ניהול משא ומתן 'חילופי מפתחות באינטרנט (IKE) במצב ראשי' יוצר ערוץ בטוח, שנקרא שיוכי אבטחה מסוג 'שיוכי אבטחת אינטרנט ופרוטוקול לניהול מפתחות' (ISAKMP) בין שני מחשבים. שיוכי אבטחה מסוג ISAKMP משמשים להגנת חילופי מפתחות משנה בין מחשבים עמיתים, הנקראים משא ומתן ב'מצב מהיר'. כדי ליצור ערוץ בטוח, משא ומתן ב'מצב מהיר' קובע סדרה של חבילות הגנה מוצפנות, מבצע החלפת חומרים ליצירת מפתחות כדי ליצור את המפתח הסודי המשותף ומאמת את זהות המחשב.
ניטור רכיבי SA במצב הראשי מספק מידע אודות אילו מחשבים עמיתים מחוברים כעת למחשב, בעת יצירת רכיבי SA, איזו חבילת הגנה שימשה ליצירת רכיב ה- SA ומידע אחר.
מסננים כלליים
מסננים כלליים הם מסנני IP המוגדרים להשתמש בכל אפשרויות כתובות ה- IP ככתובת מקור או יעד. IPsec מאפשר לך להשתמש במילות מפתח, כגון כתובת ה- IP שלי, שרת DNS, שרת DHCP, שרתי WINS, ושער ברירת מחדל בתצורת המסננים. בעת שימוש במילות מפתח, מסננים כלליים מציגים את מילות המפתח ביישום ה- Snap-in 'ניטור אבטחת IP'. מסננים ספציפיים נגזרים כתוצאה מהרחבת מילות מפתח לכתובות IP.
הוספה, הסרה ומיון של עמודות
באפשרותך להוסיף, להסיר, לסדר מחדש ולמיין את העמודות בחלונית התוצאות:
- שם.
- מקור. זוהי כתובת ה- IP של מקור המנה.
- יעד. זוהי כתובת ה- IP של יעד המנה.
- מדיניות IKE. זהו השם של מדיניות IKE המשויכת למסנן כללי זה, ולא השם של מדיניות IPsec שיצרת באמצעות יישום ה- snap-in 'מדיניות IPsec'. את פרטי המדיניות, כגון באיזו סדרה של אלגוריתמי הצפנה נעשה שימוש, ניתן להציג בפריט 'מדיניות IKE'.
- שיטות אימות. זוהי רשימה של כל שיטות האימות הזמינות למסנן, לפי סדר עדיפות.
- סוג החיבור. זהו סוג החיבור שהמסנן חל עליו, רשת תקשורת מקומית (LAN), גישה מרחוק, או כל סוגי חיבורי הרשת.
מסננים ספציפיים
מסננים ספציפיים נגזרים כתוצאה מהרחבה של מסננים כלליים באמצעות שימוש בכתובות IP של מחשב המקור או היעד עבור החיבור הממשי. לדוגמה, אם יש ברשותך מסנן שהשתמש באפשרות כתובת ה- IP שלי ככתובת המקור ובאפשרות שרת DHCP ככתובת היעד, בעת יצירת חיבור באמצעות שימוש במסנן זה, נוצר באופן אוטומטי מסנן המכיל את כתובת ה- IP של מחשבך ואת שרת ה- DHCP המשמש את המחשב.
 | הערה |
יישום ה- Snap-in של צג אבטחת IP יכול לזהות כתובות IP כשמות DNS בתיקיה 'מסננים ספציפיים' שבתיקיה 'מצב מהיר', אך לא בתיקיה 'מצב ראשי'. |
הוספה, הסרה ומיון של עמודות
באפשרותך להוסיף, להסיר, לסדר מחדש ולמיין את העמודות בחלונית התוצאות לפי:
- שם.
- מקור. זוהי כתובת ה- IP של מקור המנה.
- יעד. זוהי כתובת ה- IP של יעד המנה.
- כיוון. הדבר מציין אם המסנן נכנס או יוצא.
- מדיניות IKE. זהו השם של מדיניות IKE, ולא השם של מדיניות IPsec שיצרת באמצעות יישום ה- snap-in 'מדיניות IPsec'. את פרטי המדיניות, כגון באיזו סדרה של אלגוריתמי הצפנה נעשה שימוש, ניתן להציג בפריט 'מדיניות IKE'.
- שיטות אימות. זוהי רשימה של כל שיטות האימות הזמינות למסנן, לפי סדר עדיפות.
- משקל. זוהי העדיפות הניתנת למסנן על-ידי שירות IPsec. המשקל נגזר ממספר גורמים. לקבלת מידע נוסף אודות משקלי מסנן, ראה
https://go.microsoft.com/fwlink/?LinkId=62212 .
הערה מאפיין המשקל תמיד מוגדר כ- 0 במחשבים המפעילים את Windows Vista®, Windows Server® 2008 או גירסאות מתקדמות יותר של Windows.
פריטי מדיניות IKE
מדיניות IKE מתייחסת לשיטות תקינות והצפנה שבעזרתן שני המחשבים העמיתים מנהלים משא ומתן בחילופי מפתחות ב'מצב ראשי'.
סטטיסטיקה
טבלה זו מפרטת את הסטטיסטיקה הזמינה בתצוגה 'סטטיסטיקה במצב ראשי':
| הערה |
חלק מן הסטטיסטיקות האלה אינן חלות על מחשבים המפעילים Windows Vista, Windows Server 2008 או גרסאות מתקדמות יותר של Windows. |
| סטטיסטיקת IKE | תיאור |
|---|---|
רכישה פעילה | רכישה היא בקשה ממנהל ההתקן של IPsec לגרום ל- IKE לבצע פעולה. הסטטיסטיקה 'רכישה פעילה' כוללת את הבקשה הנמצאת בטיפול ואת מספר הבקשות הממתינות בתור, אם יש כאלה. בדרך כלל, מספר הרכישות הפעילות הוא 1. תחת עומס כבד, מספר הרכישות הפעילות הוא 1 ומספר הבקשות הממתינות בתור על-ידי IKE לצורך עיבוד, גדל. |
קבלה פעילה | מספר הודעות IKE שהתקבלו הממתינות בתור לעיבוד. |
כשלים ברכישה | מספר הפעמים שפעולת רכישה נכשלה. |
כשלים בקבלה | מספר הפעמים שהפונקציה WSARecvFrom() של Windows Sockets נכשלה בעת קבלת הודעות IKE. |
כשלים בשליחה | מספר הפעמים שהפונקציה WSASendTo() של Windows Sockets נכשלה בעת שליחת הודעות IKE. |
רכישת גודל ערימה | מספר הרשומות ברכישת ערימה, המאחסנת רכישות פעילות. מספר זה גדל תחת עומס כבד וקטן בהדרגה במשך הזמן, ככל שרכישת ערימה מתרוקנת. |
קבלת גודל ערימה | מספר הערכים במאגרי הקבלה של IKE עבור הודעות IKE נכנסות. |
כשלים באימות | המספר הכולל של כשלים באימות זהויות (Kerberos, אישורים ומפתח ששותף מראש) שהתרחשו במהלך משא ומתן של מצב ראשי. אם אתה מתקשה לקיים תקשורת מאובטחת, נסה לבצע את החיבור ובדוק בסטטיסטיקה אם המספר גדל. אם המספר גדל, בדוק את הגדרות האימות עבור שיטת אימות לא תואמת או עבור תצורה שגויה של שיטת אימות (לדוגמה, שימוש במפתחות משותפים מראש שאינם מתאימים). |
כשלים במשא ומתן | המספר הכולל של כשלים במשא ומתן שאירעו בזמן משאים ומתנים במצב ראשי או במצב מהיר. אם אתה מתקשה לקיים תקשורת מאובטחת, נסה לבצע את החיבור ובדוק בסטטיסטיקה אם המספר גדל. אם המספר גדל, בדוק את הגדרות שיטת האבטחה והאימות עבור שיטת אימות לא תואמת, תצורה שגויה של שיטת אימות (לדוגמה, שימוש במפתחות משותפים מראש שאינם מתאימים) או הגדרות או שיטות אבטחה לא תואמות. |
התקבלו קבצי Cookie לא חוקיים | קובץ Cookie הוא ערך הנכלל בהודעת IKE המשמשת את IKE כדי לבדוק את המצב של מצב ראשי פעיל. קובץ Cookie בהודעת IKE שלא ניתן להתאים למצב ראשי פעיל אינו חוקי. |
סה"כ רכישה | המספר הכולל של בקשות העבודה שנשלחו על-ידי IKE למנהל ההתקן של IPsec. |
סה"כ קבלת SPI | המספר הכולל של הבקשות שנשלחו על-ידי IKE למנהל ההתקן של IPsec כדי לקבל אינדקס פרמטרי אבטחה (SPI) ייחודי. |
תוספות מפתח | מספר שיוכי האבטחה היוצאים במצב מהיר שנוספו על-ידי IKE למנהל ההתקן של IPsec. |
עדכוני מפתח | מספר שיוכי האבטחה הנכנסים במצב מהיר שנוספו על-ידי IKE למנהל ההתקן של IPsec. |
כשלים בקבלת SPI | מספר הבקשות שנכשלו, שנשלחו על-ידי IKE למנהל ההתקן של IPsec כדי לקבל SPI ייחודי. |
כשלים בהוספת מפתחות | מספר הבקשות היוצאות להוספת שיוכי אבטחה במצב מהיר שנכשלו, שנשלחו על-ידי IKE למנהל ההתקן של IPsec. |
כשלים בעדכון מפתחות | מספר הבקשות הנכנסות להוספת שיוכי אבטחה במצב מהיר שנכשלו, שנשלחו על-ידי IKE למנהל ההתקן של IPsec. |
גודל רשימת ISADB | מספר רשומות המצב של מצב ראשי, כולל מצבים ראשיים שעברו משא ומתן, מצבים ראשיים הנמצאים בביצוע ומצבים ראשיים שנכשלו ולא נמחקו. |
גודל רשימת החיבורים | מספר רשומות המצב של מצב מהיר. |
מצב ראשי של IKE | המספר הכולל של שיוכי אבטחה מוצלחים שנוצרו במהלך משא ומתן של מצב ראשי. |
מצב מהיר של IKE | המספר הכולל של שיוכי אבטחה מוצלחים שנוצרו במהלך משא ומתן של מצב מהיר. כיוון שבדרך כלל נוצרים מספר שיוכי אבטחה של מצב מהיר עבור שיוך אבטחה אחד של מצב ראשי, מספר זה אינו תואם בהכרח למספר המצב הראשי. |
שיוכים רכים | המספר הכולל של תהליכי משא ומתן שתוצאתם היתה שימוש בטקסט רגיל (ידועים גם כשיוכי אבטחה רכים). מספר זה משקף בדרך כלל את מספר השיוכים שנוצרו באמצעות מחשבים שלא הגיבו לניסיונות משא ומתן של מצב ראשי. בין מחשבים אלה יכולים להיות מחשבים שאינם תואמי IPSec ומחשבים שהם תואמי IPSec אך אינם בעלי מדיניות IPSec לניהול משא ומתן אודות אבטחה עם מחשב עמית זה של IPSec. למרות ששיוכי אבטחה רכים אינם תוצאה של משא ומתן של מצב ראשי ומצב מהיר, עדיין מתייחסים אליהם כאל שיוכי אבטחה של מצב מהיר. |
התקבלו מנות בלתי חוקיות | מספר הודעות IKE שהתקבלו ואינן חוקיות, כולל הודעות IKE עם שדות כותרת לא חוקיים, אורכי תוכן מנה (Payload) שגויים וערכים שגויים עבור קובץ Cookie של המשיב (על הערך להיות מוגדר כ- 0). הודעות IKE לא חוקיות נגרמות בדרך כלל על-ידי הודעות IKE מיושנות ששודרו מחדש או על-ידי מפתח ששותף מראש שאינו תואם בין מחשבים עמיתים של IPsec. |
| הערה |
ניתן להשתמש בחלק מהסטטיסטיקה הזו כדי לזהות ניסיונות לתקיפת הרשת. |
שיוכי אבטחה
תצוגה זו מציגה את שיוכי האבטחה הפעילים במחשב זה. שיוך אבטחה הוא שילוב של מפתח שעבר משא ומתן, פרוטוקול אבטחה ו- SPI (אינדקס פרמטרי אבטחה), המגדירים ביחד את האבטחה המשמשת להגנה על התקשורת מהשולח למקבל. על כן, לפי שיוכי האבטחה של המחשב, באפשרותך לקבוע אילו מחשבים יחוברו למחשב זה, איזה סוג של תקינות והצפנת נתונים משמש את אותו חיבור ומידע אחר.
המידע שימושי בעת בדיקת מדיניות IPsec ופתרון בעיות גישה.
הוספה, הסרה ומיון של עמודות
באפשרותך להוסיף, להסיר, לסדר מחדש ולמיין את העמודות בחלונית התוצאות לפי:
- אני . זוהי כתובת ה- IP של המחשב המקומי.
- המזהה שלי. זהו שם ה- DNS של המחשב המקומי.
- עמית. זוהי כתובת ה- IP של מחשב מרוחק או עמית.
- מזהה עמית. זהו שם ה- DNS של מחשב מרוחק או עמית.
- אימות / זוהי שיטת האימות המשמשת ליצירת SA.
- הצפנה. זוהי שיטת ההצפנה המשמשת את ה- SA עבור חילופי מפתחות במצב מהיר.
- תקינות. זוהי שיטת תקינות הנתונים המשמשת את ה- SA עבור חילופי מפתחות במצב מהיר.
- Diffie-Hellman. זוהי קבוצת Diffie-Hellman המשמשת ליצירת ה- SA של מצב ראשי.