Beschreibung der Unterstützung für Kryptografiealgorithmen der Suite B, die IPsec hinzugefügt wurde

In diesem Artikel wird die Unterstützung für Kryptografiealgorithmen der Suite B beschrieben, die IPsec hinzugefügt wurde.

Gilt für: Windows Server 2012 R2, Windows 7 Service Pack 1
Ursprüngliche KB-Nummer: 949856

Der Support für Windows Vista Service Pack 1 (SP1) endet am 12. Juli 2011. Um weiterhin Sicherheitsupdates für Windows zu erhalten, stellen Sie sicher, dass Sie Windows Vista mit Service Pack 2 (SP2) ausführen. Weitere Informationen finden Sie unter Support endet für einige Versionen von Windows.

Einführung

In diesem Artikel wird die Unterstützung für Kryptografiealgorithmen der Suite B beschrieben, die in Windows Vista Service Pack 1 (SP1) und Windows Server 2008 hinzugefügt wurde. Suite B ist eine Gruppe kryptografischer Algorithmen, die von der USA National Security Agency (NSA) genehmigt wurden.

Suite B wird als interoperables kryptografisches Framework zum Schutz vertraulicher Daten verwendet. Der Support wurde auf die Suite B-Algorithmen für die folgenden Bereiche erweitert:

• Hauptmodus
• Schnellmodus
• Authentifizierungseinstellungen

In diesem Artikel wird auch die Konfigurationssyntax der IPsec-Richtlinie (Internet Protocol Security) beschrieben, die Suite B-Algorithmen verwendet.

Weitere Informationen

Supportbeschränkungen

Zu den Supporteinschränkungen für Suite B gehören:

• Das Erstellen und Erzwingen von IPsec-Richtlinien mithilfe von Suite B-Algorithmen wird nur in Windows Vista Service Pack 1 (SP1), in Windows Server 2008 oder in höheren Versionen von Windows unterstützt.
• Die Erstellung von Richtlinien, die Suite B-Algorithmen enthalten, wird über das MMC-Snap-In (Microsoft Management Console) "Windows-Firewall mit erweiterter Sicherheit" für Windows 7 und höhere Versionen von Windows unterstützt.
• Der Netsh advfirewall help-Befehl zeigt keine Konfigurationsoptionen für Suite B-Algorithmen an. Dies gilt nur für Windows Vista SP1.

Definitionen

• Suite B

Suite B ist eine Reihe von Standards, die von der National Security Agency (NSA) festgelegt werden. Suite B bietet der Branche einen gemeinsamen Satz kryptografischer Algorithmen, die verwendet werden können, um Produkte zu erstellen, die die verschiedensten Anforderungen der US-Regierung erfüllen. Suite B enthält die Spezifikation der folgenden Arten von Algorithmen:

• Integrität
• Verschlüsselung
• Schlüsselaustausch
• Digitale Signatur
• Federal Information Processing Standards (FIPS)

FIPS ist eine Reihe von Richtlinien und Standards, die die Computingressourcen des Bundes regeln. Alle Suite B-Algorithmen sind FIPS-genehmigt.

Weitere Informationen finden Sie unter Information Technology Laboratory.

• NIST

  Dies ist ein Akronym für das National Institute of Standards and Technology.

• Datenintegritätsalgorithmen

  Datenintegritätsalgorithmen verwenden Nachrichtenhashes, um sicherzustellen, dass Informationen während der Übertragung nicht geändert werden.

• Datenverschlüsselungsalgorithmen

  Datenverschlüsselungsalgorithmen werden verwendet, um informationen auszublenden, die übertragen werden. Die Verschlüsselungsalgorithmen werden verwendet, um Nur-Text in einen geheimen Code zu konvertieren.

  Beispielsweise können die Verschlüsselungsalgorithmen Nur-Text in Chiffretext konvertieren. Der Chiffretext kann dann mit dem ursprünglichen Nur-Text decodiert werden. Jeder Algorithmus verwendet einen "Schlüssel", um die Konvertierung durchzuführen. Der Schlüsseltyp und die Länge des Schlüssels hängen vom verwendeten Algorithmus ab.

• IPsec

  Dies ist eine Abkürzung für den Begriff "Internetprotokollsicherheit".

  Weitere Informationen zu IPsec finden Sie unter Was ist IPSec?

• Elliptic Curve Digital Signature Algorithm (ECDSA)

  Elliptische Kurve (EC) ist eine Variante des Algorithmus für digitale Signaturen, die auf EC-Gruppen angewendet wird. Die EC-Variante bietet kleinere Schlüsselgrößen für die gleiche Sicherheitsstufe.

  Dieser Algorithmus wird in FIPS-Veröffentlichung 186-2 beschrieben. Informationen zum Anzeigen dieser Veröffentlichung finden Sie unter Digital Signature Standard (DSS).

• Zertifizierungsstelle

  Eine Zertifizierungsstelle ist eine Entität, die digitale Zertifikate ausstellt. IPsec kann diese Zertifikate als Authentifizierungsmethode verwenden.

• Authentifizierungsheader (AH)

  Der Authentifizierungsheader ist ein IPsec-Protokoll, das Authentifizierungs-, Integritäts- und Anti-Replay-Funktionen für das gesamte Paket bereitstellt. Dies schließt den IP-Header und die Datennutzlast ein.

  AH bietet keine Vertraulichkeit. Dies bedeutet, dass AH die Daten nicht verschlüsselt. Die Daten sind lesbar, aber nicht schreibbar.

• Encapsulating Security Payload (ESP)

  ESP ist ein IPsec-Protokoll, das Vertraulichkeits-, Authentifizierungs-, Integritäts- und Anti-Replay-Funktionen bietet. ESP kann allein oder zusammen mit AH verwendet werden.

Hauptmodusalgorithmen

In Windows Vista SP1 und Windows Server 2008 werden zusätzlich zu den Algorithmen, die bereits in der Releaseversion von Windows Vista unterstützt werden, die folgenden Integritätsalgorithmen unterstützt:

• SHA-256
• SHA-384

Schnellmodusalgorithmen

In Windows Vista SP1 und Windows Server 2008 werden zusätzlich zu den Algorithmen, die bereits in der Releaseversion von Windows Vista unterstützt werden, die folgenden Algorithmen unterstützt.

Integrität (AH oder ESP)

• SHA-256
• AES-GMAC-128
• AES-GMAC-192
• AES-GMAC-256

Integrität und Verschlüsselung (nur ESP)

• AES-GCM-128
• AES-GCM-192
• AES-GCM-256

Weitere Informationen zu AH- und ESP-Kombinationen, die unterstützt und nicht unterstützt werden, finden Sie im Abschnitt "Kryptografiealgorithmuskombinationen im Schnellmodus, die unterstützt und nicht unterstützt werden".

Einschränkungen für den Schnellmodus

• Derselbe Integritätsalgorithmus sollte sowohl für AH als auch für ESP verwendet werden.
• Die AES-GMAC-Algorithmen sind für einen Integritätsalgorithmus mit NULL-Verschlüsselung verfügbar. Wenn also einer dieser Algorithmen für die ESP-Integrität angegeben ist, kann der Verschlüsselungsalgorithmus nicht angegeben werden.
• Wenn Sie einen AES-GCM-Algorithmus verwenden, sollte derselbe Algorithmus sowohl für die ESP-Integrität als auch für die Verschlüsselung angegeben werden.

Authentifizierung

In Windows Vista SP1 und Windows Server 2008 werden zusätzlich zu den Authentifizierungsmethoden, die bereits in der Releaseversion von Windows Vista unterstützt werden, die folgenden Authentifizierungsmethoden unterstützt.

• Computerzertifikat mit ECDSA-P256-Signatur
• Computerzertifikat mit ECDSA-P384-Signatur>

Die Standardauthentifizierungsmethode für Windows Vista ist die RSA SecurId-Authentifizierung.

