支援 Suite B 加密編譯演算法已加入至 Windows Vista Service Pack 1、 Windows Server 2008,而且在 Windows 7 的 IPsec 的描述

文章翻譯 文章翻譯
文章編號: 949856 - 檢視此文章適用的產品。
2011 年 7 月 12,Windows Vista Service Pack 1 (SP1) 結尾的支援。若要繼續接收視窗的安全性更新,請確定您執行的是 Windows Vista Service Pack 2 (SP2)。如需詳細資訊,請參閱此 Microsoft 網頁: 結束某些 Windows 版本的支援.
全部展開 | 全部摺疊

在此頁中

簡介

本文說明在 Windows Vista Service Pack 1 (SP1) 與 Windows Server 2008 中已加入對 Suite B 加密編譯演算法的支援。套件 B 是指一群核准美國國家 (地區) 的安全性代理者 (NSA) 的密碼編譯演算法。

套件 B 的互通性的密碼編譯架構為用於保護機密資料。支援已擴充為 Suite B 演算法針對下列區域:
  • 主要模式
  • 快速模式
  • 驗證設定
本文也說明使用 Suite B 演算法的網際網路通訊協定安全性 (IPsec) 原則設定語法。

其他相關資訊

支援的限制

Suite B 的支援限制包括下列各項:
  • 建立和使用 Suite B 演算法的 IPsec 原則的強制只支援 Windows Vista Service Pack 1 (SP1),在 Windows Server 2008 或更新版本的 Windows。
  • 撰寫包含 Suite B 演算法的原則被支援透過 「 Windows 防火牆的進階安全性 」 Microsoft 管理主控台 (MMC) 嵌入式管理單元的 Windows 7 和更新版本的 Windows。
  • Netsh advfirewall 說明] 命令不會顯示 Suite B 演算法的組態選項。只適用於 Windows Vista SP1。

定義

  • 套件 B

    套件 B 是一組標準所指定的國家 (地區) 安全性機構 (NSA)。套件 B 提供一組常見的密碼編譯演算法,可以用來建立符合美國政府需求最大範圍的產品與產業。套件 B 包含下列類型的演算法的規格:
    • 完整性
    • 加密
    • 金鑰交換
    • 數位簽章
  • 聯邦資訊處理標準 (FIPS)

    FIPS 是一組方針和管理聯邦運算資源的標準。所有 Suite B 演算法都都 FIPS 許可。

    如需詳細資訊,請造訪下列網站:
    http://www.itl.nist.gov/fipspubs/geninfo.htm
  • NIST

    這是國家標準與技術的縮略字。
  • 資料完整性演算法

    資料完整性演算法會使用訊息雜湊,來確認資訊不被變更在傳輸時。
  • 資料加密演算法

    資料加密演算法用來隱藏正在傳輸的資訊。加密演算法用來將純文字轉換為秘密提示問題的程式碼。

    例如,加密演算法可以純文字轉換成密碼文字中。加密文字然後可以解碼為原來的純文字。每一個演算法會使用"key"來執行轉換。索引鍵的型別和金鑰的長度視正在使用的演算法而定。
  • IPsec

    這是縮寫,詞彙 「 網際網路通訊協定安全性 」。

    如需有關 IPsec 的詳細資訊,請造訪下列 Microsoft 網站:
    http://technet.microsoft.com/en-us/network/bb531150.aspx
  • 橢圓曲線數位簽章演算法 (ecdsa 來)

    橢圓曲線 (EC) 是在 EC 群組上作業的數位簽章演算法。EC 變數提供相同的安全性層級的較小金鑰大小。

    這個演算法是 FIPS 出版物 186 2 中所述。若要檢視這個發行集,請造訪下列網站:
    http://csrc.nist.gov/publications/fips/archive/fips186-2/fips186-2.pdf
  • 憑證授權單位 (CA)

    憑證授權單位是發出數位認證的實體。IPsec 可以使用這些憑證做為驗證方法。
  • 驗證標頭 (AH)

    驗證標頭是 IPsec 通訊協定,提供整個封包的驗證、 完整性及禁止重新播放功能。這包括 IP 標頭和資料內容。

    AH 不提供機密性。這表示 AH 不會加密資料。資料是可讀取,但無法寫入。
  • 封裝安全承載 (ESP)

    ESP 即 IPsec 通訊協定,提供機密性、 驗證、 完整性及禁止重新播放功能。ESP 可以單獨使用或可與 AH。

主要模式演算法

在 Windows Vista SP1 和 Windows Server 2008 中,除了 Windows Vista 的發行版本中已受支援這些演算法支援下列的完整性演算法:
  • SHA-256
  • SHA 384
附註:金鑰交換演算法和加密演算法不會變更。

快速模式演算法

在 Windows Vista SP1 和 Windows Server 2008 中,除了 Windows Vista 的發行版本中已受支援這些演算法支援下列的演算法。

完整性 (AH 或 ESP)

  • SHA-256
  • GMAC-AES-128
  • AES-GMAC-192
  • AES-GMAC-256

完整性及加密 (ESP 僅)

  • -GCM AES-128
  • AES-GCM-192
  • AES-GCM-256
多個 AH 和 ESP 組合所支援及不支援的詳細資訊,請參閱 「 快速模式密碼編譯演算法組合,是支援和不支援 」 一節。

快速模式限制

  • 相同的完整性演算法應該使用 AH 和 ESP。
  • AES GMAC 演算法都可用於具有 null 加密的完整性演算法。因此,如果指定任何這些演算法的 ESP 完整性時,不能指定加密演算法。
  • 如果您使用 AES-GCM 演算法,就應該指定相同的演算法的 ESP 完整性及加密。

驗證

在 Windows Vista SP1 和 Windows Server 2008 中,除了這些發行版本的 Windows Vista 中已受支援的驗證方法支援下列的驗證方法。
  • P256 ecdsa 來簽署的電腦憑證
  • P384 ecdsa 來簽署的電腦憑證
附註:Windows Vista 的預設驗證方法是 RSA SecurId 驗證。

語法及範例

本節將說明使用Netsh advfirewall命令,若要新增並修改連線安全性規則的語法。本節也提供Netsh advfirewall命令的範例。

新增連線安全性規則

Netsh advfirewall
Usage: add rule name=<string>
      endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
      endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
      action=requireinrequestout|requestinrequestout|
         requireinrequireout|noauthentication
      [description=<string>]
      [mode=transport|tunnel (default=transport)]
      [enable=yes|no (default=yes)]
      [profile=public|private|domain|any[,...] (default=any)]
      [type=dynamic|static (default=static)]
      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
      [port1=0-65535|any (default=any)]
      [port2=0-65535|any (default=any)]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
      [interfacetype=wiresless|lan|ras|any (default=any)]
      [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
         computerntlm|anonymous[,...]]
      [auth1psk=<string>]
      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1healthcert=yes|no (default=no)]
      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap256healthcert=yes|no (default=no)]
      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap384healthcert=yes|no (default=no)]
      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
      [auth2ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
      [qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
         none (default=none)]
      [qmsecmethods=
         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
         |default]
        
Remarks:

      - The rule name should be unique, and it cannot be "all."
      - When mode=tunnel, both tunnel endpoints must be specified and must be
        the same IP version. Also, the action must be requireinrequireout.
      - At least one authentication must be specified.
      - Auth1 and auth2 can be comma-separated lists of options.
      - The "computerpsk" and "computerntlm" methods cannot be specified together
        for auth1.
      - Computercert cannot be specified with user credentials for auth2.
     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
      - Qmsecmethods can be a list of proposals separated by a comma (,).
      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
        encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
      - If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.  
     -  sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista. 
      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The default value for certmapping and for excludecaname is "no."
      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
範例 1
請考慮下列Netsh advfirewall命令的範例:
Netsh advfirewall consec 新增規則名稱 = test1 endpoint1 = 任何 endpoint2 = 任何動作 = requestinrequestout 描述 ="憑證使用 ECDSA256 和 AESGMAC256"auth1 = computercert,computercertecdsap256 auth1ca ="C = 美國,O = MSFT,CN = \'Microsoft 北、 南、 東和西根 Authority\'"auth1healthcert = 沒有 auth1ecdsap256ca ="C = 美國,O = MSFT,CN = \'Microsoft 北、 南、 東和西根 Authority\'"auth1ecdsap256healthcert = [是] qmsecmethods = 喔: aesgmac256 + esp:aesgmac256-無
這個命令會建立具有下列驗證方法驗證設定的連線安全性規則:
  • 第一種驗證方法是使用 RSA 憑證簽署的憑證。
  • 第二個驗證方法是使用 ECDSA256 憑證簽章的健康情況憑證。
連線安全性規則使用新的 AES GMAC 256 演算法的 AH 和 ESP 完整性保護流量。規則不包含加密。
範例 2
請考慮下列Netsh advfirewall命令的範例:
Netsh advfirewall consec 新增規則名稱 = test2 endpoint1 = 任何 endpoint2 = 任何動作 = requestinrequestout 描述 ="使用完整性的 SHA 256 」 和加密的 AES192 auth1 = computercert auth1ca ="C = 美國,O = MSFT,CN = \'Microsoft 北、 南、 東和西根 Authority\'"auth1healthcert = 沒有 qmsecmethods = 啊: sha256 + esp:sha256-aes192
這個命令會建立具有一種驗證方法驗證設定的連線安全性規則。驗證方法是使用 RSA 憑證簽署的憑證。

連線安全性規則會使用 AH 和 ESP 完整性,SHA256 的完整性與加密的 AES192 用來保護流量。

修改現有的連線安全性規則

Netsh advfirewall
Usage: set rule
      group=<string> | name=<string>
      [type=dynamic|static]
      [profile=public|private|domain|any[,...] (default=any)]
      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [port1=0-65535|any]
      [port2=0-65535|any]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
      new
      [name=<string>]
      [profile=public|private|domain|any[,...]]
      [description=<string>]
      [mode=transport|tunnel]
      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
      [action=requireinrequestout|requestinrequestout|
         requireinrequireout|noauthentication]
      [enable=yes|no]
      [type=dynamic|static]
      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
      [port1=0-65535|any]
      [port2=0-65535|any]
      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
      [interfacetype=wiresless|lan|ras|any]
     [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
         computerntlm|anonymous[,...]]
      [auth1psk=<string>]
      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1healthcert=yes|no (default=no)]
      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap256healthcert=yes|no (default=no)]
      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
      [auth1ecdsap384healthcert=yes|no (default=no)]
      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
      [auth2ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
      [qmsecmethods=
         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
         default]


Remarks:

      - This sets a new parameter value on an identified rule. The command fails
        if the rule does not exist. To create a rule, use the "add" command.
      - Values after the new keyword are updated in the rule.  If there are
        no values, or if the "new" keyword is missing, no changes are made.
      - Only a group of rules can be enabled or disabled.
      - If multiple rules match the criteria, all matching rules are 
        updated.
      - The rule name should be unique, and it cannot be "all."
      - Auth1 and auth2 can be comma-separated lists of options.
      - The computerpsk and computerntlm methods cannot be specified together
        for auth1.
      - Computercert cannot be specified by using user credentials for auth2.
     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.  
      - Qmsecmethods can be a list of proposals that are separated by a comma (,).
      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
        encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
      - If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.  
     -  Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
      - If qmsemethods are set to "default," qmpfs will be set to "default" also.
      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The default value for "certmapping" and "excludecaname" is "no."
      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
下列是其中一個命令更新中所建立的規則,例如 「 範例 1"前一節:
Netsh advfirewall consec 設定規則名稱 = 測試新 qmsecmethods = 啊: aesgmac256 + esp:aesgcm256-aesgcm256
這個命令會更新規則用於 AES-GCM 256 ESP 完整性及加密,並使用 AES GMAC 256 AH 完整性。

設定通用的主要模式設定

下列的說明文字是用來設定全域的 Netsh advfirewall命令。
netsh advfirewall>set global

Usage: set global statefulftp|statefulpptp  enable|disable|notconfigured
      set global IPsec (parameter) (value)
      set global mainmode (parameter) (value) | notconfigured

IPsec Parameters:

      strongcrlcheck    - Configures how CRL checking is enforced.
                          0: Disable CRL checking
                          1: Fail if cert is revoked and the CRL exists in the client’s CRL cache (default behavior)and the CRL exists in the client’s CRL cache (default behavior)                          2: Fail on any error
                          notconfigured: Returns the value to its unconfigured state.
      saidletimemin     - Configures the security association idle time in
                          minutes.
                        - Usage: 5-60|notconfigured (default=5)
      defaultexemptions - Configures the default IPsec exemptions. The default is
                          to exempt IPv6 neighbordiscovery protocol from
                          IPsec.
                        - Usage: none|neighbordiscovery|notconfigured

Main Mode Parameters:

      mmkeylifetime     - Sets the main mode key lifetime in minutes, in sessions, or in both.
                        - Usage: <num>min,<num>sess
      mmsecmethods      - Configures the main mode list of proposals
                        - Usage:
                          keyexch:enc-integrity,enc-integrity[,...]|default
                        - keyexch=dhgroup1|dhgroup2|dhgroup14|
                          ecdhp256|ecdhp384
                        - enc=3des|des|aes128|aes192|aes256
                        - integrity=md5|sha1|sha256|sha384

Remarks:

      - This configures global settings, such as advanced IPsec options.
      - We recommend that you do not use DES, MD5, or DHGroup1. These
        cryptographic algorithms are provided for backward compatibility
        only.
      - The mmsecmethods keyword default sets the policy to the following:
        dhgroup2-aes128-sha1,dhgroup2-3des-sha1
      - Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
以下是使用新的 SHA 演算法在主要模式密碼編譯組命令的範例:
Netsh advfirewall 設定通用的主要模式 mmsecmethods dhgroup1:3des-sha256,3des sha384

疑難排解、 組態和驗證命令

「 Netsh advfirewall consec 顯示規則所有"命令

Netsh advfirewall consec 顯示所有的規則] 命令會顯示所有連線安全性規則的設定。

以下是輸出的此命令的範例。
Rule Name:				test
Enabled:					Yes
Profiles:					Domain,Private,Public
Type:					Static
Mode:					Transport
Endpoint1:				Any
Endpoint2:				Any
Protocol:					Any
Action:					RequestInRequestOut
Auth1:					ComputerPSK
Auth1PSK:				         12345
MainModeSecMethods			         ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethods			AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb

「 Netsh advfirewall 監視器顯示 mmsa"指令

Netsh advfirewall 監視器顯示 mmsa命令會顯示主要模式安全性關聯。

以下是輸出的此命令的範例。
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:				157.59.24.101
Remote IP Address:			         157.59.24.119
My ID:
Peer ID:
First Auth:				ComputerPSK
Second Auth:				None
MM Offer:				         ECDHAP384-3DES-SHA256
Cookie Pair:				203d57505:5d088705
Health Pair:				No
Ok.

「 Netsh advfirewall 監視器顯示 qmsa"指令

Netsh advfirewall 監視器顯示 qmsa命令會顯示快速模式安全性關聯。

以下是輸出的此命令的範例。
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:				157.59.24.101
Remote IP Address:			         157.59.24.119
Local Port:				Any
Remote Port:				Any
Protocol:					Any
Direction:				Both
QM Offer:				         AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb	
Ok.

Netsh advfirewall 顯示全域] 命令

Netsh advfirewall 顯示通用命令會顯示通用設定。

以下是輸出的此命令的範例。
Global Settings:
IPsec:					
StrongCRLCheck				0:Disabled
SAIdleTimeMin				5min
DefaultExemptions			         NeighborDiscovery
IPsecThroughNAT			         Server and client behind NAT

StatefulFTP				Enable
StatefulPPTP				Enable

Main Mode:
KeyLifetime				2min,0sess
SecMethods				DHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384

互通性

在 Windows Vista SP1 中,並在 Windows Server 2008 中,已採用建立、 強制執行和使用 Suite B 演算法的 IPsec 原則的管理。您可以管理包含 Suite B 演算法只能透過所發行的工具與 Windows Vista SP1 或 Windows Server 2008 的群組原則。

範例案例和預期的結果是,如下所示。

案例 1

您可以使用新的密碼編譯演算法套用到正在執行 Windows Vista 的發行版本的電腦執行 Windows Server 2008 或 Windows Vista SP1 的電腦建立的原則。
預期的結果
如果規則包含使用新的密碼編譯演算法的密碼編譯套件,這些密碼編譯套件都會被卸除,來代替使用密碼編譯組中的其他密碼編譯套件。

如果無密碼編譯套件,在規則中得到辨識,則會捨棄整個規則。記錄事件,表示無法處理規則。因此,如果在金鑰交換密碼編譯組中的所有密碼編譯套件都會被卸除,無 「 原則 」 中的連線安全性規則會套用。不過,仍會套用所有的防火牆規則。

驗證組程序類似於密碼編譯組程序。如果原則包含新憑證旗標 (ecdsa 來 P256 或 ecdsa 來 P384) 套用到正在執行 Windows Vista 的發行版本的電腦、 驗證方法都會被卸除。

如果第一個驗證組中的所有驗證方法都會被卸都除,基於這個理由,不會處理整個規則。如果第二個驗證組中的所有驗證方法都會被卸都除,處理規則的使用僅有第一個驗證設定。

案例 2

在電腦上正在執行 Windows Vista 的發行版本,您可以使用 [新的密碼編譯演算法來檢視執行 Windows Server 2008 或 Windows Vista SP1 電腦所建立的原則。
預期的結果
新的演算法會在監視和撰寫的 「 Windows 防火牆進階安全性] MMC 嵌入式管理單元 」 部分中顯示為 「 未知 」。Netsh advfirewall命令也會顯示為 「 未知 」,Windows Vista 中的演算法。

互通性的限制

互通性的限制如下所示:
  • 我們不支援從執行 Windows Vista 的發行版本的電腦執行 Windows Vista SP1 或 Windows Server 2008 的電腦使用 Suite B 演算法的原則的遠端管理。
  • 當電腦是執行 Windows Vista SP1 或 Windows Server 2008 建立一個原則匯入到正在執行 Windows Vista 的發行版本的電腦原則的某些部分會被捨棄。會發生這種情況是因為 Windows Vista 的發行版本無法辨識新的演算法。

快速模式密碼編譯演算法組合,是支援和不支援

下表顯示支援的快速模式密碼編譯演算法組合。
摺疊此表格展開此表格
通訊協定AH 完整性ESP 完整性加密
AHAES 128 GMAC
AHAES 192 GMAC
AHAES 256 GMAC
AHSHA256
AHSHA1
AHMD5
ESPAES 128 GMAC
ESPAES 192 GMAC
ESPAES 256 GMAC
ESPSHA256
ESPSHA1
ESPMD5
ESPSHA256除了 AES-GCM 演算法任何支援的加密演算法
ESPSHA1除了 AES-GCM 演算法任何支援的加密演算法
ESPMD5除了 AES-GCM 演算法任何支援的加密演算法
ESPAES-GCM 128AES-GCM 128
ESPAES-GCM 192AES-GCM 192
ESPAES-GCM 256AES-GCM 256
AH + ESPAES 128 GMACAES 128 GMAC
AH + ESPAES 128 GMACAES 128 GMAC
AH + ESPAES 128 GMACAES 128 GMAC
AH + ESPSHA-256SHA-256
AH + ESPSHA1SHA1
AH + ESPMD5MD5
AH + ESPSHA256SHA256除了 AES-GCM 演算法任何支援的加密演算法
AH + ESPSHA1SHA1除了 AES-GCM 演算法任何支援的加密演算法
AH + ESPMD5MD5除了 AES-GCM 演算法任何支援的加密演算法
AH + ESPAES 128 GMACAES-GCM 128AES-GCM 128
AH + ESPAES 192 GMACAES-GCM 192AES-GCM 192
AH + ESPAES 256 GMACAES-GCM 256AES-GCM 256
附註:AES GMAC 等同於 AES-GCM null 加密。例如,您可以指定要使用 AES GMAC 128 AH 完整性,您可以指定要使用 AES-GCM 128 ESP 完整性。這是唯一的例外狀況,AH 和 ESP 完整性演算法必須是相同的規則。

不支援下表所述的組合。
摺疊此表格展開此表格
通訊協定AH 完整性ESP 完整性加密
ESPAES 128 GMAC任何支援的加密演算法
ESPAES 192 GMAC任何支援的加密演算法
ESPAES 256 GMAC任何支援的加密演算法
ESPAES-GCM 1281.無
2.除了 AES-GCM 128 任何加密演算法
ESPAES-GCM 1921.無
2.除了 AES-GCM 192 任何加密演算法
ESPAES-GCM 2561.無
2.除了 AES-GCM 256 任何加密演算法
AH + ESPAES 128 GMACAES 128 GMAC任何支援的加密演算法
AH + ESPAES 192 GMACAES 192 GMAC任何支援的加密演算法
AH + ESPAES 256 GMACAES 256 GMAC任何支援的加密演算法
如需有關 Suite B 的詳細資訊,請造訪下列網站:
http://www.nsa.gov/ia/programs/suiteb_cryptography/index.shtml
如需有關 IPsec 和連線安全性規則的詳細資訊,請造訪下列 Microsoft 網站:
http://go.microsoft.com/fwlink/?linkid=96525
如需有關 Windows Server 2008 中的密碼編譯下一代的詳細資訊,請造訪下列 Microsoft 網站:
http://technet2.microsoft.com/windowsserver2008/en/library/532ac164-da33-4369-bef0-8f019d5a18b81033.mspx?mfr=true
如需詳細資訊,按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
949299 已新增至 Windows Vista Service Pack 1 來設定 Windows 防火牆的 IPsec 共通準則模式密碼編譯操作員安全性群組的說明

屬性

文章編號: 949856 - 上次校閱: 2013年9月21日 - 版次: 5.0
這篇文章中的資訊適用於:
  • Windows Vista Service Pack 1?應用於:
    • Windows Vista 商用入門版
    • Windows Vista 商用入門 64 位元版
    • Windows Vista 商用進階版
    • Windows Vista 商用進階 64 位元版
    • Windows Vista 家用入門版
    • Windows Vista 家用入門 64 位元版
    • Windows Vista 家用進階版
    • Windows Vista 家用進階 64 位元版
    • Windows Vista 旗艦版
    • Windows Vista 旗艦 64 位元版
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
關鍵字:?
kbexpertiseinter kbhowto kbinfo kbmt KB949856 KbMtzh
機器翻譯
請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。
按一下這裡查看此文章的英文版本:949856
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com