Estás trabajando sin conexión, espera a que vuelva la conexión a Internet

Descripción de la compatibilidad con los algoritmos criptográficos Suite B que se agregó a IPsec en Windows Vista Service Pack 1 de Windows Server 2008 y en Windows 7

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 949856
El Soporte técnico para Windows Vista Service Pack 1 (SP1) finaliza el 12 de julio de 2011. Para seguir recibiendo actualizaciones de seguridad para Windows, asegúrese de que está ejecutando Windows Vista con Service Pack 2 (SP2). Para obtener más información, consulte la página web de Microsoft: Finaliza el soporte para algunas versiones de Windows.
INTRODUCCIÓN
En este artículo se describe la compatibilidad con algoritmos criptográficos de Suite B que se agregó en el Service Pack 1 (SP1) de Windows Vista y en Windows Server 2008. Suite B es un grupo de algoritmos de cifrado que están aprobados por la Agencia de seguridad nacional (NSA) de Estados Unidos.

Suite B se utiliza como una estructura criptográfica interoperable para proteger los datos confidenciales. Se ha ampliado la compatibilidad para los algoritmos de la Suite B para las siguientes áreas:
  • Modo principal
  • Modo rápido
  • Configuración de autenticación
Este artículo también describe la sintaxis de configuración de directiva de seguridad (IPsec) protocolo de Internet que utiliza algoritmos de la Suite B.
Más información

Limitaciones de compatibilidad

Limitaciones de la compatibilidad de la Suite B son las siguientes:
  • La creación y la aplicación de la directiva IPsec mediante el uso de algoritmos de la Suite B sólo se admite en Windows Vista Service Pack 1 (SP1) en Windows Server 2008 o en versiones posteriores de Windows.
  • La creación de directivas que contienen algoritmos de la Suite B se admite mediante el complemento Microsoft Management Console (MMC) de "Servidor de seguridad con avanzada seguridad de Windows" para Windows 7 y versiones posteriores de Windows.
  • El comando Netsh advfirewall ayuda no muestra las opciones de configuración para los algoritmos de la Suite B. Esto sólo se aplica a Windows Vista SP1.

Definiciones

  • Suite B

    Suite B es un conjunto de estándares que se especifican por la National Security Agency (NSA). Suite B proporciona la industria con un conjunto común de algoritmos criptográficos que se puede utilizar para crear productos que cumplan con la más amplia gama de necesidades del gobierno de Estados Unidos. Suite B incluye la especificación de los siguientes tipos de algoritmos:
    • Integridad
    • Cifrado
    • Intercambio de claves
    • Firma digital
  • Normas de procesamiento de información federal (FIPS)

    FIPS es un conjunto de directrices y estándares que rigen los recursos informáticos federales. Todos los algoritmos de Suite B son aprobados por FIPS.

    Para obtener más información, visite el siguiente sitio Web:
  • NIST

    Esto es un acrónimo del Instituto nacional de estándares y tecnología.
  • Algoritmos de integridad de datos

    Algoritmos de integridad de datos utilizan valores hash de mensaje para asegurarse de que información no cambie mientras está en tránsito.
  • Algoritmos de cifrado de datos

    Los algoritmos de cifrado de datos se utilizan para ocultar la información que se transmite. Los algoritmos de cifrado se utilizan para convertir texto sin formato a un código secreto.

    Por ejemplo, los algoritmos de cifrado pueden convertir texto sin formato en texto cifrado. El texto cifrado se puede descifrar el texto sin formato original. Cada algoritmo utiliza una "clave" para realizar la conversión. El tipo de clave y la longitud de la clave dependen el algoritmo que se utiliza.
  • IPsec

    Esto es una abreviatura para el término "Seguridad de protocolo de Internet".

    Para obtener más información acerca de IPsec, visite el siguiente sitio Web de Microsoft:
  • Algoritmo de firma Digital de curva elíptica (ECDSA)

    Curva elíptica (EC) es una variante del algoritmo de firma digital que opera en los grupos de la CE. La variante de CE proporciona tamaños de clave más pequeños para el mismo nivel de seguridad.