Syntax und Beispiele

In diesem Abschnitt wird die Syntax für die Verwendung des Netsh advfirewall-Befehls zum Hinzufügen und Ändern von Verbindungssicherheitsregeln beschrieben. Dieser Abschnitt enthält auch Beispiele für Netsh advfirewall-Befehle.

Hinzufügen einer Verbindungssicherheitsregel

Netsh advfirewall
Usage: add rule name=<string>
 endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
 endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
 action=requireinrequestout|requestinrequestout|
 requireinrequireout|noauthentication
 [description=<string>]
 [mode=transport|tunnel (default=transport)]
 [enable=yes|no (default=yes)]
 [profile=public|private|domain|any[,...] (default=any)]
 [type=dynamic|static (default=static)]
 [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
 [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
 [port1=0-65535|any (default=any)]
 [port2=0-65535|any (default=any)]
 [protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
 [interfacetype=wiresless|lan|ras|any (default=any)]
 [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
 computerntlm|anonymous[,...]]
 [auth1psk=<string>]
 [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1healthcert=yes|no (default=no)]
 [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1ecdsap256healthcert=yes|no (default=no)]
 [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1ecdsap384healthcert=yes|no (default=no)]
 [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
 [auth2ca="<CA Name> [certmapping:yes|no] ..."]
 [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
 [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
 [qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
 none (default=none)]
 [qmsecmethods=
 ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
 |default]

Remarks:

- The rule name should be unique, and it cannot be "all."
 - When mode=tunnel, both tunnel endpoints must be specified and must be
 the same IP version. Also, the action must be requireinrequireout.
 - At least one authentication must be specified.
 - Auth1 and auth2 can be comma-separated lists of options.
 - The "computerpsk" and "computerntlm" methods cannot be specified together
 for auth1.
 - Computercert cannot be specified with user credentials for auth2.
 - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
 - Qmsecmethods can be a list of proposals separated by a comma (,).
 - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
 encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
 - If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption. 
 - sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista. 
 - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
 - We recommend that you do not use DES, MD5, or DHGroup1. These
 cryptographic algorithms are provided for backward compatibility
 only.
 - The default value for certmapping and for excludecaname is "no."
 - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').

Beispiel 1

Betrachten Sie das folgende Beispiel für einen Netsh advfirewall-Befehl:
Netsh advfirewall consec add rule name=test1 endpoint1=any endpoint2=any action=requestinrequestout description="Use ECDSA256 certificate and AESGMAC256" auth1=computercert,computercertecdsap256 auth1ca="C=US, O=MSFT, CN='Microsoft North, South, East, and West Root Authority'" auth1healthcert=no auth1ecdsap256ca="C=US, O=MSFT, CN='Microsoft North, South, East and West Root Authority'" auth1ecdsap256healthcert=yes qmsecmethods=ah: aesgmac256+esp:aesgmac256-none

Dieser Befehl erstellt eine Verbindungssicherheitsregel, die über die folgenden Authentifizierungsmethoden im Authentifizierungssatz verfügt:

• Die erste Authentifizierungsmethode ist ein Zertifikat, das die RSA-Zertifikatsignatur verwendet.
• Die zweite Authentifizierungsmethode ist ein Integritätszertifikat, das ECDSA256 für die Zertifikatsignatur verwendet.
• Die Verbindungssicherheitsregel schützt Datenverkehr mithilfe der AH- und ESP-Integrität mit dem neuen AES-GMAC 256-Algorithmus. Die Regel umfasst keine Verschlüsselung.

Beispiel 2

Betrachten Sie das folgende Beispiel für einen Netsh advfirewall-Befehl:
Netsh advfirewall consec add rule name=test2 endpoint1=any endpoint2=any action=requestinrequestout description="Use SHA 256 for Integrity and AES192 for encryption" auth1=computercert auth1ca="C=US, O=MSFT, CN='Microsoft North, South, East, and West Root Authority'" auth1healthcert=no qmsecmethods=ah:sha256+esp:sha256-aes192

Dieser Befehl erstellt eine Verbindungssicherheitsregel, die über eine Authentifizierungsmethode im Authentifizierungssatz verfügt. Die Authentifizierungsmethode ist ein Zertifikat, das die RSA-Zertifikatsignatur verwendet.

