Negocjacja IKE (Internet Key Exchange) w trybie głównym służy do ustanawiania między dwoma komputerami bezpiecznego kanału określanego jako skojarzenie zabezpieczeń protokołu ISAKMP (Internet Security Association and Key Management Protocol). Skojarzenie zabezpieczeń protokołu ISAKMP jest używane do ochrony kolejnych wymian kluczy między komputerami równorzędnymi i występuje pod nazwą negocjacji w trybie szybkim. Aby ustanowić bezpieczny kanał, negocjacja w trybie głównym umożliwia ustalenie zestawu zabezpieczeń kryptograficznych, wymianę materiału kluczy w celu ustanowienia współużytkowanego klucza tajnego i uwierzytelnienie tożsamości komputera.
Monitorowanie skojarzeń zabezpieczeń trybu głównego może dostarczyć informacji na temat komputerów równorzędnych połączonych aktualnie z danym komputerem, informacji o terminie utworzenia skojarzeń, informacji na temat zestawu zabezpieczeń użytego do utworzenia skojarzeń oraz innych danych.
Filtry rodzajowe
Filtry rodzajowe są filtrami IP skonfigurowanymi do używania dowolnej opcji adresu IP jako adresu źródłowego lub adresu docelowego. Protokół IPsec pozwala na stosowanie w konfiguracji filtrów słów kluczowych, takich jak Mój adres IP, Serwer DNS, Serwer DHCP, Serwery WINS i Brama domyślna. Jeśli słowa kluczowe są używane, filtry rodzajowe pokazują słowa kluczowe w przystawce Monitorowanie zabezpieczeń IP. Określone filtry uzyskuje się przez rozwinięcie słów kluczowych do adresów IP.
Dodawanie, usuwanie i sortowanie kolumn
W okienku wyników można dodawać, usuwać, zmieniać kolejność i sortować według następujących kolumn:
- Nazwa.
- Źródło. To jest adres IP źródła pakietu.
- Miejsce docelowe. To jest adres IP miejsca docelowego pakietu.
- Zasada IKE. To jest nazwa zasady IKE skojarzonej z tym filtrem rodzajowym, a nie nazwa zasady IPsec utworzonej przy użyciu przystawki Zasady IPsec. Szczegóły zasady, takie jak zestaw używanych algorytmów kryptograficznych, można przeglądać w elemencie Zasada IKE.
- Metody uwierzytelniania. To jest lista wszystkich metod uwierzytelnienia możliwych do użycia w filtrze posortowana według priorytetu.
- Typ połączenia. To jest typ połączenia, do którego dany filtr ma zastosowanie: sieć lokalna, dostęp zdalny lub wszystkie typy połączeń sieciowych.
Określone filtry
Określone filtry są rozwijane z filtrów rodzajowych na podstawie adresów IP komputera źródłowego lub docelowego w rzeczywistym połączeniu. Na przykład jeśli w filtrze została użyta opcja Mój adres IP jako adres źródłowy oraz opcja Serwer DHCP jako adres docelowy, to w czasie, kiedy połączenie jest tworzone za pomocą tego filtru, zostanie automatycznie utworzony filtr zawierający adres IP używanego komputera oraz adres IP serwera DHCP, z którego ten komputer korzysta.
 | Uwaga |
Przystawka Monitor zabezpieczeń IP umożliwia również rozpoznawanie adresów IP jako nazw DNS na potrzeby folderu Określone filtry w folderze Tryb szybki, ale nie w folderze Tryb główny. |
Dodawanie, usuwanie i sortowanie kolumn
W okienku wyników można dodawać, usuwać i sortować poniższe kolumny oraz zmieniać ich kolejność:
- Nazwa.
- Źródło. To jest adres IP źródła pakietu.
- Miejsce docelowe. To jest adres IP miejsca docelowego pakietu.
- Kierunek. To ustawienie określa, czy filtr dotyczy ruchu wychodzącego, czy przychodzącego.
- Zasada IKE. To jest nazwa zasady IKE, a nie nazwa zasady IPsec utworzonej przy użyciu przystawki Zasady IPsec. Szczegóły zasady, takie jak zestaw używanych algorytmów kryptograficznych, można przeglądać w elemencie Zasada IKE.
