Al momento sei offline in attesa che la connessione Internet venga ristabilita

Il tuo browser non è supportato

Devi aggiornare il browser per usare il sito.

Esegui l'aggiornamento all'ultima versione di Internet Explorer

Descrizione del supporto per algoritmi di crittografia Suite B che è stato aggiunto a IPsec in Windows Vista Service Pack 1, Windows Server 2008 e Windows 7

IMPORTANTE: il presente articolo è stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l’obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre è perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilità per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualità della traduzione.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 949856
Il supporto per Windows Vista Service Pack 1 (SP1) termina il 12 luglio 2011. Per continuare a ricevere gli aggiornamenti della sicurezza per Windows, assicurarsi di eseguire Windows Vista con Service Pack 2 (SP2). Per ulteriori informazioni, fare riferimento alla pagina web Microsoft: Sta per terminare il supporto per alcune versioni di Windows.
INTRODUZIONE
In questo articolo viene descritto il supporto per algoritmi di crittografia Suite B è stato aggiunto in Windows Vista Service Pack 1 (SP1) e in Windows Server 2008. Suite B è un gruppo di algoritmi crittografici approvati da Stati Uniti National Security Agency (NSA).

Suite B viene utilizzato come un framework interoperabile di crittografico per la protezione dei dati riservati. È stato esteso il supporto per gli algoritmi Suite B per le seguenti aree:
  • In modalità principale
  • In modalità rapida
  • Impostazioni di autenticazione
In questo articolo viene descritto anche la sintassi di configurazione Internet Protocol security (IPsec) criteri utilizza gli algoritmi Suite B.
Informazioni

Limitazioni del supporto

Limitazioni del supporto per Suite B seguenti:
  • La creazione e l'applicazione del criterio IPsec utilizzando gli algoritmi Suite B è supportato solo in Windows Vista Service Pack 1 (SP1) in Windows Server 2008 o versioni successive di Windows.
  • La creazione di criteri che contengono gli algoritmi Suite B è supportata tramite lo snap-in "Windows Firewall con protezione avanzata" Microsoft Management Console (MMC) per Windows 7 e versioni successive di Windows.
  • Il comando Netsh advfirewall help non visualizza le opzioni di configurazione per gli algoritmi Suite B. Questo vale solo per Windows Vista SP1.

Definizioni

  • Suite B

    Suite B è un insieme di standard che sono specificati dalla National Security Agency (NSA). Suite B fornisce all'industria con un insieme comune di algoritmi di crittografia che consente di creare prodotti che soddisfano una vasta gamma di esigenze del governo degli Stati Uniti. Suite B include la specifica dei seguenti tipi di algoritmi:
    • Integrità
    • Crittografia
    • Scambio di chiave
    • Firma digitale
  • Informazioni federali elaborazione standard (FIPS)

    FIPS è un insieme di linee guida e standard che regolano le risorse di elaborazione federale. Tutti gli algoritmi Suite B sono approvati FIPS.

    Per ulteriori informazioni, visitare il seguente sito Web:
  • NIST

    Questo è l'acronimo del National Institute of Standards e la tecnologia.
  • Algoritmi di integrità dei dati

    Algoritmi di integrità dei dati utilizzano gli hash del messaggio per assicurarsi che informazioni non viene modificati mentre è in transito.
  • Algoritmi di crittografia dati

    Gli algoritmi di crittografia di dati vengono utilizzati per nascondere le informazioni trasmesse. Gli algoritmi di crittografia vengono utilizzati per convertire il testo normale in un codice segreto.

    Gli algoritmi di crittografia, ad esempio, è possono convertire testo normale in testo crittografato. Il testo crittografato può essere decodificato quindi il testo normale originale. Ogni algoritmo utilizza una "chiave" per eseguire la conversione. Il tipo di chiave e la lunghezza della chiave dipendono dall'algoritmo utilizzato.
  • IPsec

    Questa è un'abbreviazione del termine "Internet Protocol security".

    Per ulteriori informazioni su IPsec, visitare il seguente sito Web Microsoft:
  • Elliptic Curve Digital Signature Algorithm (ECDSA)

    Curva ellittica (CE) è una variante dell'algoritmo di firma digitale che opera su gruppi di CE. La variante CE fornisce più piccole dimensioni delle chiavi per lo stesso livello di protezione.