Die Verbindungssicherheitsregel schützt den Datenverkehr mithilfe der AH- und ESP-Integrität mit SHA256 für die Integrität und mit AES192 für die Verschlüsselung.

Ändern einer vorhandenen Verbindungssicherheitsregel

Netsh advfirewall
Usage: set rule
 group=<string> | name=<string>
 [type=dynamic|static]
 [profile=public|private|domain|any[,...] (default=any)]
 [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
 [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
 [port1=0-65535|any]
 [port2=0-65535|any]
 [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
 new
 [name=<string>]
 [profile=public|private|domain|any[,...]]
 [description=<string>]
 [mode=transport|tunnel]
 [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
 [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
 [action=requireinrequestout|requestinrequestout|
 requireinrequireout|noauthentication]
 [enable=yes|no]
 [type=dynamic|static]
 [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
 [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
 [port1=0-65535|any]
 [port2=0-65535|any]
 [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
 [interfacetype=wiresless|lan|ras|any]
 [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
 computerntlm|anonymous[,...]]
 [auth1psk=<string>]
 [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1healthcert=yes|no (default=no)]
 [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1ecdsap256healthcert=yes|no (default=no)]
 [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1ecdsap384healthcert=yes|no (default=no)]
 [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
 [auth2ca="<CA Name> [certmapping:yes|no] ..."]
 [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
 [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
 [qmsecmethods=
 ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
 default]

Remarks:

- This sets a new parameter value on an identified rule. The command fails
 if the rule does not exist. To create a rule, use the "add" command.
 - Values after the new keyword are updated in the rule. If there are
 no values, or if the "new" keyword is missing, no changes are made.
 - Only a group of rules can be enabled or disabled.
 - If multiple rules match the criteria, all matching rules are 
 updated.
 - The rule name should be unique, and it cannot be "all."
 - Auth1 and auth2 can be comma-separated lists of options.
 - The computerpsk and computerntlm methods cannot be specified together
 for auth1.
 - Computercert cannot be specified by using user credentials for auth2.
 - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista. 
 - Qmsecmethods can be a list of proposals that are separated by a comma (,).
 - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
 encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
 - If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption. 
 - Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
 - If qmsemethods are set to "default," qmpfs will be set to "default" also.
 - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
 - We recommend that you do not use DES, MD5, or DHGroup1. These
 cryptographic algorithms are provided for backward compatibility
 only.
 - The default value for "certmapping" and "excludecaname" is "no."
 - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').

Es folgt ein Beispiel für einen Befehl, der die Regel aktualisiert, die im vorherigen Abschnitt in "Beispiel 1" erstellt wurde: Netsh advfirewall consec set rule name=test new qmsecmethods=ah:aesgmac256+. esp:aesgcm256-aesgcm256 Dieser Befehl aktualisiert die Regel, um AES-GCM 256 für ESP-Integrität und -Verschlüsselung zu verwenden und AES-GMAC 256 für AH-Integrität zu verwenden.

Festlegen der globalen Einstellungen für den Hauptmodus

Der folgende Hilfetext gilt für den Befehl Netsh advfirewall set global.

netsh advfirewall>set global

Usage: set global statefulftp|statefulpptp enable|disable|notconfigured
 set global IPsec (parameter) (value)
 set global mainmode (parameter) (value) | notconfigured

IPsec Parameters:

strongcrlcheck - Configures how CRL checking is enforced.
 0: Disable CRL checking
 1: Fail if cert is revoked and the CRL exists in the client's CRL cache (default behavior)and the CRL exists in the client's CRL cache (default behavior) 2: Fail on any error
 notconfigured: Returns the value to its unconfigured state.
 saidletimemin - Configures the security association idle time in
 minutes.
 - Usage: 5-60|notconfigured (default=5)
 defaultexemptions - Configures the default IPsec exemptions. The default is
 to exempt IPv6 neighbordiscovery protocol from
 IPsec.
 - Usage: none|neighbordiscovery|notconfigured

Main Mode Parameters:

mmkeylifetime - Sets the main mode key lifetime in minutes, in sessions, or in both.
 - Usage: <num>min,<num>sess
 mmsecmethods - Configures the main mode list of proposals
 - Usage:
 keyexch:enc-integrity,enc-integrity[,...]|default
 - keyexch=dhgroup1|dhgroup2|dhgroup14|
 ecdhp256|ecdhp384
 - enc=3des|des|aes128|aes192|aes256
 - integrity=md5|sha1|sha256|sha384

Remarks:

- This configures global settings, such as advanced IPsec options.
 - We recommend that you do not use DES, MD5, or DHGroup1. These
 cryptographic algorithms are provided for backward compatibility
 only.
 - The mmsecmethods keyword default sets the policy to the following:
 dhgroup2-aes128-sha1,dhgroup2-3des-sha1
 - Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.

Im Folgenden sehen Sie ein Beispiel für einen Befehl, der die neuen SHA-Algorithmen im Kryptografiesatz im Hauptmodus verwendet: Netsh advfirewall set global mainmode mmsecmethods dhgroup1:3des-sha256, 3des-sha384

Befehle zur Problembehandlung, Konfiguration und Überprüfung

Befehl "Netsh advfirewall consec show rule all"

Der Befehl Netsh advfirewall consec show rule all zeigt die Konfiguration für alle Verbindungssicherheitsregeln an.

Es folgt ein Beispiel für die Ausgabe für diesen Befehl.

Rule Name:test
Enabled:Yes
Profiles:Domain,Private,Public
Type:Static
Mode:Transport
Endpoint1:Any
Endpoint2:Any
Protocol:Any
Action:RequestInRequestOut
Auth1:ComputerPSK
Auth1PSK: 12345
MainModeSecMethods ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethodsAH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb

Befehl "Netsh advfirewall monitor show mmsa"

Der Befehl Netsh advfirewall monitor show mmsa zeigt die Sicherheitszuordnung Hauptmodus an.

Es folgt ein Beispiel für die Ausgabe für diesen Befehl.

Main Mode SA at 01/04/2008 13:10:09
Local IP Address:157.59.24.101
Remote IP Address: 157.59.24.119
My ID:
Peer ID:
First Auth:ComputerPSK
Second Auth:None
MM Offer: ECDHAP384-3DES-SHA256
Cookie Pair:203d57505:5d088705
Health Pair:No
Ok.

Befehl "Netsh advfirewall monitor show qmsa"

Der Befehl Netsh advfirewall monitor show qmsa zeigt die Schnellmodus-Sicherheitszuordnung an.

Es folgt ein Beispiel für die Ausgabe für diesen Befehl.

Main Mode SA at 01/04/2008 13:10:09
Local IP Address:157.59.24.101
Remote IP Address: 157.59.24.119
Local Port:Any
Remote Port:Any
Protocol:Any
Direction:Both
QM Offer: AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb
Ok.

Befehl "Netsh advfirewall show global"

Der Befehl Netsh advfirewall global show zeigt globale Einstellungen an.

Es folgt ein Beispiel für die Ausgabe für diesen Befehl.

Global Settings:
IPsec:
StrongCRLCheck0:Disabled
SAIdleTimeMin5min
DefaultExemptions NeighborDiscovery
IPsecThroughNAT Server and client behind NAT

StatefulFTPEnable
StatefulPPTPEnable

Main Mode:
KeyLifetime2min,0sess
SecMethodsDHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384

Interoperabilität

Die Erstellung, Erzwingung und Verwaltung der IPsec-Richtlinie, die Suite B-Algorithmen verwendet, wurde in Windows Vista SP1 und Windows Server 2008 eingeführt. Sie können eine Gruppenrichtlinie, die Suite B-Algorithmen enthält, nur mithilfe von Tools verwalten, die mit Windows Vista SP1 oder Windows Server 2008 veröffentlicht wurden.

Beispiele für Szenarien und erwartete Ergebnisse sind wie folgt.

Szenario 1

Sie verwenden die neuen Kryptografiealgorithmen, um eine Richtlinie anzuwenden, die auf einem Computer mit Windows Server 2008 oder Windows Vista SP1 auf einem Computer erstellt wird, auf dem die Releaseversion von Windows Vista ausgeführt wird.

Erwartetes Ergebnis

Wenn eine Regel Kryptografiesammlungen enthält, die die neuen Kryptografiealgorithmen verwenden, werden diese Kryptografiesammlungen gelöscht, und stattdessen werden andere Kryptografiesammlungen im Kryptografiesatz verwendet.

Wenn keine der Kryptografiesammlungen in der Regel erkannt wird, wird die gesamte Regel gelöscht. Ein Ereignis wird protokolliert, das angibt, dass die Regel nicht verarbeitet werden kann. Wenn daher alle Kryptografiesammlungen im Kryptografiesatz des Schlüsselaustauschs gelöscht werden, wird keine der Verbindungssicherheitsregeln in der Richtlinie angewendet. Alle Firewallregeln werden jedoch weiterhin angewendet.

Der Authentifizierungssatzprozess ähnelt dem Kryptografiesatzprozess. Wenn eine Richtlinie, die die neuen Zertifikatflags (ECDSA-P256 oder ECDSA-P384) enthält, auf einen Computer angewendet wird, auf dem die Releaseversion von Windows Vista ausgeführt wird, werden die Authentifizierungsmethoden gelöscht.

Wenn aus diesem Grund alle Authentifizierungsmethoden im ersten Authentifizierungssatz gelöscht werden, wird die gesamte Regel nicht verarbeitet. Wenn alle Authentifizierungsmethoden im zweiten Authentifizierungssatz gelöscht werden, wird die Regel nur mit dem ersten Authentifizierungssatz verarbeitet.

Szenario 2

Auf einem Computer, auf dem die Releaseversion von Windows Vista ausgeführt wird, verwenden Sie die neuen kryptografischen Algorithmen, um eine Richtlinie anzuzeigen, die auf einem Computer mit Windows Server 2008 oder Windows Vista SP1 erstellt wurde.

Erwartetes Ergebnis

Die neuen Algorithmen werden sowohl in den Überwachungs- als auch in den Erstellungsteilen des MMC-Snap-Ins Für erweiterte Sicherheit der Windows-Firewall als "unbekannt" angezeigt. Der Befehl Netsh advfirewall zeigt die Algorithmen auch als "unbekannt" in Windows Vista an.

Einschränkungen der Interoperabilität

Die Interoperabilitätsbeschränkungen sind wie folgt:

• Wir unterstützen keine Remoteverwaltung von Richtlinien, die Suite B-Algorithmen auf Computern verwenden, auf denen Windows Vista SP1 oder Windows Server 2008 auf einem Computer ausgeführt wird, auf dem die Releaseversion von Windows Vista ausgeführt wird.
• Wenn eine Richtlinie, die auf einem Computer unter Windows Vista SP1 oder Windows Server 2008 erstellt wird, auf einen Computer importiert wird, auf dem die Releaseversion von Windows Vista ausgeführt wird, werden einige Teile der Richtlinie gelöscht. Dies liegt daran, dass die Releaseversion von Windows Vista die neuen Algorithmen nicht erkennen kann.

Kryptografische Schnellmodusalgorithmuskombinationen, die unterstützt und nicht unterstützt werden

Die folgende Tabelle enthält unterstützte Kombinationen aus kryptografischen Schnellmodusalgorithmus.

Die in der folgenden Tabelle beschriebenen Kombinationen werden nicht unterstützt.

Weitere Informationen zu Suite B finden Sie unter Commercial National Security Algorithm Suite.

Weitere Informationen zu IPsec und Verbindungssicherheitsregeln finden Sie unter Windows-Firewall mit erweiterter Sicherheit und IPsec.