Brug denne dialogboks til at konfigurere en algoritme, der omfatter både dataintegritet og datafortrolighed (kryptering), og som er tilgængelig, når der forhandles sikkerhedstilknytninger i hurtigtilstand. Du skal angive både den protokol og den algoritme, der bruges til at beskytte integriteten af dataene i netværkspakken.
IPsec (IP-sikkerhed) sikrer integriteten ved at beregne en hashværdi, der oprettes ud fra dataene i netværkspakken. Hashværdien krypteres derefter og integreres i IP-pakken. Den modtagende computer bruger den samme algoritme til at beregne hashværdien og sammenligner resultatet med den hashværdi, der er integreret i den modtagne pakke. Hvis hashværdierne stemmer overens, er der modtaget de præcis samme oplysninger, som der blev sendt, og pakken accepteres. Hvis hashværdierne er forskellige, bliver pakken kasseret.
Hvis du bruger en krypteret hashværdi for den overførte meddelelse, er det ikke beregningsmæssigt muligt at ændre meddelelsen, uden at der opstår en uoverensstemmelse med hashværdien. Dette er vigtigt, når data udveksles over et usikkert netværk, f.eks. internettet, og det er med til at sikre, at meddelelsen ikke blev ændret under overførslen.
Foruden at beskytte integriteten kan du i denne dialogboks angive en krypteringsalgoritme, der er med til at forhindre, at dataene læses, hvis netværkspakken opsnappes under overførslen.
 | Sådan åbnes dialogboksen |
Klik på Egenskaber for Windows Firewall under Oversigt i MMC-snap-in'en Windows Firewall med avanceret sikkerhed.
Klik på fanen IPsec-indstillinger.
Klik på Tilpas under IPsec-standardindstillinger.
Vælg Avanceret under Databeskyttelse (hurtigtilstand), og klik derefter på Tilpas.
Vælg en algoritmekombination på listen under Dataintegritet og kryptering, og klik på Rediger eller Tilføj.
Protokol
De følgende protokoller bruges til at integrere integriteten og krypteringsoplysningerne i en IP-pakke.
ESP (anbefales)
Ud over godkendelse, integritet og beskyttelse mod genafspilning sikrer ESP også fortrolighed for IP-overførslen. ESP i transporttilstand signerer ikke hele pakken. Det er kun IP-dataene og ikke IP-headeren, der er beskyttet. ESP kan bruges alene eller sammen med AH (Authentication Header). Med ESP omfatter beregningen af hashværdien kun ESP-headeren, ESP-traileren og selve dataene. ESP sikrer datafortrolighed ved at kryptere selve dataene med en af de understøttede krypteringsalgoritmer. Der tilbydes sikring mod pakkegenafspilning ved indsættelse af et sekvensnummer i hver pakke.
ESP og AH
Denne indstilling kombinerer sikkerheden i ESP-protokollen med AH-protokollen. AH-protokollen sikrer godkendelse, integritet og beskyttelse mod genafspilning for hele pakken (både IP-headeren og dataene i pakken).
 | Vigtigt! |
AH-protokollen er ikke kompatibel med NAT (Network Address Translation), fordi NAT-enheder skal ændre oplysninger i pakkeheaderne. Hvis IPsec-baseret trafik skal kunne passere gennem en NAT-enhed, skal du sikre, at NAT-T (NAT Traversal) understøttes på IPsec-peercomputerne. |
Algoritmer
Krypteringsalgoritme
De følgende krypteringsalgoritmer er tilgængelige på de computere, der kører denne version af Windows. Nogle af disse algoritmer er ikke tilgængelige på de computere, der kører tidligere versioner af Windows. Hvis du skal oprette IPsec-beskyttede forbindelser med en computer, der kører en tidligere version af Windows, skal du medtage de algoritmeindstillinger, der er kompatible med den tidligere version.
Du kan finde flere oplysninger under
- AES-GCM 256
- AES-GCM 192
- AES-GCM 128
- AES-CBC 256
- AES-CBC 192
- AES-CBC 128
- 3DES
- DES
 | Sikkerhed Bemærk! |
Det anbefales, at du ikke bruger DES. Den er kun medtaget af hensyn til bagudkompatibilitet. |
 | Bemærk! |
Hvis du angiver en AES-GCM-algoritme til kryptering, skal du angive den samme algoritme til integritet. |
Integritetsalgoritme
De følgende integritetsalgoritmer er tilgængelige for de computere, der kører denne version af Windows. Nogle af disse algoritmer er ikke tilgængelige på de computere, der kører andre versioner af Windows. Hvis du skal oprette IPsec-beskyttede forbindelser med en computer, der kører en tidligere version af Windows, skal du medtage de algoritmeindstillinger, der er kompatible med den tidligere version.
Du kan finde flere oplysninger under
- AES-GCM 256
- AES-GCM 192
- AES-GCM 128
- AES-GMAC 256
- AES-GMAC 192
- AES-GMAC 128
- SHA-1
- MD5
| Sikkerhed Bemærk! |
Det anbefales, at du ikke bruger MD5. Den er kun medtaget af hensyn til bagudkompatibilitet. |
| Bemærk! |
Hvis du angiver en AES-GCM-algoritme til integritet, skal du angive den samme algoritme til kryptering. |
Levetid for nøgler
Indstillingerne for en nøgles levetid fastslår, hvornår der oprettes en ny nøgle. Levetiden for nøgler giver dig mulighed for at gennemtvinge oprettelse af en ny nøgle efter et angivet interval, eller efter at en angivet mængde data er overført. Hvis kommunikationen f.eks. tager 100 minutter, og du angiver levetiden for en nøgle til 10 minutter, oprettes der 10 nøgler i løbet af udvekslingen (én hvert 10. minut). Brugen af flere nøgler sikrer, at hele kommunikationen ikke kompromitteres, selvom en hacker får fat i en af nøglerne til kommunikationen.
| Bemærk! |
Denne nøgleoprettelse er beregnet til dataintegritet og kryptering i hurtigtilstand og påvirker ikke indstillinger for levetiden for nøgler for nøgleudveksling i hovedtilstand. |
Minutter
Brug denne indstilling til at konfigurere, hvor længe den nøgle, der bruges i sikkerhedstilknytninger i hurtigtilstand, varer. Angives i minutter. Efter dette interval gendannes nøglen. Efterfølgende kommunikation bruger den nye nøgle.
Maksimumlevetiden er 2.879 minutter (48 timer). Minimumlevetiden er fem minutter. Det anbefales, at du kun opretter nye nøgler, så ofte som det er påkrævet af din risikoanalyse. Hvis der ofte oprettes nye nøgler, kan det påvirke ydelsen.
KB
Brug denne indstilling til at konfigurere, hvor mange KB (kilobyte) data der sendes med nøglen. Når denne grænse er nået, nulstilles tælleren, og nøglen gendannes. Efterfølgende kommunikation bruger den nye nøgle.
Maksimumlevetiden er 2.147.483.647 KB. Minimumlevetiden er 20.480 KB. Det anbefales, at du kun opretter nye nøgler, så ofte som det er påkrævet af din risikoanalyse. Hvis der ofte oprettes nye nøgler, kan det påvirke ydelsen.