IPsec'e eklenen Suite B şifreleme algoritmaları desteğinin açıklaması
Bu makalede, IPsec'e eklenen Suite B şifreleme algoritmaları desteği açıklanmaktadır.
Şunlar için geçerlidir: Windows Server 2012 R2, Windows 7 Service Pack 1
Özgün KB numarası: 949856
Windows Vista Service Pack 1 (SP1) desteği 12 Temmuz 2011'de sona erer. Windows için güvenlik güncelleştirmelerini almaya devam etmek için Windows Vista Service Pack 2 (SP2) çalıştırdığınızdan emin olun. Daha fazla bilgi için bkz. Windows'un bazı sürümleri için destek sona eriyor.
Giriş
Bu makalede, Windows Vista Service Pack 1 (SP1) ve Windows Server 2008'de eklenen Suite B şifreleme algoritmaları desteği açıklanmaktadır. Suite B, Birleşik Devletler Ulusal Güvenlik Ajansı (NSA) tarafından onaylanan bir grup şifreleme algoritmasıdır.
B Paketi, hassas verileri korumak için birlikte çalışabilir bir şifreleme çerçevesi olarak kullanılır. Destek, aşağıdaki alanlar için B Paketi algoritmalarına genişletildi:
- Ana mod
- Hızlı mod
- Kimlik doğrulama ayarları
Bu makalede, Suite B algoritmalarını kullanan İnternet Protokolü güvenliği (IPsec) ilke yapılandırma söz dizimi de açıklanmaktadır.
Not
Bu içerik, Arşivlenmiş IPsec algoritmalarında ve Windows'ta desteklenen yöntemlerde yayımlanan bazı içeriğin yerini alır.
Daha fazla bilgi
Destek sınırlamaları
B Paketi için destek sınırlamaları şunları içerir:
- IPsec ilkesinin Suite B algoritmaları kullanılarak oluşturulması ve uygulanması yalnızca Windows Vista Service Pack 1'de (SP1), Windows Server 2008'de veya Windows'un sonraki sürümlerinde desteklenir.
- Suite B algoritmaları içeren ilkelerin yazılması, Windows 7 için "Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı" Microsoft Yönetim Konsolu (MMC) ek bileşeni ve Windows'un sonraki sürümleri için desteklenir.
- Netsh advfirewall help komutu, Suite B algoritmaları için yapılandırma seçeneklerini görüntülemez. Bu yalnızca Windows Vista SP1 için geçerlidir.
Tanımlar
- B Paketi
Suite B, Ulusal Güvenlik Ajansı (NSA) tarafından belirtilen bir dizi standarttır. Suite B, sektöre, ABD kamu ihtiyaçlarını en geniş yelpazede karşılayan ürünler oluşturmak için kullanılabilecek ortak bir şifreleme algoritmaları kümesi sağlar. B Paketi aşağıdaki algoritma türlerinin belirtimini içerir:
- Bütünlük
- Şifreleme
- Anahtar değişimi
- Dijital imza
- Federal Bilgi İşleme Standartları (FIPS)
FIPS, federal bilgi işlem kaynaklarını yöneten bir dizi yönerge ve standarttır. Tüm Suite B algoritmaları FIPS onaylıdır.
Daha fazla bilgi için bkz. Bilgi Teknolojisi Laboratuvarı.
NIST
Bu, Ulusal Standartlar ve Teknoloji Enstitüsü'ne ait bir kısaltmadır.
Veri bütünlüğü algoritmaları
Veri bütünlüğü algoritmaları, bilgilerin aktarım sırasında değiştirilmediğinden emin olmak için ileti karmalarını kullanır.
Veri şifreleme algoritmaları
Veri şifreleme algoritmaları, iletilen bilgileri gizlemek için kullanılır. Şifreleme algoritmaları, düz metni gizli koda dönüştürmek için kullanılır.
