,...]]
[auth1psk=<string>]
[auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1healthcert=yes|no (default=no)]
[auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap256healthcert=yes|no (default=no)]
[auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap384healthcert=yes|no (default=no)]
[auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
[auth2ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
[qmsecmethods=
ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
default]
Remarks:
- This sets a new parameter value on an identified rule. The command fails
if the rule does not exist. To create a rule, use the "add" command.
- Values after the new keyword are updated in the rule. If there are
no values, or if the "new" keyword is missing, no changes are made.
- Only a group of rules can be enabled or disabled.
- If multiple rules match the criteria, all matching rules are
updated.
- The rule name should be unique, and it cannot be "all."
- Auth1 and auth2 can be comma-separated lists of options.
- The computerpsk and computerntlm methods cannot be specified together
for auth1.
- Computercert cannot be specified by using user credentials for auth2.
- Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmsecmethods can be a list of proposals that are separated by a comma (,).
- For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
- If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.
- Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- If qmsemethods are set to "default," qmpfs will be set to "default" also.
- Qmpfs=mainmode uses the main mode key exchange setting for PFS.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The default value for "certmapping" and "excludecaname" is "no."
- The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Önceki bölümdeki "Örnek 1" içinde oluşturulan kural güncelleştiren bir komut bir örnek şudur:
Netsh advfirewall consec kural adı ayarlama sınama yeni qmsecmethods = ah =: aesgmac256 + esp:aesgcm256-aesgcm256
Bu komut, AES-GCM 256 ESP bütünlük ve şifreleme kullanmasını ve AES-GMAC 256 AH bütünlüğü için kullanmak üzere kural güncelleştirir.
Genel ana mod ayarlarını belirleme
Aşağıdaki Yardım metni için
Netsh advfirewall set global komuttur.
netsh advfirewall>set global
Usage: set global statefulftp|statefulpptp enable|disable|notconfigured
set global IPsec (parameter) (value)
set global mainmode (parameter) (value) | notconfigured
IPsec Parameters:
strongcrlcheck - Configures how CRL checking is enforced.
0: Disable CRL checking
1: Fail if cert is revoked (default)
2: Fail on any error
notconfigured: Returns the value to its unconfigured state.
saidletimemin - Configures the security association idle time in
minutes.
- Usage: 5-60|notconfigured (default=5)
defaultexemptions - Configures the default IPsec exemptions. The default is
to exempt IPv6 neighbordiscovery protocol from
IPsec.
- Usage: none|neighbordiscovery|notconfigured
Main Mode Parameters:
mmkeylifetime - Sets the main mode key lifetime in minutes, in sessions, or in both.
- Usage: <num>min,<num>sess
mmsecmethods - Configures the main mode list of proposals
- Usage:
keyexch:enc-integrity,enc-integrity[,...]|default
- keyexch=dhgroup1|dhgroup2|dhgroup14|
ecdhp256|ecdhp384
- enc=3des|des|aes128|aes192|aes256
- integrity=md5|sha1|sha256|sha384
Remarks:
- This configures global settings, such as advanced IPsec options.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The mmsecmethods keyword default sets the policy to the following:
dhgroup2-aes128-sha1,dhgroup2-3des-sha1
- Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista. Yeni SHA algoritmalar ana mod şifreleme kümesi kullanan bir komut örneği aşağıda verilmektedir:
Netsh advfirewall global mainmode mmsecmethods dhgroup1:3des ayarlama-sha256, 3des-sha384
Sorun giderme, yapılandırma ve doğrulama komutları
"Netsh advfirewall consec show kural tüm" komutu
Netsh advfirewall consec show rule all komutu, tüm bağlantı güvenliği kuralları yapılandırmasını görüntüler.
Aşağıda, bu komutun çıktısı örneği verilmektedir.
Rule Name: test
Enabled: Yes
Profiles: Domain,Private,Public
Type: Static
Mode: Transport
Endpoint1: Any
Endpoint2: Any
Protocol: Any
Action: RequestInRequestOut
Auth1: ComputerPSK
Auth1PSK: 12345
MainModeSecMethods ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethods AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb
"Netsh advfirewall monitor show mmsa" komutu
Netsh advfirewall monitör show mmsa komutu, ana mod güvenlik ilişkisi görüntüler.
Aşağıda, bu komutun çıktısı örneği verilmektedir.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address: 157.59.24.101
Remote IP Address: 157.59.24.119
My ID:
Peer ID:
First Auth: ComputerPSK
Second Auth: None
MM Offer: ECDHAP384-3DES-SHA256
Cookie Pair: 203d57505:5d088705
Health Pair: No
Ok.
"Netsh advfirewall monitör gösteri adres" komutu
Netsh advfirewall monitör adres Göster komutu, hızlı mod güvenlik ilişkisi görüntüler.
