Beschreibung der Unterstützung für Suite B-Kryptografiealgorithmen, die das IPsec in Windows Vista Service Pack 1, Windows Server 2008 und Windows 7 hinzugefügt wurde

Unterstützung für Windows Vista Service Pack 1 (SP1) am 12. Juli 2011 endet. Um weiterhin Sicherheitsupdates für Windows zu erhalten, stellen Sie sicher, dass Sie Windows Vista mit Service Pack 2 (SP2) ausführen. Weitere Informationen finden Sie auf dieser Microsoft-Webseite: Unterstützung endet für einige Versionen von Windows.

Einführung

Dieser Artikel beschreibt die Unterstützung für Suite B-Kryptografiealgorithmen, die in Windows Vista Service Pack 1 (SP1) und Windows Server 2008 hinzugefügt wurde. Suite B ist eine Gruppe von Verschlüsselungsalgorithmen, die von den USA National Security Agency (NSA) genehmigt werden.

Suite B dient als interoperabel Verschlüsselungsstruktur zum Schutz sensibler Daten. Unterstützung für Suite B-Algorithmen für die folgenden Bereiche erweitert:
  • Hauptmodus
  • Schnellmodus
  • Authentifizierung
Dieser Artikel beschreibt außerdem die Internet Protocol Security (IPsec) Richtlinie Konfiguration Syntax, die Suite B-Algorithmen verwendet.

Weitere Informationen

Eingeschränkte Unterstützung

Eingeschränkte Unterstützung für Suite B gehören die folgenden:
  • Die Erstellung und Durchsetzung von IPSec-Richtlinien mithilfe von Suite B-Algorithmen werden nur in Windows Vista Service Pack 1 (SP1), Windows Server 2008 oder höher.
  • Erstellen von Richtlinien, die Suite B-Algorithmen enthalten wird über das "Windows-Firewall mit erweiterter Sicherheit" Microsoft Management Console (MMC)-Snap-in für Windows 7 und höher unterstützt.
  • Der Befehl Netsh Advfirewall Hilfe zeigt keine Konfigurationsoptionen für Suite B-Algorithmen. Dies gilt nur für Windows Vista SP1.

Definitionen

  • Suite B

    Suite B ist ein Satz von Standards, die von der National Security Agency (NSA) angegeben werden. Suite B bietet mit einen gemeinsamen Satz von kryptografischen Algorithmen Produkte erstellen, die US-Regierung muss unterschiedlichsten entsprechen. Suite B enthält die Spezifikation der folgenden Algorithmen:
    • Integrität
    • Verschlüsselung
    • Schlüsselaustausch
    • Digitale Signatur
  • Federal Information Processing Standards (FIPS)

    FIPS wird eine Reihe von Richtlinien und Standards, die federal computing-Ressourcen steuern. Suite B-Algorithmen sind FIPS-bestätigten.

    Weitere Informationen finden Sie auf der folgenden Website:
  • NIST

    Dies ist ein Akronym für das National Institute of Standards and Technology.
  • Datenintegritätsalgorithmen

    Datenintegritätsalgorithmen verwenden Nachricht Hashes, um sicherzustellen, dass Informationen während der Übertragung nicht geändert wird.
  • -Verschlüsselungsalgorithmen

    -Verschlüsselungsalgorithmen dienen zum Ausblenden von Informationen übermittelt wird. Die Verschlüsselungsalgorithmen wird nur Text in einen geheimen Code konvertieren.

    Beispielsweise können die Verschlüsselungsalgorithmen Klartext in verschlüsselten Text konvertieren. Der verschlüsselte Text kann dann der ursprüngliche Klartext decodiert werden. Jeder Algorithmus "Schlüssel" für die Konvertierung. Der Typ des Schlüssels und die Länge des Schlüssels hängt von den Algorithmus, der verwendet wird.
  • IPsec

    Dies ist eine Abkürzung für den Begriff "Internet Protocol Security".

    Weitere Informationen zu IPsec finden Sie auf der folgenden Microsoft-Website:
  • Elliptische Kurve Digital Signature Algorithm (ECDSA)

    Elliptische Kurve (EG) ist eine Variante des Algorithmus digitale Signatur, die auf EG-Gruppen. Die EG-Variante bietet kleinere Schlüsselgrößen für die gleiche Sicherheitsstufe.

