Suite B 加密算法的支持已添加到 IPsec 在 Windows Vista Service Pack 1,Windows Server 2008 中,以及在 Windows 7 中的说明

文章翻译 文章翻译
文章编号: 949856 - 查看本文应用于的产品
对 Windows Vista Service Pack 1 (SP1) 的支持于2011 年 7 月 12 日结束。若要继续接收 Windows 安全更新,请确保您运行 Windows Vista with Service Pack 2 (SP2)。有关详细信息,请参阅此 Microsoft 网页: 支持结束某些版本的 Windows.
展开全部 | 关闭全部

本文内容

简介

本文介绍在 Windows Vista Service Pack 1 (SP1) 和 Windows Server 2008 中添加 Suite B 加密算法的支持。套件 B 是一组已批准由美国国家安全国家安全局 (NSA) 的加密算法。

套件 B 用作可互操作的加密框架,用于保护敏感数据。支持已经扩展到以下几个方面的 Suite B 算法:
  • 主模式
  • 快速模式
  • 身份验证设置
本文还介绍了使用 Suite B 算法的网际协议安全 (IPsec) 策略配置语法。

更多信息

支持限制

对于 B 族的支持限制如下所示:
  • 或更高版本的 Windows 中 Windows Server 2008 中,仅在 Windows Vista Service Pack 1 (SP1),被支持创建和使用 Suite B 算法的 IPsec 策略的强制执行。
  • 在"Windows 防火墙使用高级安全"Microsoft 管理控制台 (MMC) 管理单元中的 Windows 7 和更高版本的 Windows 支持的策略包含 Suite B 算法的创作。
  • 由 help命令不显示 Suite B 算法的配置选项。这仅适用于 Windows Vista SP1。

定义

  • 套件 B

    套件 B 是一套由国家安全局 (NSA) 指定的标准。套件 B 为行业提供一套通用的加密算法,可用于创建产品,以满足范围最广的美国政府的需要。B 套件包括以下类型的算法的说明:
    • 完整性
    • 加密
    • 密钥交换
    • 数字签名
  • 联邦信息处理标准 (FIPS)

    FIPS 是一套指导原则和标准,来控制联邦的计算资源。所有 Suite B 算法都是 FIPS 认可的。

    有关详细信息,请访问下面的网站:
    http://www.itl.nist.gov/fipspubs/geninfo.htm
  • NIST

    这是国家标准和技术的首字母缩写。
  • 数据完整性算法

    数据完整性算法使用消息哈希值,以确保信息不在中转时更改。
  • 数据的加密算法

    数据加密算法用于隐藏正在传输的信息。加密算法用于纯文本转换为机密代码。

    例如,加密算法可以将纯文本转换为密文。密码文本然后可以为原始的纯文本进行解码。每个算法使用"键"来执行转换。密钥类型和密钥的长度取决于正在使用的算法。
  • IPsec

    这是一个缩写术语"Internet 协议安全性"。

    有关 IPsec 的详细信息,请访问下面的 Microsoft 网站:
    http://technet.microsoft.com/en-us/network/bb531150.aspx
  • 椭圆曲线数字签名算法 (ECDSA)

    椭圆曲线 (EC) 是在 EC 组操作的数字签名算法的变体。EC variant 类型的值提供相同的安全级别为较小的密钥大小。

    此算法所述 FIPS 186-2 的出版物。若要查看此发布,请访问下面的网站:
    http://csrc.nist.gov/publications/fips/archive/fips186-2/fips186-2.pdf
  • 证书颁发机构 (CA)

    证书颁发机构是一个实体,它颁发数字证书。IPsec 可以使用这些证书作为身份验证方法。
  • 身份验证标头 (AH)

    身份验证标头是 IPsec 协议,为整个数据包提供身份验证、 完整性和抗重播功能。这包括 IP 标头和数据有效负载。

    AH 不提供保密性。这意味着 AH 不加密数据。该数据是可读的但它是不可写入。
  • 封装式安全措施负载 (ESP)

    ESP 是 IPsec 协议,提供了保密性、 身份验证、 完整性和抗重播功能。ESP 可以单独使用,或者可以一起 AH。

主模式算法

在 Windows Vista SP1 和 Windows Server 2008 中,除了那些已在 Windows Vista 的发布版本中支持的算法支持以下完整性算法:
  • SHA-256
  • SHA-384
注意密钥交换算法和加密算法不会更改。