- Metody uwierzytelniania. To jest lista wszystkich metod uwierzytelnienia możliwych do użycia w filtrze posortowana według priorytetu.
- Waga. To jest priorytet, jaki usługa IPsec nadaje filtrowi. Waga jest pochodną wielu czynników. Aby uzyskać więcej informacji o wagach filtrów, zobacz
https://go.microsoft.com/fwlink/?LinkId=62212 (strona może zostać wyświetlona w języku angielskim) .
Uwaga Na komputerach z systemami Windows Vista®, Windows Server® 2008 i nowszymi wersjami systemu Windows właściwość wagi ma zawsze ustawioną wartość 0.
Zasady IKE
Zasady IKE dotyczą integralności lub metod szyfrowania, które mogą być negocjowane między dwoma komputerami równorzędnymi podczas wymiany klucza trybu głównego.
Statystyka
Ta tabela zawiera informacje statystyczne dostępne w widoku Statystyka trybu głównego:
| Uwaga |
Niektóre z tych danych statystycznych nie mają zastosowania w przypadku komputerów z systemami Windows Vista, Windows Server 2008 i nowszymi wersjami systemu Windows. |
| Statystyka usługi IKE | Opis |
|---|---|
Aktywne pobieranie | Pobieranie oznacza żądanie sterownika IPsec dotyczące wykonania zadania przez usługę IKE. Kategoria informacji statystycznych Aktywne pobieranie obejmuje aktualnie przetwarzane żądanie oraz żądania oczekujące w kolejce. Zazwyczaj liczba aktywnych żądań jest równa 1. Przy dużym obciążeniu liczba aktywnych żądań jest równa 1 plus liczba żądań oczekujących w kolejce na przetworzenie przez usługę IKE. |
Aktywne odbieranie | Liczba odebranych komunikatów IKE, które oczekują w kolejce na przetworzenie. |
Błędy pobierania | Liczba operacji pobierania zakończonych niepowodzeniem. |
Błędy odbierania | Liczba określająca, ile razy funkcja WSARecvFrom() usługi Windows Sockets nie zdołała odebrać komunikatu IKE. |
Błędy wysyłania | Liczba określająca, ile razy funkcja WSASendTo() usługi Windows Sockets nie zdołała wysłać komunikatu IKE. |
Rozmiar stosu pobierania | Liczba pozycji w stosie pobierania, w którym przechowywane są aktywne pobrania. Ta liczba zwiększa się przy dużym obciążeniu, a następnie stopniowo maleje, w miarę jak stos pobierania jest oczyszczany. |
Rozmiar stosu odbierania | Liczba przychodzących wiadomości IKE w buforze odbiorczym usługi IKE. |
Niepowodzenia uwierzytelnień | Łączna liczba błędów uwierzytelniania tożsamości (opartego na protokole Kerberos, certyfikacie lub kluczu wstępnym), jakie wystąpiły podczas negocjacji w trybie głównym. W razie wystąpienia problemów z bezpieczną komunikacją należy podjąć próbę komunikacji i sprawdzić w widoku informacji statystycznych, czy ta liczba się zwiększa. Jeśli tak, należy przejrzeć ustawienia uwierzytelniania, aby sprawdzić, czy nie określono niepasującej metody uwierzytelniania albo niewłaściwej konfiguracji metod uwierzytelniania (na przykład czy nie są używane niepasujące klucze wstępne). |
Błędy negocjowania | Łączna liczba niepowodzeń negocjowania, które wystąpiły podczas negocjacji w trybie głównym lub trybie szybkim. W razie wystąpienia problemów z bezpieczną komunikacją należy podjąć próbę komunikacji i sprawdzić w widoku informacji statystycznych, czy ta liczba się zwiększa. Jeśli tak, należy przejrzeć ustawienia metod uwierzytelniania i zabezpieczeń, aby sprawdzić, czy nie określono niepasującej metody uwierzytelniania, niewłaściwej konfiguracji metod uwierzytelniania (na przykład czy nie są używane niepasujące klucze wstępne) albo niepasujących metod lub ustawień zabezpieczeń. |
Odebrano nieprawidłowe pliki cookie | Plik cookie to wartość zawarta w odebranym komunikacie IKE, która jest używana przez usługę IKE w celu znalezienia stanu aktywnego trybu głównego. Plik cookie, którego nie można dopasować do aktywnego trybu głównego, jest nieprawidłowy. |
