Beschrijving van de ondersteuning voor cryptografische algoritmen van Suite B die is toegevoegd aan IPsec

In dit artikel wordt de ondersteuning beschreven voor cryptografische algoritmen van Suite B die is toegevoegd aan IPsec.

Van toepassing op: Windows Server 2012 R2, Windows 7 Service Pack 1
Origineel KB-nummer: 949856

Ondersteuning voor Windows Vista Service Pack 1 (SP1) eindigt op 12 juli 2011. Als u beveiligingsupdates voor Windows wilt blijven ontvangen, moet u Windows Vista met Service Pack 2 (SP2) uitvoeren. Zie Ondersteuning wordt beëindigd voor sommige versies van Windows voor meer informatie.

Inleiding

In dit artikel wordt de ondersteuning beschreven voor cryptografische Suite B-algoritmen die zijn toegevoegd in Windows Vista Service Pack 1 (SP1) en in Windows Server 2008. Suite B is een groep cryptografische algoritmen die zijn goedgekeurd door de Verenigde Staten National Security Agency (NSA).

Suite B wordt gebruikt als een interoperabel cryptografisch framework voor het beveiligen van gevoelige gegevens. Ondersteuning is uitgebreid naar de Suite B-algoritmen voor de volgende gebieden:

• Hoofdmodus
• Snelle modus
• Verificatie-instellingen

In dit artikel wordt ook de configuratiesyntaxis van het IPsec-beleid (Internet Protocol Security) beschreven die gebruikmaakt van Suite B-algoritmen.

Meer informatie

Ondersteuningsbeperkingen

Ondersteuningsbeperkingen voor Suite B omvatten het volgende:

• Het maken en afdwingen van IPsec-beleid met behulp van Suite B-algoritmen wordt alleen ondersteund in Windows Vista Service Pack 1 (SP1), in Windows Server 2008 of in latere versies van Windows.
• Het ontwerpen van beleidsregels die Suite B-algoritmen bevatten, wordt ondersteund via de MMC-module (Windows Firewall met geavanceerde beveiliging) voor Windows 7 en voor latere versies van Windows.
• De Help-opdracht Netsh advfirewall geeft geen configuratieopties weer voor Suite B-algoritmen. Dit geldt alleen voor Windows Vista SP1.

Definities

• Suite B

Suite B is een set standaarden die zijn opgegeven door de National Security Agency (NSA). Suite B biedt de branche een gemeenschappelijke set cryptografische algoritmen die kunnen worden gebruikt om producten te maken die voldoen aan de meest uiteenlopende behoeften van de Amerikaanse overheid. Suite B bevat specificatie van de volgende typen algoritmen:

• Integriteit
• Versleuteling
• Sleuteluitwisseling
• Digitale handtekening
• Federal Information Processing Standards (FIPS)

FIPS is een set richtlijnen en standaarden die van toepassing zijn op federal computing-resources. Alle Suite B-algoritmen zijn GOEDGEKEURD door FIPS.

Zie Information Technology Laboratory (Information Technology Laboratory) voor meer informatie.

• NIST

  Dit is een acroniem voor het National Institute of Standards and Technology.

• Algoritmen voor gegevensintegriteit

  Algoritmen voor gegevensintegriteit maken gebruik van bericht-hashes om ervoor te zorgen dat informatie niet wordt gewijzigd terwijl deze wordt verzonden.

• Gegevensversleutelingsalgoritmen

  Gegevensversleutelingsalgoritmen worden gebruikt om informatie te verbergen die wordt verzonden. De versleutelingsalgoritmen worden gebruikt om tekst zonder opmaak te converteren naar een geheime code.

  De versleutelingsalgoritmen kunnen bijvoorbeeld tekst zonder opmaak converteren naar coderingstekst. De coderingstekst kan vervolgens worden gedecodeerd naar de oorspronkelijke tekst zonder opmaak. Elk algoritme gebruikt een 'sleutel' om de conversie uit te voeren. Het type sleutel en de lengte van de sleutel zijn afhankelijk van het algoritme dat wordt gebruikt.

• IPsec

  Dit is een afkorting voor de term 'Internet Protocol-beveiliging'.

  Zie Wat is IPSec? voor meer informatie over IPsec.

• Elliptic Curve Digital Signature Algorithm (ECDSA)

  Elliptic Curve (EC) is een variant van het algoritme voor digitale handtekeningen dat werkt op EC-groepen. De EC-variant biedt kleinere sleutelgrootten voor hetzelfde beveiligingsniveau.

  Dit algoritme wordt beschreven in FIPS-publicatie 186-2. Zie Digital Signature Standard (DSS) om deze publicatie te bekijken.

• Certificeringsinstantie (CA)

  Een certificeringsinstantie is een entiteit die digitale certificaten uitgeeft. IPsec kan deze certificaten gebruiken als verificatiemethode.

• Verificatieheader (AH)

  Authentication Header is een IPsec-protocol dat verificatie, integriteit en anti-replay-functionaliteit biedt voor het hele pakket. Dit omvat de IP-header en de nettolading van de gegevens.

  AH biedt geen vertrouwelijkheid. Dit betekent dat AH de gegevens niet versleutelt. De gegevens zijn leesbaar, maar niet te schrijven.

• Encapsulating Security Payload (ESP)

  ESP is een IPsec-protocol dat vertrouwelijkheid, verificatie, integriteit en anti-herhalingsfunctionaliteit biedt. ESP kan alleen worden gebruikt of samen met AH.

Algoritmen voor de hoofdmodus

In Windows Vista SP1 en in Windows Server 2008 worden de volgende integriteitsalgoritmen ondersteund naast de algoritmen die al worden ondersteund in de releaseversie van Windows Vista:

• SHA-256
• SHA-384

Algoritmen voor snelle modus

In Windows Vista SP1 en in Windows Server 2008 worden de volgende algoritmen ondersteund naast de algoritmen die al worden ondersteund in de releaseversie van Windows Vista.

Integriteit (AH of ESP)

• SHA-256
• AES-GMAC-128
• AES-GMAC-192
• AES-GMAC-256

Integriteit en versleuteling (alleen ESP)

• AES-GCM-128
• AES-GCM-192
• AES-GCM-256

Zie de sectie 'Snelle cryptografische algoritmecombinaties die wel en niet worden ondersteund' voor meer informatie over AH- en ESP-combinaties die wel en niet worden ondersteund.

Beperkingen voor snelle modus

• Hetzelfde integriteitsalgoritmen moet worden gebruikt voor zowel AH als ESP.
• De AES-GMAC-algoritmen zijn beschikbaar voor een integriteitsalgoritmen met null-versleuteling. Als een van deze algoritmen is opgegeven voor ESP-integriteit, kan het versleutelingsalgoritmen daarom niet worden opgegeven.
• Als u een AES-GCM-algoritme gebruikt, moet hetzelfde algoritme worden opgegeven voor zowel ESP-integriteit als versleuteling.

Verificatie

In Windows Vista SP1 en in Windows Server 2008 worden de volgende verificatiemethoden ondersteund naast de verificatiemethoden die al worden ondersteund in de releaseversie van Windows Vista.

• Computercertificaat met ECDSA-P256-ondertekening
• Computercertificaat met ECDSA-P384-ondertekening>

De standaardverificatiemethode voor Windows Vista is RSA SecurId-verificatie.

Syntaxis en voorbeelden

In deze sectie wordt de syntaxis beschreven voor het gebruik van de opdracht Netsh advfirewall om verbindingsbeveiligingsregels toe te voegen en te wijzigen. In deze sectie vindt u ook voorbeelden van Netsh advfirewall-opdrachten.

Een verbindingsbeveiligingsregel toevoegen

Netsh advfirewall
Usage: add rule name=<string>
 endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
 endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
 action=requireinrequestout|requestinrequestout|
 requireinrequireout|noauthentication
 [description=<string>]
 [mode=transport|tunnel (default=transport)]
 [enable=yes|no (default=yes)]
 [profile=public|private|domain|any[,...] (default=any)]
 [type=dynamic|static (default=static)]
 [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
 [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
 [port1=0-65535|any (default=any)]
 [port2=0-65535|any (default=any)]
 [protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
 [interfacetype=wiresless|lan|ras|any (default=any)]
 [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
 computerntlm|anonymous[,...]]
 [auth1psk=<string>]
 [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1healthcert=yes|no (default=no)]
 [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1ecdsap256healthcert=yes|no (default=no)]
 [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1ecdsap384healthcert=yes|no (default=no)]
 [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
 [auth2ca="<CA Name> [certmapping:yes|no] ..."]
 [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
 [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
 [qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
 none (default=none)]
 [qmsecmethods=
 ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
 |default]

Remarks:

- The rule name should be unique, and it cannot be "all."
 - When mode=tunnel, both tunnel endpoints must be specified and must be
 the same IP version. Also, the action must be requireinrequireout.
 - At least one authentication must be specified.
 - Auth1 and auth2 can be comma-separated lists of options.
 - The "computerpsk" and "computerntlm" methods cannot be specified together
 for auth1.
 - Computercert cannot be specified with user credentials for auth2.
 - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
 - Qmsecmethods can be a list of proposals separated by a comma (,).
 - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
 encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
 - If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption. 
 - sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista. 
 - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
 - We recommend that you do not use DES, MD5, or DHGroup1. These
 cryptographic algorithms are provided for backward compatibility
 only.
 - The default value for certmapping and for excludecaname is "no."
 - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').

Voorbeeld 1

Bekijk het volgende voorbeeld van een Netsh advfirewall-opdracht:
Netsh advfirewall consec add rule name=test1 endpoint1=any endpoint2=any action=requestinrequestout description="Use ECDSA256 certificate and AESGMAC256" auth1=computercert,computercertecdsap256 auth1ca="C=US, O=MSFT, CN='Microsoft North, South, East en West Root Authority'" auth1healthcert=no auth1ecdsap256ca="C=US, O=MSFT, CN='Microsoft North, South, East, And West Root Authority'" auth1ecdsap256healthcert=yes qmsecmethods=ah: aesgmac256+esp:aesgmac256-none

Met deze opdracht maakt u een verbindingsbeveiligingsregel met de volgende verificatiemethoden in de verificatieset:

• De eerste verificatiemethode is een certificaat dat gebruikmaakt van RSA-certificaatondertekening.
• De tweede verificatiemethode is een statuscertificaat dat gebruikmaakt van ECDSA256 voor certificaatondertekening.
• De verbindingsbeveiligingsregel beschermt verkeer met behulp van AH- en ESP-integriteit met het nieuwe algoritme AES-GMAC 256. De regel bevat geen versleuteling.

Voorbeeld 2

Bekijk het volgende voorbeeld van een Netsh advfirewall-opdracht:
Netsh advfirewall consec add rule name=test2 endpoint1=any endpoint2=any action=requestinrequestout description="Use SHA 256 for Integrity and AES192 for encryption" auth1=computercert auth1ca="C=US, O=MSFT, CN='Microsoft North, South, East en West Root Authority'" auth1healthcert=no qmsecmethods=ah:sha256+esp:sha256-aes192

Met deze opdracht maakt u een verbindingsbeveiligingsregel met één verificatiemethode in de verificatieset. De verificatiemethode is een certificaat dat gebruikmaakt van RSA-certificaatondertekening.

De verbindingsbeveiligingsregel beschermt verkeer met behulp van AH- en ESP-integriteit met SHA256 voor integriteit en met AES192 voor versleuteling.

Een bestaande verbindingsbeveiligingsregel wijzigen

Netsh advfirewall
Usage: set rule
 group=<string> | name=<string>
 [type=dynamic|static]
 [profile=public|private|domain|any[,...] (default=any)]
 [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
 [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
 [port1=0-65535|any]
 [port2=0-65535|any]
 [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
 new
 [name=<string>]
 [profile=public|private|domain|any[,...]]
 [description=<string>]
 [mode=transport|tunnel]
 [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
 [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
 [action=requireinrequestout|requestinrequestout|
 requireinrequireout|noauthentication]
 [enable=yes|no]
 [type=dynamic|static]
 [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
 [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
 [port1=0-65535|any]
 [port2=0-65535|any]
 [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
 [interfacetype=wiresless|lan|ras|any]
 [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
 computerntlm|anonymous[,...]]
 [auth1psk=<string>]
 [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1healthcert=yes|no (default=no)]
 [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1ecdsap256healthcert=yes|no (default=no)]
 [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1ecdsap384healthcert=yes|no (default=no)]
 [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
 [auth2ca="<CA Name> [certmapping:yes|no] ..."]
 [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
 [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
 [qmsecmethods=
 ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
 default]

Remarks:

- This sets a new parameter value on an identified rule. The command fails
 if the rule does not exist. To create a rule, use the "add" command.
 - Values after the new keyword are updated in the rule. If there are
 no values, or if the "new" keyword is missing, no changes are made.
 - Only a group of rules can be enabled or disabled.
 - If multiple rules match the criteria, all matching rules are 
 updated.
 - The rule name should be unique, and it cannot be "all."
 - Auth1 and auth2 can be comma-separated lists of options.
 - The computerpsk and computerntlm methods cannot be specified together
 for auth1.
 - Computercert cannot be specified by using user credentials for auth2.
 - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista. 
 - Qmsecmethods can be a list of proposals that are separated by a comma (,).
 - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
 encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
 - If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption. 
 - Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
 - If qmsemethods are set to "default," qmpfs will be set to "default" also.
 - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
 - We recommend that you do not use DES, MD5, or DHGroup1. These
 cryptographic algorithms are provided for backward compatibility
 only.
 - The default value for "certmapping" and "excludecaname" is "no."
 - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').

Hier volgt een voorbeeld van een opdracht waarmee de regel wordt bijgewerkt die is gemaakt in 'Voorbeeld 1' in de vorige sectie: Netsh advfirewall consec set rule name=test new qmsecmethods=ah:aesgmac256 +esp:aesgcm256-aesgcm256 Met deze opdracht wordt de regel bijgewerkt om AES-GCM 256 te gebruiken voor ESP-integriteit en -versleuteling en om AES-GMAC 256 te gebruiken voor AH-integriteit.

Algemene instellingen voor de hoofdmodus instellen

De volgende Help-tekst is voor de globale opdracht Netsh advfirewall set.

netsh advfirewall>set global

Usage: set global statefulftp|statefulpptp enable|disable|notconfigured
 set global IPsec (parameter) (value)
 set global mainmode (parameter) (value) | notconfigured

IPsec Parameters:

strongcrlcheck - Configures how CRL checking is enforced.
 0: Disable CRL checking
 1: Fail if cert is revoked and the CRL exists in the client's CRL cache (default behavior)and the CRL exists in the client's CRL cache (default behavior) 2: Fail on any error
 notconfigured: Returns the value to its unconfigured state.
 saidletimemin - Configures the security association idle time in
 minutes.
 - Usage: 5-60|notconfigured (default=5)
 defaultexemptions - Configures the default IPsec exemptions. The default is
 to exempt IPv6 neighbordiscovery protocol from
 IPsec.
 - Usage: none|neighbordiscovery|notconfigured

Main Mode Parameters:

mmkeylifetime - Sets the main mode key lifetime in minutes, in sessions, or in both.
 - Usage: <num>min,<num>sess
 mmsecmethods - Configures the main mode list of proposals
 - Usage:
 keyexch:enc-integrity,enc-integrity[,...]|default
 - keyexch=dhgroup1|dhgroup2|dhgroup14|
 ecdhp256|ecdhp384
 - enc=3des|des|aes128|aes192|aes256
 - integrity=md5|sha1|sha256|sha384

Remarks:

- This configures global settings, such as advanced IPsec options.
 - We recommend that you do not use DES, MD5, or DHGroup1. These
 cryptographic algorithms are provided for backward compatibility
 only.
 - The mmsecmethods keyword default sets the policy to the following:
 dhgroup2-aes128-sha1,dhgroup2-3des-sha1
 - Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.

Hier volgt een voorbeeld van een opdracht die gebruikmaakt van de nieuwe SHA-algoritmen in de cryptografische set Main-mode: Netsh advfirewall set global mainmode mmsecmethods dhgroup1:3des-sha256, 3des-sha384

Opdrachten voor probleemoplossing, configuratie en verificatie

De opdracht 'Netsh advfirewall consec show rule all'

De opdracht Netsh advfirewall consec show rule all geeft configuratie weer voor alle verbindingsbeveiligingsregels.

Hier volgt een voorbeeld van de uitvoer voor deze opdracht.

Rule Name:test
Enabled:Yes
Profiles:Domain,Private,Public
Type:Static
Mode:Transport
Endpoint1:Any
Endpoint2:Any
Protocol:Any
Action:RequestInRequestOut
Auth1:ComputerPSK
Auth1PSK: 12345
MainModeSecMethods ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethodsAH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb

De opdracht 'Netsh advfirewall monitor show mmsa'

De opdracht Netsh advfirewall monitor show mmsa geeft de beveiligingskoppeling voor de hoofdmodus weer.

Hier volgt een voorbeeld van de uitvoer voor deze opdracht.

Main Mode SA at 01/04/2008 13:10:09
Local IP Address:157.59.24.101
Remote IP Address: 157.59.24.119
My ID:
Peer ID:
First Auth:ComputerPSK
Second Auth:None
MM Offer: ECDHAP384-3DES-SHA256
Cookie Pair:203d57505:5d088705
Health Pair:No
Ok.

De opdracht 'Netsh advfirewall monitor show qmsa'

De opdracht Netsh advfirewall monitor show qmsa geeft de beveiligingskoppeling snelle modus weer.

Hier volgt een voorbeeld van de uitvoer voor deze opdracht.

Main Mode SA at 01/04/2008 13:10:09
Local IP Address:157.59.24.101
Remote IP Address: 157.59.24.119
Local Port:Any
Remote Port:Any
Protocol:Any
Direction:Both
QM Offer: AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb
Ok.

De opdracht 'Netsh advfirewall show global'

Met de opdracht Netsh advfirewall show global worden globale instellingen weergegeven.

Hier volgt een voorbeeld van de uitvoer voor deze opdracht.

Global Settings:
IPsec:
StrongCRLCheck0:Disabled
SAIdleTimeMin5min
DefaultExemptions NeighborDiscovery
IPsecThroughNAT Server and client behind NAT

StatefulFTPEnable
StatefulPPTPEnable

Main Mode:
KeyLifetime2min,0sess
SecMethodsDHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384

Interoperabiliteit

Het maken, afdwingen en beheren van het IPsec-beleid dat gebruikmaakt van Suite B-algoritmen is geïntroduceerd in Windows Vista SP1 en in Windows Server 2008. U kunt een groepsbeleid met Suite B-algoritmen alleen beheren met behulp van hulpprogramma's die zijn uitgebracht met Windows Vista SP1 of met Windows Server 2008.

Voorbeeldscenario's en verwachte resultaten zijn als volgt.

Scenario 1

U gebruikt de nieuwe cryptografische algoritmen om een beleid toe te passen dat is gemaakt op een computer met Windows Server 2008 of Windows Vista SP1 op een computer waarop de releaseversie van Windows Vista wordt uitgevoerd.

Verwacht resultaat

Als een regel cryptografische suites bevat die gebruikmaken van de nieuwe cryptografische algoritmen, worden deze cryptografische suites verwijderd en worden in plaats daarvan andere cryptografische suites in de cryptografische set gebruikt.

Als geen van de cryptografische suites in de regel wordt herkend, wordt de hele regel verwijderd. Er wordt een gebeurtenis vastgelegd die aangeeft dat de regel niet kan worden verwerkt. Als daarom alle cryptografische suites in de cryptografische set voor sleuteluitwisseling worden verwijderd, worden geen van de beveiligingsregels voor verbindingen in het beleid toegepast. Alle firewallregels worden echter nog steeds toegepast.

Het verificatiesetproces lijkt op het cryptografische setproces. Als een beleid met de nieuwe certificaatvlagmen (ECDSA-P256 of ECDSA-P384) wordt toegepast op een computer waarop de releaseversie van Windows Vista wordt uitgevoerd, worden de verificatiemethoden verwijderd.

Als alle verificatiemethoden in de eerste verificatieset om deze reden worden verwijderd, wordt de hele regel niet verwerkt. Als alle verificatiemethoden in de tweede verificatieset worden verwijderd, wordt de regel verwerkt met alleen de eerste verificatieset.

Scenario 2

Op een computer waarop de releaseversie van Windows Vista wordt uitgevoerd, gebruikt u de nieuwe cryptografische algoritmen om een beleid weer te geven dat is gemaakt op een computer met Windows Server 2008 of Windows Vista SP1.

Verwacht resultaat

De nieuwe algoritmen worden weergegeven als 'onbekend' in zowel de bewakings- als ontwerponderdelen van de MMC-module Windows Firewall Advanced Security. Met de opdracht Netsh advfirewall worden de algoritmen ook weergegeven als 'onbekend' in Windows Vista.

Beperkingen voor interoperabiliteit

Beperkingen voor interoperabiliteit zijn als volgt:

• We bieden geen ondersteuning voor extern beheer van beleidsregels die gebruikmaken van Suite B-algoritmen op computers met Windows Vista SP1 of Windows Server 2008 vanaf een computer waarop de releaseversie van Windows Vista wordt uitgevoerd.
• Wanneer een beleid dat is gemaakt op een computer met Windows Vista SP1 of Windows Server 2008 wordt geïmporteerd op een computer waarop de releaseversie van Windows Vista wordt uitgevoerd, worden sommige onderdelen van het beleid verwijderd. Dit komt doordat de releaseversie van Windows Vista de nieuwe algoritmen niet kan herkennen.

Cryptografische algoritmecombinaties in de snelle modus die wel en niet worden ondersteund

In de volgende tabel ziet u ondersteunde cryptografische algoritmecombinaties in de snelle modus.

De combinaties die in de volgende tabel worden beschreven, worden niet ondersteund.

Zie Commercial National Security Algorithm Suite voor meer informatie over Suite B.

Zie Windows Firewall met geavanceerde beveiliging en IPsec voor meer informatie over IPsec- en verbindingsbeveiligingsregels.