快速模式算法

在 Windows Vista SP1 和 Windows Server 2008 中,除了那些已在 Windows Vista 的发布版本中支持的算法支持以下的算法。

完整性 (AH 或 ESP)

  • SHA-256
  • AES GMAC 128
  • AES-GMAC-192
  • -GMAC AES-256

完整性和加密 (仅 ESP)

  • AES GCM 128
  • AES 的 GCM-192
  • -GCM AES-256
有关受支持和不支持的 AH 和 ESP 组合的详细信息,请参阅"快速模式加密算法组合支持和不支持"一节。

快速模式的限制

  • 为 AH 和 ESP,应使用相同的完整性算法。
  • AES GMAC 算法可以使用具有空加密完整性算法。因此,如果任何这些算法的 ESP 完整性指定,则无法指定的加密算法。
  • 如果使用 AES-GCM 算法,则应为 ESP 完整性和加密指定相同算法。

身份验证

在 Windows Vista SP1 和 Windows Server 2008 中,除了那些已在 Windows Vista 的发布版本中支持的身份验证方法支持下列身份验证方法。
  • ECDSA P256 签名的计算机证书
  • ECDSA P384 签名的计算机证书
注意Windows Vista 的默认身份验证方法是 RSA SecurId 身份验证。

语法和示例

本节介绍使用命令添加和修改连接安全规则的语法。本部分还提供了命令示例。

添加连接安全规则

Netsh advfirewall
Usage: add rule name=<string>
      endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
      endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
      action=requireinrequestout|requestinrequestout|
         requireinrequireout|noauthentication
      [description=<string>]
      [mode=transport|tunnel (default=transport)]
      [enable=yes|no (default=yes)]
      [profile=public|private|domain|any[,...] (default=any)]
      [type=dynamic|static (default=static)]
      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
      [port1=0-65535|any (default=any)]
      [port2=0-65535|any (default=any)]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
      [interfacetype=wiresless|lan|ras|any (default=any)]
      [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
         computerntlm|anonymous[,...]]
      [auth1psk=<string>]
      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1healthcert=yes|no (default=no)]
      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap256healthcert=yes|no (default=no)]
      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap384healthcert=yes|no (default=no)]
      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
      [auth2ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
      [qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
         none (default=none)]
      [qmsecmethods=
         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
         |default]
        
Remarks:

      - The rule name should be unique, and it cannot be "all."
      - When mode=tunnel, both tunnel endpoints must be specified and must be
        the same IP version. Also, the action must be requireinrequireout.
      - At least one authentication must be specified.
      - Auth1 and auth2 can be comma-separated lists of options.
      - The "computerpsk" and "computerntlm" methods cannot be specified together
        for auth1.
      - Computercert cannot be specified with user credentials for auth2.
     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
      - Qmsecmethods can be a list of proposals separated by a comma (,).
      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
        encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
      - If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.  
     -  sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista. 
      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The default value for certmapping and for excludecaname is "no."
      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
示例 1
请考虑以下命令的示例:
Netsh 由 consec 添加规则名称 = test1 endpoint1 = 任何 endpoint2 = 任何操作 = requestinrequestout 说明 ="使用 ECDSA256 证书和 AESGMAC256"auth1 = computercert,computercertecdsap256 auth1ca ="C = 美国,O = MSFT,CN = \ Microsoft 北、 南、 东和西根 Authority\"auth1healthcert = 无 auth1ecdsap256ca ="C = 美国,O = MSFT,CN = \ Microsoft 北、 南、 东和西根 Authority\"auth1ecdsap256healthcert = 是 qmsecmethods = ah: aesgmac256 + esp:aesgmac256-无
此命令将创建具有以下身份验证方法中的身份验证设置的连接安全规则:
  • 第一种身份验证方法是使用 RSA 证书签名的证书。
  • 第二身份验证方法是使用证书签名的 ECDSA256 的健康证书。
连接安全规则与新的 AES GMAC 256 算法使用 AH 和 ESP 完整性保护通信。该规则不包括加密。
示例 2
请考虑以下命令的示例:
Netsh 由 consec 添加规则名称 = test2 endpoint1 = 任何 endpoint2 = 任何操作 = requestinrequestout 说明 ="使用完整性的 SHA 256"和加密的 AES192 auth1 = computercert auth1ca ="C = 美国,O = MSFT,CN = \ Microsoft 北、 南、 东和西根 Authority\"auth1healthcert = 无 qmsecmethods = ah: sha256 + esp:sha256-aes192
此命令将创建一个具有一种身份验证方法中的身份验证设置的连接安全规则。身份验证方法是使用 RSA 证书签名的证书。