Aşağıdaki çıkış için bu komutu örneğidir
Main Mode SA at 01/04/2008 13:10:09
Local IP Address: 157.59.24.101
Remote IP Address: 157.59.24.119
Local Port: Any
Remote Port: Any
Protocol: Any
Direction: Both
QM Offer: AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb
Ok.
"Netsh advfirewall show global" komutu
Netsh advfirewall show global komutu, genel ayarlarını görüntüler.
Aşağıda, bu komutun çıktısı örneği verilmektedir.
Global Settings:
IPsec:
StrongCRLCheck 0:Disabled
SAIdleTimeMin 5min
DefaultExemptions NeighborDiscovery
IPsecThroughNAT Server and client behind NAT
StatefulFTP Enable
StatefulPPTP Enable
Main Mode:
KeyLifetime 2min,0sess
SecMethods DHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384
Birlikte çalışabilirlik
Oluşturma, zorlama ve Yönetim Paketi B algoritmaları kullanan ıpsec ilkesinin Windows Server 2008 ve Windows Vista SP1'de sunulmaktadır. Windows Vista SP1 veya Windows Server 2008 ile yayımlanmış olan araçları yalnızca kullanarak paketi B algoritmaları içeren Grup ilkesi yönetebilir.
Örnek senaryolar ve beklenen sonuçlar aşağıdaki gibidir.
Senaryo 1
Windows Vista'nın yayın sürümünü çalıştıran bir bilgisayara Windows Server 2008 veya Windows Vista çalıştıran bir bilgisayarda oluşturulmuş bir ilkeyi uygulamak için yeni şifreleme algoritmalarına kullanın.
Beklenen sonuç
Bir kural, yeni şifreleme algoritmaları kullanan bir şifreleme paketleri içeriyorsa, bu şifreleme paketleri bırakılır ve diğer şifreleme paketleri şifreleme kümesi yerine kullanılır.
Kuralın bir şifreleme paketlerinde hiçbiri tanınıyor, tüm kural bırakılır. Kural işlenemiyor gösteren bir olay kaydedilir. Şifreleme kümesi anahtar değişimi, tüm şifreleme paketleri bırakılır, bu nedenle, hiçbir ilkesinde bağlantı güvenliği kuralları uygulanır. Ancak, tüm güvenlik duvarı kuralları hala uygulanır.
Kimlik doğrulama kümesi işlemi şifreleme kümesi işlemine benzer. Bir ilke içeren yeni sertifika bayraklar (ECDSA P256 veya ECDSA P384), Windows Vista'nın yayın sürümünü çalıştıran bir bilgisayara uygulanan, kimlik doğrulama yöntemlerini bırakılır.
Birinci kimlik doğrulama kümesi kimlik doğrulama yöntemlerinin hiçbiri, bu nedenle düşürülme, tüm kural işlenmedi. Ikinci kimlik doğrulama kümesi kimlik doğrulama yöntemlerinin hiçbiri düşürülme, kural yalnızca ilk kimlik doğrulaması kullanarak işlenir ayarlayın.
Senaryo 2
Windows Vista'nın yayın sürümünü çalıştıran bir bilgisayarda, yeni şifreleme algoritmalarına Windows Server 2008 veya Windows Vista SP1'i çalıştıran bir bilgisayarda oluşturulan bir bağlantı isteği ilkesi'ni görüntülemek için kullanın.
Beklenen sonuç
Yeni algoritmaları “ bilinmeyen ” hem izleme ve Windows Güvenlik Duvarı Gelişmiş Güvenlik MMC ek bileşenini parçaları geliştirme görüntülenir.
Netsh advfirewall</a0> komutu Windows Vista'daki “ bilinmeyen ” algoritmalar de görüntüler.
Birlikte çalışabilirlik kısıtlamalar
Birlikte çalışabilirlik kısıtlamalar şunlardır:
- Size, Windows Vista'nın yayın sürümünü çalıştıran bir bilgisayardan Windows Vista SP1 veya Windows Server 2008 çalıştıran bilgisayarlarda, Suite B algoritmaları kullanan ilkeleri uzaktan yönetimi desteklemez.
- Windows Vista'nın yayın sürümünü çalıştıran bir bilgisayara Windows Vista SP1 veya Windows Server 2008 çalıştıran bir bilgisayarda oluşturulan bir ilke alındığında, bazı bölümleri ilkenin bırakılır. Bu durum Windows Vista'nın yayın sürümünde yeni algoritmaları tanıyamaz kaynaklanır.
Desteklenen ve desteklenmeyen bir hızlı mod şifreleme algoritması birleşimler
Aşağıdaki tablo, desteklenen bir hızlı mod şifreleme algoritması birleşimlerini gösterir.
Bu tabloyu kapaBu tabloyu aç
| Protokol | AH bütünlüğü | ESP bütünlük | Şifreleme |
|---|
| ah | aes-128 gmac | Yok | Yok |
| ah | aes-192 gmac | Yok | Yok |
| ah | aes-256 gmac | Yok | Yok |
| ah | SHA256 | Yok | Yok |
| ah | SHA1 | Yok | Yok |
| ah | MD5 | Yok | Yok |
| esp | Yok | aes-128 gmac | Yok |
| esp | Yok | aes-192 gmac | Yok |
| esp | Yok | aes-256 gmac | Yok |
| esp | Yok | SHA256 | Yok |
| esp | Yok | SHA1 | Yok |
| esp | Yok | MD5 | Yok |
| esp | Yok | SHA256 | AES-GCM algoritmaları dışında herhangi bir desteklenen bir şifreleme algoritması |
| esp | Yok | SHA1 | AES-GCM algoritmaları dışında herhangi bir desteklenen bir şifreleme algoritması |
| esp | Yok | MD5 | AES-GCM algoritmaları dışında herhangi bir desteklenen bir şifreleme algoritması |
| esp | Yok | aes-128 gcm | aes-128 gcm |
| esp | Yok | aes-192 gcm | aes-192 gcm |
| esp | Yok | aes-256 gcm | aes-256 gcm |
| ah + esp | aes-128 gmac | aes-128 gmac | Yok |
| ah + esp | aes-128 gmac | aes-128 gmac | Yok |
| ah + esp | aes-128 gmac | aes-128 gmac | Yok |
| ah + esp | sha-256 | sha-256 | Yok |
| ah + esp | SHA1 | SHA1 | Yok |
| ah + esp | MD5 | MD5 | Yok |
| ah + esp | SHA256 | SHA256 | AES-GCM algoritmaları dışında herhangi bir desteklenen bir şifreleme algoritması |
| ah + esp | SHA1 | SHA1 | AES-GCM algoritmaları dışında herhangi bir desteklenen bir şifreleme algoritması |
| ah + esp | MD5 | MD5 | AES-GCM algoritmaları dışında herhangi bir desteklenen bir şifreleme algoritması |
| ah + esp | aes-128 gmac | aes-128 gcm | aes-128 gcm |
| ah + esp | aes-192 gmac | aes-192 gcm | aes-192 gcm |
| ah + esp | aes-256 gmac | aes-256 gcm | aes-256 gcm |
AES-GMAC AES GCM null şifrelemeli aynıdır. Örneğin, AES-GMAC 128 kullanmak için AH bütünlüğü belirtebilirsiniz ve ESP bütünlüğü, AES-GCM 128 kullanılacağını belirtebilirsiniz. AH ve ESP bütünlük algoritmaları özdeş olması gerektiğini kuralı bununla ilgili tek özel durum budur.
Aşağıdaki tabloda açıklanan birleşimleri desteklenmez.
Bu tabloyu kapaBu tabloyu aç
| Protokol | AH bütünlüğü | ESP bütünlük | Şifreleme |
|---|
| esp | Yok | aes-128 gmac | Herhangi bir desteklenen bir şifreleme algoritması |
| esp | Yok | aes-192 gmac | Herhangi bir desteklenen bir şifreleme algoritması |
| esp | Yok | aes-256 gmac | Herhangi bir desteklenen bir şifreleme algoritması |
| esp | Yok | aes-128 gcm | 1. Yok
2. AES-GCM 128 dışında herhangi bir şifreleme algoritması |
| esp | Yok | aes-192 gcm | 1. Yok
2. AES-GCM 192 dışında herhangi bir şifreleme algoritması |
| esp | Yok | aes-256 gcm | 1. Yok
2. AES-GCM 256 dışında herhangi bir şifreleme algoritması |
| ah + esp | aes-128 gmac | aes-128 gmac | Herhangi bir desteklenen bir şifreleme algoritması |
| ah + esp | aes-192 gmac | aes-192 gmac | Herhangi bir desteklenen bir şifreleme algoritması |
| ah + esp | aes-256 gmac | aes-256 gmac | Herhangi bir desteklenen bir şifreleme algoritması |
Paketi B hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
ıpsec ve bağlantı güvenliği kuralları hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
Windows Server 2008'de şifreleme ileri oluşturma hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
949299
(http://support.microsoft.com/kb/949299/
)
Ölçüt modu için Windows Vista Service Pack için ıpsec, ortak Windows Güvenlik Duvarı'nı yapılandırmak için 1'e eklenmiş olan şifreleme Operators güvenlik grubunun açıklaması
Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email
Otomatik Tercüme
Üste
