Description de la prise en charge des algorithmes de chiffrement Suite B ajoutés à IPsec

Cet article décrit la prise en charge des algorithmes de chiffrement Suite B ajoutés à IPsec.

S’applique à : Windows Server 2012 R2, Windows 7 Service Pack 1
Numéro de la base de connaissances d’origine : 949856

La prise en charge de Windows Vista Service Pack 1 (SP1) prend fin le 12 juillet 2011. Pour continuer à recevoir les mises à jour de sécurité pour Windows, vérifiez que vous exécutez Windows Vista avec Service Pack 2 (SP2). Pour plus d’informations, consultez La prise en charge prend fin pour certaines versions de Windows.

Introduction

Cet article décrit la prise en charge des algorithmes de chiffrement Suite B ajoutés dans Windows Vista Service Pack 1 (SP1) et Windows Server 2008. La suite B est un groupe d’algorithmes de chiffrement approuvés par l’Agence de sécurité nationale (NSA) États-Unis.

La suite B est utilisée comme infrastructure de chiffrement interopérable pour la protection des données sensibles. La prise en charge a été étendue aux algorithmes de suite B pour les domaines suivants :

• Mode principal
• Mode rapide
• Paramètres d’authentification

Cet article décrit également la syntaxe de configuration de stratégie IPsec (Internet Protocol Security) qui utilise des algorithmes suite B.

Plus d’informations

Limitations de la prise en charge

Les limitations de prise en charge de la Suite B sont les suivantes :

• La création et l’application de la stratégie IPsec à l’aide d’algorithmes suite B sont prises en charge uniquement dans Windows Vista Service Pack 1 (SP1), Windows Server 2008 ou dans les versions ultérieures de Windows.
• La création de stratégies qui contiennent des algorithmes suite B est prise en charge via le composant logiciel enfichable MMC (Microsoft Management Console) « Pare-feu Windows avec sécurité avancée » pour Windows 7 et pour les versions ultérieures de Windows.
• La commande d’aide Netsh advfirewall n’affiche pas les options de configuration pour les algorithmes de suite B. Cela s’applique uniquement à Windows Vista SP1.

Définitions

• Suite B

La suite B est un ensemble de normes spécifiées par la National Security Agency (NSA). La suite B fournit à l’industrie un ensemble commun d’algorithmes de chiffrement qui peuvent être utilisés pour créer des produits qui répondent à la plus large gamme de besoins du gouvernement américain. La suite B inclut la spécification des types d’algorithmes suivants :

• Intégrité
• Chiffrement
• Échange de clés
• Signature numérique
• Normes fiPS (Federal Information Processing Standards)

FIPS est un ensemble de directives et de normes qui régissent les ressources informatiques fédérales. Tous les algorithmes de suite B sont approuvés par FIPS.

Pour plus d’informations, consultez Laboratoire des technologies de l’information.

• NIST

  Il s’agit d’un acronyme du National Institute of Standards and Technology.

• Algorithmes d’intégrité des données

  Les algorithmes d’intégrité des données utilisent des hachages de message pour s’assurer que les informations ne sont pas modifiées pendant leur transit.

• Algorithmes de chiffrement des données

  Les algorithmes de chiffrement des données sont utilisés pour masquer les informations transmises. Les algorithmes de chiffrement sont utilisés pour convertir du texte brut en code secret.

  Par exemple, les algorithmes de chiffrement peuvent convertir du texte brut en texte chiffré. Le texte chiffré peut ensuite être décodé en texte brut d’origine. Chaque algorithme utilise une « clé » pour effectuer la conversion. Le type de clé et la longueur de la clé dépendent de l’algorithme utilisé.

• IPsec

  Il s’agit d’une abréviation pour le terme « Sécurité du protocole Internet ».

  Pour plus d’informations sur IPsec, consultez Qu’est-ce qu’IPSec ?

• Algorithme de signature numérique à courbe elliptique (ECDSA)

  La courbe elliptique (EC) est une variante de l’algorithme de signature numérique qui fonctionne sur les groupes EC. La variante EC fournit des tailles de clé plus petites pour le même niveau de sécurité.

  Cet algorithme est décrit dans la publication FIPS 186-2. Pour afficher cette publication, consultez Digital Signature Standard (DSS).

• Autorité de certification (CA)

  Une autorité de certification est une entité qui émet des certificats numériques. IPsec peut utiliser ces certificats comme méthode d’authentification.

• En-tête d’authentification (AH)

  L’en-tête d’authentification est un protocole IPsec qui fournit des fonctionnalités d’authentification, d’intégrité et d’anti-relecture pour l’ensemble du paquet. Cela inclut l’en-tête IP et la charge utile des données.

  AH ne fournit pas de confidentialité. Cela signifie qu’AH ne chiffre pas les données. Les données sont lisibles, mais elles ne sont pas réécritables.

• Encapsulating Security Payload (ESP)

  ESP est un protocole IPsec qui fournit des fonctionnalités de confidentialité, d’authentification, d’intégrité et d’anti-relecture. ESP peut être utilisé seul, ou il peut être utilisé avec AH.

Algorithmes en mode principal

Dans Windows Vista SP1 et dans Windows Server 2008, les algorithmes d’intégrité suivants sont pris en charge en plus des algorithmes déjà pris en charge dans la version release de Windows Vista :

• SHA-256
• SHA-384

Algorithmes en mode rapide

Dans Windows Vista SP1 et dans Windows Server 2008, les algorithmes suivants sont pris en charge en plus des algorithmes déjà pris en charge dans la version release de Windows Vista.

Intégrité (AH ou ESP)

• SHA-256
• AES-GMAC-128
• AES-GMAC-192
• AES-GMAC-256

Intégrité et chiffrement (ESP uniquement)

• AES-GCM-128
• AES-GCM-192
• AES-GCM-256

Pour plus d’informations sur les combinaisons AH et ESP prises en charge et non prises en charge, consultez la section « Combinaisons d’algorithmes de chiffrement en mode rapide prises en charge et non prises en charge ».

Restrictions pour le mode rapide

• Le même algorithme d’intégrité doit être utilisé pour AH et ESP.
• Les algorithmes AES-GMAC sont disponibles pour un algorithme d’intégrité doté d’un chiffrement Null. Par conséquent, si l’un de ces algorithmes est spécifié pour l’intégrité ESP, l’algorithme de chiffrement ne peut pas être spécifié.
• Si vous utilisez un algorithme AES-GCM, le même algorithme doit être spécifié pour l’intégrité ESP et le chiffrement.

Authentification

Dans Windows Vista SP1 et windows Server 2008, les méthodes d’authentification suivantes sont prises en charge en plus des méthodes d’authentification déjà prises en charge dans la version release de Windows Vista.

• Certificat d’ordinateur avec signature ECDSA-P256
• Certificat d’ordinateur avec signature ECDSA-P384>

La méthode d’authentification par défaut pour Windows Vista est l’authentification RSA SecurId.

Syntaxe et exemples

Cette section décrit la syntaxe de l’utilisation de la commande Netsh advfirewall pour ajouter et modifier des règles de sécurité de connexion. Cette section fournit également des exemples de commandes Netsh advfirewall.

Ajouter une règle de sécurité de connexion

Netsh advfirewall
Usage: add rule name=<string>
 endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
 endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
 action=requireinrequestout|requestinrequestout|
 requireinrequireout|noauthentication
 [description=<string>]
 [mode=transport|tunnel (default=transport)]
 [enable=yes|no (default=yes)]
 [profile=public|private|domain|any[,...] (default=any)]
 [type=dynamic|static (default=static)]
 [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
 [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
 [port1=0-65535|any (default=any)]
 [port2=0-65535|any (default=any)]
 [protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
 [interfacetype=wiresless|lan|ras|any (default=any)]
 [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
 computerntlm|anonymous[,...]]
 [auth1psk=<string>]
 [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1healthcert=yes|no (default=no)]
 [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1ecdsap256healthcert=yes|no (default=no)]
 [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1ecdsap384healthcert=yes|no (default=no)]
 [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
 [auth2ca="<CA Name> [certmapping:yes|no] ..."]
 [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
 [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
 [qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
 none (default=none)]
 [qmsecmethods=
 ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
 |default]

Remarks:

- The rule name should be unique, and it cannot be "all."
 - When mode=tunnel, both tunnel endpoints must be specified and must be
 the same IP version. Also, the action must be requireinrequireout.
 - At least one authentication must be specified.
 - Auth1 and auth2 can be comma-separated lists of options.
 - The "computerpsk" and "computerntlm" methods cannot be specified together
 for auth1.
 - Computercert cannot be specified with user credentials for auth2.
 - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
 - Qmsecmethods can be a list of proposals separated by a comma (,).
 - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
 encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
 - If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption. 
 - sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista. 
 - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
 - We recommend that you do not use DES, MD5, or DHGroup1. These
 cryptographic algorithms are provided for backward compatibility
 only.
 - The default value for certmapping and for excludecaname is "no."
 - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').

Exemple 1

Prenons l’exemple suivant de commande Netsh advfirewall :
Netsh advfirewall consec add rule name=test1 endpoint1=any endpoint2=any action=requestinrequestout description="Use ECDSA256 certificate and AESGMAC256 » auth1=computercert,computercertecdsap256 auth1ca="C=US, O=MSFT, CN='Microsoft North, South, East, and West Root Authority' » auth1healthcert=no auth1ecdsap256ca="C=US, O=MSFT, CN='Microsoft North, South, East, and West Root Authority' » auth1ecdsap256healthcert=yes qmsecmethods=ah : aesgmac256+esp :aesgmac256-none

Cette commande crée une règle de sécurité de connexion qui a les méthodes d’authentification suivantes dans l’ensemble d’authentification :

• La première méthode d’authentification est un certificat qui utilise la signature de certificat RSA.
• La deuxième méthode d’authentification est un certificat d’intégrité qui utilise ECDSA256 pour la signature de certificat.
• La règle de sécurité de connexion protège le trafic à l’aide de l’intégrité AH et ESP avec le nouvel algorithme AES-GMAC 256. La règle n’inclut pas le chiffrement.

Exemple 2

Prenons l’exemple suivant de commande Netsh advfirewall :
Netsh advfirewall consec add rule name=test2 endpoint1=any endpoint2=any action=requestinrequestout description="Use SHA 256 for Integrity and AES192 for encryption » auth1=computercert auth1ca="C=US, O=MSFT, CN='Microsoft North, South, East, and West Root Authority' » auth1healthcert=no qmsecmethods=ah :sha256+esp :sha256-aes192

Cette commande crée une règle de sécurité de connexion qui a une méthode d’authentification dans l’ensemble d’authentification. La méthode d’authentification est un certificat qui utilise la signature de certificat RSA.

La règle de sécurité de connexion protège le trafic en utilisant l’intégrité AH et ESP avec SHA256 pour l’intégrité et avec AES192 pour le chiffrement.

Modifier une règle de sécurité de connexion existante

Netsh advfirewall
Usage: set rule
 group=<string> | name=<string>
 [type=dynamic|static]
 [profile=public|private|domain|any[,...] (default=any)]
 [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
 [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
 [port1=0-65535|any]
 [port2=0-65535|any]
 [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
 new
 [name=<string>]
 [profile=public|private|domain|any[,...]]
 [description=<string>]
 [mode=transport|tunnel]
 [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
 [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
 [action=requireinrequestout|requestinrequestout|
 requireinrequireout|noauthentication]
 [enable=yes|no]
 [type=dynamic|static]
 [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
 [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
 [port1=0-65535|any]
 [port2=0-65535|any]
 [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
 [interfacetype=wiresless|lan|ras|any]
 [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
 computerntlm|anonymous[,...]]
 [auth1psk=<string>]
 [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1healthcert=yes|no (default=no)]
 [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1ecdsap256healthcert=yes|no (default=no)]
 [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1ecdsap384healthcert=yes|no (default=no)]
 [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
 [auth2ca="<CA Name> [certmapping:yes|no] ..."]
 [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
 [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
 [qmsecmethods=
 ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
 default]

Remarks:

- This sets a new parameter value on an identified rule. The command fails
 if the rule does not exist. To create a rule, use the "add" command.
 - Values after the new keyword are updated in the rule. If there are
 no values, or if the "new" keyword is missing, no changes are made.
 - Only a group of rules can be enabled or disabled.
 - If multiple rules match the criteria, all matching rules are 
 updated.
 - The rule name should be unique, and it cannot be "all."
 - Auth1 and auth2 can be comma-separated lists of options.
 - The computerpsk and computerntlm methods cannot be specified together
 for auth1.
 - Computercert cannot be specified by using user credentials for auth2.
 - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista. 
 - Qmsecmethods can be a list of proposals that are separated by a comma (,).
 - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
 encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
 - If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption. 
 - Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
 - If qmsemethods are set to "default," qmpfs will be set to "default" also.
 - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
 - We recommend that you do not use DES, MD5, or DHGroup1. These
 cryptographic algorithms are provided for backward compatibility
 only.
 - The default value for "certmapping" and "excludecaname" is "no."
 - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').

Voici un exemple de commande qui met à jour la règle créée dans « Exemple 1 » dans la section précédente : Netsh advfirewall consec set rule name=test new qmsecmethods=ah :aesgmac256+esp :aesgcm256-aesgcm256 Cette commande met à jour la règle pour utiliser AES-GCM 256 pour l’intégrité et le chiffrement ESP et pour utiliser AES-GMAC 256 pour l’intégrité AH.

Définir les paramètres globaux du mode principal

Le texte d’aide suivant concerne la commande globale Netsh advfirewall set.

netsh advfirewall>set global

Usage: set global statefulftp|statefulpptp enable|disable|notconfigured
 set global IPsec (parameter) (value)
 set global mainmode (parameter) (value) | notconfigured

IPsec Parameters:

strongcrlcheck - Configures how CRL checking is enforced.
 0: Disable CRL checking
 1: Fail if cert is revoked and the CRL exists in the client's CRL cache (default behavior)and the CRL exists in the client's CRL cache (default behavior) 2: Fail on any error
 notconfigured: Returns the value to its unconfigured state.
 saidletimemin - Configures the security association idle time in
 minutes.
 - Usage: 5-60|notconfigured (default=5)
 defaultexemptions - Configures the default IPsec exemptions. The default is
 to exempt IPv6 neighbordiscovery protocol from
 IPsec.
 - Usage: none|neighbordiscovery|notconfigured

Main Mode Parameters:

mmkeylifetime - Sets the main mode key lifetime in minutes, in sessions, or in both.
 - Usage: <num>min,<num>sess
 mmsecmethods - Configures the main mode list of proposals
 - Usage:
 keyexch:enc-integrity,enc-integrity[,...]|default
 - keyexch=dhgroup1|dhgroup2|dhgroup14|
 ecdhp256|ecdhp384
 - enc=3des|des|aes128|aes192|aes256
 - integrity=md5|sha1|sha256|sha384

Remarks:

- This configures global settings, such as advanced IPsec options.
 - We recommend that you do not use DES, MD5, or DHGroup1. These
 cryptographic algorithms are provided for backward compatibility
 only.
 - The mmsecmethods keyword default sets the policy to the following:
 dhgroup2-aes128-sha1,dhgroup2-3des-sha1
 - Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.

Voici un exemple de commande qui utilise les nouveaux algorithmes SHA dans le jeu de chiffrement en mode principal : Netsh advfirewall set global mainmode mmsecmethods dhgroup1 :3des-sha256, 3des-sha384

Commandes de résolution des problèmes, de configuration et de vérification

Commande « Netsh advfirewall consec show rule all »

La commande Netsh advfirewall consec show rule all affiche la configuration de toutes les règles de sécurité de connexion.

Voici un exemple de sortie pour cette commande.

Rule Name:test
Enabled:Yes
Profiles:Domain,Private,Public
Type:Static
Mode:Transport
Endpoint1:Any
Endpoint2:Any
Protocol:Any
Action:RequestInRequestOut
Auth1:ComputerPSK
Auth1PSK: 12345
MainModeSecMethods ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethodsAH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb

Commande « Netsh advfirewall monitor show mmsa »

La commande Netsh advfirewall monitor show mmsa affiche l’association de sécurité du mode principal.

Voici un exemple de sortie pour cette commande.

Main Mode SA at 01/04/2008 13:10:09
Local IP Address:157.59.24.101
Remote IP Address: 157.59.24.119
My ID:
Peer ID:
First Auth:ComputerPSK
Second Auth:None
MM Offer: ECDHAP384-3DES-SHA256
Cookie Pair:203d57505:5d088705
Health Pair:No
Ok.

Commande « Netsh advfirewall monitor show qmsa »

La commande Netsh advfirewall monitor show qmsa affiche l’association de sécurité en mode rapide.

Voici un exemple de sortie pour cette commande.

Main Mode SA at 01/04/2008 13:10:09
Local IP Address:157.59.24.101
Remote IP Address: 157.59.24.119
Local Port:Any
Remote Port:Any
Protocol:Any
Direction:Both
QM Offer: AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb
Ok.

Commande « Netsh advfirewall show global »

La commande globale Netsh advfirewall show affiche les paramètres globaux.

Voici un exemple de sortie pour cette commande.

Global Settings:
IPsec:
StrongCRLCheck0:Disabled
SAIdleTimeMin5min
DefaultExemptions NeighborDiscovery
IPsecThroughNAT Server and client behind NAT

StatefulFTPEnable
StatefulPPTPEnable

Main Mode:
KeyLifetime2min,0sess
SecMethodsDHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384

Interopérabilité

La création, l’application et la gestion de la stratégie IPsec qui utilise des algorithmes suite B ont été introduites dans Windows Vista SP1 et Windows Server 2008. Vous pouvez gérer un stratégie de groupe qui contient des algorithmes suite B uniquement à l’aide d’outils publiés avec Windows Vista SP1 ou Windows Server 2008.

Les exemples de scénarios et les résultats attendus sont les suivants.

Scénario 1

Vous utilisez les nouveaux algorithmes de chiffrement pour appliquer une stratégie créée sur un ordinateur exécutant Windows Server 2008 ou Windows Vista SP1 à un ordinateur qui exécute la version release de Windows Vista.

Résultat attendu

Si une règle contient des suites de chiffrement qui utilisent les nouveaux algorithmes de chiffrement, ces suites de chiffrement sont supprimées et d’autres suites de chiffrement dans le jeu de chiffrement sont utilisées à la place.

Si aucune des suites de chiffrement de la règle n’est reconnue, la règle entière est supprimée. Un événement est journalisé qui indique que la règle ne peut pas être traitée. Par conséquent, si toutes les suites de chiffrement dans le jeu de chiffrement d’échange de clés sont supprimées, aucune des règles de sécurité de connexion dans la stratégie n’est appliquée. Toutefois, toutes les règles de pare-feu sont toujours appliquées.

Le processus d’ensemble d’authentification ressemble au processus de jeu de chiffrement. Si une stratégie qui contient les nouveaux indicateurs de certificat (ECDSA-P256 ou ECDSA-P384) est appliquée à un ordinateur qui exécute la version release de Windows Vista, les méthodes d’authentification sont supprimées.

Si toutes les méthodes d’authentification du premier jeu d’authentification sont supprimées pour cette raison, la règle entière n’est pas traitée. Si toutes les méthodes d’authentification du deuxième jeu d’authentification sont supprimées, la règle est traitée en utilisant uniquement le premier jeu d’authentification.

Scénario 2

Sur un ordinateur qui exécute la version release de Windows Vista, vous utilisez les nouveaux algorithmes de chiffrement pour afficher une stratégie qui a été créée sur un ordinateur exécutant Windows Server 2008 ou Windows Vista SP1.

Résultat attendu

Les nouveaux algorithmes sont affichés comme « inconnus » dans les parties de surveillance et de création du composant logiciel enfichable MMC de sécurité avancée du pare-feu Windows. La commande Netsh advfirewall affiche également les algorithmes comme « inconnus » dans Windows Vista.

Restrictions sur l’interopérabilité

Les restrictions d’interopérabilité sont les suivantes :

• Nous ne prenons pas en charge la gestion à distance des stratégies qui utilisent des algorithmes suite B sur les ordinateurs exécutant Windows Vista SP1 ou Windows Server 2008 à partir d’un ordinateur qui exécute la version release de Windows Vista.
• Lorsqu’une stratégie créée sur un ordinateur exécutant Windows Vista SP1 ou Windows Server 2008 est importée sur un ordinateur qui exécute la version release de Windows Vista, certaines parties de la stratégie sont supprimées. Cela se produit parce que la version release de Windows Vista ne peut pas reconnaître les nouveaux algorithmes.

Combinaisons d’algorithmes de chiffrement en mode rapide prises en charge et non prises en charge

Le tableau suivant présente les combinaisons d’algorithmes de chiffrement en mode rapide prises en charge.

Les combinaisons décrites dans le tableau suivant ne sont pas prises en charge.

Pour plus d’informations sur la suite B, consultez Commercial National Security Algorithm Suite.

Pour plus d’informations sur IPsec et les règles de sécurité de connexion, consultez Pare-feu Windows avec sécurité avancée et IPsec.