连接安全规则使用 SHA256 完整性和 AES192 加密使用 AH 和 ESP 完整性保护通信。

修改现有连接安全规则

Netsh advfirewall
Usage: set rule
      group=<string> | name=<string>
      [type=dynamic|static]
      [profile=public|private|domain|any[,...] (default=any)]
      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [port1=0-65535|any]
      [port2=0-65535|any]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
      new
      [name=<string>]
      [profile=public|private|domain|any[,...]]
      [description=<string>]
      [mode=transport|tunnel]
      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [action=requireinrequestout|requestinrequestout|
         requireinrequireout|noauthentication]
      [enable=yes|no]
      [type=dynamic|static]
      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
      [port1=0-65535|any]
      [port2=0-65535|any]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
      [interfacetype=wiresless|lan|ras|any]
     [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
         computerntlm|anonymous[,...]]
      [auth1psk=<string>]
      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1healthcert=yes|no (default=no)]
      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap256healthcert=yes|no (default=no)]
      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap384healthcert=yes|no (default=no)]
      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
      [auth2ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
      [qmsecmethods=
         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
         default]


Remarks:

      - This sets a new parameter value on an identified rule. The command fails
        if the rule does not exist. To create a rule, use the "add" command.
      - Values after the new keyword are updated in the rule.  If there are
        no values, or if the "new" keyword is missing, no changes are made.
      - Only a group of rules can be enabled or disabled.
      - If multiple rules match the criteria, all matching rules are 
        updated.
      - The rule name should be unique, and it cannot be "all."
      - Auth1 and auth2 can be comma-separated lists of options.
      - The computerpsk and computerntlm methods cannot be specified together
        for auth1.
      - Computercert cannot be specified by using user credentials for auth2.
     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.  
      - Qmsecmethods can be a list of proposals that are separated by a comma (,).
      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
        encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
      - If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.  
     -  Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
      - If qmsemethods are set to "default," qmpfs will be set to "default" also.
      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The default value for "certmapping" and "excludecaname" is "no."
      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
下面是示例命令更新中已创建的规则的"1",在上一节中的示例:
Netsh 由 consec 设置规则名称 = 测试新 qmsecmethods = ah: aesgmac256 + esp:aesgcm256-aesgcm256
此命令将更新使用 ESP 完整性和加密 AES-GCM 256 和 AES GMAC 256 用于 AH 完整性的规则。

设置全局主模式设置

下面的帮助文本是由全局设置命令。
netsh advfirewall>set global

Usage: set global statefulftp|statefulpptp  enable|disable|notconfigured
      set global IPsec (parameter) (value)
      set global mainmode (parameter) (value) | notconfigured

IPsec Parameters:

      strongcrlcheck    - Configures how CRL checking is enforced.
                          0: Disable CRL checking
                          1: Fail if cert is revoked and the CRL exists in the client’s CRL cache (default behavior)and the CRL exists in the client’s CRL cache (default behavior)                          2: Fail on any error
                          notconfigured: Returns the value to its unconfigured state.
      saidletimemin     - Configures the security association idle time in
                          minutes.
                        - Usage: 5-60|notconfigured (default=5)
      defaultexemptions - Configures the default IPsec exemptions. The default is
                          to exempt IPv6 neighbordiscovery protocol from
                          IPsec.
                        - Usage: none|neighbordiscovery|notconfigured

Main Mode Parameters:

      mmkeylifetime     - Sets the main mode key lifetime in minutes, in sessions, or in both.
                        - Usage: <num>min,<num>sess
      mmsecmethods      - Configures the main mode list of proposals
                        - Usage:
                          keyexch:enc-integrity,enc-integrity[,...]|default
                        - keyexch=dhgroup1|dhgroup2|dhgroup14|
                          ecdhp256|ecdhp384
                        - enc=3des|des|aes128|aes192|aes256
                        - integrity=md5|sha1|sha256|sha384