    Este algoritmo se describe en la publicación FIPS 186-2. Para ver esta publicación, visite el siguiente sitio Web:
  • Entidad emisora de certificados (CA)

    Una entidad emisora de certificados es una entidad que emite los certificados digitales. IPsec puede utilizar estos certificados como método de autenticación.
  • Encabezado de autenticación (AH)

    Encabezado de autenticación es un protocolo de IPsec que proporciona autenticación, integridad y anti-repetición funcionalidad para todo el paquete. Esto incluye el encabezado IP y la carga de datos.

    AH no proporciona confidencialidad. Esto significa que AH no cifra los datos. Los datos están legibles, pero es que se puede escribir.
  • De seguridad encapsuladora (ESP)

    ESP es un protocolo de IPsec que proporciona confidencialidad, autenticación, integridad y anti-repetición funcionalidad. ESP puede utilizarse solo, o se puede usar junto con AH.

Algoritmos de modo principal

En Windows Vista SP1 y en Windows Server 2008, se admiten los siguientes algoritmos de integridad además de los algoritmos que ya son compatibles con la versión de lanzamiento de Windows Vista:
  • SHA-256
  • SHA-384
Nota El algoritmo de intercambio de claves y el algoritmo de cifrado no se cambian.

Algoritmos de modo rápido

En Windows Vista SP1 y en Windows Server 2008, se admiten los siguientes algoritmos además de los algoritmos que ya son compatibles con la versión de lanzamiento de Windows Vista.

Integridad (AH o ESP)

  • SHA-256
  • GMAC-AES-128
  • AES-GMAC-192
  • GMAC-AES-256

Integridad y cifrado (ESP sólo)

  • AES-GCM-128
  • AES-GCM-192
  • AES-GCM-256
Para obtener más información acerca de las combinaciones de AH y ESP que son compatibles y no compatibles, consulte las "modo rápido algoritmo criptográfico combinaciones que son compatibles y no compatibles" sección.

Restricciones de modo rápido

  • Debe utilizarse el mismo algoritmo de integridad para AH y ESP.
  • Los algoritmos AES-GMAC están disponibles para un algoritmo de integridad con cifrado nulo. Por lo tanto, si no se especifica ninguno de estos algoritmos de integridad ESP, no se puede especificar el algoritmo de cifrado.
  • Si se utiliza un algoritmo AES-GCM, debe especificarse el mismo algoritmo de integridad ESP y cifrado.

Autenticación

En Windows Vista SP1 y en Windows Server 2008, se admiten los métodos de autenticación siguientes además de los métodos de autenticación que ya son compatibles con la versión de lanzamiento de Windows Vista.
  • Certificado de equipo con la firma ECDSA P256
  • Certificado de equipo con la firma ECDSA P384
Nota El método de autenticación predeterminado para Windows Vista es la autenticación de RSA SecurId.

Sintaxis y ejemplos

Esta sección describe la sintaxis para utilizar el comando Netsh advfirewall para agregar y modificar las reglas de seguridad. Esta sección ofrece ejemplos de comandos de Netsh advfirewall .

Agregar una regla de seguridad de conexión

Netsh advfirewallUsage: add rule name=<string>      endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>      endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>      action=requireinrequestout|requestinrequestout|         requireinrequireout|noauthentication      [description=<string>]      [mode=transport|tunnel (default=transport)]      [enable=yes|no (default=yes)]      [profile=public|private|domain|any[,...] (default=any)]      [type=dynamic|static (default=static)]      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]      [port1=0-65535|any (default=any)]      [port2=0-65535|any (default=any)]      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]      [interfacetype=wiresless|lan|ras|any (default=any)]      [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|         computerntlm|anonymous[,...]]      [auth1psk=<string>]      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]      [auth1healthcert=yes|no (default=no)]      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]      [auth1ecdsap256healthcert=yes|no (default=no)]      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]      [auth1ecdsap384healthcert=yes|no (default=no)]      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]      [auth2ca="<CA Name> [certmapping:yes|no] ..."]      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]      [qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|         none (default=none)]      [qmsecmethods=         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]         |default]        Remarks:      - The rule name should be unique, and it cannot be "all."      - When mode=tunnel, both tunnel endpoints must be specified and must be        the same IP version. Also, the action must be requireinrequireout.      - At least one authentication must be specified.      - Auth1 and auth2 can be comma-separated lists of options.      - The "computerpsk" and "computerntlm" methods cannot be specified together        for auth1.      - Computercert cannot be specified with user credentials for auth2.     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.      - Qmsecmethods can be a list of proposals separated by a comma (,).      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and        encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.      - If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.       -  sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.       - Qmpfs=mainmode uses the main mode key exchange setting for PFS.      - We recommend that you do not use DES, MD5, or DHGroup1. These        cryptographic algorithms are provided for backward compatibility        only.      - The default value for certmapping and for excludecaname is "no."      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Ejemplo 1
Considere el siguiente ejemplo de un comando Netsh advfirewall :
Netsh advfirewall consec agregar el nombre de la regla = Prueba1 endpoint1 = cualquier endpoint2 = cualquier acción = requestinrequestout descripción = "certificado de uso de ECDSA256 y AESGMAC256" auth1 = computercert, computercertecdsap256 auth1ca = "C = US, O = MSFT, CN = \ 'Microsoft North, South, East y West raíz Authority\'" auth1healthcert no = auth1ecdsap256ca = "C = US, O = MSFT, CN = \ 'Microsoft North, South, East y West raíz Authority\'" auth1ecdsap256healthcert = yes qmsecmethods = ah: aesgmac256 + esp:aesgmac256-ninguno
Este comando crea una regla de seguridad de conexión que tiene los siguientes métodos de autenticación en la autenticación establecido:
  • El primer método de autenticación es un certificado que utiliza el certificado de firma de RSA.
  • El segundo método de autenticación es un certificado sanitario que utiliza ECDSA256 para firmar el certificado.
La regla de seguridad de conexión protege el tráfico mediante el uso de integridad AH y ESP con el algoritmo AES-GMAC 256 nuevo. La regla no incluye cifrado.
Ejemplo 2
Considere el siguiente ejemplo de un comando Netsh advfirewall :
Netsh advfirewall consec agregar el nombre de la regla = test2 endpoint1 = cualquier endpoint2 = cualquier acción = requestinrequestout descripción = "Uso SHA 256 para integridad" y AES192 para el cifrado de auth1 = computercert auth1ca = "C = US, O = MSFT, CN = \ 'Microsoft North, South, East y West raíz Authority\'" auth1healthcert no = qmsecmethods = ah: sha256 + esp:sha256-aes192
Este comando crea una regla de seguridad de conexión que tiene un método de autenticación en la autenticación establecida. El método de autenticación es un certificado que utiliza el certificado de firma de RSA.

La regla de seguridad de conexión protege el tráfico mediante el uso de integridad AH y ESP con SHA256 para la integridad y AES192 para el cifrado.

Modificar una regla de seguridad de conexión existente

Netsh advfirewallUsage: set rule      group=<string> | name=<string>      [type=dynamic|static]      [profile=public|private|domain|any[,...] (default=any)]      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]      [port1=0-65535|any]      [port2=0-65535|any]      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]      new      [name=<string>]      [profile=public|private|domain|any[,...]]      [description=<string>]      [mode=transport|tunnel]      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]      [action=requireinrequestout|requestinrequestout|         requireinrequireout|noauthentication]      [enable=yes|no]      [type=dynamic|static]      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]      [port1=0-65535|any]      [port2=0-65535|any]      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]      [interfacetype=wiresless|lan|ras|any]     [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|         computerntlm|anonymous[,...]]      [auth1psk=<string>]      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]      [auth1healthcert=yes|no (default=no)]      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]      [auth1ecdsap256healthcert=yes|no (default=no)]      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]      [auth1ecdsap384healthcert=yes|no (default=no)]      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]      [auth2ca="<CA Name> [certmapping:yes|no] ..."]      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]      [qmsecmethods=         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|         default]Remarks:      - This sets a new parameter value on an identified rule. The command fails        if the rule does not exist. To create a rule, use the "add" command.      - Values after the new keyword are updated in the rule.  If there are        no values, or if the "new" keyword is missing, no changes are made.      - Only a group of rules can be enabled or disabled.      - If multiple rules match the criteria, all matching rules are         updated.      - The rule name should be unique, and it cannot be "all."      - Auth1 and auth2 can be comma-separated lists of options.      - The computerpsk and computerntlm methods cannot be specified together        for auth1.      - Computercert cannot be specified by using user credentials for auth2.     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.        - Qmsecmethods can be a list of proposals that are separated by a comma (,).      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and        encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256      - If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.       -  Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.      - If qmsemethods are set to "default," qmpfs will be set to "default" also.      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.      - We recommend that you do not use DES, MD5, or DHGroup1. These        cryptographic algorithms are provided for backward compatibility        only.      - The default value for "certmapping" and "excludecaname" is "no."      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
El siguiente es un ejemplo de un comando que actualiza la regla que se ha creado en "ejemplo 1" en la sección anterior:
Nombre de la regla del conjunto de netsh advfirewall consec = qmsecmethods nueva de prueba = ah: aesgmac256 + esp:aesgcm256-aesgcm256
Este comando actualiza la regla para utilizar 256 AES-GCM para el cifrado y la integridad de ESP y utilizar GMAC de AES 256 para integridad AH.

Establecer la configuración global de modo principal

Es el siguiente texto de ayuda para el comando Netsh advfirewall set global .
netsh advfirewall>set globalUsage: set global statefulftp|statefulpptp  enable|disable|notconfigured      set global IPsec (parameter) (value)      set global mainmode (parameter) (value) | notconfiguredIPsec Parameters:      strongcrlcheck    - Configures how CRL checking is enforced.                          0: Disable CRL checking                          1: Fail if cert is revoked and the CRL exists in the client’s CRL cache (default behavior)and the CRL exists in the client’s CRL cache (default behavior)                          2: Fail on any error                          notconfigured: Returns the value to its unconfigured state.      saidletimemin     - Configures the security association idle time in                          minutes.                        - Usage: 5-60|notconfigured (default=5)      defaultexemptions - Configures the default IPsec exemptions. The default is                          to exempt IPv6 neighbordiscovery protocol from                          IPsec.                        - Usage: none|neighbordiscovery|notconfiguredMain Mode Parameters:      mmkeylifetime     - Sets the main mode key lifetime in minutes, in sessions, or in both.                        - Usage: <num>min,<num>sess      mmsecmethods      - Configures the main mode list of proposals                        - Usage:                          keyexch:enc-integrity,enc-integrity[,...]|default                        - keyexch=dhgroup1|dhgroup2|dhgroup14|                          ecdhp256|ecdhp384                        - enc=3des|des|aes128|aes192|aes256                        - integrity=md5|sha1|sha256|sha384Remarks:      - This configures global settings, such as advanced IPsec options.      - We recommend that you do not use DES, MD5, or DHGroup1. These        cryptographic algorithms are provided for backward compatibility        only.      - The mmsecmethods keyword default sets the policy to the following:        dhgroup2-aes128-sha1,dhgroup2-3des-sha1      - Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
El siguiente es un ejemplo de un comando que utiliza los nuevos algoritmos SHA en el conjunto de cifrado de modo principal:
Netsh advfirewall establece modo principal global mmsecmethods dhgroup1:3des-sha256, sha384 de 3des

Comandos de solución de problemas, configuración y comprobación

El comando "Netsh advfirewall consec show regla todo"

El comando Netsh advfirewall consec show rule todos muestra la configuración de todas las reglas de seguridad de conexión.

El siguiente es un ejemplo de resultado de este comando.
Rule Name:				testEnabled:					YesProfiles:					Domain,Private,PublicType:					StaticMode:					TransportEndpoint1:				AnyEndpoint2:				AnyProtocol:					AnyAction:					RequestInRequestOutAuth1:					ComputerPSKAuth1PSK:				         12345MainModeSecMethods			         ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384QuickModeSecMethods			AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb

El comando "Netsh advfirewall monitor mostrar mmsa"

El comando Netsh advfirewall monitor show mmsa muestra la asociación de seguridad de modo principal.

El siguiente es un ejemplo de resultado de este comando.
Main Mode SA at 01/04/2008 13:10:09Local IP Address:				157.59.24.101Remote IP Address:			         157.59.24.119My ID:Peer ID:First Auth:				ComputerPSKSecond Auth:				NoneMM Offer:				         ECDHAP384-3DES-SHA256Cookie Pair:				203d57505:5d088705Health Pair:				NoOk.

El comando "Netsh advfirewall monitor mostrar qmsa"

El comando Netsh advfirewall monitor show qmsa muestra la asociación de seguridad de modo rápido.

El siguiente es un ejemplo de resultado de este comando.
Main Mode SA at 01/04/2008 13:10:09Local IP Address:				157.59.24.101Remote IP Address:			         157.59.24.119Local Port:				AnyRemote Port:				AnyProtocol:					AnyDirection:				BothQM Offer:				         AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb	Ok.

El comando "Netsh advfirewall show global"

El comando Netsh advfirewall show global muestra la configuración global.

El siguiente es un ejemplo de resultado de este comando.
Global Settings:IPsec:					StrongCRLCheck				0:DisabledSAIdleTimeMin				5minDefaultExemptions			         NeighborDiscoveryIPsecThroughNAT			         Server and client behind NATStatefulFTP				EnableStatefulPPTP				EnableMain Mode:KeyLifetime				2min,0sessSecMethods				DHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384

Interoperabilidad

Creación, aplicación y administración de la directiva IPsec que utiliza algoritmos de la Suite B se introdujo en Windows Vista SP1 y en Windows Server 2008. Puede administrar una directiva de grupo que contiene los algoritmos de la Suite B sólo mediante herramientas lanzadas con Windows Vista SP1 o Windows Server 2008.

Escenarios de ejemplo y los resultados esperados son los siguientes:

Escenario 1

Utilice los nuevos algoritmos de cifrado para aplicar una política que se crea en un equipo que ejecuta Windows Server 2008 o Windows Vista SP1 en un equipo que está ejecutando la versión de lanzamiento de Windows Vista.
Resultado esperado
Si una regla contiene conjuntos de cifrado que utilizan los nuevos algoritmos de cifrado, se eliminan estos conjuntos de cifrado y otros conjuntos de cifrado en el conjunto de cifrado se utilizan en su lugar.

Si se reconoce ninguno de los conjuntos de cifrado en la regla, se quita la regla completa. Se registra un suceso que indica que la regla no se puede procesar. Por lo tanto, si se quitan todos los conjuntos de cifrado en el conjunto de intercambio de claves criptográficas, ninguna de las reglas de seguridad de conexión en la directiva se aplican. Sin embargo, todavía se aplican todas las reglas de firewall.

El proceso de conjunto de autenticación es similar al proceso conjunto de cifrado. Si una directiva que contiene las nuevas marcas de certificado (ECDSA P256 o P384 de ECDSA) se aplican a un equipo que está ejecutando la versión de lanzamiento de Windows Vista, se eliminan los métodos de autenticación.

Si se quitan todos los métodos de autenticación en el primer conjunto de autenticación por este motivo, no se procesa la regla completa. Si se quitan todos los métodos de autenticación en el segundo conjunto de autenticación, se procesa la regla utilizando sólo la primera autenticación establecido.

Escenario 2

En un equipo que está ejecutando la versión de lanzamiento de Windows Vista, utilice los nuevos algoritmos de cifrado para ver una política que se creó en un equipo que ejecuta Windows Server 2008 o Windows Vista SP1.
Resultado esperado
Los nuevos algoritmos se muestran como "desconocido" en el seguimiento y la creación de partes del complemento MMC de seguridad avanzada de Firewall de Windows. El comando Netsh advfirewall también muestra los algoritmos como "desconocido" en Windows Vista.

Restricciones de interoperabilidad

Restricciones en la interoperabilidad son los siguientes:
  • No se admite la administración remota de las directivas que utilizan los algoritmos de la Suite B en equipos que ejecutan Windows Vista SP1 o Windows Server 2008 desde un equipo que está ejecutando la versión de lanzamiento de Windows Vista.
  • Cuando se importa una directiva que se crea en un equipo que está ejecutando Windows Vista SP1 o Windows Server 2008 en un equipo que está ejecutando la versión de lanzamiento de Windows Vista, se pierden algunas partes de la directiva. Esto se produce porque la versión de lanzamiento de Windows Vista no reconoce los nuevos algoritmos.

Combinaciones de algoritmos de cifrado de modo rápido que son compatibles y no compatibles

La siguiente tabla muestra combinaciones compatibles de algoritmo criptográfico de modo rápido.
ProtocoloAH integridadIntegridad ESPCifrado
AHAES-128 DE GMACNingunoNinguno
AHAES-192 DE GMACNingunoNinguno
AHAES-256 DE GMACNingunoNinguno
AHSHA256NingunoNinguno
AHSHA1NingunoNinguno
AHMD5NingunoNinguno
ESPNingunoAES-128 DE GMACNinguno
ESPNingunoAES-192 DE GMACNinguno
ESPNingunoAES-256 DE GMACNinguno
ESPNingunoSHA256Ninguno
ESPNingunoSHA1Ninguno
ESPNingunoMD5Ninguno
ESPNingunoSHA256Cualquier algoritmo de cifrado admitidos excepto los algoritmos AES-GCM
ESPNingunoSHA1Cualquier algoritmo de cifrado admitidos excepto los algoritmos AES-GCM
ESPNingunoMD5Cualquier algoritmo de cifrado admitidos excepto los algoritmos AES-GCM
ESPNingunoAES-GCM 128AES-GCM 128
ESPNingunoAES-GCM 192AES-GCM 192
ESPNingunoAES-GCM 256AES-GCM 256
AH + ESPAES-128 DE GMACAES-128 DE GMACNinguno
AH + ESPAES-128 DE GMACAES-128 DE GMACNinguno
AH + ESPAES-128 DE GMACAES-128 DE GMACNinguno
AH + ESPSHA-256SHA-256Ninguno
AH + ESPSHA1SHA1Ninguno
AH + ESPMD5MD5Ninguno
AH + ESPSHA256SHA256Cualquier algoritmo de cifrado admitidos excepto los algoritmos AES-GCM
AH + ESPSHA1SHA1Cualquier algoritmo de cifrado admitidos excepto los algoritmos AES-GCM
AH + ESPMD5MD5Cualquier algoritmo de cifrado admitidos excepto los algoritmos AES-GCM
AH + ESPAES-128 DE GMACAES-GCM 128AES-GCM 128
AH + ESPAES-192 DE GMACAES-GCM 192AES-GCM 192
AH + ESPAES-256 DE GMACAES-GCM 256AES-GCM 256
NotaAES-GMAC es el mismo que AES-GCM con cifrado nulo. Por ejemplo, puede especificar la integridad AH para utilizar GMAC de AES de 128 y puede especificar integridad ESP para utilizar AES-GCM 128. Se trata de la única excepción a la regla de que los algoritmos de integridad AH y ESP deben ser idénticos.

No se admiten las combinaciones que se describen en la tabla siguiente.
ProtocoloAH integridadIntegridad ESPCifrado
ESPNingunoAES-128 DE GMACCualquier algoritmo de cifrado admitidos
ESPNingunoAES-192 DE GMACCualquier algoritmo de cifrado admitidos
ESPNingunoAES-256 DE GMACCualquier algoritmo de cifrado admitidos
ESPNingunoAES-GCM 1281.El ninguno
2.En cualquier algoritmo de cifrado excepto 128 AES-GCM
ESPNingunoAES-GCM 1921.El ninguno
2.En cualquier algoritmo de cifrado excepto AES-GCM 192
ESPNingunoAES-GCM 2561.El ninguno
2.En cualquier algoritmo de cifrado excepto AES-GCM 256
AH + ESPAES-128 DE GMACAES-128 DE GMACCualquier algoritmo de cifrado admitidos
AH + ESPAES-192 DE GMACAES-192 DE GMACCualquier algoritmo de cifrado admitidos
AH + ESPAES-256 DE GMACAES-256 DE GMACCualquier algoritmo de cifrado admitidos
Para obtener más información acerca de la Suite B, visite el siguiente sitio Web:Para obtener más información acerca de las reglas de seguridad de IPsec y conexión, visite el siguiente sitio Web de Microsoft:Para obtener más información acerca de la criptografía de próxima generación de Windows Server 2008, visite el siguiente sitio Web de Microsoft:Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
949299 Descripción del grupo de seguridad operadores de cifrado que se agregó a Windows Vista Service Pack 1 para configurar Firewall de Windows para IPsec en común modo de criterio

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 949856 - Última revisión: 09/21/2013 03:31:00 - Revisión: 5.0

Service Pack 1 para Windows Vista, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard

  • kbexpertiseinter kbhowto kbinfo kbmt KB949856 KbMtes
Comentarios
;did=1&t=">