Opis obsługi algorytmów kryptograficznych pakietu B, które zostały dodane do protokołu IPsec
W tym artykule opisano obsługę algorytmów kryptograficznych pakietu B, które zostały dodane do protokołu IPsec.
Dotyczy systemów: Windows Server 2012 R2 i Windows 7 z dodatkiem Service Pack 1
Oryginalny numer KB: 949856
Obsługa dodatku Service Pack 1 (SP1) systemu Windows Vista kończy się 12 lipca 2011 r. Aby nadal otrzymywać aktualizacje zabezpieczeń dla systemu Windows, upewnij się, że korzystasz z systemu Windows Vista z dodatkiem Service Pack 2 (SP2). Aby uzyskać więcej informacji, zobacz Obsługa kończy się dla niektórych wersji systemu Windows.
Wprowadzenie
W tym artykule opisano obsługę algorytmów kryptograficznych pakietu B, które zostały dodane w systemie Windows Vista z dodatkiem Service Pack 1 (SP1) i w systemie Windows Server 2008. Pakiet B to grupa algorytmów kryptograficznych zatwierdzonych przez Stany Zjednoczone Agencję Bezpieczeństwa Narodowego (NSA).
Pakiet B jest używany jako interoperacyjna struktura kryptograficzna do ochrony poufnych danych. Obsługa została rozszerzona na algorytmy usługi Suite B dla następujących obszarów:
- Tryb główny
- Tryb szybki
- Ustawienia uwierzytelniania
W tym artykule opisano również składnię konfiguracji zasad zabezpieczeń protokołu internetowego (IPsec), która używa algorytmów usługi Suite B.
Uwaga
Ta zawartość zastępuje część zawartości opublikowanej na zarchiwizowanych algorytmach IPsec i metodach obsługiwanych w systemie Windows.
Więcej informacji
Ograniczenia pomocy technicznej
Ograniczenia pomocy technicznej dla pakietu B obejmują następujące kwestie:
- Tworzenie i wymuszanie zasad protokołu IPsec przy użyciu algorytmów pakietu B jest obsługiwane tylko w systemie Windows Vista z dodatkiem Service Pack 1 (SP1), w systemie Windows Server 2008 lub w nowszych wersjach systemu Windows.
- Tworzenie zasad zawierających algorytmy pakietu B jest obsługiwane za pośrednictwem przystawki "Zapora systemu Windows z zabezpieczeniami zaawansowanymi" programu Microsoft Management Console (MMC) dla systemu Windows 7 i nowszych wersji systemu Windows.
- Polecenie pomocy netsh advfirewall nie wyświetla opcji konfiguracji dla algorytmów pakietu B. Dotyczy to tylko systemu Windows Vista z dodatkiem SP1.
Definicje
- Pakiet B
Pakiet B to zestaw standardów określonych przez Agencję Bezpieczeństwa Narodowego (NSA). Pakiet B zapewnia branży wspólny zestaw algorytmów kryptograficznych, których można użyć do tworzenia produktów spełniających najszerszy zakres potrzeb instytucji rządowych USA. Pakiet B zawiera specyfikację następujących typów algorytmów:
- Integralności
- Szyfrowanie
- Wymiana kluczy
- Podpis cyfrowy
- Federalne standardy przetwarzania informacji (FIPS)
FIPS to zestaw wytycznych i standardów regulujących federalne zasoby obliczeniowe. Wszystkie algorytmy pakietu B są zatwierdzone przez protokół FIPS.
Aby uzyskać więcej informacji, zobacz Laboratorium Technologii Informatycznych.
NIST
Jest to skrót od National Institute of Standards and Technology.
Algorytmy integralności danych
Algorytmy integralności danych używają skrótów komunikatów, aby upewnić się, że informacje nie są zmieniane podczas ich przesyłania.