Remarks:

      - This configures global settings, such as advanced IPsec options.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The mmsecmethods keyword default sets the policy to the following:
        dhgroup2-aes128-sha1,dhgroup2-3des-sha1
      - Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
以下是使用新的 SHA 算法中的主模式加密集命令的示例:
由设置全局主模式 mmsecmethods dhgroup1:3des-sha256,3des sha384

排除故障、 配置和验证命令

"Netsh 由 consec 显示规则全部"命令

Netsh 由 consec 显示所有规则命令显示所有连接安全规则配置。

以下是输出的有关此命令的示例。
Rule Name:				test
Enabled:					Yes
Profiles:					Domain,Private,Public
Type:					Static
Mode:					Transport
Endpoint1:				Any
Endpoint2:				Any
Protocol:					Any
Action:					RequestInRequestOut
Auth1:					ComputerPSK
Auth1PSK:				         12345
MainModeSecMethods			         ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethods			AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb

"Netsh 由监视器显示 mmsa"命令

Netsh 由监视器显示 mmsa命令显示主模式安全关联。

以下是输出的有关此命令的示例。
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:				157.59.24.101
Remote IP Address:			         157.59.24.119
My ID:
Peer ID:
First Auth:				ComputerPSK
Second Auth:				None
MM Offer:				         ECDHAP384-3DES-SHA256
Cookie Pair:				203d57505:5d088705
Health Pair:				No
Ok.

"Netsh 由监视器显示 qmsa"命令

Netsh 由监视器显示 qmsa命令显示的快速模式安全关联。

以下是输出的有关此命令的示例。
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:				157.59.24.101
Remote IP Address:			         157.59.24.119
Local Port:				Any
Remote Port:				Any
Protocol:					Any
Direction:				Both
QM Offer:				         AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb	
Ok.

"Netsh 由显示全局"命令

由显示全局命令显示全局设置。

以下是输出的有关此命令的示例。
Global Settings:
IPsec:					
StrongCRLCheck				0:Disabled
SAIdleTimeMin				5min
DefaultExemptions			         NeighborDiscovery
IPsecThroughNAT			         Server and client behind NAT

StatefulFTP				Enable
StatefulPPTP				Enable

Main Mode:
KeyLifetime				2min,0sess
SecMethods				DHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384

互操作性

在 Windows Vista SP1 和 Windows Server 2008 中引入创建、 强制性和使用 Suite B 算法的 IPsec 策略的管理。您可以创建一个组策略,只能通过使用与 Windows Vista SP1 或 Windows Server 2008 的发布工具包含 Suite B 算法。

示例方案和预期的结果如下所示。

情境 1

您可以使用新的加密算法应用到一台运行 Windows Vista 的发布版本的计算机正在运行 Windows Server 2008 或 Windows Vista SP1 的计算机创建一个策略。
预期的结果
如果规则包含使用新的加密算法的加密套件,除去这些加密套件,而使用其他加密套件加密集中。

如果在规则中的加密套件没有被识别后,整个规则将被丢弃。将记录一个事件,指示该规则不能被处理。因此,如果在密钥交换的加密设置的所有加密套件会被丢弃,连接安全规则的策略中的任何应用。但是,仍然会应用所有的防火墙规则。

在身份验证设置过程类似于加密的设置过程。如果某个策略,其中包含新的证书标志 (ECDSA P256 或 ECDSA P384) 应用到一台计算机正在运行 Windows Vista 的发布版本,丢弃的身份验证方法。

第一身份验证组中的所有身份验证方法会被丢弃,因此,如果整个规则不会处理。如果除去第二身份验证组中的所有身份验证方法,通过使用第一个身份验证处理该规则集。

情境 2:

在计算机上运行 Windows Vista 的发布版本,您可以使用新的加密算法可以查看在运行 Windows Server 2008 或 Windows Vista SP1 的计算机创建一个策略。
预期的结果
新算法的监视和创作部分 Windows 防火墙高级安全 mmc 管理单元中显示为"未知"。命令也显示为"未知",在 Windows Vista 中的算法。

