IPsec'e eklenen Suite B şifreleme algoritmaları desteğinin açıklaması

Bu makalede, IPsec'e eklenen Suite B şifreleme algoritmaları desteği açıklanmaktadır.

Şunlar için geçerlidir: Windows Server 2012 R2, Windows 7 Service Pack 1
Özgün KB numarası: 949856

Windows Vista Service Pack 1 (SP1) desteği 12 Temmuz 2011'de sona erer. Windows için güvenlik güncelleştirmelerini almaya devam etmek için Windows Vista Service Pack 2 (SP2) çalıştırdığınızdan emin olun. Daha fazla bilgi için bkz. Windows'un bazı sürümleri için destek sona eriyor.

Giriş

Bu makalede, Windows Vista Service Pack 1 (SP1) ve Windows Server 2008'de eklenen Suite B şifreleme algoritmaları desteği açıklanmaktadır. Suite B, Birleşik Devletler Ulusal Güvenlik Ajansı (NSA) tarafından onaylanan bir grup şifreleme algoritmasıdır.

B Paketi, hassas verileri korumak için birlikte çalışabilir bir şifreleme çerçevesi olarak kullanılır. Destek, aşağıdaki alanlar için B Paketi algoritmalarına genişletildi:

• Ana mod
• Hızlı mod
• Kimlik doğrulama ayarları

Bu makalede, Suite B algoritmalarını kullanan İnternet Protokolü güvenliği (IPsec) ilke yapılandırma söz dizimi de açıklanmaktadır.

Daha fazla bilgi

Destek sınırlamaları

B Paketi için destek sınırlamaları şunları içerir:

• IPsec ilkesinin Suite B algoritmaları kullanılarak oluşturulması ve uygulanması yalnızca Windows Vista Service Pack 1'de (SP1), Windows Server 2008'de veya Windows'un sonraki sürümlerinde desteklenir.
• Suite B algoritmaları içeren ilkelerin yazılması, Windows 7 için "Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı" Microsoft Yönetim Konsolu (MMC) ek bileşeni ve Windows'un sonraki sürümleri için desteklenir.
• Netsh advfirewall help komutu, Suite B algoritmaları için yapılandırma seçeneklerini görüntülemez. Bu yalnızca Windows Vista SP1 için geçerlidir.

Tanımlar

• B Paketi

Suite B, Ulusal Güvenlik Ajansı (NSA) tarafından belirtilen bir dizi standarttır. Suite B, sektöre, ABD kamu ihtiyaçlarını en geniş yelpazede karşılayan ürünler oluşturmak için kullanılabilecek ortak bir şifreleme algoritmaları kümesi sağlar. B Paketi aşağıdaki algoritma türlerinin belirtimini içerir:

• Bütünlük
• Şifreleme
• Anahtar değişimi
• Dijital imza
• Federal Bilgi İşleme Standartları (FIPS)

FIPS, federal bilgi işlem kaynaklarını yöneten bir dizi yönerge ve standarttır. Tüm Suite B algoritmaları FIPS onaylıdır.

Daha fazla bilgi için bkz. Bilgi Teknolojisi Laboratuvarı.

• NIST

  Bu, Ulusal Standartlar ve Teknoloji Enstitüsü'ne ait bir kısaltmadır.

• Veri bütünlüğü algoritmaları

  Veri bütünlüğü algoritmaları, bilgilerin aktarım sırasında değiştirilmediğinden emin olmak için ileti karmalarını kullanır.

• Veri şifreleme algoritmaları

  Veri şifreleme algoritmaları, iletilen bilgileri gizlemek için kullanılır. Şifreleme algoritmaları, düz metni gizli koda dönüştürmek için kullanılır.

  Örneğin, şifreleme algoritmaları düz metni şifreleme metnine dönüştürebilir. Daha sonra şifre metni özgün düz metinle çözülebilir. Her algoritma, dönüştürmeyi gerçekleştirmek için bir "anahtar" kullanır. Anahtarın türü ve anahtarın uzunluğu kullanılan algoritmaya bağlıdır.

• IPsec

  Bu, "İnternet Protokolü güvenliği" teriminin kısaltmasıdır.

  IPsec hakkında daha fazla bilgi için bkz. IPSec Nedir?

• Eliptik Eğri Dijital İmza Algoritması (ECDSA)

  Eliptik eğri (EC), EC gruplarında çalışan dijital imza algoritmasının bir çeşididir. EC değişkeni, aynı güvenlik düzeyi için daha küçük anahtar boyutları sağlar.

  Bu algoritma FIPS yayın 186-2'de açıklanmıştır. Bu yayını görüntülemek için bkz. Dijital İmza Standardı (DSS).

• Sertifika yetkilisi (CA)

  Sertifika yetkilisi, dijital sertifikalar veren bir varlıktır. IPsec bu sertifikaları kimlik doğrulama yöntemi olarak kullanabilir.

• Kimlik Doğrulama Üst Bilgisi (AH)

  Kimlik Doğrulama Üst Bilgisi, paketin tamamı için kimlik doğrulaması, bütünlük ve yeniden yürütmeyi önleme işlevselliği sağlayan bir IPsec protokolüdür. Buna IP üst bilgisi ve veri yükü dahildir.

  AH gizlilik sağlamaz. Bu, AH'nin verileri şifrelemediği anlamına gelir. Veriler okunabilir, ancak yazılamaz.

• Güvenlik Yükünü Kapsülleme (ESP)

  ESP gizlilik, kimlik doğrulaması, bütünlük ve yeniden yürütmeyi önleme işlevselliği sağlayan bir IPsec protokolüdür. ESP tek başına veya AH ile birlikte kullanılabilir.

Ana mod algoritmaları

Windows Vista SP1 ve Windows Server 2008'de, Windows Vista'nın yayın sürümünde zaten desteklenen algoritmalara ek olarak aşağıdaki bütünlük algoritmaları da desteklenir:

• SHA-256
• SHA-384

Hızlı mod algoritmaları

Windows Vista SP1 ve Windows Server 2008'de, Windows Vista'nın yayın sürümünde zaten desteklenen algoritmalara ek olarak aşağıdaki algoritmalar da desteklenir.

Bütünlük (AH veya ESP)

• SHA-256
• AES-GMAC-128
• AES-GMAC-192
• AES-GMAC-256

Bütünlük ve şifreleme (yalnızca ESP)

• AES-GCM-128
• AES-GCM-192
• AES-GCM-256

Desteklenen ve desteklenmeyen AH ve ESP bileşimleri hakkında daha fazla bilgi için "Desteklenen ve desteklenmeyen hızlı mod şifreleme algoritması bileşimleri" bölümüne bakın.

Hızlı mod kısıtlamaları

• Aynı bütünlük algoritması hem AH hem de ESP için kullanılmalıdır.
• AES-GMAC algoritmaları, null şifrelemeye sahip bir bütünlük algoritması için kullanılabilir. Bu nedenle, bu algoritmalardan herhangi biri ESP bütünlüğü için belirtilirse şifreleme algoritması belirtilemez.
• AES-GCM algoritması kullanıyorsanız, aynı algoritma hem ESP bütünlüğü hem de şifreleme için belirtilmelidir.

Kimlik Doğrulama

Windows Vista SP1 ve Windows Server 2008'de, Windows Vista'nın yayın sürümünde zaten desteklenen kimlik doğrulama yöntemlerine ek olarak aşağıdaki kimlik doğrulama yöntemleri desteklenir.

• ECDSA-P256 imzalamalı bilgisayar sertifikası
• ECDSA-P384 imzalı bilgisayar sertifikası>

Windows Vista için varsayılan kimlik doğrulama yöntemi RSA SecurId kimlik doğrulamasıdır.

Söz dizimi ve örnekler

Bu bölümde, bağlantı güvenlik kurallarını eklemek ve değiştirmek için Netsh advfirewall komutunun kullanıldığı söz dizimi açıklanmaktadır. Bu bölümde Netsh advfirewall komutlarının örnekleri de sağlanır.

Bağlantı güvenlik kuralı ekleme

Netsh advfirewall
Usage: add rule name=<string>
 endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
 endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
 action=requireinrequestout|requestinrequestout|
 requireinrequireout|noauthentication
 [description=<string>]
 [mode=transport|tunnel (default=transport)]
 [enable=yes|no (default=yes)]
 [profile=public|private|domain|any[,...] (default=any)]
 [type=dynamic|static (default=static)]
 [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
 [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
 [port1=0-65535|any (default=any)]
 [port2=0-65535|any (default=any)]
 [protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
 [interfacetype=wiresless|lan|ras|any (default=any)]
 [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
 computerntlm|anonymous[,...]]
 [auth1psk=<string>]
 [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1healthcert=yes|no (default=no)]
 [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1ecdsap256healthcert=yes|no (default=no)]
 [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1ecdsap384healthcert=yes|no (default=no)]
 [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
 [auth2ca="<CA Name> [certmapping:yes|no] ..."]
 [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
 [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
 [qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
 none (default=none)]
 [qmsecmethods=
 ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
 |default]

Remarks:

- The rule name should be unique, and it cannot be "all."
 - When mode=tunnel, both tunnel endpoints must be specified and must be
 the same IP version. Also, the action must be requireinrequireout.
 - At least one authentication must be specified.
 - Auth1 and auth2 can be comma-separated lists of options.
 - The "computerpsk" and "computerntlm" methods cannot be specified together
 for auth1.
 - Computercert cannot be specified with user credentials for auth2.
 - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
 - Qmsecmethods can be a list of proposals separated by a comma (,).
 - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
 encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
 - If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption. 
 - sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista. 
 - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
 - We recommend that you do not use DES, MD5, or DHGroup1. These
 cryptographic algorithms are provided for backward compatibility
 only.
 - The default value for certmapping and for excludecaname is "no."
 - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').

Örnek 1

Aşağıdaki Netsh advfirewall komutunun örneğini göz önünde bulundurun:
Netsh advfirewall consec add rule name=test1 endpoint1=any endpoint2=any action=requestinrequestout description="ECDSA256 sertifika ve AESGMAC256 kullan" auth1=computercert,computercertecdsap256 auth1ca="C=US, O=MSFT, CN='Microsoft North, South, East ve West Root Authority'" auth1healthcert=no auth1ecdsap256ca="C=US, O=MSFT, CN='Microsoft North, South, East ve West Root Authority'" auth1ecdsap256healthcert=yes qmsecmethods=ah: aesgmac256+esp:aesgmac256-none

Bu komut, kimlik doğrulama kümesinde aşağıdaki kimlik doğrulama yöntemlerini içeren bir bağlantı güvenlik kuralı oluşturur:

• İlk kimlik doğrulama yöntemi, RSA sertifika imzalama kullanan bir sertifikadır.
• İkinci kimlik doğrulama yöntemi, sertifika imzalama için ECDSA256 kullanan bir sistem durumu sertifikasıdır.
• Bağlantı güvenlik kuralı, yeni AES-GMAC 256 algoritmasıyla AH ve ESP bütünlüğünü kullanarak trafiği korur. Kural şifreleme içermez.

Örnek 2

Aşağıdaki Netsh advfirewall komutunun örneğini göz önünde bulundurun:
Netsh advfirewall consec add rule name=test2 endpoint1=any endpoint2=any action=requestinrequestout description="Sha 256 for Integrity ve AES192 for encryption" auth1=computercert auth1ca="C=US, O=MSFT, CN='Microsoft North, South, East ve West Root Authority'" auth1healthcert=no qmsecmethods=ah:sha256+esp:sha256-aes192

Bu komut, kimlik doğrulama kümesinde tek bir kimlik doğrulama yöntemi olan bir bağlantı güvenlik kuralı oluşturur. Kimlik doğrulama yöntemi, RSA sertifika imzalama kullanan bir sertifikadır.

Bağlantı güvenlik kuralı, bütünlüğü için SHA256 ve şifreleme için AES192 ile AH ve ESP bütünlüğünü kullanarak trafiği korur.

Mevcut bağlantı güvenlik kuralını değiştirme

Netsh advfirewall
Usage: set rule
 group=<string> | name=<string>
 [type=dynamic|static]
 [profile=public|private|domain|any[,...] (default=any)]
 [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
 [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
 [port1=0-65535|any]
 [port2=0-65535|any]
 [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
 new
 [name=<string>]
 [profile=public|private|domain|any[,...]]
 [description=<string>]
 [mode=transport|tunnel]
 [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
 [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
 [action=requireinrequestout|requestinrequestout|
 requireinrequireout|noauthentication]
 [enable=yes|no]
 [type=dynamic|static]
 [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
 [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
 [port1=0-65535|any]
 [port2=0-65535|any]
 [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
 [interfacetype=wiresless|lan|ras|any]
 [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
 computerntlm|anonymous[,...]]
 [auth1psk=<string>]
 [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1healthcert=yes|no (default=no)]
 [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1ecdsap256healthcert=yes|no (default=no)]
 [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1ecdsap384healthcert=yes|no (default=no)]
 [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
 [auth2ca="<CA Name> [certmapping:yes|no] ..."]
 [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
 [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
 [qmsecmethods=
 ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
 default]

Remarks:

- This sets a new parameter value on an identified rule. The command fails
 if the rule does not exist. To create a rule, use the "add" command.
 - Values after the new keyword are updated in the rule. If there are
 no values, or if the "new" keyword is missing, no changes are made.
 - Only a group of rules can be enabled or disabled.
 - If multiple rules match the criteria, all matching rules are 
 updated.
 - The rule name should be unique, and it cannot be "all."
 - Auth1 and auth2 can be comma-separated lists of options.
 - The computerpsk and computerntlm methods cannot be specified together
 for auth1.
 - Computercert cannot be specified by using user credentials for auth2.
 - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista. 
 - Qmsecmethods can be a list of proposals that are separated by a comma (,).
 - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
 encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
 - If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption. 
 - Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
 - If qmsemethods are set to "default," qmpfs will be set to "default" also.
 - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
 - We recommend that you do not use DES, MD5, or DHGroup1. These
 cryptographic algorithms are provided for backward compatibility
 only.
 - The default value for "certmapping" and "excludecaname" is "no."
 - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').

Aşağıda, önceki bölümde "Örnek 1" içinde oluşturulan kuralı güncelleştiren bir komut örneği verilmiştir: Netsh advfirewall consec set rule name=test new qmsecmethods=ah:aesgmac256+esp:aesgcm256-aesgcm256 Bu komut, kuralı ESP bütünlüğü ve şifrelemesi için AES-GCM 256 kullanacak ve AH bütünlüğü için AES-GMAC 256 kullanacak şekilde güncelleştirir.

Genel Ana mod ayarlarını belirleme

Aşağıdaki Yardım metni Netsh advfirewall set genel komutuna yöneliktir.

netsh advfirewall>set global

Usage: set global statefulftp|statefulpptp enable|disable|notconfigured
 set global IPsec (parameter) (value)
 set global mainmode (parameter) (value) | notconfigured

IPsec Parameters:

strongcrlcheck - Configures how CRL checking is enforced.
 0: Disable CRL checking
 1: Fail if cert is revoked and the CRL exists in the client's CRL cache (default behavior)and the CRL exists in the client's CRL cache (default behavior) 2: Fail on any error
 notconfigured: Returns the value to its unconfigured state.
 saidletimemin - Configures the security association idle time in
 minutes.
 - Usage: 5-60|notconfigured (default=5)
 defaultexemptions - Configures the default IPsec exemptions. The default is
 to exempt IPv6 neighbordiscovery protocol from
 IPsec.
 - Usage: none|neighbordiscovery|notconfigured

Main Mode Parameters:

mmkeylifetime - Sets the main mode key lifetime in minutes, in sessions, or in both.
 - Usage: <num>min,<num>sess
 mmsecmethods - Configures the main mode list of proposals
 - Usage:
 keyexch:enc-integrity,enc-integrity[,...]|default
 - keyexch=dhgroup1|dhgroup2|dhgroup14|
 ecdhp256|ecdhp384
 - enc=3des|des|aes128|aes192|aes256
 - integrity=md5|sha1|sha256|sha384

Remarks:

- This configures global settings, such as advanced IPsec options.
 - We recommend that you do not use DES, MD5, or DHGroup1. These
 cryptographic algorithms are provided for backward compatibility
 only.
 - The mmsecmethods keyword default sets the policy to the following:
 dhgroup2-aes128-sha1,dhgroup2-3des-sha1
 - Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.

Aşağıda, Ana mod şifreleme kümesindeki yeni SHA algoritmalarını kullanan bir komut örneği verilmiştir: Netsh advfirewall set global mainmode mmsecmethods dhgroup1:3des-sha256, 3des-sha384

Sorun giderme, yapılandırma ve doğrulama komutları

"Netsh advfirewall consec show rule all" komutu

Netsh advfirewall consec show rule all komutu tüm bağlantı güvenlik kuralları için yapılandırmayı görüntüler.

Aşağıda, bu komut için bir çıkış örneği verilmiştir.

Rule Name:test
Enabled:Yes
Profiles:Domain,Private,Public
Type:Static
Mode:Transport
Endpoint1:Any
Endpoint2:Any
Protocol:Any
Action:RequestInRequestOut
Auth1:ComputerPSK
Auth1PSK: 12345
MainModeSecMethods ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethodsAH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb

"Netsh advfirewall monitor show mmsa" komutu

Netsh advfirewall monitor show mmsa komutu Ana mod güvenlik ilişkilendirmesini görüntüler.

Aşağıda, bu komut için bir çıkış örneği verilmiştir.

Main Mode SA at 01/04/2008 13:10:09
Local IP Address:157.59.24.101
Remote IP Address: 157.59.24.119
My ID:
Peer ID:
First Auth:ComputerPSK
Second Auth:None
MM Offer: ECDHAP384-3DES-SHA256
Cookie Pair:203d57505:5d088705
Health Pair:No
Ok.

"Netsh advfirewall monitor show qmsa" komutu

Netsh advfirewall izleyicisi show qmsa komutu Hızlı mod güvenlik ilişkilendirmesini görüntüler.

Aşağıda, bu komut için bir çıkış örneği verilmiştir.

Main Mode SA at 01/04/2008 13:10:09
Local IP Address:157.59.24.101
Remote IP Address: 157.59.24.119
Local Port:Any
Remote Port:Any
Protocol:Any
Direction:Both
QM Offer: AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb
Ok.

"Netsh advfirewall show global" komutu

Netsh advfirewall show global komutu genel ayarları görüntüler.

Aşağıda, bu komut için bir çıkış örneği verilmiştir.

Global Settings:
IPsec:
StrongCRLCheck0:Disabled
SAIdleTimeMin5min
DefaultExemptions NeighborDiscovery
IPsecThroughNAT Server and client behind NAT

StatefulFTPEnable
StatefulPPTPEnable

Main Mode:
KeyLifetime2min,0sess
SecMethodsDHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384

Birlikte çalış -abilir -lik

Suite B algoritmalarını kullanan IPsec ilkesinin oluşturulması, uygulanması ve yönetimi Windows Vista SP1 ve Windows Server 2008'de kullanıma sunulmuştur. Yalnızca Windows Vista SP1 veya Windows Server 2008 ile yayımlanan araçları kullanarak Paket B algoritmaları içeren bir grup ilkesi yönetebilirsiniz.

Örnek senaryolar ve beklenen sonuçlar aşağıdaki gibidir.

Senaryo 1

Windows Server 2008 veya Windows Vista SP1 çalıştıran bir bilgisayarda oluşturulan bir ilkeyi Windows Vista'nın yayın sürümünü çalıştıran bir bilgisayara uygulamak için yeni şifreleme algoritmalarını kullanırsınız.

Beklenen sonuç

Bir kural yeni şifreleme algoritmalarını kullanan şifreleme paketleri içeriyorsa, bu şifreleme paketleri bırakılır ve bunun yerine şifreleme kümesindeki diğer şifreleme paketleri kullanılır.

Kuraldaki şifreleme paketlerinin hiçbiri tanınmazsa, kuralın tamamı bırakılır. Kuralın işlenemeyeceğini belirten bir olay günlüğe kaydedilir. Bu nedenle, anahtar değişimi şifreleme kümesindeki tüm şifreleme paketleri bırakılırsa, ilkedeki bağlantı güvenlik kurallarının hiçbiri uygulanmaz. Ancak, tüm güvenlik duvarı kuralları hala uygulanır.

Kimlik doğrulama kümesi işlemi şifreleme kümesi işlemine benzer. Windows Vista'nın yayın sürümünü çalıştıran bir bilgisayara yeni sertifika bayraklarını (ECDSA-P256 veya ECDSA-P384) içeren bir ilke uygulanırsa, kimlik doğrulama yöntemleri bırakılır.

İlk kimlik doğrulama kümesindeki tüm kimlik doğrulama yöntemleri bu nedenle bırakılırsa, kuralın tamamı işlenmez. İkinci kimlik doğrulama kümesindeki tüm kimlik doğrulama yöntemleri bırakılırsa, kural yalnızca ilk kimlik doğrulama kümesi kullanılarak işlenir.

Senaryo 2

Windows Vista'nın yayın sürümünü çalıştıran bir bilgisayarda, Windows Server 2008 veya Windows Vista SP1 çalıştıran bir bilgisayarda oluşturulmuş bir ilkeyi görüntülemek için yeni şifreleme algoritmalarını kullanırsınız.

Beklenen sonuç

Yeni algoritmalar, Windows Güvenlik Duvarı Gelişmiş Güvenlik MMC ek bileşeninin hem izleme hem de yazma bölümlerinde "bilinmiyor" olarak görüntülenir. Netsh advfirewall komutu da algoritmaları Windows Vista'da "bilinmiyor" olarak görüntüler.

Birlikte çalışabilirlik kısıtlamaları

Birlikte çalışabilirlik kısıtlamaları aşağıdaki gibidir:

• Windows Vista'nın yayın sürümünü çalıştıran bir bilgisayardan Windows Vista SP1 veya Windows Server 2008 çalıştıran bilgisayarlarda Suite B algoritmalarını kullanan ilkelerin uzaktan yönetimini desteklemiyoruz.
• Windows Vista SP1 veya Windows Server 2008 çalıştıran bir bilgisayarda oluşturulan bir ilke, Windows Vista'nın yayın sürümünü çalıştıran bir bilgisayara aktarıldığında, ilkenin bazı bölümleri bırakılır. Bunun nedeni, Windows Vista'nın yayın sürümünün yeni algoritmaları tanıyamamasıdır.

Desteklenen ve desteklenmeyen hızlı mod şifreleme algoritması bileşimleri

Aşağıdaki tabloda desteklenen Hızlı mod şifreleme algoritması bileşimleri gösterilmektedir.

Aşağıdaki tabloda açıklanan birleşimler desteklenmez.

B Paketi hakkında daha fazla bilgi için bkz. Ticari Ulusal Güvenlik Algoritması Paketi.

IPsec ve bağlantı güvenlik kuralları hakkında daha fazla bilgi için bkz. Gelişmiş Güvenlik ve IPsec ile Windows Güvenlik Duvarı.