Opis obsługi algorytmów kryptograficznych pakietu B, które zostały dodane do protokołu IPsec

W tym artykule opisano obsługę algorytmów kryptograficznych pakietu B, które zostały dodane do protokołu IPsec.

Dotyczy systemów: Windows Server 2012 R2 i Windows 7 z dodatkiem Service Pack 1
Oryginalny numer KB: 949856

Obsługa dodatku Service Pack 1 (SP1) systemu Windows Vista kończy się 12 lipca 2011 r. Aby nadal otrzymywać aktualizacje zabezpieczeń dla systemu Windows, upewnij się, że korzystasz z systemu Windows Vista z dodatkiem Service Pack 2 (SP2). Aby uzyskać więcej informacji, zobacz Obsługa kończy się dla niektórych wersji systemu Windows.

Wprowadzenie

W tym artykule opisano obsługę algorytmów kryptograficznych pakietu B, które zostały dodane w systemie Windows Vista z dodatkiem Service Pack 1 (SP1) i w systemie Windows Server 2008. Pakiet B to grupa algorytmów kryptograficznych zatwierdzonych przez Stany Zjednoczone Agencję Bezpieczeństwa Narodowego (NSA).

Pakiet B jest używany jako interoperacyjna struktura kryptograficzna do ochrony poufnych danych. Obsługa została rozszerzona na algorytmy usługi Suite B dla następujących obszarów:

• Tryb główny
• Tryb szybki
• Ustawienia uwierzytelniania

W tym artykule opisano również składnię konfiguracji zasad zabezpieczeń protokołu internetowego (IPsec), która używa algorytmów usługi Suite B.

Więcej informacji

Ograniczenia pomocy technicznej

Ograniczenia pomocy technicznej dla pakietu B obejmują następujące kwestie:

• Tworzenie i wymuszanie zasad protokołu IPsec przy użyciu algorytmów pakietu B jest obsługiwane tylko w systemie Windows Vista z dodatkiem Service Pack 1 (SP1), w systemie Windows Server 2008 lub w nowszych wersjach systemu Windows.
• Tworzenie zasad zawierających algorytmy pakietu B jest obsługiwane za pośrednictwem przystawki "Zapora systemu Windows z zabezpieczeniami zaawansowanymi" programu Microsoft Management Console (MMC) dla systemu Windows 7 i nowszych wersji systemu Windows.
• Polecenie pomocy netsh advfirewall nie wyświetla opcji konfiguracji dla algorytmów pakietu B. Dotyczy to tylko systemu Windows Vista z dodatkiem SP1.

Definicje

• Pakiet B

Pakiet B to zestaw standardów określonych przez Agencję Bezpieczeństwa Narodowego (NSA). Pakiet B zapewnia branży wspólny zestaw algorytmów kryptograficznych, których można użyć do tworzenia produktów spełniających najszerszy zakres potrzeb instytucji rządowych USA. Pakiet B zawiera specyfikację następujących typów algorytmów:

• Integralności
• Szyfrowanie
• Wymiana kluczy
• Podpis cyfrowy
• Federalne standardy przetwarzania informacji (FIPS)

FIPS to zestaw wytycznych i standardów regulujących federalne zasoby obliczeniowe. Wszystkie algorytmy pakietu B są zatwierdzone przez protokół FIPS.

Aby uzyskać więcej informacji, zobacz Laboratorium Technologii Informatycznych.

• NIST

  Jest to skrót od National Institute of Standards and Technology.

• Algorytmy integralności danych

  Algorytmy integralności danych używają skrótów komunikatów, aby upewnić się, że informacje nie są zmieniane podczas ich przesyłania.

• Algorytmy szyfrowania danych

  Algorytmy szyfrowania danych służą do ukrywania przesyłanych informacji. Algorytmy szyfrowania służą do konwertowania zwykłego tekstu na kod tajny.

  Na przykład algorytmy szyfrowania mogą konwertować zwykły tekst na tekst szyfrowany. Następnie można dekodować tekst szyfru do oryginalnego zwykłego tekstu. Każdy algorytm używa "klucza" do przeprowadzenia konwersji. Typ klucza i długość klucza zależą od używanego algorytmu.

• IPsec

  Jest to skrót od terminu "Zabezpieczenia protokołu internetowego".

  Aby uzyskać więcej informacji na temat protokołu IPsec, zobacz Co to jest protokół IPSec?

• Algorytm podpisu cyfrowego krzywej eliptycznej (ECDSA)

  Krzywa eliptyczna (EC) jest wariantem algorytmu podpisu cyfrowego, który działa w grupach EC. Wariant EC zapewnia mniejsze rozmiary kluczy dla tego samego poziomu zabezpieczeń.

  Ten algorytm jest opisany w publikacji FIPS 186-2. Aby wyświetlić tę publikację, zobacz Digital Signature Standard (DSS).

• Urząd certyfikacji (CA)

  Urząd certyfikacji to jednostka, która wystawia certyfikaty cyfrowe. Protokół IPsec może używać tych certyfikatów jako metody uwierzytelniania.

• Nagłówek uwierzytelniania (AH)

  Nagłówek uwierzytelniania to protokół IPsec, który zapewnia uwierzytelnianie, integralność i funkcje anty-replay dla całego pakietu. Obejmuje to nagłówek IP i ładunek danych.

  Ah nie zapewnia poufności. Oznacza to, że usługa AH nie szyfruje danych. Dane są czytelne, ale nie można ich zapisać.

• Hermetyzowanie ładunku zabezpieczeń (ESP)

  Esp to protokół IPsec, który zapewnia poufność, uwierzytelnianie, integralność i funkcje anty-replay. Esp może być używany samodzielnie lub może być używany razem z AH.

Algorytmy trybu głównego

W systemie Windows Vista z dodatkiem SP1 i w systemie Windows Server 2008 oprócz tych algorytmów, które są już obsługiwane w wersji systemu Windows Vista, są obsługiwane następujące algorytmy integralności:

• SHA-256
• SHA-384

Algorytmy trybu szybkiego

W systemie Windows Vista z dodatkiem SP1 i w systemie Windows Server 2008 oprócz tych algorytmów, które są już obsługiwane w wersji wersji systemu Windows Vista, obsługiwane są następujące algorytmy.

Integralność (AH lub ESP)

• SHA-256
• AES-GMAC-128
• AES-GMAC-192
• AES-GMAC-256

Integralność i szyfrowanie (tylko esp)

• AES-GCM-128
• AES-GCM-192
• AES-GCM-256

Aby uzyskać więcej informacji na temat kombinacji AH i ESP, które są obsługiwane i nie są obsługiwane, zobacz sekcję "Kombinacje algorytmów kryptograficznych trybu szybkiego, które są obsługiwane i nieobsługiwane".

Ograniczenia dotyczące trybu szybkiego

• Ten sam algorytm integralności powinien być używany zarówno w przypadku algorytmu AH, jak i esp.
• Algorytmy AES-GMAC są dostępne dla algorytmu integralności z szyfrowaniem o wartości null. W związku z tym, jeśli którykolwiek z tych algorytmów jest określony dla integralności ESP, nie można określić algorytmu szyfrowania.
• Jeśli używasz algorytmu AES-GCM, należy określić ten sam algorytm zarówno dla integralności esp, jak i szyfrowania.

Uwierzytelnianie

W systemie Windows Vista z dodatkiem SP1 i w systemie Windows Server 2008 oprócz tych metod uwierzytelniania, które są już obsługiwane w wersji wersji systemu Windows Vista, obsługiwane są następujące metody uwierzytelniania.

• Certyfikat komputera z podpisywaniem ECDSA-P256
• Certyfikat komputera z podpisywaniem ECDSA-P384>

Domyślną metodą uwierzytelniania dla systemu Windows Vista jest uwierzytelnianie RSA SecurId.

Składnia i przykłady

W tej sekcji opisano składnię dotyczącą używania polecenia Netsh advfirewall do dodawania i modyfikowania reguł zabezpieczeń połączeń. Ta sekcja zawiera również przykłady poleceń netsh advfirewall.

Dodawanie reguły zabezpieczeń połączenia

Netsh advfirewall
Usage: add rule name=<string>
 endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
 endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
 action=requireinrequestout|requestinrequestout|
 requireinrequireout|noauthentication
 [description=<string>]
 [mode=transport|tunnel (default=transport)]
 [enable=yes|no (default=yes)]
 [profile=public|private|domain|any[,...] (default=any)]
 [type=dynamic|static (default=static)]
 [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
 [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
 [port1=0-65535|any (default=any)]
 [port2=0-65535|any (default=any)]
 [protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
 [interfacetype=wiresless|lan|ras|any (default=any)]
 [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
 computerntlm|anonymous[,...]]
 [auth1psk=<string>]
 [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1healthcert=yes|no (default=no)]
 [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1ecdsap256healthcert=yes|no (default=no)]
 [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1ecdsap384healthcert=yes|no (default=no)]
 [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
 [auth2ca="<CA Name> [certmapping:yes|no] ..."]
 [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
 [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
 [qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
 none (default=none)]
 [qmsecmethods=
 ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
 |default]

Remarks:

- The rule name should be unique, and it cannot be "all."
 - When mode=tunnel, both tunnel endpoints must be specified and must be
 the same IP version. Also, the action must be requireinrequireout.
 - At least one authentication must be specified.
 - Auth1 and auth2 can be comma-separated lists of options.
 - The "computerpsk" and "computerntlm" methods cannot be specified together
 for auth1.
 - Computercert cannot be specified with user credentials for auth2.
 - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
 - Qmsecmethods can be a list of proposals separated by a comma (,).
 - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
 encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
 - If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption. 
 - sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista. 
 - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
 - We recommend that you do not use DES, MD5, or DHGroup1. These
 cryptographic algorithms are provided for backward compatibility
 only.
 - The default value for certmapping and for excludecaname is "no."
 - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').

Przykład 1

Rozważmy następujący przykład polecenia netsh advfirewall:
Netsh advfirewall consec add rule name=test1 endpoint1=any endpoint2=any action=requestinrequestout description="Use ECDSA256 certificate and AESGMAC256" auth1=computercert,computercertecdsap256 auth1ca="C=US, O=MSFT, CN='Microsoft North, South, East, and West Root Authority'" auth1healthcert=no auth1ecdsap256ca="C=US, O=MSFT, CN='Microsoft North, South, East, and West Root Authority'" auth1ecdsap256healthcert=yes qmsecmethods=ah: aesgmac256+esp:aesgmac256-none

To polecenie tworzy regułę zabezpieczeń połączenia, która ma następujące metody uwierzytelniania w zestawie uwierzytelniania:

• Pierwsza metoda uwierzytelniania to certyfikat, który używa podpisywania certyfikatu RSA.
• Druga metoda uwierzytelniania to certyfikat kondycji, który używa ECDSA256 do podpisywania certyfikatu.
• Reguła zabezpieczeń połączeń chroni ruch przy użyciu integralności ah i esp z nowym algorytmem AES-GMAC 256. Reguła nie obejmuje szyfrowania.

Przykład 2

Rozważmy następujący przykład polecenia netsh advfirewall:
Netsh advfirewall consec add rule name=test2 endpoint1=any endpoint2=any action=requestinrequestout description="Use SHA 256 for Integrity and AES192 for encryption" auth1=computercert auth1ca="C=US, O=MSFT, CN='Microsoft North, South, East, and West Root Authority'" auth1healthcert=no qmsecmethods=ah:sha256+esp:sha256-aes192

To polecenie tworzy regułę zabezpieczeń połączenia, która ma jedną metodę uwierzytelniania w zestawie uwierzytelniania. Metoda uwierzytelniania jest certyfikatem, który używa podpisywania certyfikatu RSA.

Reguła zabezpieczeń połączeń chroni ruch przy użyciu integralności protokołu AH i ESP z algorytmem SHA256 w celu zapewnienia integralności i szyfrowania AES192.

Modyfikowanie istniejącej reguły zabezpieczeń połączenia

Netsh advfirewall
Usage: set rule
 group=<string> | name=<string>
 [type=dynamic|static]
 [profile=public|private|domain|any[,...] (default=any)]
 [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
 [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
 [port1=0-65535|any]
 [port2=0-65535|any]
 [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
 new
 [name=<string>]
 [profile=public|private|domain|any[,...]]
 [description=<string>]
 [mode=transport|tunnel]
 [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
 [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
 [action=requireinrequestout|requestinrequestout|
 requireinrequireout|noauthentication]
 [enable=yes|no]
 [type=dynamic|static]
 [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
 [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
 [port1=0-65535|any]
 [port2=0-65535|any]
 [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
 [interfacetype=wiresless|lan|ras|any]
 [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
 computerntlm|anonymous[,...]]
 [auth1psk=<string>]
 [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1healthcert=yes|no (default=no)]
 [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1ecdsap256healthcert=yes|no (default=no)]
 [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1ecdsap384healthcert=yes|no (default=no)]
 [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
 [auth2ca="<CA Name> [certmapping:yes|no] ..."]
 [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
 [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
 [qmsecmethods=
 ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
 default]

Remarks:

- This sets a new parameter value on an identified rule. The command fails
 if the rule does not exist. To create a rule, use the "add" command.
 - Values after the new keyword are updated in the rule. If there are
 no values, or if the "new" keyword is missing, no changes are made.
 - Only a group of rules can be enabled or disabled.
 - If multiple rules match the criteria, all matching rules are 
 updated.
 - The rule name should be unique, and it cannot be "all."
 - Auth1 and auth2 can be comma-separated lists of options.
 - The computerpsk and computerntlm methods cannot be specified together
 for auth1.
 - Computercert cannot be specified by using user credentials for auth2.
 - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista. 
 - Qmsecmethods can be a list of proposals that are separated by a comma (,).
 - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
 encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
 - If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption. 
 - Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
 - If qmsemethods are set to "default," qmpfs will be set to "default" also.
 - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
 - We recommend that you do not use DES, MD5, or DHGroup1. These
 cryptographic algorithms are provided for backward compatibility
 only.
 - The default value for "certmapping" and "excludecaname" is "no."
 - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').

Poniżej przedstawiono przykład polecenia aktualizującego regułę utworzoną w sekcji "Przykład 1" w poprzedniej sekcji: Netsh advfirewall consec set rule name=test new qmsecmethods=ah:aesgmac256+esp:aesgcm256-aesgcm256 To polecenie aktualizuje regułę w celu używania AES-GCM 256 do integralności i szyfrowania ESP oraz do używania AES-GMAC 256 do integralności AH.

Ustawianie globalnych ustawień trybu głównego

Poniższy tekst Pomocy dotyczy globalnego polecenia netsh advfirewall set.

netsh advfirewall>set global

Usage: set global statefulftp|statefulpptp enable|disable|notconfigured
 set global IPsec (parameter) (value)
 set global mainmode (parameter) (value) | notconfigured

IPsec Parameters:

strongcrlcheck - Configures how CRL checking is enforced.
 0: Disable CRL checking
 1: Fail if cert is revoked and the CRL exists in the client's CRL cache (default behavior)and the CRL exists in the client's CRL cache (default behavior) 2: Fail on any error
 notconfigured: Returns the value to its unconfigured state.
 saidletimemin - Configures the security association idle time in
 minutes.
 - Usage: 5-60|notconfigured (default=5)
 defaultexemptions - Configures the default IPsec exemptions. The default is
 to exempt IPv6 neighbordiscovery protocol from
 IPsec.
 - Usage: none|neighbordiscovery|notconfigured

Main Mode Parameters:

mmkeylifetime - Sets the main mode key lifetime in minutes, in sessions, or in both.
 - Usage: <num>min,<num>sess
 mmsecmethods - Configures the main mode list of proposals
 - Usage:
 keyexch:enc-integrity,enc-integrity[,...]|default
 - keyexch=dhgroup1|dhgroup2|dhgroup14|
 ecdhp256|ecdhp384
 - enc=3des|des|aes128|aes192|aes256
 - integrity=md5|sha1|sha256|sha384

Remarks:

- This configures global settings, such as advanced IPsec options.
 - We recommend that you do not use DES, MD5, or DHGroup1. These
 cryptographic algorithms are provided for backward compatibility
 only.
 - The mmsecmethods keyword default sets the policy to the following:
 dhgroup2-aes128-sha1,dhgroup2-3des-sha1
 - Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.

Poniżej przedstawiono przykład polecenia, które używa nowych algorytmów SHA w zestawie kryptograficznym trybu głównego: Netsh advfirewall set global mainmode mmsecmethods dhgroup1:3des-sha256, 3des-sha384

Rozwiązywanie problemów, konfiguracja i polecenia weryfikacji

Polecenie "Netsh advfirewall consec show rule all"

Netsh advfirewall consec pokaż regułę wszystkie polecenia wyświetla konfiguracji dla wszystkich reguł zabezpieczeń połączeń.

Poniżej przedstawiono przykład danych wyjściowych dla tego polecenia.

Rule Name:test
Enabled:Yes
Profiles:Domain,Private,Public
Type:Static
Mode:Transport
Endpoint1:Any
Endpoint2:Any
Protocol:Any
Action:RequestInRequestOut
Auth1:ComputerPSK
Auth1PSK: 12345
MainModeSecMethods ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethodsAH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb

Polecenie "Netsh advfirewall monitor show mmsa"

Monitor netsh advfirewall pokazuje polecenie mmsa wyświetla skojarzenie zabezpieczeń trybu głównego.

Poniżej przedstawiono przykład danych wyjściowych dla tego polecenia.

Main Mode SA at 01/04/2008 13:10:09
Local IP Address:157.59.24.101
Remote IP Address: 157.59.24.119
My ID:
Peer ID:
First Auth:ComputerPSK
Second Auth:None
MM Offer: ECDHAP384-3DES-SHA256
Cookie Pair:203d57505:5d088705
Health Pair:No
Ok.

Polecenie "Netsh advfirewall monitor show qmsa"

Polecenie Netsh advfirewall monitor show qmsa wyświetla skojarzenie zabezpieczeń trybu szybkiego.

Poniżej przedstawiono przykład danych wyjściowych dla tego polecenia.

Main Mode SA at 01/04/2008 13:10:09
Local IP Address:157.59.24.101
Remote IP Address: 157.59.24.119
Local Port:Any
Remote Port:Any
Protocol:Any
Direction:Both
QM Offer: AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb
Ok.

Polecenie "Netsh advfirewall show global"

Polecenie netsh advfirewall show global wyświetla ustawienia globalne.

Poniżej przedstawiono przykład danych wyjściowych dla tego polecenia.

Global Settings:
IPsec:
StrongCRLCheck0:Disabled
SAIdleTimeMin5min
DefaultExemptions NeighborDiscovery
IPsecThroughNAT Server and client behind NAT

StatefulFTPEnable
StatefulPPTPEnable

Main Mode:
KeyLifetime2min,0sess
SecMethodsDHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384

Interoperacyjności

Tworzenie, wymuszanie i zarządzanie zasadami IPsec korzystającymi z algorytmów suite B wprowadzono w systemie Windows Vista z dodatkiem SP1 i Windows Server 2008. Można zarządzać zasady grupy, który zawiera algorytmy suite B tylko przy użyciu narzędzi, które zostały wydane z systemem Windows Vista z dodatkiem SP1 lub Windows Server 2008.

Przykładowe scenariusze i oczekiwane wyniki są następujące.

Scenariusz 1

Nowe algorytmy kryptograficzne umożliwiają zastosowanie zasad utworzonych na komputerze z systemem Windows Server 2008 lub Windows Vista z dodatkiem SP1 do komputera z uruchomioną wersją wersji systemu Windows Vista.

Oczekiwany wynik

Jeśli reguła zawiera pakiety kryptograficzne korzystające z nowych algorytmów kryptograficznych, te pakiety kryptograficzne zostaną usunięte i zamiast tego zostaną użyte inne pakiety kryptograficzne w zestawie kryptograficznym.

Jeśli żaden z pakietów kryptograficznych w regule nie zostanie rozpoznany, cała reguła zostanie usunięta. Rejestrowane jest zdarzenie wskazujące, że nie można przetworzyć reguły. W związku z tym, jeśli wszystkie pakiety kryptograficzne w zestawie kryptograficznym wymiany kluczy zostaną usunięte, nie zostaną zastosowane żadne reguły zabezpieczeń połączeń w zasadach. Jednak wszystkie reguły zapory są nadal stosowane.

Proces zestawu uwierzytelniania przypomina proces zestawu kryptograficznego. Jeśli zasady zawierające nowe flagi certyfikatu (ECDSA-P256 lub ECDSA-P384) zostaną zastosowane do komputera z uruchomioną wersją wersji systemu Windows Vista, metody uwierzytelniania zostaną odrzucone.

Jeśli z tego powodu wszystkie metody uwierzytelniania w pierwszym zestawie uwierzytelniania zostaną usunięte, cała reguła nie zostanie przetworzona. Jeśli wszystkie metody uwierzytelniania w drugim zestawie uwierzytelniania zostaną usunięte, reguła zostanie przetworzona przy użyciu tylko pierwszego zestawu uwierzytelniania.

Scenariusz 2

Na komputerze z uruchomioną wersją wersji systemu Windows Vista użyjesz nowych algorytmów kryptograficznych, aby wyświetlić zasady utworzone na komputerze z systemem Windows Server 2008 lub Windows Vista z dodatkiem SP1.

Oczekiwany wynik

Nowe algorytmy są wyświetlane jako "nieznane" zarówno w części monitorowania, jak i tworzenia przystawki MMC Advanced Security Zapory systemu Windows. Polecenie Netsh advfirewall wyświetla również algorytmy jako "nieznane" w systemie Windows Vista.

Ograniczenia dotyczące współdziałania

Ograniczenia współdziałania są następujące:

• Nie obsługujemy zdalnego zarządzania zasadami korzystającymi z algorytmów pakietu B na komputerach z systemem Windows Vista z dodatkiem SP1 lub Windows Server 2008 z komputera z uruchomioną wersją wersji systemu Windows Vista.
• Gdy zasady utworzone na komputerze z systemem Windows Vista z dodatkiem SP1 lub Windows Server 2008 są importowane do komputera z uruchomioną wersją wersji systemu Windows Vista, niektóre części zasad są usuwane. Dzieje się tak, ponieważ wersja wersji systemu Windows Vista nie może rozpoznać nowych algorytmów.

Kombinacje algorytmów kryptograficznych trybu szybkiego, które są obsługiwane i nie są obsługiwane

W poniższej tabeli przedstawiono obsługiwane kombinacje algorytmów kryptograficznych w trybie szybkim.

Kombinacje opisane w poniższej tabeli nie są obsługiwane.

Aby uzyskać więcej informacji na temat pakietu B, zobacz Commercial National Security Algorithm Suite.

Aby uzyskać więcej informacji na temat protokołu IPsec i reguł zabezpieczeń połączeń, zobacz Zapora systemu Windows z zabezpieczeniami zaawansowanymi i protokół IPsec.