Bei der Hauptmodusaushandlung des Internetschlüsselaustausches (Internet Key Exchange, IKE) wird ein sicherer Kanal zwischen zwei Computern hergestellt, die so genannte ISAKMP-Sicherheitszuordnung (Internet Security Association and Key Management Protocol). Die ISAKMP-Sicherheitszuordnung dient zum Schutz anschließender Schlüsselaustauschvorgänge zwischen Peercomputern, den so genannten Schnellmodusaushandlungen. Um den sicheren Kanal herzustellen, legt die Hauptmodusaushandlung eine Reihe kryptografischer Schutzsammlungen fest, tauscht Schlüsselerstellungsmaterial zur Festlegung des gemeinsam verwendeten geheimen Schlüssels aus und authentifiziert Computeridentitäten.

Das Überwachen von Hauptmodus-Sicherheitszuordnungen kann Informationen dazu liefern, welche Peers aktuell mit dem Computer verbunden sind, wann die Sicherheitszuordnung erstellt wurde, welche Schutzsammlung zum Erstellen der Sicherheitszuordnung verwendet wurde etc.

Generische Filter

Bei generischen Filtern handelt es sich um IP-Filter, die so konfiguriert sind, dass sie die IP-Adressoptionen als Quell- oder als Zieladresse verwenden können. Bei IPsec können Sie in der Filterkonfiguration Schlüsselwörter verwenden, beispielsweise Eigene IP-Adresse, DNS-Server, DHCP-Server, WINS-Server und Standardgateway. Bei Verwendung von Schlüsselwörtern werden diese im IP-Sicherheitsmonitor-Snap-In in den Standardfiltern angezeigt. Spezialfilter werden aus den Standardfiltern abgeleitet, indem IP-Adressen aus Schlüsselwörtern gebildet werden werden.

Hinzufügen, Entfernen und Sortieren von Spalten

Folgende Spalten können Sie im Ergebnisfeld hinzufügen, entfernen, neu anordnen und sortieren:

  • Name.

  • Quelle. Dies ist die IP-Adresse der Paketquelle.

  • Ziel. Dies ist die IP-Adresse des Paketziels.

  • IKE-Richtlinie. Dies ist der Name der IKE-Richtlinie, die mit diesem Standardfilter verknüpft ist, und nicht der Name der IPsec-Richtlinie, die Sie mit dem IPsec-Richtlinien-Snap-In erstellt haben. Die Richtliniendetails, beispielsweise welcher Satz von Kryptografiealgorithmen verwendet wurde, können im Element IKE-Richtlinie angezeigt werden.

  • Authentifizierungsmethoden. Dies ist eine Liste aller für den Filter verfügbaren Authentifizierungsmethoden in der Reihenfolge der Priorität.

  • Verbindungstyp. Dies ist der Typ der Verbindung, auf den dieser Filter angewendet wird: entweder lokales Netzwerk (Local Area Network, LAN), Remotezugriff oder alle Netzwerkverbindungstypen.

Spezifische Filter

Spezialfilter werden aus Standardfiltern gebildet, indem die IP-Adressen des Quell- und Zielcomputers für die tatsächliche Verbindung verwendet werden. Angenommen, Sie haben einen Filter, für den die Option Eigene IP-Adresse als Quelladresse und die Option DHCP-Server als Zieladresse verwendet wird. Wird dann mithilfe dieses Filters eine Verbindung hergestellt, wird automatisch ein Filter erstellt, der die IP-Adresse des Computers und die IP-Adresse des vom Computer verwendeten DHCP-Servers enthält.

Hinweis

Das IP-Sicherheitsmonitor-Snap-In kann auch IP-Adressen für den Ordner Spezifische Filter im Ordner Schnellmodus in DNS-Namen auflösen, nicht jedoch im Ordner Hauptmodus.

Hinzufügen, Entfernen und Sortieren von Spalten

Sie können die folgenden Spalten im Ergebnisbereich hinzufügen, entfernen, neu anordnen und sortieren:

  • Name.

  • Quelle. Dies ist die IP-Adresse der Paketquelle.

  • Ziel. Dies ist die IP-Adresse des Paketziels.

  • Richtung. Hiermit wird angegeben, ob es sich um einen eingehenden oder ausgehenden Filter handelt.

  • IKE-Richtlinie. Dies ist der Name der IKE-Richtlinie und nicht der Name der IPsec-Richtlinie, die Sie mit dem Snap-In IPsec-Richtlinie erstellt haben. Die Richtliniendetails, beispielsweise welcher Satz von Kryptografiealgorithmen verwendet wurde, können im Element der IKE-Richtlinie angezeigt werden.

  • Authentifizierungsmethoden. Dies ist eine Liste aller für den Filter verfügbaren Authentifizierungsmethoden in der Reihenfolge der Priorität.

  • Gewichtung. Dies ist die Priorität, die der IPsec-Dienst dem Filter einräumt. Die Gewichtung ist von mehreren Faktoren abhängig. Weitere Informationen zu Filtergewichtungen finden Sie unter https://go.microsoft.com/fwlink/?LinkId=62212 (möglicherweise in englischer Sprache).

    Hinweis

    Die Gewichtungseigenschaft ist auf Computern unter Windows Vista®, Windows Server® 2008 oder nachfolgenden Versionen von Windows immer auf 0 gesetzt.

IKE-Richtlinien

Die IKE-Richtlinie verweist auf die Integritäts- oder Verschlüsselungsmethoden, die von den beiden Peercomputern im Hauptmodusschlüsselaustausch ausgehandelt werden können.

Statistik

In dieser Tabelle werden die verfügbaren Statistiken aus der Statistiksicht des Hauptmodus angezeigt:

Hinweis

Einige dieser Statistiken gelten nicht für Computer, auf denen Windows Vista, Windows Server 2008 oder neuere Versionen von Windows ausgeführt werden.

IKE-StatistikBeschreibung

Aktiv erfasst

Bei einer Erfassung handelt es sich um eine Anforderung des IPSec-Treibers an IKE, eine Aufgabe auszuführen. Die Statistik Aktiv abgerufen enthält die noch nicht erledigte Anforderung und die Anzahl aller Anforderungen in der Warteschlange. Normalerweise lautet die Anzahl aktiver Erfassungen 1. Bei starker Auslastung beträgt die Anzahl aktiver Erfassungen 1 plus die Anzahl der von IKE zur Verarbeitung in die Warteschlange aufgenommenen Anforderungen.

Aktiv empfangen

Die Anzahl der empfangenen IKE-Nachrichten, die sich zur Verarbeitung in der Warteschlange befinden.

Fehler beim Erfassen

Die Anzahl der fehlgeschlagenen Erfassungen.

Fehler beim Empfangen

Gibt an, wie oft die Windows Sockets-Funktion WSARecvFrom() beim Empfangen von IKE-Nachrichten fehlgeschlagen ist.

Fehler beim Senden

Gibt an, wie oft die Windows Sockets-Funktion WSASendTo() beim Senden von IKE-Nachrichten fehlgeschlagen ist.

Erfasste Heapgröße

Die Anzahl der Einträge im Erfassungsheap, in dem die aktiven Erfassungen gespeichert werden. Diese Anzahl nimmt unter starker Auslastung zu und beim Leeren des Erfassungsheaps allmählich ab.

Empfangene Heapgröße

Die Anzahl der in den IKE-Empfangspuffern enthaltenen Einträge für eingehende IKE-Nachrichten.

Authentifizierungsfehler

Die Gesamtzahl der während der Aushandlung im Hauptmodus aufgetretenen Fehler bei der Identitätsauthentifizierung (Kerberos, Zertifikat und vorinstallierter Schlüssel). Wenn bei der sicheren Kommunikation Probleme auftreten, stellen Sie die Verbindung her, und überprüfen Sie anhand dieser Statistik, ob die Anzahl der Fehler zunimmt. Wenn dies der Fall ist, überprüfen Sie die Einstellungen der Authentifizierungs- und Sicherheitsmethoden auf eine nicht angepasste Authentifizierungsmethode oder eine falsche Konfiguration der Authentifizierungsmethoden (z. B. die Verwendung vorinstallierter Schlüssel, die nicht zusammenpassen).

Aushandlungsfehler

Die Gesamtanzahl von Aushandlungsfehlern, die bei Hauptmodus- oder Schnellmodusaushandlungen aufgetreten sind. Wenn bei der sicheren Kommunikation Probleme auftreten, stellen Sie die Verbindung her, und überprüfen Sie anhand dieser Statistik, ob die Anzahl der Fehler zunimmt. Wenn dies der Fall ist, überprüfen Sie die Einstellungen der Authentifizierungs- und Sicherheitsmethoden auf eine nicht angepasste Authentifizierungsmethode, eine falsche Konfiguration der Authentifizierungsmethoden (z. B. die Verwendung vorinstallierter Schlüssel, die nicht zusammenpassen) oder nicht angepasste Sicherheitsmethoden bzw. Sicherheitseinstellungen.

Ungültige Cookies empfangen

Bei einem Cookie handelt es sich um einen in einer empfangenen IKE-Nachricht enthaltenen Wert, der von IKE zum Ermitteln des Status eines aktiven Hauptmodus verwendet wird. Ein Cookie in einer empfangenen IKE-Nachricht, das nicht mit einem aktiven Hauptmodus abgeglichen werden kann, ist ungültig.

Erfasst insgesamt

Die Gesamtzahl der von IKE an den IPSec-Treiber übermittelten Arbeitsanforderungen.

SPI-Abrufe insgesamt

Die Gesamtzahl der von IKE an den IPSec-Treiber zum Erlangen eines eindeutigen Sicherheitsparameterindexes (Security Parameters Index, SPI) übermittelten Anfragen.

Schlüsselerweiterungen

Die Anzahl der ausgehenden Schnellmodus-Sicherheitszuordnungen, die dem IPSec-Treiber durch IKE hinzugefügt werden.

Schlüsselupdates

Die Anzahl der eingehenden Schnellmodus-Sicherheitszuordnungen, die dem IPSec-Treiber durch IKE hinzugefügt werden.

Fehlgeschlagene SPI-Abrufe

Die Anzahl der von IKE an den IPSec-Treiber zum Erhalt eines eindeutigen SPI übermittelten Anforderungen, die fehlgeschlagen sind.

Fehlgeschlagene Schlüsselerweiterungen

Die Anzahl der ausgehenden Erweiterungsanforderungen für Schnellmodus-Sicherheitsanforderungen, die von IKE an den IPSec-Treiber weitergeleitet wurden und fehlgeschlagen sind.

Fehlgeschlagene Schlüsselupdates

Die Anzahl der eingehenden Erweiterungsanforderungen für Schnellmodus-Sicherheitsanforderungen, die von IKE an den IPSec-Treiber weitergeleitet wurden und fehlgeschlagen sind.

ISADB-Listengröße

Die Anzahl der Hauptmodus-Statuseinträge, einschließlich ausgehandelte Hauptmodi, in Ausführung befindliche Hauptmodi sowie fehlgeschlagene und nicht gelöschte Hauptmodi.

Verbindungslistengröße

Die Anzahl der Schnellmodus-Statuseinträge.

IKE-Hauptmodus

Die Gesamtanzahl erfolgreicher Sicherheitszuordnungen, die im Rahmen von Hauptmodusaushandlungen erstellt wurden.

IKE-Schnellmodus

Die Gesamtzahl erfolgreicher Sicherheitszuordnungen, die im Rahmen von Schnellmodusaushandlungen erstellt wurden. Da normalerweise für jede Hauptmodus-Sicherheitszuordnung mehrere Schnellmodus-Sicherheitszuordnungen erstellt werden, stimmt diese Anzahl nicht unbedingt mit der Anzahl der Hauptmodus-Sicherheitszuordnungen überein.

Schwache Zuordnungen

Die Gesamtanzahl der Aushandlungen, die die Verwendung von Klartext zur Folge hatten (auch als schwache Sicherheitszuordnungen bezeichnet). Diese Anzahl entspricht normalerweise der Anzahl von Zuordnungen zu Computern, die auf Aushandlungsversuche im Hauptmodus nicht reagierten. Dies kann sowohl IPsec-inkompatible Computer als auch IPsec-kompatible Computer umfassen, nicht keine IPsec-Richtlinie zum Aushandeln der Sicherheit mit diesem IPsec-Peer besitzen. Obwohl schwache Sicherheitszuordnungen nicht das Ergebnis von Aushandlungen im Haupt- und Schnellmodus sind, werden sie dennoch als Sicherheitszuordnungen im Schnellmodus behandelt.

Ungültige Pakete empfangen

Die Anzahl empfangener ungültiger IKE-Nachrichten, einschließlich IKE-Nachrichten mit ungültigen Headerfeldern, falschen Aufkommenslängen und falschen Werten für das Respondercookie (wenn der Wert 0 betragen sollte). Ungültige IKE-Nachrichten werden gewöhnlich durch veraltete, erneut übertragene IKE-Nachrichten oder durch einen nicht angepassten vorinstallierten Schlüssel der IPSec-Peers verursacht.

Hinweis

Einige dieser Statistiken können zur Entdeckung von Netzwerkangriffsversuchen verwendet werden.

Sicherheitszuordnungen

In dieser Sicht werden die aktiven Sicherheitszuordnungen für diesen Computer angezeigt. Eine Sicherheitszuordnung (Security Association, SA) ist die Kombination aus einem ausgehandelten Schlüssel, einem Sicherheitsprotokoll und einem Sicherheitsparameterindex (Security Parameters Index, SPI). Damit wird der Sicherheitsgrad bestimmt, mit dem die Kommunikation zwischen Absender und Empfänger geschützt ist. Durch einen Blick auf die Sicherheitszuordnungen für den Computer können Sie demnach feststellen, welche Computer eine Verbindung zu diesem Computer haben, welcher Datenintegritäts- und -verschlüsselungstyp für die jeweilige Verbindung verwendet wird usw.

Diese Informationen können sich beim Testen von IP-Sicherheitsrichtlinien und der Behandlung von Zugriffsproblemen als nützlich erweisen.

Hinzufügen, Entfernen und Sortieren von Spalten

Sie können die folgenden Spalten im Ergebnisbereich hinzufügen, entfernen, neu anordnen und sortieren:

  • Benutzer. Dies ist die IP-Adresse des lokalen Computers.

  • Eigene ID. Dies ist der DNS-Name des lokalen Computers.

  • Peer. Dies ist die IP-Adresse des Remote- oder Peercomputers.

  • Peer-ID. Dies ist der DNS-Name des Remote- oder Peercomputers.

  • Authentifizierung Dies ist die Authentifizierungsmethode, die zum Erstellen der Sicherheitszuordnung verwendet wurde.

  • Verschlüsselung. Dies ist die Verschlüsselungsmethode, die von der Sicherheitszuordnung für den Schnellmodus-Schlüsselaustausch verwendet wird.

  • Integrität. Dies ist die Datenintegritätsmethode, die von der Sicherheitszuordnung für den Schnellmodus-Schlüsselaustausch verwendet wird.

  • Diffie-Hellman. Dies ist die Diffie-Hellman-Gruppe, die zum Erstellen der Hauptmodus-Sicherheitszuordnung verwendet wird.

Weitere Verweise