    Questo algoritmo è descritto nella pubblicazione FIPS 186-2. Per visualizzare questa pubblicazione, visitare il seguente sito Web:
  • Autorità di certificazione (CA)

    Un'autorità di certificazione è un'entità che emette certificati digitali. IPsec è possibile utilizzare questi certificati come metodo di autenticazione.
  • AH (Authentication Header)

    Intestazione di autenticazione è un protocollo IPsec fornisce autenticazione, integrità e funzionalità di anti-riproduzione per l'intero pacchetto. Ciò include l'intestazione IP e il payload dei dati.

    AH non garantisce la riservatezza. Ciò significa che AH non crittografa i dati. I dati sono leggibili, ma è Impossibile scrivere.
  • Encapsulating Security Payload (ESP)

    ESP è un protocollo IPsec fornisce riservatezza, autenticazione, integrità e funzionalità di protezione contro la riproduzione. ESP può essere utilizzato da solo o può essere utilizzato con AH.

Algoritmi della modalità principale

In Windows Vista SP1 e Windows Server 2008, sono supportati i seguenti algoritmi di integrità oltre a tali algoritmi sono già supportati nella versione di rilascio di Windows Vista:
  • SHA-256
  • SHA-384.
Nota. L'algoritmo di scambio delle chiavi e l'algoritmo di crittografia non vengono modificati.

Algoritmi della modalità veloce

In Windows Vista SP1 e Windows Server 2008, sono supportati i seguenti algoritmi oltre a tali algoritmi sono già supportati nella versione di rilascio di Windows Vista.

Integrità (AH o ESP)

  • SHA-256
  • GMAC-AES-128
  • AES-GMAC-192
  • AES-256-GMAC

Integrità e crittografia (ESP solo)

  • AES-GCM-128
  • AES-GCM-192
  • AES-GCM-256.
Per ulteriori informazioni sulle combinazioni di AH ed ESP sono supportate e non supportate, vedere la "modalità veloce algoritmo di crittografia combinazioni supportate e non supportate" di sezione.

Restrizioni per la modalità veloce

  • Lo stesso algoritmo di integrità deve essere utilizzato per AH ed ESP.
  • Gli algoritmi di GMAC AES sono disponibili per un algoritmo di integrità con crittografia null. Pertanto, se uno qualsiasi di questi algoritmi sono specificato per l'integrità ESP, non è possibile specificare l'algoritmo di crittografia.
  • Se si utilizza un algoritmo AES-GCM, è necessario specificare lo stesso algoritmo di crittografia e integrità ESP.

Autenticazione

In Windows Vista SP1 e Windows Server 2008, oltre a questi metodi di autenticazione già supportati nella versione di rilascio di Windows Vista sono supportati i seguenti metodi di autenticazione.
  • Certificato di computer con la firma ECDSA P256
  • Certificato di computer con la firma ECDSA P384
Nota. Il metodo di autenticazione predefinito per Windows Vista è l'autenticazione RSA SecurId.

Sintassi ed esempi

In questa sezione viene descritta la sintassi per il comando Netsh advfirewall per aggiungere e modificare le regole di protezione di connessione. In questa sezione vengono inoltre forniti esempi di comandi Netsh advfirewall .

Aggiungere una regola di protezione di connessione

Netsh advfirewallUsage: add rule name=<string>      endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>      endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>      action=requireinrequestout|requestinrequestout|         requireinrequireout|noauthentication      [description=<string>]      [mode=transport|tunnel (default=transport)]      [enable=yes|no (default=yes)]      [profile=public|private|domain|any[,...] (default=any)]      [type=dynamic|static (default=static)]      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]      [port1=0-65535|any (default=any)]      [port2=0-65535|any (default=any)]      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]      [interfacetype=wiresless|lan|ras|any (default=any)]      [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|         computerntlm|anonymous[,...]]      [auth1psk=<string>]      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]      [auth1healthcert=yes|no (default=no)]      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]      [auth1ecdsap256healthcert=yes|no (default=no)]      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]      [auth1ecdsap384healthcert=yes|no (default=no)]      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]      [auth2ca="<CA Name> [certmapping:yes|no] ..."]      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]      [qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|         none (default=none)]      [qmsecmethods=         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]         |default]        Remarks:      - The rule name should be unique, and it cannot be "all."      - When mode=tunnel, both tunnel endpoints must be specified and must be        the same IP version. Also, the action must be requireinrequireout.      - At least one authentication must be specified.      - Auth1 and auth2 can be comma-separated lists of options.      - The "computerpsk" and "computerntlm" methods cannot be specified together        for auth1.      - Computercert cannot be specified with user credentials for auth2.     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.      - Qmsecmethods can be a list of proposals separated by a comma (,).      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and        encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.      - If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.       -  sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.       - Qmpfs=mainmode uses the main mode key exchange setting for PFS.      - We recommend that you do not use DES, MD5, or DHGroup1. These        cryptographic algorithms are provided for backward compatibility        only.      - The default value for certmapping and for excludecaname is "no."      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Esempio 1
Si consideri il seguente esempio di comando Netsh advfirewall :
Netsh advfirewall consec aggiungere il nome della regola = endpoint1 test1 = qualsiasi endpoint2 = qualsiasi azione = requestinrequestout descrizione = "certificato utilizzare ECDSA256 e AESGMAC256" auth1 = computercert, computercertecdsap256 auth1ca = "C = US, O = MSFT, CN = \ 'Microsoft North, Sud, est e Ovest radice Authority\'" auth1healthcert non = Nessun auth1ecdsap256ca = "C = US, O = MSFT, CN = \ 'Microsoft North, Sud, est e Ovest radice Authority\'" auth1ecdsap256healthcert = yes qmsecmethods = ah: aesgmac256 + esp:aesgmac256-nessuno
Questo comando crea una regola di protezione di connessione con i seguenti metodi di autenticazione nell'autenticazione impostato:
  • Il primo metodo di autenticazione è un certificato che utilizza la firma dei certificati RSA.
  • Il secondo metodo di autenticazione è un certificato sanitario che utilizza ECDSA256 per la firma del certificato.
La regola di protezione di connessione protegge il traffico utilizzando integrità AH ed ESP con il nuovo algoritmo di GMAC AES 256. La regola non include la crittografia.
Esempio 2
Si consideri il seguente esempio di comando Netsh advfirewall :
Netsh advfirewall consec aggiungere il nome della regola = endpoint1 test2 = qualsiasi endpoint2 = qualsiasi azione = requestinrequestout descrizione = "256 utilizzare SHA per l'integrità" e AES192 per la crittografia auth1 = computercert auth1ca = "C = US, O = MSFT, CN = \ 'Microsoft North, Sud, est e Ovest radice Authority\'" auth1healthcert non = Nessuna qmsecmethods = ah: sha256 + esp:sha256-aes192
Questo comando crea una regola di protezione di connessione che è un metodo di autenticazione per l'autenticazione impostata. Il metodo di autenticazione è un certificato che utilizza la firma dei certificati RSA.

La regola di protezione di connessione protegge il traffico utilizzando integrità AH ed ESP con SHA256 per l'integrità e AES192 per la crittografia.

Modificare una regola di protezione di connessione esistente

Netsh advfirewallUsage: set rule      group=<string> | name=<string>      [type=dynamic|static]      [profile=public|private|domain|any[,...] (default=any)]      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]      [port1=0-65535|any]      [port2=0-65535|any]      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]      new      [name=<string>]      [profile=public|private|domain|any[,...]]      [description=<string>]      [mode=transport|tunnel]      [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]      [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|         <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]      [action=requireinrequestout|requestinrequestout|         requireinrequireout|noauthentication]      [enable=yes|no]      [type=dynamic|static]      [localtunnelendpoint=<IPv4 address>|<IPv6 address>]      [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]      [port1=0-65535|any]      [port2=0-65535|any]      [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]      [interfacetype=wiresless|lan|ras|any]     [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|         computerntlm|anonymous[,...]]      [auth1psk=<string>]      [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]      [auth1healthcert=yes|no (default=no)]      [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]      [auth1ecdsap256healthcert=yes|no (default=no)]      [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]      [auth1ecdsap384healthcert=yes|no (default=no)]      [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]      [auth2ca="<CA Name> [certmapping:yes|no] ..."]      [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]      [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]      [qmsecmethods=         ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|         default]Remarks:      - This sets a new parameter value on an identified rule. The command fails        if the rule does not exist. To create a rule, use the "add" command.      - Values after the new keyword are updated in the rule.  If there are        no values, or if the "new" keyword is missing, no changes are made.      - Only a group of rules can be enabled or disabled.      - If multiple rules match the criteria, all matching rules are         updated.      - The rule name should be unique, and it cannot be "all."      - Auth1 and auth2 can be comma-separated lists of options.      - The computerpsk and computerntlm methods cannot be specified together        for auth1.      - Computercert cannot be specified by using user credentials for auth2.     - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.        - Qmsecmethods can be a list of proposals that are separated by a comma (,).      - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and        encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256      - If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.       -  Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.      - If qmsemethods are set to "default," qmpfs will be set to "default" also.      - Qmpfs=mainmode uses the main mode key exchange setting for PFS.      - We recommend that you do not use DES, MD5, or DHGroup1. These        cryptographic algorithms are provided for backward compatibility        only.      - The default value for "certmapping" and "excludecaname" is "no."      - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Riportato di seguito è riportato un esempio di un comando che aggiorna la regola è stata creata in "Example 1" nella sezione precedente:
Netsh advfirewall consec impostare nome regola = test nuovo qmsecmethods = ah: aesgmac256 + esp:aesgcm256-aesgcm256
Questo comando Aggiorna la regola per utilizzare AES-GCM 256 per la crittografia e integrità ESP e utilizzare GMAC AES 256 per integrità AH.

Impostare le impostazioni globali della modalità principale

Il testo della Guida seguente è per il comando Netsh advfirewall impostare globale .
netsh advfirewall>set globalUsage: set global statefulftp|statefulpptp  enable|disable|notconfigured      set global IPsec (parameter) (value)      set global mainmode (parameter) (value) | notconfiguredIPsec Parameters:      strongcrlcheck    - Configures how CRL checking is enforced.                          0: Disable CRL checking                          1: Fail if cert is revoked and the CRL exists in the client’s CRL cache (default behavior)and the CRL exists in the client’s CRL cache (default behavior)                          2: Fail on any error                          notconfigured: Returns the value to its unconfigured state.      saidletimemin     - Configures the security association idle time in                          minutes.                        - Usage: 5-60|notconfigured (default=5)      defaultexemptions - Configures the default IPsec exemptions. The default is                          to exempt IPv6 neighbordiscovery protocol from                          IPsec.                        - Usage: none|neighbordiscovery|notconfiguredMain Mode Parameters:      mmkeylifetime     - Sets the main mode key lifetime in minutes, in sessions, or in both.                        - Usage: <num>min,<num>sess      mmsecmethods      - Configures the main mode list of proposals                        - Usage:                          keyexch:enc-integrity,enc-integrity[,...]|default                        - keyexch=dhgroup1|dhgroup2|dhgroup14|                          ecdhp256|ecdhp384                        - enc=3des|des|aes128|aes192|aes256                        - integrity=md5|sha1|sha256|sha384Remarks:      - This configures global settings, such as advanced IPsec options.      - We recommend that you do not use DES, MD5, or DHGroup1. These        cryptographic algorithms are provided for backward compatibility        only.      - The mmsecmethods keyword default sets the policy to the following:        dhgroup2-aes128-sha1,dhgroup2-3des-sha1      - Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
Di seguito è riportato un esempio di un comando che utilizza gli algoritmi SHA nuovi nel set di crittografia modalità principale:
Netsh advfirewall impostato in modalità principale globale mmsecmethods dhgroup1:3des-sha256, sha384 3des

Comandi di risoluzione dei problemi di configurazione e di verifica

Il comando "Netsh advfirewall consec show regola tutti"

Il comando Netsh advfirewall consec show rule tutti Visualizza configurazione per tutte le regole di protezione di connessione.

Di seguito è riportato un esempio di output di questo comando.
Rule Name:				testEnabled:					YesProfiles:					Domain,Private,PublicType:					StaticMode:					TransportEndpoint1:				AnyEndpoint2:				AnyProtocol:					AnyAction:					RequestInRequestOutAuth1:					ComputerPSKAuth1PSK:				         12345MainModeSecMethods			         ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384QuickModeSecMethods			AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb

Il comando "Netsh advfirewall monitor show mmsa"

Il comando Netsh advfirewall monitor show mmsa Visualizza l'associazione di protezione in modalità principale.

Di seguito è riportato un esempio di output di questo comando.
Main Mode SA at 01/04/2008 13:10:09Local IP Address:				157.59.24.101Remote IP Address:			         157.59.24.119My ID:Peer ID:First Auth:				ComputerPSKSecond Auth:				NoneMM Offer:				         ECDHAP384-3DES-SHA256Cookie Pair:				203d57505:5d088705Health Pair:				NoOk.

Il comando "Netsh advfirewall monitor show qmsa"

Il comando Netsh advfirewall monitor show qmsa Visualizza l'associazione di protezione in modalità rapida.

Di seguito è riportato un esempio di output di questo comando.
Main Mode SA at 01/04/2008 13:10:09Local IP Address:				157.59.24.101Remote IP Address:			         157.59.24.119Local Port:				AnyRemote Port:				AnyProtocol:					AnyDirection:				BothQM Offer:				         AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb	Ok.

Il comando "Netsh advfirewall globale Mostra"

Il comando Netsh advfirewall show global Visualizza le impostazioni globali.

Di seguito è riportato un esempio di output di questo comando.
Global Settings:IPsec:					StrongCRLCheck				0:DisabledSAIdleTimeMin				5minDefaultExemptions			         NeighborDiscoveryIPsecThroughNAT			         Server and client behind NATStatefulFTP				EnableStatefulPPTP				EnableMain Mode:KeyLifetime				2min,0sessSecMethods				DHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384

Interoperabilità

Creazione, l'applicazione e gestione del criterio IPsec che utilizza gli algoritmi Suite B è stato introdotto in Windows Vista SP1 e Windows Server 2008. È possibile gestire criteri di gruppo che contiene gli algoritmi Suite B solo utilizzando strumenti che sono stati rilasciati con Windows Vista SP1 o Windows Server 2008.

Di seguito sono illustrati gli scenari di esempio e i risultati previsti.

Scenario 1

È possibile utilizzare i nuovi algoritmi di crittografico per applicare un criterio che viene creato in un computer che esegue Windows Server 2008 o Windows Vista SP1 in un computer che esegue la versione di Windows Vista.
Risultato previsto
Se una regola contiene una suite di crittografiche che utilizzano i nuovi algoritmi di crittografico, queste suite di crittografiche vengono scartati e altri gruppi di crittografiche nel set di crittografia vengono invece utilizzati.

Se nessuna delle suite di crittografiche nella regola vengono riconosciuta, viene eliminata l'intera regola. Viene registrato un evento che indica che la regola non può essere elaborata. Pertanto, se vengono rilasciati tutti gruppi nel set di crittografia di scambio delle chiavi di crittografico, nessuna delle regole di protezione di connessione nel criterio vengono applicata. Tuttavia, tutte le regole firewall ancora vengono applicate.

Il processo di autenticazione insieme è simile al processo di set di crittografia. Se un criterio che contiene i nuovi flag di certificato (ECDSA P256 o P384 ECDSA) viene applicato a un computer che esegue la versione di Windows Vista, i metodi di autenticazione vengono eliminati.

Se vengono eliminati tutti i metodi di autenticazione del primo set di autenticazione per questo motivo, l'intera regola non viene elaborata. Se vengono eliminati tutti i metodi di autenticazione nel secondo set di autenticazione, la regola viene elaborata utilizzando solo la prima autenticazione impostata.

Scenario 2

In un computer che esegue la versione di Windows Vista, è possibile utilizzare i nuovi algoritmi di crittografico per visualizzare un criterio che è stato creato in un computer che esegue Windows Server 2008 o Windows Vista SP1.
Risultato previsto
I nuovi algoritmi vengono visualizzati come "sconosciuto", il monitoraggio e la creazione di parti dello snap-in MMC di protezione avanzata di Windows Firewall. Il comando Netsh advfirewall Visualizza inoltre gli algoritmi come "sconosciuto" in Windows Vista.

Restrizioni sull'interoperabilità

Restrizioni sull'interoperabilità sono i seguenti:
  • Gestione remota dei criteri che utilizzano algoritmi Suite B nei computer che eseguono Windows Vista SP1 o Windows Server 2008 da un computer che esegue la versione di Windows Vista non è supportato.
  • Quando un criterio che viene creato in un computer che esegue Windows Vista SP1 o Windows Server 2008 viene importato in un computer che esegue la versione finale di Windows Vista, vengono eliminate alcune parti del criterio. Ciò si verifica perché la versione di Windows Vista è in grado di riconoscere i nuovi algoritmi.

Combinazioni di algoritmi di crittografia modalità rapida supportate e non supportate

Nella seguente tabella sono combinazioni di algoritmo di crittografia supportate modalità veloce.
ProtocolloAH integritàIntegrità ESPCrittografia
AHAES-128 GMACNessunoNessuno
AHAES-192 GMACNessunoNessuno
AHAES-256 GMACNessunoNessuno
AHSHA256NessunoNessuno
AHSHA1NessunoNessuno
AHMD5NessunoNessuno
ESPNessunoAES-128 GMACNessuno
ESPNessunoAES-192 GMACNessuno
ESPNessunoAES-256 GMACNessuno
ESPNessunoSHA256Nessuno
ESPNessunoSHA1Nessuno
ESPNessunoMD5Nessuno
ESPNessunoSHA256Qualsiasi algoritmo di crittografia supportati, ad eccezione di algoritmi AES-GCM
ESPNessunoSHA1Qualsiasi algoritmo di crittografia supportati, ad eccezione di algoritmi AES-GCM
ESPNessunoMD5Qualsiasi algoritmo di crittografia supportati, ad eccezione di algoritmi AES-GCM
ESPNessunoAES-GCM 128AES-GCM 128
ESPNessunoAES-GCM 192AES-GCM 192
ESPNessunoAES-GCM 256AES-GCM 256
AH + ESPAES-128 GMACAES-128 GMACNessuno
AH + ESPAES-128 GMACAES-128 GMACNessuno
AH + ESPAES-128 GMACAES-128 GMACNessuno
AH + ESPSHA-256SHA-256Nessuno
AH + ESPSHA1SHA1Nessuno
AH + ESPMD5MD5Nessuno
AH + ESPSHA256SHA256Qualsiasi algoritmo di crittografia supportati, ad eccezione di algoritmi AES-GCM
AH + ESPSHA1SHA1Qualsiasi algoritmo di crittografia supportati, ad eccezione di algoritmi AES-GCM
AH + ESPMD5MD5Qualsiasi algoritmo di crittografia supportati, ad eccezione di algoritmi AES-GCM
AH + ESPAES-128 GMACAES-GCM 128AES-GCM 128
AH + ESPAES-192 GMACAES-GCM 192AES-GCM 192
AH + ESPAES-256 GMACAES-GCM 256AES-GCM 256
Nota. AES-GMAC è lo stesso come AES-GCM con crittografia null. Ad esempio, è possibile specificare l'integrità AH per l'utilizzo di GMAC AES 128 ed è possibile specificare l'integrità ESP per utilizzare AES-GCM 128. Questo è l'unica eccezione alla regola che gli algoritmi di integrità AH ed ESP devono essere identici.

Le combinazioni sono descritti nella tabella riportata di seguito non sono supportate.
ProtocolloAH integritàIntegrità ESPCrittografia
ESPNessunoAES-128 GMACQualsiasi algoritmo di crittografia supportati
ESPNessunoAES-192 GMACQualsiasi algoritmo di crittografia supportati
ESPNessunoAES-256 GMACQualsiasi algoritmo di crittografia supportati
ESPNessunoAES-GCM 1281. None
2. Qualsiasi algoritmo di crittografia, ad eccezione di AES-GCM 128
ESPNessunoAES-GCM 1921. None
2. Qualsiasi algoritmo di crittografia, ad eccezione di 192 AES-GCM
ESPNessunoAES-GCM 2561. None
2. Qualsiasi algoritmo di crittografia, ad eccezione di 256 AES-GCM
AH + ESPAES-128 GMACAES-128 GMACQualsiasi algoritmo di crittografia supportati
AH + ESPAES-192 GMACAES-192 GMACQualsiasi algoritmo di crittografia supportati
AH + ESPAES-256 GMACAES-256 GMACQualsiasi algoritmo di crittografia supportati
Per ulteriori informazioni su Suite B, visitare il seguente sito Web:Per ulteriori informazioni sulle regole di protezione IPsec e di connessione, visitare il seguente sito Web Microsoft:Per ulteriori informazioni sulla crittografia di ultima generazione in Windows Server 2008, visitare il seguente sito Web Microsoft:Per ulteriori informazioni, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
949299 Descrizione del gruppo di protezione Crypto operatori che è stato aggiunto a Windows Vista Service Pack 1 per configurare Windows Firewall per IPsec in comune modalità di criteri

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 949856 - Ultima revisione: 09/21/2013 05:26:00 - Revisione: 5.0

  • Windows Vista Service Pack 1
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • kbexpertiseinter kbhowto kbinfo kbmt KB949856 KbMtit
Feedback
//c1.microsoft.com/c.gif?DI=4050&did=1&t=">"display:none;" onerror="var m=document.createElement('meta');m.name='ms.dqp0';m.content='true';document.getElementsByTagName('head')[0].appendChild(m);" onload="var m=document.createElement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?">