Algorytmy szyfrowania danych
Algorytmy szyfrowania danych służą do ukrywania przesyłanych informacji. Algorytmy szyfrowania służą do konwertowania zwykłego tekstu na kod tajny.
Na przykład algorytmy szyfrowania mogą konwertować zwykły tekst na tekst szyfrowany. Następnie można dekodować tekst szyfru do oryginalnego zwykłego tekstu. Każdy algorytm używa "klucza" do przeprowadzenia konwersji. Typ klucza i długość klucza zależą od używanego algorytmu.
IPsec
Jest to skrót od terminu "Zabezpieczenia protokołu internetowego".
Aby uzyskać więcej informacji na temat protokołu IPsec, zobacz Co to jest protokół IPSec?
Algorytm podpisu cyfrowego krzywej eliptycznej (ECDSA)
Krzywa eliptyczna (EC) jest wariantem algorytmu podpisu cyfrowego, który działa w grupach EC. Wariant EC zapewnia mniejsze rozmiary kluczy dla tego samego poziomu zabezpieczeń.
Ten algorytm jest opisany w publikacji FIPS 186-2. Aby wyświetlić tę publikację, zobacz Digital Signature Standard (DSS).
Urząd certyfikacji (CA)
Urząd certyfikacji to jednostka, która wystawia certyfikaty cyfrowe. Protokół IPsec może używać tych certyfikatów jako metody uwierzytelniania.
Nagłówek uwierzytelniania (AH)
Nagłówek uwierzytelniania to protokół IPsec, który zapewnia uwierzytelnianie, integralność i funkcje anty-replay dla całego pakietu. Obejmuje to nagłówek IP i ładunek danych.
Ah nie zapewnia poufności. Oznacza to, że usługa AH nie szyfruje danych. Dane są czytelne, ale nie można ich zapisać.
Hermetyzowanie ładunku zabezpieczeń (ESP)
Esp to protokół IPsec, który zapewnia poufność, uwierzytelnianie, integralność i funkcje anty-replay. Esp może być używany samodzielnie lub może być używany razem z AH.
Algorytmy trybu głównego
W systemie Windows Vista z dodatkiem SP1 i w systemie Windows Server 2008 oprócz tych algorytmów, które są już obsługiwane w wersji systemu Windows Vista, są obsługiwane następujące algorytmy integralności:
- SHA-256
- SHA-384
Uwaga
Algorytm wymiany kluczy i algorytm szyfrowania nie są zmieniane.
Algorytmy trybu szybkiego
W systemie Windows Vista z dodatkiem SP1 i w systemie Windows Server 2008 oprócz tych algorytmów, które są już obsługiwane w wersji wersji systemu Windows Vista, obsługiwane są następujące algorytmy.
Integralność (AH lub ESP)
- SHA-256
- AES-GMAC-128
- AES-GMAC-192
- AES-GMAC-256
Integralność i szyfrowanie (tylko esp)
- AES-GCM-128
- AES-GCM-192
- AES-GCM-256
Aby uzyskać więcej informacji na temat kombinacji AH i ESP, które są obsługiwane i nie są obsługiwane, zobacz sekcję "Kombinacje algorytmów kryptograficznych trybu szybkiego, które są obsługiwane i nieobsługiwane".
Ograniczenia dotyczące trybu szybkiego
- Ten sam algorytm integralności powinien być używany zarówno w przypadku algorytmu AH, jak i esp.
- Algorytmy AES-GMAC są dostępne dla algorytmu integralności z szyfrowaniem o wartości null. W związku z tym, jeśli którykolwiek z tych algorytmów jest określony dla integralności ESP, nie można określić algorytmu szyfrowania.
- Jeśli używasz algorytmu AES-GCM, należy określić ten sam algorytm zarówno dla integralności esp, jak i szyfrowania.
Uwierzytelnianie
W systemie Windows Vista z dodatkiem SP1 i w systemie Windows Server 2008 oprócz tych metod uwierzytelniania, które są już obsługiwane w wersji wersji systemu Windows Vista, obsługiwane są następujące metody uwierzytelniania.
- Certyfikat komputera z podpisywaniem ECDSA-P256
- Certyfikat komputera z podpisywaniem ECDSA-P384>
Uwaga
Domyślną metodą uwierzytelniania dla systemu Windows Vista jest uwierzytelnianie RSA SecurId.
Składnia i przykłady
W tej sekcji opisano składnię dotyczącą używania polecenia Netsh advfirewall do dodawania i modyfikowania reguł zabezpieczeń połączeń. Ta sekcja zawiera również przykłady poleceń netsh advfirewall.
Dodawanie reguły zabezpieczeń połączenia
Netsh advfirewall
Usage: add rule name=<string>
endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
action=requireinrequestout|requestinrequestout|
requireinrequireout|noauthentication
[description=<string>]
[mode=transport|tunnel (default=transport)]
[enable=yes|no (default=yes)]
[profile=public|private|domain|any[,...] (default=any)]
[type=dynamic|static (default=static)]
[localtunnelendpoint=<IPv4 address>|<IPv6 address>]
[remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
[port1=0-65535|any (default=any)]
[port2=0-65535|any (default=any)]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
[interfacetype=wiresless|lan|ras|any (default=any)]
[auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
computerntlm|anonymous[,...]]
[auth1psk=<string>]
[auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1healthcert=yes|no (default=no)]
[auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap256healthcert=yes|no (default=no)]
[auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap384healthcert=yes|no (default=no)]
[auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
[auth2ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
[qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
none (default=none)]
[qmsecmethods=
ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
|default]
Remarks:
- The rule name should be unique, and it cannot be "all."
- When mode=tunnel, both tunnel endpoints must be specified and must be
the same IP version. Also, the action must be requireinrequireout.
- At least one authentication must be specified.
- Auth1 and auth2 can be comma-separated lists of options.
- The "computerpsk" and "computerntlm" methods cannot be specified together
for auth1.
- Computercert cannot be specified with user credentials for auth2.
- Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmsecmethods can be a list of proposals separated by a comma (,).
- For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
- If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.
- sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmpfs=mainmode uses the main mode key exchange setting for PFS.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The default value for certmapping and for excludecaname is "no."
- The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Przykład 1
Rozważmy następujący przykład polecenia netsh advfirewall:
Netsh advfirewall consec add rule name=test1 endpoint1=any endpoint2=any action=requestinrequestout description="Use ECDSA256 certificate and AESGMAC256" auth1=computercert,computercertecdsap256 auth1ca="C=US, O=MSFT, CN='Microsoft North, South, East, and West Root Authority'" auth1healthcert=no auth1ecdsap256ca="C=US, O=MSFT, CN='Microsoft North, South, East, and West Root Authority'" auth1ecdsap256healthcert=yes qmsecmethods=ah: aesgmac256+esp:aesgmac256-none
To polecenie tworzy regułę zabezpieczeń połączenia, która ma następujące metody uwierzytelniania w zestawie uwierzytelniania:
- Pierwsza metoda uwierzytelniania to certyfikat, który używa podpisywania certyfikatu RSA.
- Druga metoda uwierzytelniania to certyfikat kondycji, który używa ECDSA256 do podpisywania certyfikatu.
- Reguła zabezpieczeń połączeń chroni ruch przy użyciu integralności ah i esp z nowym algorytmem AES-GMAC 256. Reguła nie obejmuje szyfrowania.
Przykład 2
Rozważmy następujący przykład polecenia netsh advfirewall:
Netsh advfirewall consec add rule name=test2 endpoint1=any endpoint2=any action=requestinrequestout description="Use SHA 256 for Integrity and AES192 for encryption" auth1=computercert auth1ca="C=US, O=MSFT, CN='Microsoft North, South, East, and West Root Authority'" auth1healthcert=no qmsecmethods=ah:sha256+esp:sha256-aes192
To polecenie tworzy regułę zabezpieczeń połączenia, która ma jedną metodę uwierzytelniania w zestawie uwierzytelniania. Metoda uwierzytelniania jest certyfikatem, który używa podpisywania certyfikatu RSA.
Reguła zabezpieczeń połączeń chroni ruch przy użyciu integralności protokołu AH i ESP z algorytmem SHA256 w celu zapewnienia integralności i szyfrowania AES192.
Modyfikowanie istniejącej reguły zabezpieczeń połączenia
Netsh advfirewall
Usage: set rule
group=<string> | name=<string>
[type=dynamic|static]
[profile=public|private|domain|any[,...] (default=any)]
[endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[port1=0-65535|any]
[port2=0-65535|any]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
new
[name=<string>]
[profile=public|private|domain|any[,...]]
[description=<string>]
[mode=transport|tunnel]
[endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[action=requireinrequestout|requestinrequestout|
requireinrequireout|noauthentication]
[enable=yes|no]
[type=dynamic|static]
[localtunnelendpoint=<IPv4 address>|<IPv6 address>]
[remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
[port1=0-65535|any]
[port2=0-65535|any]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
[interfacetype=wiresless|lan|ras|any]
[auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
computerntlm|anonymous[,...]]
[auth1psk=<string>]
[auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1healthcert=yes|no (default=no)]
[auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap256healthcert=yes|no (default=no)]
[auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap384healthcert=yes|no (default=no)]
[auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
[auth2ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
[qmsecmethods=
ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
default]
Remarks:
- This sets a new parameter value on an identified rule. The command fails
if the rule does not exist. To create a rule, use the "add" command.
- Values after the new keyword are updated in the rule. If there are
no values, or if the "new" keyword is missing, no changes are made.
- Only a group of rules can be enabled or disabled.
- If multiple rules match the criteria, all matching rules are
updated.
- The rule name should be unique, and it cannot be "all."
- Auth1 and auth2 can be comma-separated lists of options.
- The computerpsk and computerntlm methods cannot be specified together
for auth1.
- Computercert cannot be specified by using user credentials for auth2.
- Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmsecmethods can be a list of proposals that are separated by a comma (,).
- For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
- If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.
- Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- If qmsemethods are set to "default," qmpfs will be set to "default" also.
- Qmpfs=mainmode uses the main mode key exchange setting for PFS.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The default value for "certmapping" and "excludecaname" is "no."
- The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Poniżej przedstawiono przykład polecenia aktualizującego regułę utworzoną w sekcji "Przykład 1" w poprzedniej sekcji: Netsh advfirewall consec set rule name=test new qmsecmethods=ah:aesgmac256+esp:aesgcm256-aesgcm256 To polecenie aktualizuje regułę w celu używania AES-GCM 256 do integralności i szyfrowania ESP oraz do używania AES-GMAC 256 do integralności AH.
Ustawianie globalnych ustawień trybu głównego
Poniższy tekst Pomocy dotyczy globalnego polecenia netsh advfirewall set.
netsh advfirewall>set global
Usage: set global statefulftp|statefulpptp enable|disable|notconfigured
set global IPsec (parameter) (value)
set global mainmode (parameter) (value) | notconfigured
IPsec Parameters:
strongcrlcheck - Configures how CRL checking is enforced.
0: Disable CRL checking
1: Fail if cert is revoked and the CRL exists in the client's CRL cache (default behavior)and the CRL exists in the client's CRL cache (default behavior) 2: Fail on any error
notconfigured: Returns the value to its unconfigured state.
saidletimemin - Configures the security association idle time in
minutes.
- Usage: 5-60|notconfigured (default=5)
defaultexemptions - Configures the default IPsec exemptions. The default is
to exempt IPv6 neighbordiscovery protocol from
IPsec.
- Usage: none|neighbordiscovery|notconfigured
Main Mode Parameters:
mmkeylifetime - Sets the main mode key lifetime in minutes, in sessions, or in both.
- Usage: <num>min,<num>sess
mmsecmethods - Configures the main mode list of proposals
- Usage:
keyexch:enc-integrity,enc-integrity[,...]|default
- keyexch=dhgroup1|dhgroup2|dhgroup14|
ecdhp256|ecdhp384
- enc=3des|des|aes128|aes192|aes256
- integrity=md5|sha1|sha256|sha384
Remarks:
- This configures global settings, such as advanced IPsec options.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The mmsecmethods keyword default sets the policy to the following:
dhgroup2-aes128-sha1,dhgroup2-3des-sha1
- Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
Poniżej przedstawiono przykład polecenia, które używa nowych algorytmów SHA w zestawie kryptograficznym trybu głównego: Netsh advfirewall set global mainmode mmsecmethods dhgroup1:3des-sha256, 3des-sha384
Rozwiązywanie problemów, konfiguracja i polecenia weryfikacji
Polecenie "Netsh advfirewall consec show rule all"
Netsh advfirewall consec pokaż regułę wszystkie polecenia wyświetla konfiguracji dla wszystkich reguł zabezpieczeń połączeń.
Poniżej przedstawiono przykład danych wyjściowych dla tego polecenia.
Rule Name:test
Enabled:Yes
Profiles:Domain,Private,Public
Type:Static
Mode:Transport
Endpoint1:Any
Endpoint2:Any
Protocol:Any
Action:RequestInRequestOut
Auth1:ComputerPSK
Auth1PSK: 12345
MainModeSecMethods ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethodsAH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb
Polecenie "Netsh advfirewall monitor show mmsa"
Monitor netsh advfirewall pokazuje polecenie mmsa wyświetla skojarzenie zabezpieczeń trybu głównego.
Poniżej przedstawiono przykład danych wyjściowych dla tego polecenia.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:157.59.24.101
Remote IP Address: 157.59.24.119
My ID:
Peer ID:
First Auth:ComputerPSK
Second Auth:None
MM Offer: ECDHAP384-3DES-SHA256
Cookie Pair:203d57505:5d088705
Health Pair:No
Ok.
Polecenie "Netsh advfirewall monitor show qmsa"
Polecenie Netsh advfirewall monitor show qmsa wyświetla skojarzenie zabezpieczeń trybu szybkiego.
Poniżej przedstawiono przykład danych wyjściowych dla tego polecenia.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:157.59.24.101
Remote IP Address: 157.59.24.119
Local Port:Any
Remote Port:Any
Protocol:Any
Direction:Both
QM Offer: AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb
Ok.
Polecenie "Netsh advfirewall show global"
Polecenie netsh advfirewall show global wyświetla ustawienia globalne.
Poniżej przedstawiono przykład danych wyjściowych dla tego polecenia.
Global Settings:
IPsec:
StrongCRLCheck0:Disabled
SAIdleTimeMin5min
DefaultExemptions NeighborDiscovery
IPsecThroughNAT Server and client behind NAT
StatefulFTPEnable
StatefulPPTPEnable
Main Mode:
KeyLifetime2min,0sess
SecMethodsDHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384
Interoperacyjności
Tworzenie, wymuszanie i zarządzanie zasadami IPsec korzystającymi z algorytmów suite B wprowadzono w systemie Windows Vista z dodatkiem SP1 i Windows Server 2008. Można zarządzać zasady grupy, który zawiera algorytmy suite B tylko przy użyciu narzędzi, które zostały wydane z systemem Windows Vista z dodatkiem SP1 lub Windows Server 2008.
Przykładowe scenariusze i oczekiwane wyniki są następujące.
Scenariusz 1
Nowe algorytmy kryptograficzne umożliwiają zastosowanie zasad utworzonych na komputerze z systemem Windows Server 2008 lub Windows Vista z dodatkiem SP1 do komputera z uruchomioną wersją wersji systemu Windows Vista.
Oczekiwany wynik
Jeśli reguła zawiera pakiety kryptograficzne korzystające z nowych algorytmów kryptograficznych, te pakiety kryptograficzne zostaną usunięte i zamiast tego zostaną użyte inne pakiety kryptograficzne w zestawie kryptograficznym.
Jeśli żaden z pakietów kryptograficznych w regule nie zostanie rozpoznany, cała reguła zostanie usunięta. Rejestrowane jest zdarzenie wskazujące, że nie można przetworzyć reguły. W związku z tym, jeśli wszystkie pakiety kryptograficzne w zestawie kryptograficznym wymiany kluczy zostaną usunięte, nie zostaną zastosowane żadne reguły zabezpieczeń połączeń w zasadach. Jednak wszystkie reguły zapory są nadal stosowane.
Proces zestawu uwierzytelniania przypomina proces zestawu kryptograficznego. Jeśli zasady zawierające nowe flagi certyfikatu (ECDSA-P256 lub ECDSA-P384) zostaną zastosowane do komputera z uruchomioną wersją wersji systemu Windows Vista, metody uwierzytelniania zostaną odrzucone.
Jeśli z tego powodu wszystkie metody uwierzytelniania w pierwszym zestawie uwierzytelniania zostaną usunięte, cała reguła nie zostanie przetworzona. Jeśli wszystkie metody uwierzytelniania w drugim zestawie uwierzytelniania zostaną usunięte, reguła zostanie przetworzona przy użyciu tylko pierwszego zestawu uwierzytelniania.
Scenariusz 2
Na komputerze z uruchomioną wersją wersji systemu Windows Vista użyjesz nowych algorytmów kryptograficznych, aby wyświetlić zasady utworzone na komputerze z systemem Windows Server 2008 lub Windows Vista z dodatkiem SP1.
Oczekiwany wynik
Nowe algorytmy są wyświetlane jako "nieznane" zarówno w części monitorowania, jak i tworzenia przystawki MMC Advanced Security Zapory systemu Windows. Polecenie Netsh advfirewall wyświetla również algorytmy jako "nieznane" w systemie Windows Vista.
Ograniczenia dotyczące współdziałania
Ograniczenia współdziałania są następujące:
- Nie obsługujemy zdalnego zarządzania zasadami korzystającymi z algorytmów pakietu B na komputerach z systemem Windows Vista z dodatkiem SP1 lub Windows Server 2008 z komputera z uruchomioną wersją wersji systemu Windows Vista.
- Gdy zasady utworzone na komputerze z systemem Windows Vista z dodatkiem SP1 lub Windows Server 2008 są importowane do komputera z uruchomioną wersją wersji systemu Windows Vista, niektóre części zasad są usuwane. Dzieje się tak, ponieważ wersja wersji systemu Windows Vista nie może rozpoznać nowych algorytmów.
Kombinacje algorytmów kryptograficznych trybu szybkiego, które są obsługiwane i nie są obsługiwane
W poniższej tabeli przedstawiono obsługiwane kombinacje algorytmów kryptograficznych w trybie szybkim.
Protocol (Protokół) | Integralność AH | Integralność esp | Szyfrowanie |
---|---|---|---|
AH | AES-GMAC 128 | Brak | Brak |
AH | AES-GMAC 192 | Brak | Brak |
AH | AES-GMAC 256 | Brak | Brak |
AH | SHA256 | Brak | Brak |
AH | SHA1 | Brak | Brak |
AH | MD5 | Brak | Brak |
ESP | Brak | AES-GMAC 128 | Brak |
ESP | Brak | AES-GMAC 192 | Brak |
ESP | Brak | AES-GMAC 256 | Brak |
ESP | Brak | SHA256 | Brak |
ESP | Brak | SHA1 | Brak |
ESP | Brak | MD5 | Brak |
ESP | Brak | SHA256 | Dowolny obsługiwany algorytm szyfrowania z wyjątkiem algorytmów AES-GCM |
ESP | Brak | SHA1 | Dowolny obsługiwany algorytm szyfrowania z wyjątkiem algorytmów AES-GCM |
ESP | Brak | MD5 | Dowolny obsługiwany algorytm szyfrowania z wyjątkiem algorytmów AES-GCM |
ESP | Brak | AES-GCM 128 | AES-GCM 128 |
ESP | Brak | AES-GCM 192 | AES-GCM 192 |
ESP | Brak | AES-GCM 256 | AES-GCM 256 |
AH+ESP | AES-GMAC 128 | AES-GMAC 128 | Brak |
AH+ESP | AES-GMAC 128 | AES-GMAC 128 | Brak |
AH+ESP | AES-GMAC 128 | AES-GMAC 128 | Brak |
AH+ESP | SHA-256 | SHA-256 | Brak |
AH+ESP | SHA1 | SHA1 | Brak |
AH+ESP | MD5 | MD5 | Brak |
AH+ESP | SHA256 | SHA256 | Dowolny obsługiwany algorytm szyfrowania z wyjątkiem algorytmów AES-GCM |
AH+ESP | SHA1 | SHA1 | Dowolny obsługiwany algorytm szyfrowania z wyjątkiem algorytmów AES-GCM |
AH+ESP | MD5 | MD5 | Dowolny obsługiwany algorytm szyfrowania z wyjątkiem algorytmów AES-GCM |
AH+ESP | AES-GMAC 128 | AES-GCM 128 | AES-GCM 128 |
AH+ESP | AES-GMAC 192 | AES-GCM 192 | AES-GCM 192 |
AH+ESP | AES-GMAC 256 | AES-GCM 256 | AES-GCM 256 |
Uwaga
AES-GMAC jest taki sam jak AES-GCM z szyfrowaniem o wartości null. Na przykład można określić integralność ah do korzystania z AES-GMAC 128 i można określić integralność ESP do korzystania z AES-GCM 128. Jest to jedyny wyjątek od reguły, że algorytmy integralności AH i ESP muszą być identyczne.
Kombinacje opisane w poniższej tabeli nie są obsługiwane.
Protocol (Protokół) | Integralność AH | Integralność esp | Szyfrowanie |
---|---|---|---|
ESP | Brak | AES-GMAC 128 | Dowolny obsługiwany algorytm szyfrowania |
ESP | Brak | AES-GMAC 192 | Dowolny obsługiwany algorytm szyfrowania |
ESP | Brak | AES-GMAC 256 | Dowolny obsługiwany algorytm szyfrowania |
ESP | Brak | AES-GCM 128 | 1.Brak 2. Dowolny algorytm szyfrowania z wyjątkiem AES-GCM 128 |
ESP | Brak | AES-GCM 192 | 1.Brak 2. Dowolny algorytm szyfrowania z wyjątkiem AES-GCM 192 |
ESP | Brak | AES-GCM 256 | 1.Brak 2. Dowolny algorytm szyfrowania z wyjątkiem AES-GCM 256 |
AH+ESP | AES-GMAC 128 | AES-GMAC 128 | Dowolny obsługiwany algorytm szyfrowania |
AH+ESP | AES-GMAC 192 | AES-GMAC 192 | Dowolny obsługiwany algorytm szyfrowania |
AH+ESP | AES-GMAC 256 | AES-GMAC 256 | Dowolny obsługiwany algorytm szyfrowania |
Aby uzyskać więcej informacji na temat pakietu B, zobacz Commercial National Security Algorithm Suite.
Aby uzyskać więcej informacji na temat protokołu IPsec i reguł zabezpieczeń połączeń, zobacz Zapora systemu Windows z zabezpieczeniami zaawansowanymi i protokół IPsec.
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla