أنت غير متصل حاليًا، وفي انتظار الإنترنت الخاص بك ليقوم بإعادة الاتصال

إن المستعرض الذي تستخدمه غير معتمد

إنك تحتاج إلى تحديث المستعرض لاستخدام الموقع.

التحديث إلى أحدث إصدار من Internet Explorer

وصف لدعم "ب مجموعة" خوارزميات التشفير التي تم إضافتها إلى IPsec في ويندوز فيستا حزمة الخدمة 1 في Windows Server 2008 وفي Windows 7

هام: تمت ترجمة هذه المقالة باستخدام برامج مايكروسوفت للترجمة الآلية ومن المحتمل ان يتم تحريرها او تدقيقها بعد ذلك من خلال تكنولوجيا منصة مجموعات الترجمة(CTF) او من خلال مترجم بشري. تقدم لك شركة مايكروسوفت هذه المقالات المترجمة بشكل آلي او بالترجمة البشرية او بعد تحريرها وتدقيقها من قبل مجموعات الترجمة حتى تمكنكم من الوصول إلى جميع المقالات الموجودة في قواعد المعرفة لديها بلغات مختلفة. إلا أن المقالات المترجمة قد تحتوي على أخطاء في المفردات او بناء الجمل او النحو. وعليه، فإن شركة مايكروسوفت ليست مسؤولة عن اية أخطاء او عدم دقة في الترجمة او أية أضرار قد تحدث نتيجة أخطاء في ترجمة محتويات النص او استخدامه من قبل العملاء.

اضغط هنا لرابط المقالة باللغة الانجليزية949856
ينتهي دعم Windows Vista Service Pack 1 (SP1) في 12 يوليو. للاستمرار في تلقي تحديثات الأمان لنظام التشغيل Windows، تأكد من تشغيل نظام التشغيل Windows Vista باستخدام حزمة الخدمة service Pack 2 (SP2). لمزيد من المعلومات، راجع صفحة Microsoft على الويب: انتهاء الدعم لبعض إصدارات Windows.
مقدمة حول
توضح هذه المقالة دعم خوارزميات تشفير Suite B التي تمت إضافتها في Windows Vista Service Pack 1 (SP1) وفي Windows Server 2008. Suite B هي مجموعة خوارزميات التشفير التي تمت الموافقة عليها بالولايات المتحدة الأمن وكالة (القومي).

يتم استخدام مجموعة ب كإطار تشفير قابلاً للتشغيل المتداخل لحماية البيانات الحساسة. تم توسيع الدعم إلى خوارزميات Suite B للمجالات التالية:
  • الوضع الرئيسي
  • الوضع السريع
  • إعدادات المصادقة
توضح هذه المقالة أيضا "بروتوكول إنترنت" الأمان (IPsec) النهج تكوين بناء تستخدم خوارزميات Suite B.
معلومات أخرى

قيود الدعم

قيود Suite B الدعم ما يلي:
  • يتم اعتماد إنشاء وتطبيق نهج IPsec باستخدام خوارزميات Suite B فقط في Windows Vista Service Pack 1 (SP1) في Windows Server 2008 أو في إصدار أحدث من Windows.
  • يتم اعتماد تأليف النهج التي تحتوي على خوارزميات Suite B عبر "Windows جدار حماية مع الأمان المتقدم" وحدة التحكم بالإدارة ل Microsoft (MMC) الأداة الإضافية ل Windows 7 والإصدارات اللاحقة من Windows.
  • لا يتم عرض الأمر Netsh advfirewall تعليمات خيارات التكوين لخوارزميات Suite B. ينطبق هذا فقط على Windows Vista SP1.

تعريفات

  • Suite B

    Suite B هي مجموعة من المعايير المحددة عن طريق وكالة الأمن القومي (NSA). توفر مجموعة ب الصناعة مع مجموعة شائعة خوارزميات التشفير التي يمكن استخدامها لإنشاء منتجات تفي بأوسع نطاق من احتياجات حكومة الولايات المتحدة. تتضمن مجموعة ب تحديد الأنواع التالية من خوارزميات:
    • تكامل
    • التشفير
    • تبادل المفاتيح
    • التوقيع الرقمي
  • معايير معالجة المعلومات الفيدرالي (FIPS)

    FIPS هو مجموعة من المبادئ التوجيهية والمعايير التي تتحكم في موارد الحوسبة الفيدرالية. تكون كافة الخوارزميات Suite B الموافقة FIPS.

    لمزيد من المعلومات، قم بزيارة موقع ويب التالي:
  • NIST

    هذا اختصار للمعهد الوطني للمعايير والتكنولوجيا.
  • خوارزميات تكامل البيانات

    استخدام خوارزميات تكامل البيانات تجزئات الرسائل للتأكد من أنه لم يتم تغيير المعلومات أثناء انتقالها.
  • خوارزميات تشفير البيانات

    يتم استخدام خوارزمية تشفير البيانات لإخفاء المعلومات التي يتم نقلها. يتم استخدام خوارزميات التشفير لتحويل النص العادي إلى رمز سري.

    على سبيل المثال، خوارزميات التشفير بتحويل النص العادي إلى نص مشفر. ثم يتم فك ترميز النص المشفر إلى نص عادي الأصلي. كل خوارزمية تستخدم "مفتاح" لإجراء التحويل. نوع المفتاح وطول المفتاح استناداً إلى الخوارزمية المستخدمة.
  • IPsec

    هذا اختصار لعبارة "أمن بروتوكول الإنترنت".

    لمزيد من المعلومات حول IPsec، قم بزيارة موقع Microsoft التالي على الويب:
  • خوارزمية التوقيع الرقمي المنحنى البيضاوي (ECDSA)

    المنحنى البيضاوي (EC) هو البديل من خوارزمية التوقيع الرقمي التي تعمل على مجموعات الجماعة الأوروبية. يوفر الخيار EC أحجام المفاتيح أصغر لنفس مستوى الأمان.

    يتم وصف هذه الخوارزمية في المنشور FIPS 186 2. لعرض هذا المنشور، قم بزيارة موقع ويب التالي:
  • المرجع المصدق (CA)

    مرجع مصدق هو كيان الذي يصدر الشهادات الرقمية. استخدام IPsec هذه الشهادات كأسلوب مصادقة.
  • رأس المصادقة (AH)

    رأس المصادقة هو بروتوكول IPsec التي توفر المصادقة والتكامل وعدم إعادة تشغيل وظيفة للحزمة أكملها. وهذا يتضمن رأس IP وحمولة البيانات.

    يوفر AH السرية. وهذا يعني أن ه لا يقوم بتشفير البيانات. البيانات قابلة للقراءة، إلا أنها unwriteable.
  • تغليف حمولة الأمان (ESP)

    ESP هو بروتوكول IPsec يوفر السرية والمصادقة وتكامل وظائف ضد الرد. ويمكن استخدام ESP وحدها، أو استخدامها جنبا إلى جنب مع AH.

خوارزميات الوضع الرئيسي

في Windows Vista SP1 و Windows Server 2008، يتم دعم خوارزميات التكامل التالية بالإضافة إلى هذه الخوارزميات معتمدة مسبقاً في نسخة إصدار نظام التشغيل Windows Vista:
  • SHA-256
  • SHA 384
ملاحظة لا يتم تغيير خوارزمية تبادل المفاتيح وخوارزمية التشفير.

خوارزميات الوضع السريع

في Windows Vista SP1 و Windows Server 2008، يتم دعم خوارزميات التالية بالإضافة إلى هذه الخوارزميات معتمدة مسبقاً في نسخة إصدار نظام التشغيل Windows Vista.

تكامل (AH أو ESP)

  • SHA-256
  • 128-GMAC-الخدمات المعمارية والهندسية
  • 192-GMAC-الخدمات المعمارية والهندسية
  • AES GMAC 256

التكامل والتشفير (ESP فقط)

  • الخدمات المعمارية والهندسية نماذج الدوران العامة 128
  • الخدمات المعمارية والهندسية نماذج الدوران العامة 192
  • 256 AES نماذج الدوران العام
لمزيد من المعلومات حول مجموعات AH و ESP المعتمدة وغير المعتمدة، راجع "الوضع السريع خوارزمية التشفير المجموعات التي تدعمها وغير معتمد" المقطع.

قيود للوضع السريع

  • يجب استخدام نفس خوارزمية التكامل لكل من AH و ESP.
  • تتوفر خوارزميات AES GMAC خوارزمية تكامل يحتوي على تشفير null. ولذلك، إذا تم تحديد أي من هذه الخوارزميات لتكامل ESP، لا يمكن تحديد خوارزمية التشفير.
  • إذا كنت تستخدم خوارزمية AES-نماذج الدوران العام، يجب تحديد نفس الخوارزمية ل ESP التكامل والتشفير.

المصادقة

في Windows Vista SP1 و Windows Server 2008، يتم اعتماد أساليب المصادقة التالية بالإضافة إلى أساليب المصادقة هذه معتمدة مسبقاً في نسخة إصدار نظام التشغيل Windows Vista.
  • شهادة الكمبيوتر مع توقيع ECDSA P256
  • شهادة الكمبيوتر مع توقيع ECDSA P384
ملاحظة هو أسلوب المصادقة الافتراضي لنظام التشغيل Windows Vista المصادقة RSA SecurId.

بناء الجملة وأمثلة

يصف هذا القسم بناء الجملة من أجل استخدام الأمر Netsh advfirewall لإضافة وتعديل قواعد أمان الاتصال. كما يوفر هذا القسم أمثلة الأوامر Netsh advfirewall .

إضافة قاعدة أمان الاتصال

Netsh advfirewallUsage: add rule name=<string>      endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>      endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>      action=requireinrequestout|requestinrequestout|         requireinrequireout|noauthentication      [description=<string>]      [mode=transport|tunnel (default=transport)]      [enable=yes|no (default=yes)]      [profile=public|private|domain|any[,...] (default=any)]      [type=dynamic|static (default=static)]      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]      [port1=0-65535|any (default=any)]      [port2=0-65535|any (default=any)]      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]      [interfacetype=wiresless|lan|ras|any (default=any)]      [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|         computerntlm|anonymous[,...]]      [auth1psk=<string>]      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]      [auth1healthcert=yes|no (default=no)]      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]      [auth1ecdsap256healthcert=yes|no (default=no)]      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]      [auth1ecdsap384healthcert=yes|no (default=no)]      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]      [auth2ca="<CA Name> [certmapping:yes|no] ..."]      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]      [qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|         none (default=none)]      [qmsecmethods=         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]         |default]        Remarks:      - The rule name should be unique, and it cannot be "all."      - When mode=tunnel, both tunnel endpoints must be specified and must be        the same IP version. Also, the action must be requireinrequireout.      - At least one authentication must be specified.      - Auth1 and auth2 can be comma-separated lists of options.      - The "computerpsk" and "computerntlm" methods cannot be specified together        for auth1.      - Computercert cannot be specified with user credentials for auth2.     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.      - Qmsecmethods can be a list of proposals separated by a comma (,).      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and        encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.      - If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.       -  sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.       - Qmpfs=mainmode uses the main mode key exchange setting for PFS.      - We recommend that you do not use DES, MD5, or DHGroup1. These        cryptographic algorithms are provided for backward compatibility        only.      - The default value for certmapping and for excludecaname is "no."      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
مثال 1
خذ بعين الاعتبار المثال التالي للأمر Netsh advfirewall :
Netsh advfirewall كونسيك إضافة اسم قاعدة = test1 endpoint1 = endpoint2 أي = أي إجراء وصف ريقويستينريقويستوت = = "شهادة الاستخدام ECDSA256 و AESGMAC256" auth1 = كومبوتيرسيرت، computercertecdsap256 auth1ca = "C = الولايات المتحدة، يا MSFT، CN = =' \ 'Microsoft الشمال والجنوب، والشرق والغرب Authority\ الجذر'"auth1healthcert = لا auth1ecdsap256ca ="C = الولايات المتحدة، يا MSFT، CN = = '\' Microsoft الشمال والجنوب، والشرق والغرب Authority\ الجذر '" auth1ecdsap256healthcert = نعم قمسيكميثودس = آه: aesgmac256 + esp:aesgmac256-بلا
ينشئ هذا الأمر قاعدة أمان اتصال يحتوي أساليب المصادقة التالية في المصادقة تعيين:
  • أسلوب المصادقة الأولى هي شهادة يستخدم توقيع RSA الشهادة.
  • أسلوب المصادقة الثانية هي شهادة صحية يستخدم ECDSA256 لشهادة التوقيع.
قاعدة أمان الاتصال بحماية حركة المرور باستخدام تكامل AH و ESP مع خوارزمية 256 AES GMAC جديدة. لا تتضمن القاعدة التشفير.
مثال 2
خذ بعين الاعتبار المثال التالي للأمر Netsh advfirewall :
Netsh advfirewall كونسيك إضافة اسم القاعدة = test2 endpoint1 = أي endpoint2 = أي إجراء وصف ريقويستينريقويستوت = = auth1 "استخدام 256 SHA للتكامل" و AES192 لتشفير = auth1ca كومبوتيرسيرت = "C = الولايات المتحدة، يا MSFT، CN = =' \ 'Microsoft الشمال والجنوب، والشرق والغرب Authority\ الجذر'" auth1healthcert = قمسيكميثودس لا = آه: sha256 + esp:sha256-aes192
ينشئ هذا الأمر قاعدة أمان اتصال بأسلوب مصادقة واحد في المصادقة تعيين. هو أسلوب مصادقة شهادة يستخدم توقيع RSA الشهادة.

قاعدة أمان الاتصال بحماية حركة المرور باستخدام تكامل AH و ESP مع SHA256 للتكامل و AES192 للتشفير.

تعديل قاعدة أمان اتصال موجودة

Netsh advfirewallUsage: set rule      group=<string> | name=<string>      [type=dynamic|static]      [profile=public|private|domain|any[,...] (default=any)]      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]      [port1=0-65535|any]      [port2=0-65535|any]      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]      new      [name=<string>]      [profile=public|private|domain|any[,...]]      [description=<string>]      [mode=transport|tunnel]      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]      [action=requireinrequestout|requestinrequestout|         requireinrequireout|noauthentication]      [enable=yes|no]      [type=dynamic|static]      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]      [port1=0-65535|any]      [port2=0-65535|any]      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]      [interfacetype=wiresless|lan|ras|any]     [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|         computerntlm|anonymous[,...]]      [auth1psk=<string>]      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]      [auth1healthcert=yes|no (default=no)]      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]      [auth1ecdsap256healthcert=yes|no (default=no)]      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]      [auth1ecdsap384healthcert=yes|no (default=no)]      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]      [auth2ca="<CA Name> [certmapping:yes|no] ..."]      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]      [qmsecmethods=         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|         default]Remarks:      - This sets a new parameter value on an identified rule. The command fails        if the rule does not exist. To create a rule, use the "add" command.      - Values after the new keyword are updated in the rule.  If there are        no values, or if the "new" keyword is missing, no changes are made.      - Only a group of rules can be enabled or disabled.      - If multiple rules match the criteria, all matching rules are         updated.      - The rule name should be unique, and it cannot be "all."      - Auth1 and auth2 can be comma-separated lists of options.      - The computerpsk and computerntlm methods cannot be specified together        for auth1.      - Computercert cannot be specified by using user credentials for auth2.     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.        - Qmsecmethods can be a list of proposals that are separated by a comma (,).      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and        encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256      - If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.       -  Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.      - If qmsemethods are set to "default," qmpfs will be set to "default" also.      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.      - We recommend that you do not use DES, MD5, or DHGroup1. These        cryptographic algorithms are provided for backward compatibility        only.      - The default value for "certmapping" and "excludecaname" is "no."      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
التالي هو مثال الأمر تحديث القاعدة التي تم إنشاؤها في "المثال 1" في المقطع السابق:
اسم قاعدة تعيين Netsh advfirewall كونسيك = قمسيكميثودس اختبار جديد = آه: aesgmac256 + esp:aesgcm256-aesgcm256
هذا الأمر بتحديث القاعدة لاستخدام 256 AES-نماذج الدوران العام لتشفير وتكامل ESP واستخدام 256 AES GMAC لتكامل AH.

تعيين إعدادات الوضع الرئيسي العالمي

نص التعليمات التالية للأمر Netsh advfirewall مجموعة عمومية .
netsh advfirewall>set globalUsage: set global statefulftp|statefulpptp  enable|disable|notconfigured      set global IPsec (parameter) (value)      set global mainmode (parameter) (value) | notconfiguredIPsec Parameters:      strongcrlcheck    - Configures how CRL checking is enforced.                          0: Disable CRL checking                          1: Fail if cert is revoked and the CRL exists in the client’s CRL cache (default behavior)and the CRL exists in the client’s CRL cache (default behavior)                          2: Fail on any error                          notconfigured: Returns the value to its unconfigured state.      saidletimemin     - Configures the security association idle time in                          minutes.                        - Usage: 5-60|notconfigured (default=5)      defaultexemptions - Configures the default IPsec exemptions. The default is                          to exempt IPv6 neighbordiscovery protocol from                          IPsec.                        - Usage: none|neighbordiscovery|notconfiguredMain Mode Parameters:      mmkeylifetime     - Sets the main mode key lifetime in minutes, in sessions, or in both.                        - Usage: <num>min,<num>sess      mmsecmethods      - Configures the main mode list of proposals                        - Usage:                          keyexch:enc-integrity,enc-integrity[,...]|default                        - keyexch=dhgroup1|dhgroup2|dhgroup14|                          ecdhp256|ecdhp384                        - enc=3des|des|aes128|aes192|aes256                        - integrity=md5|sha1|sha256|sha384Remarks:      - This configures global settings, such as advanced IPsec options.      - We recommend that you do not use DES, MD5, or DHGroup1. These        cryptographic algorithms are provided for backward compatibility        only.      - The mmsecmethods keyword default sets the policy to the following:        dhgroup2-aes128-sha1,dhgroup2-3des-sha1      - Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
ما يلي هو مثال الأمر الذي يستخدم خوارزميات SHA الجديدة في مجموعة تشفير الوضع الرئيسي:
تعيين Netsh advfirewall dhgroup1:3des مسيكميثودس مينمودي العمومية-sha256، 3des sha384

استكشاف الأخطاء وإصلاحها وتكوين والتحقق من الأوامر

الأمر "Netsh advfirewall كونسيك عرض المادة كافة"

يعرض الأمر Netsh advfirewall كونسيك إظهار كافة قاعدة التكوين لكافة قواعد أمان الاتصال.

التالي عينة إخراج هذا الأمر.
Rule Name:				testEnabled:					YesProfiles:					Domain,Private,PublicType:					StaticMode:					TransportEndpoint1:				AnyEndpoint2:				AnyProtocol:					AnyAction:					RequestInRequestOutAuth1:					ComputerPSKAuth1PSK:				         12345MainModeSecMethods			         ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384QuickModeSecMethods			AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb

الأمر "Netsh advfirewall العرض إظهار مسا"

يعرض الأمر Netsh advfirewall العرض مسا اقتران أمان الوضع الرئيسي.

التالي عينة إخراج هذا الأمر.
Main Mode SA at 01/04/2008 13:10:09Local IP Address:				157.59.24.101Remote IP Address:			         157.59.24.119My ID:Peer ID:First Auth:				ComputerPSKSecond Auth:				NoneMM Offer:				         ECDHAP384-3DES-SHA256Cookie Pair:				203d57505:5d088705Health Pair:				NoOk.

الأمر "Netsh advfirewall العرض إظهار قمسا"

يعرض الأمر Netsh advfirewall العرض قمسا اقتران أمان الوضع السريع.

التالي عينة إخراج هذا الأمر.
Main Mode SA at 01/04/2008 13:10:09Local IP Address:				157.59.24.101Remote IP Address:			         157.59.24.119Local Port:				AnyRemote Port:				AnyProtocol:					AnyDirection:				BothQM Offer:				         AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb	Ok.

الأمر "Netsh advfirewall المعرض العالمي"

يعرض الأمر show Netsh advfirewall العمومية الإعدادات العمومية.

التالي عينة إخراج هذا الأمر.
Global Settings:IPsec:					StrongCRLCheck				0:DisabledSAIdleTimeMin				5minDefaultExemptions			         NeighborDiscoveryIPsecThroughNAT			         Server and client behind NATStatefulFTP				EnableStatefulPPTP				EnableMain Mode:KeyLifetime				2min,0sessSecMethods				DHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384

إمكانية التشغيل التفاعلي

بدأ إنشاء وإنفاذ القوانين وإدارة نهج IPsec خوارزميات Suite B يستخدم في حزمة الخدمة SP1 ل Windows Vista و Windows Server 2008. يمكنك إدارة "نهج المجموعة" التي تحتوي على خوارزميات Suite B فقط باستخدام الأدوات التي تم إصدارها مع Windows Vista SP1 أو Windows Server 2008.

نماذج سيناريوهات والنتائج المتوقعة كما يلي.

السيناريو 1

يمكنك استخدام خوارزميات التشفير الجديدة لتطبيق نهج الذي تم إنشاؤه على جهاز كمبيوتر يقوم بتشغيل Windows Server 2008 أو Windows Vista SP1 على جهاز كمبيوتر يقوم بتشغيل إصدار نظام التشغيل Windows vista.
النتائج المتوقعة
إذا احتوت على قاعدة مجموعات التشفير استخدام خوارزميات التشفير الجديدة، يتم إسقاط هذه الأجنحة التشفير ومجموعات أخرى التشفير في مجموعة التشفير يتم استخدامها بدلاً من ذلك.

إذا كان يتم التعرف على أي من برامج التشفير في القاعدة، يتم إسقاط قاعدة بيانات كاملة. يتم تسجيل حدث يشير إلى أن القاعدة لا يمكن معالجتها. ولذلك، إذا تم إسقاط كافة مجموعات التشفير في مجموعة تبادل مفاتيح التشفير، بلا قواعد أمان الاتصال في النهج يتم تطبيقها. ومع ذلك، لا يزال يتم تطبيق كافة قواعد جدار الحماية.

تشبه عملية تعيين مصادقة عملية مجموعة التشفير. إذا احتوت على نهج الذي يتم تطبيق علامات الشهادة الجديدة (ECDSA P256 أو ECDSA P384) على جهاز كمبيوتر يقوم بتشغيل إصدار نظام التشغيل Windows vista، يتم إسقاط أساليب المصادقة.

يتم إسقاط كافة أساليب المصادقة في مجموعة المصادقة الأولى لهذا السبب، لن تتم معالجة قاعدة الكامل. إذا تم إسقاط كافة أساليب المصادقة في مجموعة المصادقة الثانية، تتم معالجة القاعدة باستخدام المصادقة الأولى تعيين.

السيناريو 2

على جهاز كمبيوتر يقوم بتشغيل إصدار نظام التشغيل Windows vista، يمكنك استخدام خوارزميات التشفير الجديدة لعرض نهج الذي تم إنشاؤه على جهاز كمبيوتر يقوم بتشغيل حزمة الخدمة SP1 ل Windows Vista أو Windows Server 2008.
النتائج المتوقعة
يتم عرض الخوارزميات الجديدة ك "مجهول" في رصد وكتابة أجزاء من الأداة الإضافية MMC الأمان المتقدمة جدار حماية Windows. يعرض الأمر Netsh advfirewall أيضا الخوارزميات ك "مجهول" في نظام التشغيل Windows Vista.

قيود على إمكانية التشغيل التفاعلي

قيود على إمكانية التشغيل المتداخل كما يلي:
  • أننا لا نؤيد الإدارة عن بعد للنهج التي تستخدم خوارزميات Suite B على أجهزة الكمبيوتر التي تقوم بتشغيل Windows Vista SP1 أو Windows Server 2008 من جهاز كمبيوتر يقوم بتشغيل إصدار نظام التشغيل Windows vista.
  • عند استيراد نهج الذي تم إنشاؤه على جهاز كمبيوتر يعمل بحزمة الخدمة SP1 ل Windows Vista أو Windows Server 2008 إلى كمبيوتر يقوم بتشغيل إصدار نظام التشغيل Windows vista، يتم إسقاط بعض أجزاء النهج. يحدث هذا لأنه لا يمكن التعرف على الإصدار من نظام التشغيل Windows Vista الخوارزميات الجديدة.

مجموعات الوضع السريع خوارزمية التشفير المعتمدة وغير المعتمدة

يعرض الجدول التالي تركيبات خوارزمية التشفير المعتمدة في الوضع السريع.
بروتوكولAH التكاملتكامل ESPالتشفير
آه128 AES-GMACلا شيءلا شيء
آه192 AES-GMACلا شيءلا شيء
آه256 AES-GMACلا شيءلا شيء
آهSHA256لا شيءلا شيء
آهSHA1لا شيءلا شيء
آهMD5لا شيءلا شيء
ESPلا شيء128 AES-GMACلا شيء
ESPلا شيء192 AES-GMACلا شيء
ESPلا شيء256 AES-GMACلا شيء
ESPلا شيءSHA256لا شيء
ESPلا شيءSHA1لا شيء
ESPلا شيءMD5لا شيء
ESPلا شيءSHA256أي خوارزمية التشفير المعتمدة ما عدا خوارزمية AES-نماذج الدوران العام
ESPلا شيءSHA1أي خوارزمية التشفير المعتمدة ما عدا خوارزمية AES-نماذج الدوران العام
ESPلا شيءMD5أي خوارزمية التشفير المعتمدة ما عدا خوارزمية AES-نماذج الدوران العام
ESPلا شيءالخدمات المعمارية والهندسية-نماذج الدوران العامة 128الخدمات المعمارية والهندسية-نماذج الدوران العامة 128
ESPلا شيءالخدمات المعمارية والهندسية-نماذج الدوران العامة 192الخدمات المعمارية والهندسية-نماذج الدوران العامة 192
ESPلا شيءالخدمات المعمارية والهندسية-نماذج الدوران العامة 256الخدمات المعمارية والهندسية-نماذج الدوران العامة 256
آه + ESP128 AES-GMAC128 AES-GMACلا شيء
آه + ESP128 AES-GMAC128 AES-GMACلا شيء
آه + ESP128 AES-GMAC128 AES-GMACلا شيء
آه + ESPSHA-256SHA-256لا شيء
آه + ESPSHA1SHA1لا شيء
آه + ESPMD5MD5لا شيء
آه + ESPSHA256SHA256أي خوارزمية التشفير المعتمدة ما عدا خوارزمية AES-نماذج الدوران العام
آه + ESPSHA1SHA1أي خوارزمية التشفير المعتمدة ما عدا خوارزمية AES-نماذج الدوران العام
آه + ESPMD5MD5أي خوارزمية التشفير المعتمدة ما عدا خوارزمية AES-نماذج الدوران العام
آه + ESP128 AES-GMACالخدمات المعمارية والهندسية-نماذج الدوران العامة 128الخدمات المعمارية والهندسية-نماذج الدوران العامة 128
آه + ESP192 AES-GMACالخدمات المعمارية والهندسية-نماذج الدوران العامة 192الخدمات المعمارية والهندسية-نماذج الدوران العامة 192
آه + ESP256 AES-GMACالخدمات المعمارية والهندسية-نماذج الدوران العامة 256الخدمات المعمارية والهندسية-نماذج الدوران العامة 256
ملاحظةهو نفس الخدمات المعمارية والهندسية-نماذج الدوران العامة AES GMAC تشفير null. على سبيل المثال، يمكنك تحديد AH التكامل لاستخدام 128 GMAC الخدمات المعمارية والهندسية، ويمكنك تحديد تكامل ESP لاستخدام 128 AES-نماذج الدوران العام. وهذا الاستثناء الوحيد للقاعدة التي يجب أن تكون خوارزميات تكامل AH و ESP متطابقة.

لا يتم اعتماد المجموعات الموضحة في الجدول التالي.
بروتوكولAH التكاملتكامل ESPالتشفير
ESPلا شيء128 AES-GMACأي خوارزمية التشفير المعتمدة
ESPلا شيء192 AES-GMACأي خوارزمية التشفير المعتمدة
ESPلا شيء256 AES-GMACأي خوارزمية التشفير المعتمدة
ESPلا شيءالخدمات المعمارية والهندسية-نماذج الدوران العامة 1281. أي
2. أي خوارزمية التشفير استثناء 128 AES-نماذج الدوران العام
ESPلا شيءالخدمات المعمارية والهندسية-نماذج الدوران العامة 1921. أي
2. أي خوارزمية التشفير فيما عدا الخدمات المعمارية والهندسية-نماذج الدوران العامة 192
ESPلا شيءالخدمات المعمارية والهندسية-نماذج الدوران العامة 2561. أي
2. أي خوارزمية التشفير إلا 256 AES-نماذج الدوران العام
آه + ESP128 AES-GMAC128 AES-GMACأي خوارزمية التشفير المعتمدة
آه + ESP192 AES-GMAC192 AES-GMACأي خوارزمية التشفير المعتمدة
آه + ESP256 AES-GMAC256 AES-GMACأي خوارزمية التشفير المعتمدة
لمزيد من المعلومات حول المجموعة B، قم بزيارة موقع ويب التالي:لمزيد من المعلومات حول IPsec وقواعد أمان الاتصال، قم بزيارة موقع Microsoft التالي على الويب:لمزيد من المعلومات حول "الجيل التالي من التشفير" في Windows Server 2008، قم بزيارة موقع Microsoft التالي على الويب:لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
949299 وصف مجموعة أمان "تشفير العوامل" التي تمت إضافتها إلى Windows Vista Service Pack 1 لتكوين جدار حماية Windows ل IPsec بشكل عام وضع المعايير

تحذير: تمت ترجمة هذه المقالة تلقائيًا

خصائص

رقم الموضوع: 949856 - آخر مراجعة: 09/21/2013 00:40:00 - المراجعة: 5.0

  • Windows Vista Service Pack 1
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • kbexpertiseinter kbhowto kbinfo kbmt KB949856 KbMtar
تعليقات
did=1&t=">050&did=1&t=">mp;t=">/html>