    Dieser Algorithmus wird im FIPS Publikation 186 2 beschrieben. Zum Anzeigen dieser Publikation finden Sie auf der folgenden Website:
  • Zertifizierungsstelle (CA)

    Eine Zertifizierungsstelle ist eine Entität, die digitale Zertifikate ausstellt. IPsec kann diese Zertifikate als Authentifizierungsmethode verwenden.
  • Authentication Header (AH)

    Authentication Header ist ein IPSec-Protokoll Authentifizierung, Integrität und Anti-Replay-Funktionen für das gesamte Paket. Dazu gehören IP-Header und die Nutzdaten.

    AH bietet keine Vertraulichkeit. Dies bedeutet, dass AH die Daten nicht verschlüsselt. Die Daten sind lesbar, aber ist nicht schreibbar.
  • Encapsulating Security Payload (ESP)

    ESP ist ein IPsec-Protokoll, Vertraulichkeit, Authentifizierung, Integrität und Anti-Replay-Funktionalität bietet. ESP kann allein verwendet oder mit AH verwendet werden.

Hauptmodus-Algorithmen

In Windows Vista SP1 und Windows Server 2008 werden die folgenden Integritätsalgorithmen neben diesen Algorithmen unterstützt, die bereits in der Releaseversion von Windows Vista unterstützt werden:
  • SHA-256
  • SHA-384
Hinweis Der Schlüsselaustausch und der Verschlüsselungsalgorithmus werden nicht geändert.

Schnellmodus-Algorithmen

In Windows Vista SP1 und Windows Server 2008 werden die folgenden Algorithmen neben diesen Algorithmen unterstützt, die bereits in der Releaseversion von Windows Vista unterstützt werden.

Integrität (AH oder ESP)

  • SHA-256
  • AES-GMAC-128
  • AES-GMAC-192
  • AES-GMAC-256

Datenintegrität und-Verschlüsselung (nur ESP)

  • AES-GCM-128
  • AES-GCM-192
  • AES-GCM-256
Informationen zu AH und ESP-Kombinationen, die unterstützt bzw. nicht unterstützt werden, finden Sie unter "Schnellmodus kryptografischen Algorithmuskombinationen, die unterstützten und nicht unterstützten" Abschnitt.

Einschränkung für Schnellmodus

  • Für AH und ESP sollte der gleichen Integritätsalgorithmus verwendet werden.
  • Die Algorithmen AES-GMAC stehen für Integritätsalgorithmus, die null-Verschlüsselung. Daher jeder dieser Algorithmen für die Integrität ESP angegeben, kann der Verschlüsselungsalgorithmus angegeben werden.
  • Wenn Sie einen AES-GCM-Algorithmus verwenden, sollten der gleiche Algorithmus für ESP-Integrität und Verschlüsselung angegeben.

Authentifizierung

In Windows Vista SP1 und Windows Server 2008 werden die folgenden Authentifizierungsmethoden neben diesen Authentifizierungsmethoden unterstützt, die bereits in der Releaseversion von Windows Vista unterstützt werden.
  • Zertifikat mit ECDSA-P256
  • Zertifikat mit ECDSA-P384
Hinweis Die Standardauthentifizierungsmethode für Windows Vista ist RSA SecurId-Authentifizierung.

Syntax und Beispiele

Dieser Abschnitt beschreibt die Syntax für den Befehl Netsh Advfirewall hinzufügen und Ändern von Regeln. Dieser Abschnitt enthält außerdem Beispiele für Netsh Advfirewall Befehle.

Hinzufügen einer Verbindungssicherheitsregel

Netsh advfirewallUsage: add rule name=<string>
endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
action=requireinrequestout|requestinrequestout|
requireinrequireout|noauthentication
[description=<string>]
[mode=transport|tunnel (default=transport)]
[enable=yes|no (default=yes)]
[profile=public|private|domain|any[,...] (default=any)]
[type=dynamic|static (default=static)]
[localtunnelendpoint=<IPv4 address>|<IPv6 address>]
[remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
[port1=0-65535|any (default=any)]
[port2=0-65535|any (default=any)]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
[interfacetype=wiresless|lan|ras|any (default=any)]
[auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
computerntlm|anonymous[,...]]
[auth1psk=<string>]
[auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1healthcert=yes|no (default=no)]
[auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap256healthcert=yes|no (default=no)]
[auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap384healthcert=yes|no (default=no)]
[auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
[auth2ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
[qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
none (default=none)]
[qmsecmethods=
ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
|default]

Remarks:

- The rule name should be unique, and it cannot be "all."
- When mode=tunnel, both tunnel endpoints must be specified and must be
the same IP version. Also, the action must be requireinrequireout.
- At least one authentication must be specified.
- Auth1 and auth2 can be comma-separated lists of options.
- The "computerpsk" and "computerntlm" methods cannot be specified together
for auth1.
- Computercert cannot be specified with user credentials for auth2.
- Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmsecmethods can be a list of proposals separated by a comma (,).
- For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
- If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.
- sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmpfs=mainmode uses the main mode key exchange setting for PFS.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The default value for certmapping and for excludecaname is "no."
- The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Beispiel 1
Beispiel für einen Befehl Netsh Advfirewall :
Netsh Advfirewall verbind Regelnamen hinzufügen = test1 endpoint1 = alle endpoint2 = Maßnahmen = Requestinrequestout Beschreibung = "Zertifikat mit ECDSA256 und AESGMAC256" auth1 = Computercert, computercertecdsap256 auth1ca = "C = US, O = MSFT, CN = \"Microsoft North, Süd, Ost und West Root Authority\"" auth1healthcert = keine auth1ecdsap256ca = "C = US, O = MSFT, CN = \"Microsoft North, Süd, Ost und West Root Authority\"" auth1ecdsap256healthcert = Yes "qmsecmethods" = ah: aesgmac256 + Esp:aesgmac256-keine
Dieser Befehl erstellt eine Verbindungssicherheitsregel, die die folgenden Authentifizierungsmethoden die Authentifizierung festlegen:
  • Erste Authentifizierungsmethode ist ein Zertifikat, das RSA-Signaturzertifikat verwendet.
  • Die zweite Authentifizierungsmethode ist ein Integritätszertifikat, die ECDSA256 für das Signieren des Zertifikats verwendet.
Die Verbindungssicherheitsregel schützt den Datenverkehr mithilfe von AH und ESP-Integrität mit dem neuen GMAC AES-256-Algorithmus. Die Regel enthält keine Verschlüsselung.
Beispiel 2
Beispiel für einen Befehl Netsh Advfirewall :
Netsh Advfirewall verbind Regelnamen hinzufügen test2 endpoint1 = = alle endpoint2 = Maßnahmen = Requestinrequestout Beschreibung = "Auth1"Mit SHA-256 Integrität"und für die Verschlüsselung aes192" = Computercert auth1ca = "C = US, O = MSFT, CN = \"Microsoft North, Süd, Ost und West Root Authority\"" auth1healthcert = keine Qmsecmethods = ah: sha256 + Esp:sha256-aes192.
Dieser Befehl erstellt eine Verbindungssicherheitsregel, die eine Authentifizierungsmethode bei der Authentifizierung. Die Authentifizierungsmethode ist ein Zertifikat, das RSA-Signaturzertifikat verwendet.

Die Verbindungssicherheitsregel schützt den Datenverkehr mithilfe von AH und ESP-Integrität SHA256 Integrität und aes192 für die Verschlüsselung.

Ändern einer vorhandenen Verbindungssicherheitsregel

Netsh advfirewallUsage: set rule
group=<string> | name=<string>
[type=dynamic|static]
[profile=public|private|domain|any[,...] (default=any)]
[endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[port1=0-65535|any]
[port2=0-65535|any]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
new
[name=<string>]
[profile=public|private|domain|any[,...]]
[description=<string>]
[mode=transport|tunnel]
[endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[action=requireinrequestout|requestinrequestout|
requireinrequireout|noauthentication]
[enable=yes|no]
[type=dynamic|static]
[localtunnelendpoint=<IPv4 address>|<IPv6 address>]
[remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
[port1=0-65535|any]
[port2=0-65535|any]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
[interfacetype=wiresless|lan|ras|any]
[auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
computerntlm|anonymous[,...]]
[auth1psk=<string>]
[auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1healthcert=yes|no (default=no)]
[auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap256healthcert=yes|no (default=no)]
[auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap384healthcert=yes|no (default=no)]
[auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
[auth2ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
[qmsecmethods=
ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
default]


Remarks:

- This sets a new parameter value on an identified rule. The command fails
if the rule does not exist. To create a rule, use the "add" command.
- Values after the new keyword are updated in the rule. If there are
no values, or if the "new" keyword is missing, no changes are made.
- Only a group of rules can be enabled or disabled.
- If multiple rules match the criteria, all matching rules are
updated.
- The rule name should be unique, and it cannot be "all."
- Auth1 and auth2 can be comma-separated lists of options.
- The computerpsk and computerntlm methods cannot be specified together
for auth1.
- Computercert cannot be specified by using user credentials for auth2.
- Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmsecmethods can be a list of proposals that are separated by a comma (,).
- For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
- If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.
- Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- If qmsemethods are set to "default," qmpfs will be set to "default" also.
- Qmpfs=mainmode uses the main mode key exchange setting for PFS.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The default value for "certmapping" and "excludecaname" is "no."
- The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').

