השתמש בתיבת דו-שיח זו כדי לקבוע תצורה של הצעת אלגוריתם הכוללת תקינות נתונים וסודיות נתונים (הצפנה), הזמינה בעת ניהול משא ומתן של שיוכי אבטחה של מצב מהיר. עליך לציין גם את הפרוטוקול וגם את האלגוריתם המשתמשים להגנה על תקינות הנתונים במנת הרשת.

פרוטוקול אבטחת אינטרנט (IPsec) מספק תקינות באמצעות חישוב קוד Hash שנוצר מהנתונים במנת הרשת. לאחר מכן קוד ה- Hash נחתם באמצעות הצפנה (מוצפן) ומוטבע במנת ה- IP. המחשב המקבל משתמש באותו אלגוריתם כדי לחשב את קוד ה- Hash ומשווה את התוצאה לקוד ה- Hash המוטבע במנה שהתקבלה. אם ישנה התאמה, המידע שהתקבל זהה לחלוטין למידע שנשלח, והמנה מתקבלת. אם אין התאמה, המנה תושמט.

שימוש בקוד Hash מוצפן של ההודעה המועברת אינו מאפשר לשנות את ההודעה באופן ממוחשב מבלי לגרום לחוסר התאמה עם הקוד. דבר זה קריטי בעת חילופי נתונים ברשת לא מאובטחת, כגון האינטרנט, והוא מספק דרך המוודאת שההודעה לא השתנתה במהלך ההעברה.

בנוסף להגנת תקינות, תיבת דו-שיח זו מאפשרת לך לציין אלגוריתם הצפנה שמסייע למנוע את קריאת הנתונים אם מנת הרשת מיורטת בזמן העברתה.

כדי להגיע לתיבת דו-שיח זו

  1. בעמוד של יישום ה- Snap-in של MMC,‏ חומת האש של Windows עם רכיבי אבטחה מתקדמים, במבט כולל, לחץ על מאפייני חומת אש של Windows.

  2. לחץ על הכרטיסיה הגדרות IPsec.

  3. תחת ברירות מחדל של IPsec, לחץ על התאמה אישית.

  4. תחת הגנה על נתונים (מצב מהיר), בחר מתקדם ולאחר מכן לחץ על התאמה אישית.

  5. תחת תקינות נתונים והצפנה, בחר שילוב של אלגוריתמים מהרשימה ולחץ על ערוך או הוסף.

פרוטוקול

הפרוטוקולים הבאים משמשים להטבעת מידע התקינות וההצפנה במנת IP.

ESP (מומלץ)

Encapsulating Security Payload (ESP)‎ מספק סודיות (בנוסף לאימות, תקינות ואמצעי למניעת הפעלה חוזרת) עבור תוכן מנת ה- IP. ESP במצב תעבורה אינו חותם על כל המנה. רק תוכן המנה של נתוני ה- IP (ולא כותרת IP) מוגן. ניתן להשתמש ב- ESP בנפרד או בשילוב עם Authentication Header (AH)‎‏. עם ESP, חישוב קוד ה- Hash כולל את הכותרת, כותרת הסיום ותוכן המנה של ה- ESP בלבד. ESP מספק שירותי סודיות נתונים על-ידי הצפנת תוכן מנת ה- ESP באמצעות אחד מהאלגוריתמים הנתמכים של ההצפנה. שירותי תגובה למנות ניתנים באמצעות הכללת מספר רצף עבור כל מנה.

ESP ו- AH

אפשרות זו משלבת את האבטחה של פרוטוקול ESP עם פרוטוקול AH. פרוטוקול AH מספק אמינות, תקינות ואמצעי למניעת הפעלה חוזרת עבור המנה כולה (הן עבור כותרת IP והן עבור נתוני תוכן המנה המועברים).

חשוב

פרוטוקול AH אינו תואם לתרגום כתובות רשת (NAT) מכיוון שעל התקני NAT לשנות מידע בכותרות המנות. כדי לאפשר לתעבורה מבוססת-IPsec לעבור דרך התקן NAT, עליך לוודא שמחשבי העמית מסוג IPsec תומכים בחציית NAT ‏(NAT-T).

אלגוריתמים

אלגוריתם הצפנה

אלגוריתמי ההצפנה הבאים זמינים עבור מחשבים שבהם פועלת גירסה זו של Windows. חלק מאלגוריתמים אלה אינם זמינים במחשבים שבהם פועלות גירסאות קודמות של Windows. אם עליך ליצור חיבורים המוגנים על-ידי IPsec במחשב שבו פועלת גירסה קודמת של Windows, עליך לכלול אפשרויות אלגוריתמים התואמות לגירסה הקודמת.

לקבלת מידע נוסף, ראה אלגוריתמים ושיטות של IPsec הנתמכים ב- Windows (ייתכן שהדף יוצג באנגלית) ‏(https://go.microsoft.com/fwlink/?linkid=129230).

  • AES-GCM 256

  • AES-GCM 192

  • AES-GCM 128

  • AES-CBC 256

  • AES-CBC 192

  • AES-CBC 128

  • 3DES

  • DES

אבטחה הערה

איננו ממליצים על השימוש ב- DES. הוא מסופק עבור תאימות לאחור בלבד.

הערה

אם תציין אלגוריתם AES-GCM להצפנה, עליך לציין את אותו האלגוריתם לתקינות.

אלגוריתם תקינות

אלגוריתמי התקינות הבאים זמינים עבור מחשבים שבהם פועלת גירסה זו של Windows. חלק מאלגוריתמים אלה אינם זמינים במחשבים שבהם פועלות גירסאות אחרות של Windows. אם עליך ליצור חיבורים המוגנים על-ידי IPsec במחשב שבו פועלת גירסה קודמת של Windows, עליך לכלול אפשרויות אלגוריתמים התואמות לגירסה הקודמת.

לקבלת מידע נוסף, ראה אלגוריתמים ושיטות של IPsec הנתמכים ב- Windows (ייתכן שהדף יוצג באנגלית) ‏(https://go.microsoft.com/fwlink/?linkid=129230).

  • AES-GCM 256

  • AES-GCM 192

  • AES-GCM 128

  • AES-GMAC 256

  • AES-GMAC 192

  • AES-GMAC 128

  • SHA-1

  • MD5

אבטחה הערה

איננו ממליצים על השימוש ב- MD5. הוא מסופק עבור תאימות לאחור בלבד.

הערה

אם תציין אלגוריתם AES-GCM לתקינות, עליך לציין את אותו האלגוריתם להצפנה.

אורך חיים של מפתח

הגדרות אורך החיים קובעות את מועד היצירה של מפתח חדש. אורך החיים של מפתח מאפשר לך לכפות יצירה של מפתח חדש לאחר מרווח זמן שצוין או לאחר שהועברה כמות נתונים שצוינה. לדוגמה, אם התקשורת נמשכת 100 דקות ואורך החיים של המפתח נקבע ל- 10 דקות, יופקו 10 מפתחות (מפתח אחד בכל 10 דקות) במהלך חילופי הנתונים. שימוש במספר רב של מפתחות מבטיח שאם תוקף מצליח להשיג את המפתח לחלק אחד של התקשורת, התקשורת כולה לא תיחשף.

הערה

הפקה מחדש זו של מפתחות מיועדת לתקינות נתונים והצפנה של מצב מהיר, והיא אינה משפיעה על הגדרות אורך חיים של מפתח עבור חילופי מפתחות של מצב ראשי.

דקות

השתמש בהגדרה זו כדי לקבוע את אורך חייו, בדקות, של המפתח המשמש בשיוכי אבטחה של מצב מהיר. לאחר פרק זמן זה, המפתח יופק מחדש. פעילויות תקשורת עוקבות ישתמשו במפתח החדש.

אורך החיים המקסימלי הוא 2,879 דקות (48 שעות). אורך החיים המינימלי הוא 15 דקות. אנו ממליצים שתיצור מחדש מפתחות רק בתדירות שדורש ניתוח הסיכונים. יצירה מחדש מוגזמת של מפתחות עשויה להשפיע על הביצועים.

KB

השתמש בהגדרה זו כדי לקבוע את כמות הנתונים בקילו-בתים (KB) שנשלחים באמצעות המפתח. לאחר שהמכסה מתמלאת, המנה מאופס והמפתח נוצר מחדש. פעילויות תקשורת עוקבות ישתמשו במפתח החדש.

אורך החיים המקסימלי הוא ‎2,147,483,647 KB. אורך החיים המינימלי הוא ‎20,480 MB. אנו ממליצים שתיצור מחדש מפתחות רק בתדירות שדורש ניתוח הסיכונים. יצירה מחדש מוגזמת של מפתחות עשויה להשפיע על הביצועים.

למידע נוסף


תוכן העניינים