Örneğin, şifreleme algoritmaları düz metni şifreleme metnine dönüştürebilir. Daha sonra şifre metni özgün düz metinle çözülebilir. Her algoritma, dönüştürmeyi gerçekleştirmek için bir "anahtar" kullanır. Anahtarın türü ve anahtarın uzunluğu kullanılan algoritmaya bağlıdır.
IPsec
Bu, "İnternet Protokolü güvenliği" teriminin kısaltmasıdır.
IPsec hakkında daha fazla bilgi için bkz. IPSec Nedir?
Eliptik Eğri Dijital İmza Algoritması (ECDSA)
Eliptik eğri (EC), EC gruplarında çalışan dijital imza algoritmasının bir çeşididir. EC değişkeni, aynı güvenlik düzeyi için daha küçük anahtar boyutları sağlar.
Bu algoritma FIPS yayın 186-2'de açıklanmıştır. Bu yayını görüntülemek için bkz. Dijital İmza Standardı (DSS).
Sertifika yetkilisi (CA)
Sertifika yetkilisi, dijital sertifikalar veren bir varlıktır. IPsec bu sertifikaları kimlik doğrulama yöntemi olarak kullanabilir.
Kimlik Doğrulama Üst Bilgisi (AH)
Kimlik Doğrulama Üst Bilgisi, paketin tamamı için kimlik doğrulaması, bütünlük ve yeniden yürütmeyi önleme işlevselliği sağlayan bir IPsec protokolüdür. Buna IP üst bilgisi ve veri yükü dahildir.
AH gizlilik sağlamaz. Bu, AH'nin verileri şifrelemediği anlamına gelir. Veriler okunabilir, ancak yazılamaz.
Güvenlik Yükünü Kapsülleme (ESP)
ESP gizlilik, kimlik doğrulaması, bütünlük ve yeniden yürütmeyi önleme işlevselliği sağlayan bir IPsec protokolüdür. ESP tek başına veya AH ile birlikte kullanılabilir.
Ana mod algoritmaları
Windows Vista SP1 ve Windows Server 2008'de, Windows Vista'nın yayın sürümünde zaten desteklenen algoritmalara ek olarak aşağıdaki bütünlük algoritmaları da desteklenir:
- SHA-256
- SHA-384
Not
Anahtar değişim algoritması ve şifreleme algoritması değiştirilmez.
Hızlı mod algoritmaları
Windows Vista SP1 ve Windows Server 2008'de, Windows Vista'nın yayın sürümünde zaten desteklenen algoritmalara ek olarak aşağıdaki algoritmalar da desteklenir.
Bütünlük (AH veya ESP)
- SHA-256
- AES-GMAC-128
- AES-GMAC-192
- AES-GMAC-256
Bütünlük ve şifreleme (yalnızca ESP)
- AES-GCM-128
- AES-GCM-192
- AES-GCM-256
Desteklenen ve desteklenmeyen AH ve ESP bileşimleri hakkında daha fazla bilgi için "Desteklenen ve desteklenmeyen hızlı mod şifreleme algoritması bileşimleri" bölümüne bakın.
Hızlı mod kısıtlamaları
- Aynı bütünlük algoritması hem AH hem de ESP için kullanılmalıdır.
- AES-GMAC algoritmaları, null şifrelemeye sahip bir bütünlük algoritması için kullanılabilir. Bu nedenle, bu algoritmalardan herhangi biri ESP bütünlüğü için belirtilirse şifreleme algoritması belirtilemez.
- AES-GCM algoritması kullanıyorsanız, aynı algoritma hem ESP bütünlüğü hem de şifreleme için belirtilmelidir.
Kimlik Doğrulama
Windows Vista SP1 ve Windows Server 2008'de, Windows Vista'nın yayın sürümünde zaten desteklenen kimlik doğrulama yöntemlerine ek olarak aşağıdaki kimlik doğrulama yöntemleri desteklenir.
- ECDSA-P256 imzalamalı bilgisayar sertifikası
- ECDSA-P384 imzalı bilgisayar sertifikası>
Not
Windows Vista için varsayılan kimlik doğrulama yöntemi RSA SecurId kimlik doğrulamasıdır.
Söz dizimi ve örnekler
Bu bölümde, bağlantı güvenlik kurallarını eklemek ve değiştirmek için Netsh advfirewall komutunun kullanıldığı söz dizimi açıklanmaktadır. Bu bölümde Netsh advfirewall komutlarının örnekleri de sağlanır.
Bağlantı güvenlik kuralı ekleme
Netsh advfirewall
Usage: add rule name=<string>
endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
action=requireinrequestout|requestinrequestout|
requireinrequireout|noauthentication
[description=<string>]
[mode=transport|tunnel (default=transport)]
[enable=yes|no (default=yes)]
[profile=public|private|domain|any[,...] (default=any)]
[type=dynamic|static (default=static)]
[localtunnelendpoint=<IPv4 address>|<IPv6 address>]
[remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
[port1=0-65535|any (default=any)]
[port2=0-65535|any (default=any)]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
[interfacetype=wiresless|lan|ras|any (default=any)]
[auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
computerntlm|anonymous[,...]]
[auth1psk=<string>]
[auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1healthcert=yes|no (default=no)]
[auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap256healthcert=yes|no (default=no)]
[auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap384healthcert=yes|no (default=no)]
[auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
[auth2ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
[qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
none (default=none)]
[qmsecmethods=
ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
|default]
Remarks:
- The rule name should be unique, and it cannot be "all."
- When mode=tunnel, both tunnel endpoints must be specified and must be
the same IP version. Also, the action must be requireinrequireout.
- At least one authentication must be specified.
- Auth1 and auth2 can be comma-separated lists of options.
- The "computerpsk" and "computerntlm" methods cannot be specified together
for auth1.
- Computercert cannot be specified with user credentials for auth2.
- Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmsecmethods can be a list of proposals separated by a comma (,).
- For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
- If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.
- sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmpfs=mainmode uses the main mode key exchange setting for PFS.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The default value for certmapping and for excludecaname is "no."
- The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Örnek 1
Aşağıdaki Netsh advfirewall komutunun örneğini göz önünde bulundurun:
Netsh advfirewall consec add rule name=test1 endpoint1=any endpoint2=any action=requestinrequestout description="ECDSA256 sertifika ve AESGMAC256 kullan" auth1=computercert,computercertecdsap256 auth1ca="C=US, O=MSFT, CN='Microsoft North, South, East ve West Root Authority'" auth1healthcert=no auth1ecdsap256ca="C=US, O=MSFT, CN='Microsoft North, South, East ve West Root Authority'" auth1ecdsap256healthcert=yes qmsecmethods=ah: aesgmac256+esp:aesgmac256-none
Bu komut, kimlik doğrulama kümesinde aşağıdaki kimlik doğrulama yöntemlerini içeren bir bağlantı güvenlik kuralı oluşturur:
- İlk kimlik doğrulama yöntemi, RSA sertifika imzalama kullanan bir sertifikadır.
- İkinci kimlik doğrulama yöntemi, sertifika imzalama için ECDSA256 kullanan bir sistem durumu sertifikasıdır.
- Bağlantı güvenlik kuralı, yeni AES-GMAC 256 algoritmasıyla AH ve ESP bütünlüğünü kullanarak trafiği korur. Kural şifreleme içermez.
Örnek 2
Aşağıdaki Netsh advfirewall komutunun örneğini göz önünde bulundurun:
Netsh advfirewall consec add rule name=test2 endpoint1=any endpoint2=any action=requestinrequestout description="Sha 256 for Integrity ve AES192 for encryption" auth1=computercert auth1ca="C=US, O=MSFT, CN='Microsoft North, South, East ve West Root Authority'" auth1healthcert=no qmsecmethods=ah:sha256+esp:sha256-aes192
Bu komut, kimlik doğrulama kümesinde tek bir kimlik doğrulama yöntemi olan bir bağlantı güvenlik kuralı oluşturur. Kimlik doğrulama yöntemi, RSA sertifika imzalama kullanan bir sertifikadır.
Bağlantı güvenlik kuralı, bütünlüğü için SHA256 ve şifreleme için AES192 ile AH ve ESP bütünlüğünü kullanarak trafiği korur.
Mevcut bağlantı güvenlik kuralını değiştirme
Netsh advfirewall
Usage: set rule
group=<string> | name=<string>
[type=dynamic|static]
[profile=public|private|domain|any[,...] (default=any)]
[endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[port1=0-65535|any]
[port2=0-65535|any]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
new
[name=<string>]
[profile=public|private|domain|any[,...]]
[description=<string>]
[mode=transport|tunnel]
[endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[action=requireinrequestout|requestinrequestout|
requireinrequireout|noauthentication]
[enable=yes|no]
[type=dynamic|static]
[localtunnelendpoint=<IPv4 address>|<IPv6 address>]
[remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
[port1=0-65535|any]
[port2=0-65535|any]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
[interfacetype=wiresless|lan|ras|any]
[auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
computerntlm|anonymous[,...]]
[auth1psk=<string>]
[auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1healthcert=yes|no (default=no)]
[auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap256healthcert=yes|no (default=no)]
[auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap384healthcert=yes|no (default=no)]
[auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
[auth2ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
[qmsecmethods=
ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
default]
Remarks:
- This sets a new parameter value on an identified rule. The command fails
if the rule does not exist. To create a rule, use the "add" command.
- Values after the new keyword are updated in the rule. If there are
no values, or if the "new" keyword is missing, no changes are made.
- Only a group of rules can be enabled or disabled.
- If multiple rules match the criteria, all matching rules are
updated.
- The rule name should be unique, and it cannot be "all."
- Auth1 and auth2 can be comma-separated lists of options.
- The computerpsk and computerntlm methods cannot be specified together
for auth1.
- Computercert cannot be specified by using user credentials for auth2.
- Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmsecmethods can be a list of proposals that are separated by a comma (,).
- For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
- If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.
- Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- If qmsemethods are set to "default," qmpfs will be set to "default" also.
- Qmpfs=mainmode uses the main mode key exchange setting for PFS.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The default value for "certmapping" and "excludecaname" is "no."
- The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Aşağıda, önceki bölümde "Örnek 1" içinde oluşturulan kuralı güncelleştiren bir komut örneği verilmiştir: Netsh advfirewall consec set rule name=test new qmsecmethods=ah:aesgmac256+esp:aesgcm256-aesgcm256 Bu komut, kuralı ESP bütünlüğü ve şifrelemesi için AES-GCM 256 kullanacak ve AH bütünlüğü için AES-GMAC 256 kullanacak şekilde güncelleştirir.
Genel Ana mod ayarlarını belirleme
Aşağıdaki Yardım metni Netsh advfirewall set genel komutuna yöneliktir.
netsh advfirewall>set global
Usage: set global statefulftp|statefulpptp enable|disable|notconfigured
set global IPsec (parameter) (value)
set global mainmode (parameter) (value) | notconfigured
IPsec Parameters:
strongcrlcheck - Configures how CRL checking is enforced.
0: Disable CRL checking
1: Fail if cert is revoked and the CRL exists in the client's CRL cache (default behavior)and the CRL exists in the client's CRL cache (default behavior) 2: Fail on any error
notconfigured: Returns the value to its unconfigured state.
saidletimemin - Configures the security association idle time in
minutes.
- Usage: 5-60|notconfigured (default=5)
defaultexemptions - Configures the default IPsec exemptions. The default is
to exempt IPv6 neighbordiscovery protocol from
IPsec.
- Usage: none|neighbordiscovery|notconfigured
Main Mode Parameters:
mmkeylifetime - Sets the main mode key lifetime in minutes, in sessions, or in both.
- Usage: <num>min,<num>sess
mmsecmethods - Configures the main mode list of proposals
- Usage:
keyexch:enc-integrity,enc-integrity[,...]|default
- keyexch=dhgroup1|dhgroup2|dhgroup14|
ecdhp256|ecdhp384
- enc=3des|des|aes128|aes192|aes256
- integrity=md5|sha1|sha256|sha384
Remarks:
- This configures global settings, such as advanced IPsec options.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The mmsecmethods keyword default sets the policy to the following:
dhgroup2-aes128-sha1,dhgroup2-3des-sha1
- Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
Aşağıda, Ana mod şifreleme kümesindeki yeni SHA algoritmalarını kullanan bir komut örneği verilmiştir: Netsh advfirewall set global mainmode mmsecmethods dhgroup1:3des-sha256, 3des-sha384
Sorun giderme, yapılandırma ve doğrulama komutları
"Netsh advfirewall consec show rule all" komutu
Netsh advfirewall consec show rule all komutu tüm bağlantı güvenlik kuralları için yapılandırmayı görüntüler.
Aşağıda, bu komut için bir çıkış örneği verilmiştir.
Rule Name:test
Enabled:Yes
Profiles:Domain,Private,Public
Type:Static
Mode:Transport
Endpoint1:Any
Endpoint2:Any
Protocol:Any
Action:RequestInRequestOut
Auth1:ComputerPSK
Auth1PSK: 12345
MainModeSecMethods ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethodsAH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb
"Netsh advfirewall monitor show mmsa" komutu
Netsh advfirewall monitor show mmsa komutu Ana mod güvenlik ilişkilendirmesini görüntüler.
Aşağıda, bu komut için bir çıkış örneği verilmiştir.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:157.59.24.101
Remote IP Address: 157.59.24.119
My ID:
Peer ID:
First Auth:ComputerPSK
Second Auth:None
MM Offer: ECDHAP384-3DES-SHA256
Cookie Pair:203d57505:5d088705
Health Pair:No
Ok.
"Netsh advfirewall monitor show qmsa" komutu
Netsh advfirewall izleyicisi show qmsa komutu Hızlı mod güvenlik ilişkilendirmesini görüntüler.
Aşağıda, bu komut için bir çıkış örneği verilmiştir.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:157.59.24.101
Remote IP Address: 157.59.24.119
Local Port:Any
Remote Port:Any
Protocol:Any
Direction:Both
QM Offer: AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb
Ok.
"Netsh advfirewall show global" komutu
Netsh advfirewall show global komutu genel ayarları görüntüler.
Aşağıda, bu komut için bir çıkış örneği verilmiştir.
Global Settings:
IPsec:
StrongCRLCheck0:Disabled
SAIdleTimeMin5min
DefaultExemptions NeighborDiscovery
IPsecThroughNAT Server and client behind NAT
StatefulFTPEnable
StatefulPPTPEnable
Main Mode:
KeyLifetime2min,0sess
SecMethodsDHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384
Birlikte çalış -abilir -lik
Suite B algoritmalarını kullanan IPsec ilkesinin oluşturulması, uygulanması ve yönetimi Windows Vista SP1 ve Windows Server 2008'de kullanıma sunulmuştur. Yalnızca Windows Vista SP1 veya Windows Server 2008 ile yayımlanan araçları kullanarak Paket B algoritmaları içeren bir grup ilkesi yönetebilirsiniz.
Örnek senaryolar ve beklenen sonuçlar aşağıdaki gibidir.
Senaryo 1
Windows Server 2008 veya Windows Vista SP1 çalıştıran bir bilgisayarda oluşturulan bir ilkeyi Windows Vista'nın yayın sürümünü çalıştıran bir bilgisayara uygulamak için yeni şifreleme algoritmalarını kullanırsınız.
Beklenen sonuç
Bir kural yeni şifreleme algoritmalarını kullanan şifreleme paketleri içeriyorsa, bu şifreleme paketleri bırakılır ve bunun yerine şifreleme kümesindeki diğer şifreleme paketleri kullanılır.
Kuraldaki şifreleme paketlerinin hiçbiri tanınmazsa, kuralın tamamı bırakılır. Kuralın işlenemeyeceğini belirten bir olay günlüğe kaydedilir. Bu nedenle, anahtar değişimi şifreleme kümesindeki tüm şifreleme paketleri bırakılırsa, ilkedeki bağlantı güvenlik kurallarının hiçbiri uygulanmaz. Ancak, tüm güvenlik duvarı kuralları hala uygulanır.
Kimlik doğrulama kümesi işlemi şifreleme kümesi işlemine benzer. Windows Vista'nın yayın sürümünü çalıştıran bir bilgisayara yeni sertifika bayraklarını (ECDSA-P256 veya ECDSA-P384) içeren bir ilke uygulanırsa, kimlik doğrulama yöntemleri bırakılır.
İlk kimlik doğrulama kümesindeki tüm kimlik doğrulama yöntemleri bu nedenle bırakılırsa, kuralın tamamı işlenmez. İkinci kimlik doğrulama kümesindeki tüm kimlik doğrulama yöntemleri bırakılırsa, kural yalnızca ilk kimlik doğrulama kümesi kullanılarak işlenir.
Senaryo 2
Windows Vista'nın yayın sürümünü çalıştıran bir bilgisayarda, Windows Server 2008 veya Windows Vista SP1 çalıştıran bir bilgisayarda oluşturulmuş bir ilkeyi görüntülemek için yeni şifreleme algoritmalarını kullanırsınız.
Beklenen sonuç
Yeni algoritmalar, Windows Güvenlik Duvarı Gelişmiş Güvenlik MMC ek bileşeninin hem izleme hem de yazma bölümlerinde "bilinmiyor" olarak görüntülenir. Netsh advfirewall komutu da algoritmaları Windows Vista'da "bilinmiyor" olarak görüntüler.
Birlikte çalışabilirlik kısıtlamaları
Birlikte çalışabilirlik kısıtlamaları aşağıdaki gibidir:
- Windows Vista'nın yayın sürümünü çalıştıran bir bilgisayardan Windows Vista SP1 veya Windows Server 2008 çalıştıran bilgisayarlarda Suite B algoritmalarını kullanan ilkelerin uzaktan yönetimini desteklemiyoruz.
- Windows Vista SP1 veya Windows Server 2008 çalıştıran bir bilgisayarda oluşturulan bir ilke, Windows Vista'nın yayın sürümünü çalıştıran bir bilgisayara aktarıldığında, ilkenin bazı bölümleri bırakılır. Bunun nedeni, Windows Vista'nın yayın sürümünün yeni algoritmaları tanıyamamasıdır.
Desteklenen ve desteklenmeyen hızlı mod şifreleme algoritması bileşimleri
Aşağıdaki tabloda desteklenen Hızlı mod şifreleme algoritması bileşimleri gösterilmektedir.
Protokol | AH Bütünlüğü | ESP Bütünlüğü | Şifreleme |
---|---|---|---|
AH | AES-GMAC 128 | Yok | Yok |
AH | AES-GMAC 192 | Yok | Yok |
AH | AES-GMAC 256 | Yok | Yok |
AH | SHA256 | Yok | Yok |
AH | SHA1 | Yok | Yok |
AH | MD5 | Yok | Yok |
ESP | Yok | AES-GMAC 128 | Yok |
ESP | Yok | AES-GMAC 192 | Yok |
ESP | Yok | AES-GMAC 256 | Yok |
ESP | Yok | SHA256 | Yok |
ESP | Yok | SHA1 | Yok |
ESP | Yok | MD5 | Yok |
ESP | Yok | SHA256 | AES-GCM algoritmaları dışında desteklenen tüm şifreleme algoritmaları |
ESP | Yok | SHA1 | AES-GCM algoritmaları dışında desteklenen tüm şifreleme algoritmaları |
ESP | Yok | MD5 | AES-GCM algoritmaları dışında desteklenen tüm şifreleme algoritmaları |
ESP | Yok | AES-GCM 128 | AES-GCM 128 |
ESP | Yok | AES-GCM 192 | AES-GCM 192 |
ESP | Yok | AES-GCM 256 | AES-GCM 256 |
AH+ESP | AES-GMAC 128 | AES-GMAC 128 | Yok |
AH+ESP | AES-GMAC 128 | AES-GMAC 128 | Yok |
AH+ESP | AES-GMAC 128 | AES-GMAC 128 | Yok |
AH+ESP | SHA-256 | SHA-256 | Yok |
AH+ESP | SHA1 | SHA1 | Yok |
AH+ESP | MD5 | MD5 | Yok |
AH+ESP | SHA256 | SHA256 | AES-GCM algoritmaları dışında desteklenen tüm şifreleme algoritmaları |
AH+ESP | SHA1 | SHA1 | AES-GCM algoritmaları dışında desteklenen tüm şifreleme algoritmaları |
AH+ESP | MD5 | MD5 | AES-GCM algoritmaları dışında desteklenen tüm şifreleme algoritmaları |
AH+ESP | AES-GMAC 128 | AES-GCM 128 | AES-GCM 128 |
AH+ESP | AES-GMAC 192 | AES-GCM 192 | AES-GCM 192 |
AH+ESP | AES-GMAC 256 | AES-GCM 256 | AES-GCM 256 |
Not
AES-GMAC, null şifrelemeye sahip AES-GCM ile aynıdır. Örneğin, AES-GMAC 128 kullanmak için AH bütünlüğünü ve AES-GCM 128 kullanmak için ESP Bütünlüğünü belirtebilirsiniz. Bu, AH ve ESP bütünlük algoritmalarının aynı olması gereken kuralın tek istisnasıdır.
Aşağıdaki tabloda açıklanan birleşimler desteklenmez.
Protokol | AH Bütünlüğü | ESP Bütünlüğü | Şifreleme |
---|---|---|---|
ESP | Yok | AES-GMAC 128 | Desteklenen tüm şifreleme algoritmaları |
ESP | Yok | AES-GMAC 192 | Desteklenen tüm şifreleme algoritmaları |
ESP | Yok | AES-GMAC 256 | Desteklenen tüm şifreleme algoritmaları |
ESP | Yok | AES-GCM 128 | 1.Yok 2.AES-GCM 128 dışındaki tüm şifreleme algoritmaları |
ESP | Yok | AES-GCM 192 | 1.Yok 2.AES-GCM 192 dışındaki tüm şifreleme algoritmaları |
ESP | Yok | AES-GCM 256 | 1.Yok 2.AES-GCM 256 dışındaki tüm şifreleme algoritmaları |
AH+ESP | AES-GMAC 128 | AES-GMAC 128 | Desteklenen tüm şifreleme algoritmaları |
AH+ESP | AES-GMAC 192 | AES-GMAC 192 | Desteklenen tüm şifreleme algoritmaları |
AH+ESP | AES-GMAC 256 | AES-GMAC 256 | Desteklenen tüm şifreleme algoritmaları |
B Paketi hakkında daha fazla bilgi için bkz. Ticari Ulusal Güvenlik Algoritması Paketi.
IPsec ve bağlantı güvenlik kuralları hakkında daha fazla bilgi için bkz. Gelişmiş Güvenlik ve IPsec ile Windows Güvenlik Duvarı.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin