本文將告訴您,對 Suite B 的密碼編譯演算法支援,顯示在 Windows Vista Service Pack 1 (SP1) 和 Windows Server 2008 中已加入。套件 B 是指一群核准美國國家的安全性署 (NSA) 的密碼編譯演算法。
套件 B 作為可互通的密碼編譯架構,來保護機密資料。支援已擴充到 Suite B 演算法的下列區域:
本文也將告訴您,網際網路通訊協定安全性 (IPsec) 原則組態語法使用 Suite B 演算法。
支援的限制
Suite B 的支援限制包括下列各項:
- 建立和強制使用 Suite B 演算法的 IPsec 原則支援只能在 Windows Vista Service Pack 1 (SP1) 在 Windows Server 2008 或更新版本的 Windows 中。
- 透過 「 Windows 防火牆具有進階安全性 > Microsoft 管理主控台 (MMC) 嵌入式管理單元為 Windows 7 及更新版本的 Windows 支援製作包含 Suite B 演算法的原則。
- Netsh advfirewall help] 命令不會顯示 Suite B 演算法的組態選項。這只適用於 Windows Vista SP1。
定義
- 套件 B
套件 B 是一組的指定依國家安全性署 (NSA) 的標準。套件 B 提供的密碼編譯演算法,可用來建立符合最大範圍的美國政府需求的產品的常見集合產業。 套件 B 包含下列類型的演算法的規格: - 聯邦資訊處理標準 (FIPS)
FIPS 是一組的指導方針和管理聯邦運算資源的標準。 所有 Suite B 演算法都是 FIPS 核准。
如需詳細資訊請造訪下列網站: - NIST
這是為國家標準及技術縮略字。 - 資料完整性演算法
資料完整性演算法會使用訊息雜湊,以確保在傳輸時,不正在變更的資訊。 - 資料加密演算法
資料加密演算法用來隱藏正在傳輸的資訊。加密演算法用來將純文字轉換成秘密程式碼。
比方說加密演算法可以將純文字轉換成密碼文字。加密文字可以再解碼成原始的純文字。每一個演算法會使用金鑰 」 執行轉換。索引鍵的型別和金鑰的長度而定正在使用的演算法。 - IPsec
這是縮寫的詞彙網際網路通訊協定安全性。
如需有關 IPsec 的詳細資訊,請造訪下列 Microsoft 網站]: - 進階加密標準 Galois 訊息驗證碼 (GMAC AES)
這個演算法述 NIST 選擇性出版物 800-38 D。若要欲這份文件請造訪下列網站]: - 在 Galois/計數器模式 (GCM AES) 」 中的進階的加密標準
這個演算法述 NIST 選擇性出版物 800-38 D。若要欲這份文件請造訪下列網站]: - 橢圓曲線數位簽章演算法 (ECDSA)
橢圓曲線 (EC) 是數位簽章演算法在 EC 群組上作業的 Variant。EC Variant 提供相同的安全性層級的較小金鑰大小。
這個演算法述 FIPS 出版物 186 2。若要欲此發行物請造訪下列網站]: - 憑證授權單位 (CA)
憑證授權單位是發出數位認證的實體。IPsec 可以使用這些憑證作為驗證方法。 - 驗證標頭 (AH)
驗證標頭是 IPsec 通訊協定,為整個封包提供驗證、 完整性及 anti-replay 功能。這包括 IP 標頭和資料裝載。
AH 不提供機密性。這表示 AH 不會加密資料。資料是可讀取,但並無法寫入。 - 封裝安全性裝載 (ESP)
ESP 是 IPsec 通訊協定,可提供機密性、 驗證、 完整性,以及 anti-replay 功能。可以單獨,使用 ESP,或可使用搭配 AH。
主要模式的演算法
在 Windows Vista SP1 和 Windows Server 2008 中,除了的發行版本的 Windows Vista 已經支援這些演算法支援下列完整性演算法:
附註不變更金鑰交換演算法和加密演算法。
快速模式的演算法
在 Windows Vista SP1 在 Windows Server 2008 中,下列演算法支援和除了的發行版本的 Windows Vista 已經支援這些演算法。
完整性 (AH 或 ESP)
- SHA 256
- AES GMAC 128
- AES GMAC 192
- AES GMAC 256
完整性及加密 (ESP 僅)
- AES GCM 128
- AES GCM 192
- AES GCM 256
AH 和 ESP 支援,且不支援的組合的更多有關,請參閱 」 快速模式密碼編譯演算法組合的支援和不支援 」 一節。
快速模式的限制
- 相同的完整性演算法應該用於 AH 和 ESP。
- AES GMAC 演算法有可用的整合演算法具有 null 加密。因此,如果指定任何這些演算法的 ESP 完整性時,不能指定加密演算法。
- 如果您使用 [AES GCM 演算法應指定相同的演算法對於 ESP 完整性及加密。
驗證
在 Windows Vista SP1 在 Windows Server 2008 中,下列的驗證方法支援和除了的發行版本的 Windows Vista 已經支援這些驗證方法。
- 使用 ECDSA P256 簽章的電腦憑證
- 使用 ECDSA P384 簽章的電腦憑證
附註Windows Vista 預設驗證方法是 RSA SecurId 驗證。
語法和範例
這一節將說明使用
Netsh advfirewall 命令,新增和修改連線安全性規則的語法。本節也提供
Netsh advfirewall 命令的範例。
新增連線安全性規則
Netsh advfirewall
Usage: add rule name=<string>
endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
action=requireinrequestout|requestinrequestout|
requireinrequireout|noauthentication
[description=<string>]
[mode=transport|tunnel (default=transport)]
[enable=yes|no (default=yes)]
[profile=public|private|domain|any[,...] (default=any)]
[type=dynamic|static (default=static)]
[localtunnelendpoint=<IPv4 address>|<IPv6 address>]
[remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
[port1=0-65535|any (default=any)]
[port2=0-65535|any (default=any)]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
[interfacetype=wiresless|lan|ras|any (default=any)]
[auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
computerntlm|anonymous[,...]]
[auth1psk=<string>]
[auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1healthcert=yes|no (default=no)]
[auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap256healthcert=yes|no (default=no)]
[auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap384healthcert=yes|no (default=no)]
[auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
[auth2ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
[qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
none (default=none)]
[qmsecmethods=
ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
|default]
Remarks:
- The rule name should be unique, and it cannot be "all."
- When mode=tunnel, both tunnel endpoints must be specified and must be
the same IP version. Also, the action must be requireinrequireout.
- At least one authentication must be specified.
- Auth1 and auth2 can be comma-separated lists of options.
- The "computerpsk" and "computerntlm" methods cannot be specified together
for auth1.
- Computercert cannot be specified with user credentials for auth2.
- Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmsecmethods can be a list of proposals separated by a comma (,).
- For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
- If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.
- sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmpfs=mainmode uses the main mode key exchange setting for PFS.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The default value for certmapping and for excludecaname is "no."
- The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').範例 1
請參考以下
Netsh advfirewall 命令的範例:
Netsh advfirewall consec 新增規則名稱 = test1 endpoint1 = 任何 endpoint2 = 任何動作 = requestinrequestout 描述 = 」 使用 ECDSA256 憑證和 AESGMAC256 」 auth1 = computercert computercertecdsap256 auth1ca = 」 C = 美國,O = MSFT CN = \ 'Microsoft 北部南部]、 [東部和西根 Authority\ ’ 」 auth1healthcert = 沒有 auth1ecdsap256ca = 」 C = 美國,O = MSFT CN = \ 'Microsoft 北部南部]、 [東部和西根 Authority\ ’ 」 auth1ecdsap256healthcert = 是 qmsecmethods = 喔: aesgmac256 + esp:aesgmac256-無
這個命令會建立具有下列驗證方法驗證中的設定的連線安全性規則:
- 第一個驗證方法是使用 RSA 憑證簽署的憑證。
- 第二種驗證方法是用於 ECDSA256 憑證簽署的健康情況憑證。
連線安全性規則會藉由使用具有新 AES GMAC 256 演算法的 AH 及 ESP 完整性保護流量。 規則不包含加密。
範例 2
請參考以下
Netsh advfirewall 命令的範例:
Netsh advfirewall consec 新增規則名稱 = test2 endpoint1 = 任何 endpoint2 = 任何動作 = requestinrequestout 描述 = 」 使用 SHA 256 的整合性 」 和加密的 AES192 auth1 = computercert auth1ca = 」 C = 美國,O = MSFT CN = \ 'Microsoft 北部南部]、 [東部和西根 Authority\ ’ 」 auth1healthcert = 沒有 qmsecmethods = 喔: sha256 + esp:sha256-aes192
這個命令會建立具有一種驗證方法驗證中的設定的連線安全性規則。 驗證方法是使用 RSA 憑證簽署的憑證。
連線安全性規則藉由使用 AH 及 ESP 完整性與完整性的 SHA256 和與加密的 AES192 保護流量。
修改現有的連線安全性規則
Netsh advfirewall
Usage: set rule
group=<string> | name=<string>
[type=dynamic|static]
[profile=public|private|domain|any[,...] (default=any)]
[endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[port1=0-65535|any]
[port2=0-65535|any]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
new
[name=<string>]
[profile=public|private|domain|any[,...]]
[description=<string>]
[mode=transport|tunnel]
[endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[action=requireinrequestout|requestinrequestout|
requireinrequireout|noauthentication]
[enable=yes|no]
[type=dynamic|static]
[localtunnelendpoint=<IPv4 address>|<IPv6 address>]
[remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
[port1=0-65535|any]
[port2=0-65535|any]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
[interfacetype=wiresless|lan|ras|any]
[auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
computerntlm|anonymous[,...]]
[auth1psk=<string>]
[auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1healthcert=yes|no (default=no)]
[auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap256healthcert=yes|no (default=no)]
[auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap384healthcert=yes|no (default=no)]
[auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
[auth2ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
[qmsecmethods=
ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
default]
Remarks:
- This sets a new parameter value on an identified rule. The command fails
if the rule does not exist. To create a rule, use the "add" command.
- Values after the new keyword are updated in the rule. If there are
no values, or if the "new" keyword is missing, no changes are made.
- Only a group of rules can be enabled or disabled.
- If multiple rules match the criteria, all matching rules are
updated.
- The rule name should be unique, and it cannot be "all."
- Auth1 and auth2 can be comma-separated lists of options.
- The computerpsk and computerntlm methods cannot be specified together
for auth1.
- Computercert cannot be specified by using user credentials for auth2.
- Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmsecmethods can be a list of proposals that are separated by a comma (,).
- For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
- If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.
- Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- If qmsemethods are set to "default," qmpfs will be set to "default" also.
- Qmpfs=mainmode uses the main mode key exchange setting for PFS.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The default value for "certmapping" and "excludecaname" is "no."
- The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
以下是命令的更新前一節中的 < 範例 1 > 中所建立的規則的範例:
Netsh advfirewall consec 設定規則名稱 = 測試新 qmsecmethods = 喔: aesgmac256 + esp:aesgcm256-aesgcm256
這個命令會更新規則使用 AES GCM 256 ESP 完整性及加密,並使用 AH 完整性 AES GMAC 256。
設定通用的主要模式設定
下列的 [說明] 文字是針對
設定通用的 Netsh advfirewall 命令
netsh advfirewall>set global
Usage: set global statefulftp|statefulpptp enable|disable|notconfigured
set global IPsec (parameter) (value)
set global mainmode (parameter) (value) | notconfigured
IPsec Parameters:
strongcrlcheck - Configures how CRL checking is enforced.
0: Disable CRL checking
1: Fail if cert is revoked (default)
2: Fail on any error
notconfigured: Returns the value to its unconfigured state.
saidletimemin - Configures the security association idle time in
minutes.
- Usage: 5-60|notconfigured (default=5)
defaultexemptions - Configures the default IPsec exemptions. The default is
to exempt IPv6 neighbordiscovery protocol from
IPsec.
- Usage: none|neighbordiscovery|notconfigured
Main Mode Parameters:
mmkeylifetime - Sets the main mode key lifetime in minutes, in sessions, or in both.
- Usage: <num>min,<num>sess
mmsecmethods - Configures the main mode list of proposals
- Usage:
keyexch:enc-integrity,enc-integrity[,...]|default
- keyexch=dhgroup1|dhgroup2|dhgroup14|
ecdhp256|ecdhp384
- enc=3des|des|aes128|aes192|aes256
- integrity=md5|sha1|sha256|sha384
Remarks:
- This configures global settings, such as advanced IPsec options.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The mmsecmethods keyword default sets the policy to the following:
dhgroup2-aes128-sha1,dhgroup2-3des-sha1
- Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista. 下列是新的 SHA 演算法會使用主要模式密碼編譯組中的命令的範例:
Netsh advfirewall 設定全域 mainmode mmsecmethods dhgroup1:3des-sha256,3des sha384
疑難排解]、 [組態],] 及 [驗證] 指令
「 Netsh advfirewall consec 放映規則所有 」 命令
Netsh advfirewall consec 顯示所有規則] 命令會顯示所有連線安全性規則的設定。
下列是輸出的此命令範例。
Rule Name: test
Enabled: Yes
Profiles: Domain,Private,Public
Type: Static
Mode: Transport
Endpoint1: Any
Endpoint2: Any
Protocol: Any
Action: RequestInRequestOut
Auth1: ComputerPSK
Auth1PSK: 12345
MainModeSecMethods ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethods AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb
「 Netsh advfirewall 監視器放映 mmsa 」 命令
Netsh advfirewall 監視器顯示 mmsa] 命令會顯示主要模式安全性關聯。
下列是輸出的此命令範例。
Main Mode SA at 01/04/2008 13:10:09
Local IP Address: 157.59.24.101
Remote IP Address: 157.59.24.119
My ID:
Peer ID:
First Auth: ComputerPSK
Second Auth: None
MM Offer: ECDHAP384-3DES-SHA256
Cookie Pair: 203d57505:5d088705
Health Pair: No
Ok.
「 Netsh advfirewall 監視器放映 qmsa 」 命令
Netsh advfirewall 監視器顯示 qmsa] 命令會顯示快速模式安全性關聯。
下列是範例的輸出,
Main Mode SA at 01/04/2008 13:10:09
Local IP Address: 157.59.24.101
Remote IP Address: 157.59.24.119
Local Port: Any
Remote Port: Any
Protocol: Any
Direction: Both
QM Offer: AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb
Ok.
這個命令。
「 Netsh advfirewall 放映通用 」 命令
Netsh advfirewall 顯示通用 命令,將會顯示通用設定。
下列是輸出的此命令範例。
Global Settings:
IPsec:
StrongCRLCheck 0:Disabled
SAIdleTimeMin 5min
DefaultExemptions NeighborDiscovery
IPsecThroughNAT Server and client behind NAT
StatefulFTP Enable
StatefulPPTP Enable
Main Mode:
KeyLifetime 2min,0sess
SecMethods DHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384
互通性
建立、 強制的和管理使用 Suite B 演算法的 IPsec 原則引進在 Windows Vista SP1 和 Windows Server 2008 中。您可以僅使用所發行的工具,與 Windows Vista SP1 或 Windows Server 2008 來包含 Suite B 演算法 「 群組原則來管理。
範例案例以及預期的結果如下所示。
案例 1
您可以使用新的密碼編譯演算法來套用執行發行版本的 Windows Vista 的電腦執行 Windows Server 2008 或 Windows Vista SP1 的電腦會建立一個原則。
預期的結果
如果規則中包含使用新的密碼編譯演算法的密碼編譯套件這些密碼編譯套件都會被卸除,並且改使用密碼編譯組中的其他密碼編譯套件。
如果沒有任何密碼編譯套件規則中都會辨識整個規則便會遭到捨棄。記錄事件指出無法處理該規則。因此,卸除金鑰交換密碼編譯組中的所有密碼編譯套件如果沒有任何連線安全性規則在原則會套用。但是,仍然套用所有的防火牆規則。
驗證組程序類似於在密碼編譯組程序。 如果其中包含一個原則,新的憑證標幟 (ECDSA P256 或 ECDSA P384) 套用到執行發行版本的 Windows Vista 的電腦,驗證方法都會被卸除。
如果第一個驗證組中的所有驗證方法都會被卸都除,基於此理由,不處理整個規則。 如果卸除第二個驗證組中的所有驗證方法藉由使用第一個的驗證處理規則設定。
案例 2
執行發行版本的 Windows Vista 電腦上您可以使用新的密碼編譯演算法來檢視已在執行 Windows Server 2008 或 Windows Vista SP1 的電腦建立的原則。
預期的結果
新演算法是在監視及製作 「 Windows 防火牆進階安全性] MMC 嵌入式管理單元的部份顯示為 「 未知 」。
Netsh advfirewall 命令也會顯示演算法為 Windows Vista 中的 「 未知 」。
互通性的限制
互通性的限制如下所示:
- 我們不支援遠端管理的原則由執行發行版本的 Windows Vista 的電腦執行 Windows Vista SP1 或 Windows Server 2008 的電腦使用 Suite B 演算法。
- 當正在執行 Windows Vista SP1 或 Windows Server 2008 的電腦建立一個原則會匯入到執行發行版本的 Windows Vista 的電腦時,原則的某些部分都會被卸除。這是因為發行版本的 Windows Vista 無法辨識新的演算法。
支援,且不支援的快速模式密碼編譯演算法組合
下表顯示支援的快速模式密碼編譯演算法組合。
摺疊此表格展開此表格
| 通訊協定 | AH 完整性 | ESP 完整性 | 加密 |
|---|
| 喔 | AES gmac 128 | 無 | 無 |
| 喔 | AES gmac 192 | 無 | 無 |
| 喔 | AES gmac 256 | 無 | 無 |
| 喔 | sha256 | 無 | 無 |
| 喔 | sha1 | 無 | 無 |
| 喔 | md5 | 無 | 無 |
| ESP | 無 | AES gmac 128 | 無 |
| ESP | 無 | AES gmac 192 | 無 |
| ESP | 無 | AES gmac 256 | 無 |
| ESP | 無 | sha256 | 無 |
| ESP | 無 | sha1 | 無 |
| ESP | 無 | md5 | 無 |
| ESP | 無 | sha256 | 除了 AES GCM 演算法任何支援的加密演算法 |
| ESP | 無 | sha1 | 除了 AES GCM 演算法任何支援的加密演算法 |
| ESP | 無 | md5 | 除了 AES GCM 演算法任何支援的加密演算法 |
| ESP | 無 | AES gcm 128 | AES gcm 128 |
| ESP | 無 | AES gcm 192 | AES gcm 192 |
| ESP | 無 | AES gcm 256 | AES gcm 256 |
| 喔 + ESP | AES gmac 128 | AES gmac 128 | 無 |
| 喔 + ESP | AES gmac 128 | AES gmac 128 | 無 |
| 喔 + ESP | AES gmac 128 | AES gmac 128 | 無 |
| 喔 + ESP | SHA 256 | SHA 256 | 無 |
| 喔 + ESP | sha1 | sha1 | 無 |
| 喔 + ESP | md5 | md5 | 無 |
| 喔 + ESP | sha256 | sha256 | 除了 AES GCM 演算法任何支援的加密演算法 |
| 喔 + ESP | sha1 | sha1 | 除了 AES GCM 演算法任何支援的加密演算法 |
| 喔 + ESP | md5 | md5 | 除了 AES GCM 演算法任何支援的加密演算法 |
| 喔 + ESP | AES gmac 128 | AES gcm 128 | AES gcm 128 |
| 喔 + ESP | AES gmac 192 | AES gcm 192 | AES gcm 192 |
| 喔 + ESP | AES gmac 256 | AES gcm 256 | AES gcm 256 |
AES GMAC 是 AES GCM 一樣的 null 加密。比方說您可以指定要使用 AES GMAC 128 AH 完整性,而且可以指定要使用 AES GCM 128 ESP 完整性。這是唯一的例外規則 AH 和 ESP 完整性演算法必須相同。
不支援下列表格中所描述的組合。
摺疊此表格展開此表格
| 通訊協定 | AH 完整性 | ESP 完整性 | 加密 |
|---|
| ESP | 無 | AES gmac 128 | 任何受支援的加密演算法 |
| ESP | 無 | AES gmac 192 | 任何受支援的加密演算法 |
| ESP | 無 | AES gmac 256 | 任何受支援的加密演算法 |
| ESP | 無 | AES gcm 128 | 1.無
2 除了 AES GCM 128.任何加密演算法 |
| ESP | 無 | AES gcm 192 | 1.無
2 除了 AES GCM 192.任何加密演算法 |
| ESP | 無 | AES gcm 256 | 1.無
2 除了 AES GCM 256.任何加密演算法 |
| 喔 + ESP | AES gmac 128 | AES gmac 128 | 任何受支援的加密演算法 |
| 喔 + ESP | AES gmac 192 | AES gmac 192 | 任何受支援的加密演算法 |
| 喔 + ESP | AES gmac 256 | AES gmac 256 | 任何受支援的加密演算法 |
如需有關 Suite B 的詳細資訊,請造訪下列網站:
如需有關 IPsec 和連線安全性規則的詳細資訊,請造訪下列 Microsoft 網站]:
如需有關在 Windows Server 2008 中的密碼編譯下一步] 產生的詳細資訊,請造訪下列 Microsoft 網站]:
如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
949299
(http://support.microsoft.com/kb/949299/
)
已新增至 Windows Vista Service Pack 1 來的 IPsec 設定 Windows 防火牆] 在 [一般準則模式加密操作員安全性群組的描述
文章編號: 949856 - 上次校閱: 2009年4月15日 - 版次: 4.2
這篇文章中的資訊適用於:
- Windows Vista Service Pack 1?應用於:
- Windows Vista 商用入門版
- Windows Vista 商用入門 64 位元版
- Windows Vista 商用進階版
- Windows Vista 商用進階 64 位元版
- Windows Vista 家用入門版
- Windows Vista 家用入門 64 位元版
- Windows Vista 家用進階版
- Windows Vista 家用進階 64 位元版
- Windows Vista 旗艦版
- Windows Vista 旗艦 64 位元版
- Windows Server 2008 for Itanium-Based Systems
- Windows Server 2008 Datacenter without Hyper-V
- Windows Server 2008 Enterprise without Hyper-V
- Windows Server 2008 Standard without Hyper-V
- Windows Server 2008 Datacenter
- Windows Server 2008 Enterprise
- Windows Server 2008 Standard
| kbmt kbexpertiseinter kbhowto kbinfo KB949856 KbMtzh |
機器翻譯重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:
949856
(http://support.microsoft.com/kb/949856/en-us/
)
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。
回此頁最上方
