Paket B şifreleme algoritmaları için IPSec Windows Vista Service Pack 1, Windows Server 2008 ve Windows 7 için eklenen destek açıklaması

Makale çevirileri Makale çevirileri
Makale numarası: 949856 - Bu makalenin geçerli olduğu ürünleri görün.
Windows Vista Service Pack 1 (SP1) için destek 12 Temmuz 2011 tarihinde sona ermiştir. Windows için güvenlik güncelleştirmelerini almaya devam etmek için Windows Vista Service Pack 2 (SP2) çalıştırdığınızdan emin olun. Daha fazla bilgi için şu Microsoft web sayfasına bakın: Bazı Windows sürümleri için destek sona eriyor.
Hepsini aç | Hepsini kapa

Bu Sayfada

GİRİŞ

Bu makalede Windows Vista Service Pack 1 (SP1) ve Windows Server 2008 eklendi Paket B şifreleme algoritmaları desteğini açıklar. Paket B ABD National Security Agency (NSA) tarafından onaylanan şifreleme algoritmaları grubudur.

Paket B çalışabilen bir şifreleme framework önemli verileri korumak için kullanılır. Destek aşağıdaki alanlar için Paket B algoritmaları şekilde genişletilmiştir:
  • Ana mod
  • Hızlı mod
  • Kimlik doğrulama ayarları
Bu makalede ayrıca Paket B algoritmaları kullanan Internet Protokolü güvenliği (IPSec) ilkesi yapılandırması sözdizimini açıklar.

Daha fazla bilgi

Destek sınırlamaları

Destek sınırlamalar Suite b şunlardır:
  • Oluşturma ve paket B algoritmaları kullanarak IPSec ilkesinin zorlama Windows Server 2008 veya sonraki Windows sürümlerinde yalnızca Windows Vista Service Pack 1'de (SP1) desteklenmiştir.
  • Paket B algoritmalarını içeren ilkeleri geliştirme yoluyla "Windows Firewall with Advanced Security" Microsoft Yönetim Konsolu (MMC) ek bileşenini ve Windows'un sonraki sürümleri, Windows 7 için desteklenir.
  • Netsh advfirewall help komut Paket B algoritmaları için yapılandırma seçenekleri görüntülemez. Bu, yalnızca Windows Vista SP1'e uygulanır.

Tanımları

  • Paket B

    Suite B, National Security Agency (NSA) tarafından belirlenen standartlar kümesidir. B endüstri ile ortak bir yelpazedeki ABD hükümeti gereksinimlerini karşılayan ürünleri oluşturmak için kullanılan şifreleme algoritmaları kümesi sağlar. Paket B algoritmaları aşağıdaki türlerde belirtimini içerir:
    • Bütünlük
    • Şifreleme
    • Anahtar değişimi
    • Dijital imza
  • Federal Bilgi işleme standartları (FIPS)

    FIPS kuralları ve federal bilgi işlem kaynaklarını yöneten standartları kümesidir. Tüm paket B algoritmaları FIPS tarafından onaylanmış.

    Daha fazla bilgi için aşağıdaki Web sitesini ziyaret edin:
    http://www.itl.nist.gov/fipspubs/geninfo.htm
  • NIST

    National Institute of Standards and Technology kısaltması budur.
  • Veri bütünlüğü algoritmaları

    Veri bütünlüğü algoritmaları ileti karmalarını aktarma durumundayken bilgi değiştirilmeyecek olduğunu emin olmak için kullanın.
  • Veri şifreleme algoritmaları

    Veri şifreleme algoritmaları aktarılıyor bilgileri gizlemek için kullanılır. Şifreleme algoritmaları için gizli bir kod düz metne dönüştürmek için kullanılır.

    Örneğin, şifreleme algoritmaları şifreli düz metin dönüştürebilirsiniz. Şifreli metni özgün düz metin sonra çözülebilir. Dönütürme ilemini gerçekletirmek için bir "anahtar" her algoritmasını kullanır. Anahtar türü ve uzunluğu, anahtarı üzerinde kullanılan algoritma bağlıdır.
  • IPSec

    Bu terim için "Internet Protokolü güvenliği" kısaltmasıdır

    IPSec hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
    http://technet.microsoft.com/en-us/Network/bb531150.aspx
  • Eliptik Eğri Dijital imza algoritması (ECDSA)

    Eliptik Eğri (EC) bir AB gruplarında çalışır dijital imza algoritması çeşididir. EC çeşit küçük anahtar boyutları aynı güvenlik düzeyi sağlar.

    186-2 FIPS yayında bu algoritma açıklanır. Bu yayını görüntülemek için aşağıdaki Web sitesini ziyaret edin:
    http://csrc.nist.gov/Publications/Fips/archive/fips186-2/fips186-2.PDF
  • Sertifika yetkilisi (CA)

    Bir sertifika yetkilisinden dijital sertifika veren bir varlıktır. IPSec bu sertifikalar, kimlik doğrulama yöntemi olarak kullanabilirsiniz.
  • Kimlik Doğrulama Üstbilgisi (AH)

    Kimlik doğrulama üstbilgisi, tüm paket için kimlik doğrulama, bütünlük ve yeniden yürütmeyi önleme özelliklerinin işlevsellik sağlayan bir IPSec kuralıdır. Bu IP üstbilgisi ile veri yükü içerir.

    AH, gizliliği sağlamaz. Başka bir deyişle, AH verileri şifrelemez. Veriler okunabilir, ancak yazılamaz durumda.
  • Şifrelenmiş Güvenli Yük (ESP)

    ESP gizliliği, kimlik doğrulama, bütünlük ve yeniden yürütmeyi önleme özelliklerinin işlevsellik sağlayan bir IPSec kuralıdır. ESP tek başına kullanılabilir veya AH ile birlikte kullanılabilir.

Ana mod algoritmaları

Windows Vista SP1 ve Windows Server 2008'de, aşağıdaki bütünlük algoritmalarını zaten Windows Vista'nın yayın sürümünde desteklenen bu algoritmaları ek olarak desteklenir:
  • SHA-256
  • SHA-384
Not Anahtar değişimi algoritması ve şifreleme algoritmaları değişmez.

Hızlı mod algoritmaları

Windows Vista SP1 ve Windows Server 2008'de, zaten Windows Vista'nın yayın sürümünde desteklenen bu algoritmaları yanı sıra aşağıdaki algoritmalarını destekler.

Bütünlük (AH veya ESP)

  • SHA-256
  • AES-GMAC-128
  • AES-GMAC-192
  • AES-GMAC-256

Bütünlük ve şifreleme (ESP yalnızca)

  • AES-GCM-128
  • AES-GCM-192
  • AES-GCM-256
Desteklenen ve desteklenmeyen AH ve ESP birleşimler hakkında daha fazla bilgi için bkz: "desteklenen ve desteklenmeyen hızlı mod şifreleme algoritması birleşimler" bölümü.

Hızlı mod için kısıtlamalar

  • Aynı bütünlük algoritması, AH ve ESP için kullanılmalıdır.
  • Null şifreleme olan bütünlük algoritması için AES-GMAC algoritmalar kullanılabilir. Bu nedenle, herhangi bir Bu algoritmalar için ESP bütünlüğü belirtilirse, şifreleme algoritması belirtilemez.
  • AES-GCM algoritması kullanırsanız, ESP bütünlük ve şifreleme için aynı algoritmayı belirtilmelidir.

Kimlik doğrulama

Windows Vista SP1 ve Windows Server 2008'de, zaten Windows Vista'nın yayın sürümünde desteklenen bu yöntemlerin yanı sıra aşağıdaki kimlik doğrulama yöntemlerini destekler.
  • Bilgisayar sertifikası ECDSA P256 imzası
  • Bilgisayar sertifikası ECDSA P384 imzası
Not Varsayılan kimlik doğrulama Windows Vista için RSA SecurId kimlik doğrulama yöntemidir.

Sözdizimi ve örnekler

Bu bölümde, ekleme ve bağlantı güvenliği kurallarını değiştirmek için Netsh advfirewall komutunu kullanarak sözdizimi açıklanmaktadır. Bu bölüm ayrıca Netsh advfirewall komutları örnekleri sağlar.

Bir bağlantı güvenliği kuralı Ekle

Netsh advfirewall
Usage: add rule name=<string>
      endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
      endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
      action=requireinrequestout|requestinrequestout|
         requireinrequireout|noauthentication
      [description=<string>]
      [mode=transport|tunnel (default=transport)]
      [enable=yes|no (default=yes)]
      [profile=public|private|domain|any[,...] (default=any)]
      [type=dynamic|static (default=static)]
      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
      [port1=0-65535|any (default=any)]
      [port2=0-65535|any (default=any)]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
      [interfacetype=wiresless|lan|ras|any (default=any)]
      [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
         computerntlm|anonymous[,...]]
      [auth1psk=<string>]
      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1healthcert=yes|no (default=no)]
      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap256healthcert=yes|no (default=no)]
      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap384healthcert=yes|no (default=no)]
      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
      [auth2ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
      [qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
         none (default=none)]
      [qmsecmethods=
         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
         |default]
        
Remarks:

      - The rule name should be unique, and it cannot be "all."
      - When mode=tunnel, both tunnel endpoints must be specified and must be
        the same IP version. Also, the action must be requireinrequireout.
      - At least one authentication must be specified.
      - Auth1 and auth2 can be comma-separated lists of options.
      - The "computerpsk" and "computerntlm" methods cannot be specified together
        for auth1.
      - Computercert cannot be specified with user credentials for auth2.
     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
      - Qmsecmethods can be a list of proposals separated by a comma (,).
      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
        encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
      - If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.  
     -  sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista. 
      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The default value for certmapping and for excludecaname is "no."
      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Örnek 1
Netsh advfirewall komutu aşağıdaki örneği düşünün:
Netsh advfirewall consec kural adı eklemek test1 bitiş noktası 1 = herhangi endpoint2 = herhangi bir eylem = = requestinrequestout açıklama "sertifika kullan ECDSA256 ve AESGMAC256" = auth1 = computercert, computercertecdsap256 auth1ca = "C = US, O MSFT, CN = = \ 'Microsoft North, Güney, Doğu ve Batı kök Authority\'" auth1healthcert hiçbir auth1ecdsap256ca = = "C = US, O = MSFT, CN = = \ 'Microsoft North, Güney, Doğu ve Batı kök Authority\'" auth1ecdsap256healthcert Evet qmsecmethods = ah =: aesgmac256 + esp:aesgmac256-yok
Bu komut ayarlayın aşağıdaki kimlik doğrulama yöntemleri kimlik doğrulaması olan bir bağlantı güvenliği kuralı oluşturur:
  • Birinci kimlik doğrulama yöntemi RSA İmza sertifikası kullanan bir sertifikadır.
  • İkinci kimlik doğrulama yöntemi sertifika imzalama için ECDSA256 kullanan bir sistem durumu sertifikası olur.
Bağlantı güvenliği kuralı, AH ve ESP bütünlüğü ile yeni GMAC AES 256 algoritmasını kullanarak trafiği korur. Şifreleme kuralı içermez.
Örnek 2
Netsh advfirewall komutu aşağıdaki örneği düşünün:
Netsh advfirewall consec kural adı eklemek test2 bitiş noktası 1 = herhangi endpoint2 = herhangi bir eylem = = requestinrequestout açıklama auth1 "Kullanım SHA 256 bütünlük" ve şifreleme için AES192 = computercert auth1ca = = "C = US, O = MSFT, CN = = \ 'Microsoft North, Güney, Doğu ve Batı kök Authority\'" auth1healthcert hiç qmsecmethods = ah =: sha256 + esp:sha256-aes192
Bu komut, bir kimlik doğrulama yöntemi kimlik doğrulama kümesi olan bir bağlantı güvenliği kuralı oluşturur. RSA İmza sertifikası kullanan sertifika kimlik doğrulama yöntemidir.

Bağlantı güvenliği kuralı, AH ve ESP bütünlüğü SHA256 için bütünlük ve şifreleme için AES192 ile kullanarak trafiği korur.

Varolan bir bağlantı güvenliği kuralını değiştirme

Netsh advfirewall
Usage: set rule
      group=<string> | name=<string>
      [type=dynamic|static]
      [profile=public|private|domain|any[,...] (default=any)]
      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [port1=0-65535|any]
      [port2=0-65535|any]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
      new
      [name=<string>]
      [profile=public|private|domain|any[,...]]
      [description=<string>]
      [mode=transport|tunnel]
      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [action=requireinrequestout|requestinrequestout|
         requireinrequireout|noauthentication]
      [enable=yes|no]
      [type=dynamic|static]
      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
      [port1=0-65535|any]
      [port2=0-65535|any]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
      [interfacetype=wiresless|lan|ras|any]
     [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
         computerntlm|anonymous[,...]]
      [auth1psk=<string>]
      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1healthcert=yes|no (default=no)]
      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap256healthcert=yes|no (default=no)]
      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap384healthcert=yes|no (default=no)]
      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
      [auth2ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
      [qmsecmethods=
         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
         default]


Remarks:

      - This sets a new parameter value on an identified rule. The command fails
        if the rule does not exist. To create a rule, use the "add" command.
      - Values after the new keyword are updated in the rule.  If there are
        no values, or if the "new" keyword is missing, no changes are made.
      - Only a group of rules can be enabled or disabled.
      - If multiple rules match the criteria, all matching rules are 
        updated.
      - The rule name should be unique, and it cannot be "all."
      - Auth1 and auth2 can be comma-separated lists of options.
      - The computerpsk and computerntlm methods cannot be specified together
        for auth1.
      - Computercert cannot be specified by using user credentials for auth2.
     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.  
      - Qmsecmethods can be a list of proposals that are separated by a comma (,).
      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
        encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
      - If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.  
     -  Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
      - If qmsemethods are set to "default," qmpfs will be set to "default" also.
      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The default value for "certmapping" and "excludecaname" is "no."
      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Aşağıdaki oluşturulan kural güncelleştiren bir komutu örneğidir "1" önceki bölümdeki örnek:
Netsh advfirewall consec kümesi kuralı adı test yeni qmsecmethods = ah =: aesgmac256 + esp:aesgcm256-aesgcm256
Bu komut, ESP bütünlük ve şifreleme için AES-GCM 256 kullanmak ve GMAC AES 256 AH Bütünlüğü için kullanmak için kural güncelleştirir.

Genel ana mod ayarlarını belirleme

Aşağıdaki Yardım set global Netsh advfirewall komutunu metindir.
netsh advfirewall>set global

Usage: set global statefulftp|statefulpptp  enable|disable|notconfigured
      set global IPsec (parameter) (value)
      set global mainmode (parameter) (value) | notconfigured

IPsec Parameters:

      strongcrlcheck    - Configures how CRL checking is enforced.
                          0: Disable CRL checking
                          1: Fail if cert is revoked and the CRL exists in the client’s CRL cache (default behavior)and the CRL exists in the client’s CRL cache (default behavior)                          2: Fail on any error
                          notconfigured: Returns the value to its unconfigured state.
      saidletimemin     - Configures the security association idle time in
                          minutes.
                        - Usage: 5-60|notconfigured (default=5)
      defaultexemptions - Configures the default IPsec exemptions. The default is
                          to exempt IPv6 neighbordiscovery protocol from
                          IPsec.
                        - Usage: none|neighbordiscovery|notconfigured

Main Mode Parameters:

      mmkeylifetime     - Sets the main mode key lifetime in minutes, in sessions, or in both.
                        - Usage: <num>min,<num>sess
      mmsecmethods      - Configures the main mode list of proposals
                        - Usage:
                          keyexch:enc-integrity,enc-integrity[,...]|default
                        - keyexch=dhgroup1|dhgroup2|dhgroup14|
                          ecdhp256|ecdhp384
                        - enc=3des|des|aes128|aes192|aes256
                        - integrity=md5|sha1|sha256|sha384

Remarks:

      - This configures global settings, such as advanced IPsec options.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The mmsecmethods keyword default sets the policy to the following:
        dhgroup2-aes128-sha1,dhgroup2-3des-sha1
      - Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
Ana mod şifreleme kümesi içinde yeni SHA algoritmaları kullanan bir komutu örnek aşağıdadır:
Netsh advfirewall genel ana mod mmsecmethods dhgroup1:3des set-, sha256 sha384 3des

Sorun giderme, yapılandırma ve doğrulama komutları

"Netsh advfirewall consec show rule tüm" komutu

Kuralı tüm Netsh advfirewall consec Göster komutu tüm bağlantı güvenliği kuralları yapılandırmasını görüntüler.

Bu komutun çıktısı örneği aşağıdadır.
Rule Name:				test
Enabled:					Yes
Profiles:					Domain,Private,Public
Type:					Static
Mode:					Transport
Endpoint1:				Any
Endpoint2:				Any
Protocol:					Any
Action:					RequestInRequestOut
Auth1:					ComputerPSK
Auth1PSK:				         12345
MainModeSecMethods			         ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethods			AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb

"Netsh advfirewall monitor show mmsa" komutu

Ana mod güvenlik ilişkisi Netsh advfirewall monitor show mmsa komutu görüntüler.

Bu komutun çıktısı örneği aşağıdadır.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:				157.59.24.101
Remote IP Address:			         157.59.24.119
My ID:
Peer ID:
First Auth:				ComputerPSK
Second Auth:				None
MM Offer:				         ECDHAP384-3DES-SHA256
Cookie Pair:				203d57505:5d088705
Health Pair:				No
Ok.

"Netsh advfirewall monitor show adres" komutu

Hızlı mod güvenlik ilişkisi Netsh advfirewall monitor show adres komutu görüntüler.

Bu komutun çıktısı örneği aşağıdadır.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:				157.59.24.101
Remote IP Address:			         157.59.24.119
Local Port:				Any
Remote Port:				Any
Protocol:					Any
Direction:				Both
QM Offer:				         AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb	
Ok.

"Netsh advfirewall show global" komutu

Netsh advfirewall show global komutu genel ayarlarını görüntüler.

Bu komutun çıktısı örneği aşağıdadır.
Global Settings:
IPsec:					
StrongCRLCheck				0:Disabled
SAIdleTimeMin				5min
DefaultExemptions			         NeighborDiscovery
IPsecThroughNAT			         Server and client behind NAT

StatefulFTP				Enable
StatefulPPTP				Enable

Main Mode:
KeyLifetime				2min,0sess
SecMethods				DHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384

Birlikte çalışabilirlik

Windows Vista SP1 ve Windows Server 2008 oluşturma, zorlama ve paket B algoritmaları kullanan IPSec ilke yönetimi oluşmuştur. Yalnızca yayımlanan Windows Vista SP1 veya Windows Server 2008 ile aletleriyle Paket B algoritmalarını içeren Grup İlkesi yönetebilir.

Senaryolar ve beklenen sonuçları aşağıdaki gibidir.

Senaryo 1

Yeni şifreleme algoritmaları, Windows Vista'nın yayın sürümünü çalıştıran bir bilgisayara Windows Server 2008 veya Windows Vista SP1 çalıştıran bir bilgisayarda oluşturulmuş bir ilkeyi uygulamak için kullanın.
Beklenen sonuç
Bir kural, yeni şifreleme algoritmaları kullanan şifreleme paketleri içeriyorsa, bu şifreleme paketleri bırakılır ve diğer şifreleme paketleri şifreleme kümesi yerine kullanılır.

Tüm kural kuralında şifreleme ürünlerinin hiçbiri tanınması halinde bırakılır. Kural işlenen gösteren bir olay kaydedilir. Şifreleme anahtar değişim kümesindeki tüm şifreleme paketleri bırakılır, bu nedenle, ilkeyi bağlantı güvenliği kurallarında hiçbiri olmaları durumunda uygulanır. Ancak, tüm güvenlik duvarı kuralları hala uygulanır.

Kimlik doğrulama kümesi işlemi şifreleme kümesi işlemine benzer. Bir ilke varsa yeni sertifika bayrakları (ECDSA P256 veya P384 ECDSA) Windows Vista'nın yayın sürümünü çalıştıran bir bilgisayara uygulanır, kimlik doğrulama yöntemlerini bırakılır.

Birinci kimlik doğrulama kümesi içindeki tüm kimlik doğrulama yöntemleri, bu nedenle bırakılır, tüm kural işlenmez. İkinci kimlik doğrulama kümesi içindeki tüm kimlik doğrulama yöntemleri düşürülme, kural yalnızca birinci kimlik doğrulama kullanarak işlenir ayarlayın.

Senaryo 2

Windows Vista'nın yayın sürümünü çalıştıran bir bilgisayarda, Windows Server 2008 veya Windows Vista SP1 çalıştıran bir bilgisayarda oluşturulmuş bir ilkesini görüntülemek için yeni şifreleme algoritmaları kullanın.
Beklenen sonuç
Yeni algoritmaları hem izleme ve geliştirme bölümleri Windows Güvenlik Duvarı Gelişmiş Güvenlik MMC ek bileşenini "bilinmiyor" görüntülenir. Netsh advfirewall komut algoritmalar Windows Vista'da "Bilinmeyen" olarak da görüntüler.

Birlikte çalışabilirlik üzerindeki kısıtlamaları

Birlikte çalışabilirlik kısıtlamalar şunlardır:
  • Windows Vista'nın yayın sürümünü çalıştıran bir bilgisayardan Windows Vista SP1 veya Windows Server 2008 çalıştıran bilgisayarlara Paket B algoritmaları kullanan ilkeleri uzaktan yönetimini desteklemez.
  • Windows Vista'nın yayın sürümünü çalıştıran bir bilgisayara Windows Vista SP1 veya Windows Server 2008 çalıştıran bir bilgisayarda oluşturulmuş bir ilke içe aktarıldığında, ilke bazı bölümlerini bırakılır. Bu durum, Windows Vista'nın yayın sürümü yeni algoritmaları tanıyamaz kaynaklanır.

Desteklenen ve desteklenmeyen hızlı mod şifreleme algoritması birleşimler

Aşağıdaki tabloda, desteklenen hızlı mod şifreleme algoritma birleşimlerini gösterir.
Bu tabloyu kapaBu tabloyu aç
İletişim kuralıAH BütünlüğüESP bütünlüğüŞifreleme
AHAES-GMAC 128YokYok
AHAES-GMAC 192YokYok
AHAES-GMAC 256YokYok
AHSHA256YokYok
AHSHA1YokYok
AHMD5YokYok
ESPYokAES-GMAC 128Yok
ESPYokAES-GMAC 192Yok
ESPYokAES-GMAC 256Yok
ESPYokSHA256Yok
ESPYokSHA1Yok
ESPYokMD5Yok
ESPYokSHA256AES-GCM algoritmaları dışında herhangi bir desteklenen şifreleme algoritması
ESPYokSHA1AES-GCM algoritmaları dışında herhangi bir desteklenen şifreleme algoritması
ESPYokMD5AES-GCM algoritmaları dışında herhangi bir desteklenen şifreleme algoritması
ESPYokAES-GCM 128AES-GCM 128
ESPYokAES-GCM 192AES-GCM 192
ESPYokAES-GCM 256AES-GCM 256
AH + ESPAES-GMAC 128AES-GMAC 128Yok
AH + ESPAES-GMAC 128AES-GMAC 128Yok
AH + ESPAES-GMAC 128AES-GMAC 128Yok
AH + ESPSHA-256SHA-256Yok
AH + ESPSHA1SHA1Yok
AH + ESPMD5MD5Yok
AH + ESPSHA256SHA256AES-GCM algoritmaları dışında herhangi bir desteklenen şifreleme algoritması
AH + ESPSHA1SHA1AES-GCM algoritmaları dışında herhangi bir desteklenen şifreleme algoritması
AH + ESPMD5MD5AES-GCM algoritmaları dışında herhangi bir desteklenen şifreleme algoritması
AH + ESPAES-GMAC 128AES-GCM 128AES-GCM 128
AH + ESPAES-GMAC 192AES-GCM 192AES-GCM 192
AH + ESPAES-GMAC 256AES-GCM 256AES-GCM 256
NotAES-GMAC AES-GCM null şifreleme ile aynıdır. Örneğin, AH Bütünlüğü GMAC AES 128 kullanılacağını belirtebilirsiniz ve ESP bütünlüğü, AES-GCM 128 kullanılacağını belirtebilirsiniz. AH ve ESP bütünlük algoritmaları aynı kuralın tek özel durumu budur.

Aşağıdaki tabloda açıklanan birleşimleri desteklenmez.
Bu tabloyu kapaBu tabloyu aç
İletişim kuralıAH BütünlüğüESP bütünlüğüŞifreleme
ESPYokAES-GMAC 128Herhangi bir desteklenen şifreleme algoritması
ESPYokAES-GMAC 192Herhangi bir desteklenen şifreleme algoritması
ESPYokAES-GMAC 256Herhangi bir desteklenen şifreleme algoritması
ESPYokAES-GCM 1281. Yok
2. Herhangi bir şifreleme algoritması AES-GCM 128 dışında
ESPYokAES-GCM 1921. Yok
2. Herhangi bir şifreleme algoritması AES-GCM 192 dışında
ESPYokAES-GCM 2561. Yok
2. Herhangi bir şifreleme algoritması AES-GCM 256 dışında
AH + ESPAES-GMAC 128AES-GMAC 128Herhangi bir desteklenen şifreleme algoritması
AH + ESPAES-GMAC 192AES-GMAC 192Herhangi bir desteklenen şifreleme algoritması
AH + ESPAES-GMAC 256AES-GMAC 256Herhangi bir desteklenen şifreleme algoritması
Paket B hakkında daha fazla bilgi için aşağıdaki Web sitesini ziyaret edin:
http://www.NSA.gov/ia/Programs/suiteb_cryptography/index.shtml
IPSec ve bağlantı güvenliği kuralları hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://go.microsoft.com/fwlink/?linkid=96525
Windows Server 2008'de yeni nesil şifreleme hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://technet2.microsoft.com/windowsserver2008/en/library/532ac164-da33-4369-bef0-8f019d5a18b81033.mspx?mfr=true
Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
949299 Windows Vista Service Pack ortak IPSec için Windows Güvenlik Duvarı'nı yapılandırmak için 1 için ölçüt modunda eklenen şifre Operators güvenlik grubunun açıklaması

Özellikler

Makale numarası: 949856 - Last Review: 21 Eylül 2013 Cumartesi - Gözden geçirme: 5.0
Bu makaledeki bilginin uygulandığı durum:
  • Windows Vista Service Pack 1, Ne zaman ne ile kullanilir:
    • Windows Vista Business
    • Windows Vista Business 64-bit edition
    • Windows Vista Enterprise
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate
    • Windows Vista Ultimate 64-bit edition
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Anahtar Kelimeler: 
kbexpertiseinter kbhowto kbinfo kbmt KB949856 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, Microsoft Makine Çevirisi Düzenleme yazılımı tarafından tercüme edilmiş olup, yüksek olasılıkla profesyonel bir çevirmen yerine CTF teknolojisi kullanılarak, Microsoft Topluluğu tarafından düzenlenmiştir. Microsoft, Bilgi Bankamız içindeki tüm makaleleri kendi dilinizde okuyabilmeniz için size hem profesyonel çevirmenler tarafından tercüme edilen hem de makine tarafından tercüme edildikten sonra Topluluk tarafından kontrol edilen makaleler sunar. Bununla birlikte, makine tarafından tercüme edilen, hatta Topluluk tarafından kontrol edilen bir makale bile her zaman mükemmel dil kalitesinde olmayabilir. Makalede dilinizi konuşan yabancı birisinin yapabileceği türden sözcük, söz dizimi veya dilbilgisi hataları bulunabilir. Microsoft, içeriğin hatalı tercümesinin veya müşterilerimiz tarafından kullanımının doğurabileceği olası yanlış anlamalar, hatalar veya zararlardan sorumlu değildir. Öte yandan Microsoft, Makine Çevirisi Düzenleme işlemini geliştirmek amacıyla Makine Çevirisi Düzenleme yazılımını ve araçlarını sık sık güncelleştirmektedir.
Makalenin İngilizcesi aşağıdaki gibidir: 949856

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com