Folgendes ist ein Beispiel für einen Befehl, der im vorherigen Abschnitt unter "Beispiel 1" erstellte Regel aktualisiert:
Netsh Advfirewall verbind festgelegt Regelname = Test neue Qmsecmethods = ah: aesgmac256 + Esp:aesgcm256-aesgcm256
Dieser Befehl aktualisiert die Regel für die ESP-Integrität und Verschlüsselung mit AES-GCM 256 und GMAC AES 256 für AH-Integrität.

Globale Hauptmodus-einstellen

Der folgende Hilfetext ist für den Befehl Netsh Advfirewall global festlegen .
netsh advfirewall>set global
Usage: set global statefulftp|statefulpptp enable|disable|notconfigured
set global IPsec (parameter) (value)
set global mainmode (parameter) (value) | notconfigured

IPsec Parameters:

strongcrlcheck - Configures how CRL checking is enforced.
0: Disable CRL checking
1: Fail if cert is revoked and the CRL exists in the client’s CRL cache (default behavior)and the CRL exists in the client’s CRL cache (default behavior) 2: Fail on any error
notconfigured: Returns the value to its unconfigured state.
saidletimemin - Configures the security association idle time in
minutes.
- Usage: 5-60|notconfigured (default=5)
defaultexemptions - Configures the default IPsec exemptions. The default is
to exempt IPv6 neighbordiscovery protocol from
IPsec.
- Usage: none|neighbordiscovery|notconfigured

Main Mode Parameters:

mmkeylifetime - Sets the main mode key lifetime in minutes, in sessions, or in both.
- Usage: <num>min,<num>sess
mmsecmethods - Configures the main mode list of proposals
- Usage:
keyexch:enc-integrity,enc-integrity[,...]|default
- keyexch=dhgroup1|dhgroup2|dhgroup14|
ecdhp256|ecdhp384
- enc=3des|des|aes128|aes192|aes256
- integrity=md5|sha1|sha256|sha384

Remarks:

- This configures global settings, such as advanced IPsec options.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The mmsecmethods keyword default sets the policy to the following:
dhgroup2-aes128-sha1,dhgroup2-3des-sha1
- Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
Folgendes ist ein Beispiel für einen Befehl, der die neuen SHA-Algorithmen in der Hauptmodus-Kryptografiesatz verwendet:
Netsh Advfirewall Festlegen globaler ist Mmsecmethods-Dhgroup1:3des-sha256, sha384 3des

Fehlerbehebung, Konfiguration und Überprüfung Befehle

Den Befehl "Netsh Advfirewall verbind Show rule all"

Der Befehl Netsh Advfirewall verbind Regel alle anzeigen zeigt die Konfiguration für alle Verbindungssicherheitsregeln.

Das folgende ist ein Beispiel der Ausgabe für diesen Befehl.
Rule Name:testEnabled:Yes
Profiles:Domain,Private,Public
Type:Static
Mode:Transport
Endpoint1:Any
Endpoint2:Any
Protocol:Any
Action:RequestInRequestOut
Auth1:ComputerPSK
Auth1PSK: 12345
MainModeSecMethods ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethodsAH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb

Den Befehl "Netsh Advfirewall Monitor anzeigen Mmsa"

Der Befehl Netsh Advfirewall angezeigt Mmsa zeigt der Main Mode Security Association.

Das folgende ist ein Beispiel der Ausgabe für diesen Befehl.
Main Mode SA at 01/04/2008 13:10:09Local IP Address:157.59.24.101
Remote IP Address: 157.59.24.119
My ID:
Peer ID:
First Auth:ComputerPSK
Second Auth:None
MM Offer: ECDHAP384-3DES-SHA256
Cookie Pair:203d57505:5d088705
Health Pair:No
Ok.

Den Befehl "Netsh Advfirewall Monitor anzeigen Qmsa"

Der Befehl Netsh Advfirewall angezeigt Qmsa zeigt Schnellmodus Security Association.

Das folgende ist ein Beispiel der Ausgabe für diesen Befehl.
Main Mode SA at 01/04/2008 13:10:09Local IP Address:157.59.24.101
Remote IP Address: 157.59.24.119
Local Port:Any
Remote Port:Any
Protocol:Any
Direction:Both
QM Offer: AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb
Ok.

Den Befehl "Netsh Advfirewall Show global"

Der Befehl Netsh Advfirewall show globale anzeigen Einstellungen

Das folgende ist ein Beispiel der Ausgabe für diesen Befehl.
Global Settings:IPsec:
StrongCRLCheck0:Disabled
SAIdleTimeMin5min
DefaultExemptions NeighborDiscovery
IPsecThroughNAT Server and client behind NAT

StatefulFTPEnable
StatefulPPTPEnable

Main Mode:
KeyLifetime2min,0sess
SecMethodsDHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384

Interoperabilität

Erstellung, Erzwingung und Verwaltung von IPSec-Richtlinien, die Suite B-Algorithmen verwendet wurde in Windows Vista SP1 und Windows Server 2008. Sie können Gruppenrichtlinien verwalten, die Suite B-Algorithmen nur mithilfe von Tools, die freigegeben wurden mit Windows Vista SP1 oder Windows Server 2008 enthält.

Beispielszenarien und erwarteten Ergebnisse sind wie folgt.

Szenario 1

Mithilfe die neuen kryptografischen Algorithmen eine Richtlinie auf einem Computer erstellt wird, die Windows Server 2008 oder Windows Vista SP1 auf einem Computer ausgeführt wird, die Releaseversion von Windows Vista.
Erwartetes Ergebnis
Enthält eine Regel kryptografischen Suites, die neuen kryptografischen Algorithmen verwenden, diese kryptografischen Pakete verworfen und anderen kryptografischen Suites in den kryptografischen verwendet.

Keine kryptografischen Suites in der Regel erkannt werden, wird die ganze Regel gelöscht. Ein Ereignis wird protokolliert, der angibt, dass die Regel verarbeitet werden kann. Wenn alle kryptografische Suiten Schlüsselaustausch Kryptografiesatz gelöscht werden, werden daher keine der Regeln in der Richtlinie angewendet. Allerdings werden alle Firewall-Regeln weiterhin angewendet.

Der Authentifizierungsprozess Satz ähnelt der kryptografischen Prozesses. Wenn eine Richtlinie enthält die neuen Zertifikat Flags (ECDSA-P256 oder ECDSA-P384) wird auf einem Computer mit der Version von Windows Vista, Authentifizierungsmethoden werden gelöscht.

Wenn alle Authentifizierungsmethoden in der ersten Authentifizierung deshalb gelöscht werden, wird die ganze Regel nicht verarbeitet. Wenn alle Authentifizierungsmethoden in der zweiten Authentifizierung gelöscht werden, wird die Regel verarbeitet die erste Authentifizierung mit festgelegt.

Szenario 2

Auf eine Version von Windows Vista-Computer verwenden Sie neuen kryptografischen Algorithmen, eine Richtlinie anzuzeigen, die auf einem Computer erstellt wurde, auf dem Windows Server 2008 oder Windows Vista SP1 ausgeführt wird.
Erwartetes Ergebnis
Die neuen Algorithmen werden als "Unbekannt" in die Überwachung und erstellen Teile der Windows-Firewall erweiterte Sicherheit MMC-Snap-in angezeigt. Der Befehl Netsh Advfirewall zeigt auch die Algorithmen als "Unbekannt" in Windows Vista.

Bezüglich der Interoperabilität

Beschränkungen Interoperabilität lauten wie folgt:
  • Wir unterstützen keine remote-Verwaltung von Richtlinien, die Suite B-Algorithmen auf Computern verwenden, die Windows Vista SP1 oder Windows Server 2008 auf einem Computer ausführen, auf dem die Releaseversion von Windows Vista ausgeführt.
  • Wenn eine Richtlinie auf einem Computer erstellt wird, die unter Windows Vista SP1 oder Windows Server 2008 auf einem Computer importiert, die Releaseversion von Windows Vista ausgeführt wird, werden Teile der Richtlinie gelöscht. Dies tritt auf, weil die Releaseversion von Windows Vista die neuen Algorithmen erkennen kann.

Schnellmodus kryptografischen Algorithmus Kombinationen aus, die unterstützt bzw. nicht unterstützt werden

In der folgenden Tabelle werden die unterstützten Schnellmodus kryptografischen Algorithmuskombinationen.
ProtokollAH IntegritätESP-IntegritätVerschlüsselung
AHAES-GMAC 128KeineKeine
AHAES-GMAC 192KeineKeine
AHAES-GMAC 256KeineKeine
AHSHA256KeineKeine
AHSHA1KeineKeine
AHMD5KeineKeine
ESPKeineAES-GMAC 128Keine
ESPKeineAES-GMAC 192Keine
ESPKeineAES-GMAC 256Keine
ESPKeineSHA256Keine
ESPKeineSHA1Keine
ESPKeineMD5Keine
ESPKeineSHA256Alle unterstützten Verschlüsselungsalgorithmus außer AES-GCM-Algorithmus
ESPKeineSHA1Alle unterstützten Verschlüsselungsalgorithmus außer AES-GCM-Algorithmus
ESPKeineMD5Alle unterstützten Verschlüsselungsalgorithmus außer AES-GCM-Algorithmus
ESPKeineAES-GCM 128AES-GCM 128
ESPKeineAES-GCM 192AES-GCM 192
ESPKeineAES-GCM 256AES-GCM 256
AH+ESPAES-GMAC 128AES-GMAC 128Keine
AH+ESPAES-GMAC 128AES-GMAC 128Keine
AH+ESPAES-GMAC 128AES-GMAC 128Keine
AH+ESPSHA-256SHA-256Keine
AH+ESPSHA1SHA1Keine
AH+ESPMD5MD5Keine
AH+ESPSHA256SHA256Alle unterstützten Verschlüsselungsalgorithmus außer AES-GCM-Algorithmus
AH+ESPSHA1SHA1Alle unterstützten Verschlüsselungsalgorithmus außer AES-GCM-Algorithmus
AH+ESPMD5MD5Alle unterstützten Verschlüsselungsalgorithmus außer AES-GCM-Algorithmus
AH+ESPAES-GMAC 128AES-GCM 128AES-GCM 128
AH+ESPAES-GMAC 192AES-GCM 192AES-GCM 192
AH+ESPAES-GMAC 256AES-GCM 256AES-GCM 256
Hinweis AES-GMAC entspricht dem AES-GCM mit null-Verschlüsselung. Beispielsweise können AH-Integrität Verwendung GMAC AES 128 und ESP-Integrität AES-GCM 128 Verwendung angeben. Dies ist die einzige Ausnahme zu der Regel AH und ESP Integritätsalgorithmen identisch sein müssen.

Die in der folgenden Tabelle beschriebenen Kombinationen werden nicht unterstützt.
ProtokollAH IntegritätESP-IntegritätVerschlüsselung
ESPKeineAES-GMAC 128Alle unterstützten Verschlüsselungsalgorithmus
ESPKeineAES-GMAC 192Alle unterstützten Verschlüsselungsalgorithmus
ESPKeineAES-GMAC 256Alle unterstützten Verschlüsselungsalgorithmus
ESPKeineAES-GCM 1281.None
2. alle Verschlüsselungsalgorithmus außer AES-GCM-128
ESPKeineAES-GCM 1921.None
2. alle Verschlüsselungsalgorithmus außer AES-GCM 192
ESPKeineAES-GCM 2561.None
2. alle Verschlüsselungsalgorithmus außer AES-GCM-256
AH+ESPAES-GMAC 128AES-GMAC 128Alle unterstützten Verschlüsselungsalgorithmus
AH+ESPAES-GMAC 192AES-GMAC 192Alle unterstützten Verschlüsselungsalgorithmus
AH+ESPAES-GMAC 256AES-GMAC 256Alle unterstützten Verschlüsselungsalgorithmus
Weitere Informationen zur Suite B finden Sie auf der folgenden Website:Weitere Informationen zu IPsec und Verbindungssicherheitsregeln finden Sie auf der folgenden Microsoft-Website:Weitere Informationen zu Cryptography Next Generation in Windows Server 2008 finden Sie auf der folgenden Microsoft-Website:Klicken Sie für weitere Informationen auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

949299 Beschreibung der Sicherheitsgruppe Crypto-Operatoren, die Windows Vista Service Pack 1 für IPsec in Windows-Firewall konfigurieren Kriterien Modus hinzugefügt wurde

Eigenschaften

Artikelnummer: 949856 – Letzte Überarbeitung: 14.01.2017 – Revision: 1

Feedback