互操作性方面的限制

互操作性方面的限制如下所示:
  • 我们不支持在运行 Windows Vista SP1 或 Windows Server 2008 的计算机运行 Windows Vista 的发布版本的计算机上使用 Suite B 算法的策略的远程管理。
  • 在正在运行 Windows Vista SP1 或 Windows Server 2008 的计算机创建一个策略导入的计算机运行 Windows Vista 的发布版本时,将删除该策略的某些部分。这是因为 Windows Vista 的发布版本不能识别新的算法。

支持和不支持快速模式加密算法组合

下表显示了受支持的快速模式加密算法组合。
收起该表格展开该表格
协议AH 完整性ESP 完整性加密
AHAES 128 GMAC
AHAES 192 GMAC
AHAES 256 GMAC
AHSHA256
AHSHA1
AHMD5
ESPAES 128 GMAC
ESPAES 192 GMAC
ESPAES 256 GMAC
ESPSHA256
ESPSHA1
ESPMD5
ESPSHA256任何受支持的加密算法,除 AES-GCM 算法
ESPSHA1任何受支持的加密算法,除 AES-GCM 算法
ESPMD5任何受支持的加密算法,除 AES-GCM 算法
ESPAES-GCM 128AES-GCM 128
ESPAES-GCM 192AES-GCM 192
ESPAES-GCM 256AES-GCM 256
AH + ESPAES 128 GMACAES 128 GMAC
AH + ESPAES 128 GMACAES 128 GMAC
AH + ESPAES 128 GMACAES 128 GMAC
AH + ESPSHA-256SHA-256
AH + ESPSHA1SHA1
AH + ESPMD5MD5
AH + ESPSHA256SHA256任何受支持的加密算法,除 AES-GCM 算法
AH + ESPSHA1SHA1任何受支持的加密算法,除 AES-GCM 算法
AH + ESPMD5MD5任何受支持的加密算法,除 AES-GCM 算法
AH + ESPAES 128 GMACAES-GCM 128AES-GCM 128
AH + ESPAES 192 GMACAES-GCM 192AES-GCM 192
AH + ESPAES 256 GMACAES-GCM 256AES-GCM 256
注意AES GMAC 等同于 AES-GCM 空加密。例如,您可以指定使用 AES GMAC 128 的 AH 完整性,您可以指定要使用 AES-GCM 128 的 ESP 完整性。这是唯一的例外是 AH 和 ESP 完整性算法必须完全相同的规则。

不支持的组合,如下表所述。
收起该表格展开该表格
协议AH 完整性ESP 完整性加密
ESPAES 128 GMAC任何受支持的加密算法
ESPAES 192 GMAC任何受支持的加密算法
ESPAES 256 GMAC任何受支持的加密算法
ESPAES-GCM 1281.无
2.任何除 AES-GCM 128 的加密算法
ESPAES-GCM 1921.无
2.除 AES-GCM 192 任何加密算法
ESPAES-GCM 2561.无
2.除 AES-GCM 256 任何加密算法
AH + ESPAES 128 GMACAES 128 GMAC任何受支持的加密算法
AH + ESPAES 192 GMACAES 192 GMAC任何受支持的加密算法
AH + ESPAES 256 GMACAES 256 GMAC任何受支持的加密算法
B 族有关的详细信息,请访问下面的网站:
http://www.nsa.gov/ia/programs/suiteb_cryptography/index.shtml
有关 IPsec 和连接安全规则的详细信息,请访问下面的 Microsoft 网站:
http://go.microsoft.com/fwlink/?linkid=96525
有关 Windows Server 2008 中的下一代加密技术的详细信息,请访问下面的 Microsoft 网站:
http://technet2.microsoft.com/windowsserver2008/en/library/532ac164-da33-4369-bef0-8f019d5a18b81033.mspx?mfr=true
有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
949299 已添加到 Windows Vista Service Pack 1,若要将 Windows 防火墙配置 ipsec 的共同标准模式加密操作员安全组的描述

属性

文章编号: 949856 - 最后修改: 2013年9月21日 - 修订: 5.0
这篇文章中的信息适用于:
  • Windows Vista Service Pack 1?当用于
    • Windows Vista Business
    • Windows Vista Business 64-bit edition
    • Windows Vista Enterprise
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate
    • Windows Vista Ultimate 64-bit edition
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
关键字:?
kbexpertiseinter kbhowto kbinfo kbmt KB949856 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 949856
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com