Całkowite pobieranie | Całkowita liczba żądań wykonania zadań przesłanych przez usługę IKE do sterownika IPsec. |
Całkowita liczba żądań indeksu SPI | Całkowita liczba żądań uzyskania unikatowego indeksu SPI (Security Parameters Index) przesłanych przez usługę IKE do sterownika IPsec. |
Dodatki klucza | Liczba wychodzących skojarzeń zabezpieczeń trybu szybkiego dodanych przez usługę IKE do sterownika IPsec. |
Aktualizacje klucza | Liczba przychodzących skojarzeń zabezpieczeń trybu szybkiego dodanych przez usługę IKE do sterownika IPsec. |
Błędy żądań indeksu SPI | Liczba niepomyślnych żądań uzyskania unikatowego indeksu SPI przesłanych przez usługę IKE do sterownika IPsec. |
Błędy dodatków klucza | Liczba niepomyślnych żądań dodania wychodzących skojarzeń zabezpieczeń trybu szybkiego przesłanych przez usługę IKE do sterownika IPsec. |
Błędy aktualizacji klucza | Liczba niepomyślnych żądań dodania przychodzących skojarzeń zabezpieczeń trybu szybkiego przesłanych przez usługę IKE do sterownika IPsec. |
Rozmiar listy ISADB | Liczba pozycji określających stany trybu głównego, w tym wynegocjowane tryby główne, tryby główne w trakcie negocjacji oraz niepomyślne tryby główne, które nie zostały usunięte. |
Rozmiar listy połączeń | Liczba pozycji określających stany trybu szybkiego. |
Tryb główny IKE | Całkowita liczba udanych skojarzeń zabezpieczeń utworzonych w trakcie negocjacji w trybie głównym. |
Tryb szybki IKE | Całkowita liczba udanych skojarzeń zabezpieczeń utworzonych w trakcie negocjacji w trybie szybkim. Ponieważ zazwyczaj dla każdego skojarzenia zabezpieczeń trybu głównego tworzonych jest wiele skojarzeń zabezpieczeń trybu szybkiego, ta liczba może nie być równa liczbie dla trybu głównego. |
Skojarzenia słabe | Całkowita liczba negocjacji, które zakończyły się użyciem zwykłego tekstu (negocjacje te określa się również jako słabe skojarzenia zabezpieczeń). Zazwyczaj odzwierciedla ona liczbę skojarzeń uzgodnionych z komputerami, które nie odpowiadają na próby negocjacji w trybie głównym. Mogą do nich należeć zarówno komputery niezgodne z protokołem IPsec, jak i komputery zgodne z protokołem IPsec, które jednak nie mają ustawionej zasady IPsec umożliwiającej negocjowanie zabezpieczeń z danym węzłem równorzędnym IPsec. Chociaż słabe skojarzenia zabezpieczeń nie są wynikiem negocjacji w trybie głównym ani w trybie szybkim, są one traktowane jak skojarzenia zabezpieczeń trybu szybkiego. |
Odebrano nieprawidłowe pakiety | Liczba odebranych komunikatów IKE, które są nieprawidłowe, w tym komunikatów IKE z nieprawidłowymi polami nagłówka, niepoprawnymi długościami ładunku i niepoprawnymi wartościami plików cookie (gdy powinny one być ustawione na 0). Niepoprawne komunikaty IKE są zwykle spowodowane ponownym przesłaniem przestarzałych komunikatów IKE lub niedopasowanym kluczem wstępnym między elementami równorzędnymi usługi IPsec. |
| Uwaga |
Niektóre z tych statystyk można wykorzystać do wykrycia prób ataku z sieci. |
Skojarzenia zabezpieczeń
W tym widoku są wyświetlane aktywne skojarzenia zabezpieczeń na danym komputerze. Skojarzenie zabezpieczeń (SA) jest kombinacją wynegocjowanych kluczy, protokołu zabezpieczeń i indeksu parametrów zabezpieczeń (SPI, security parameters index), która określa zabezpieczenia używane do ochrony komunikacji między komputerem nadawczym a odbiorczym. Dlatego sprawdzając skojarzenia zabezpieczeń na danym komputerze, można między innymi ustalić, które komputery mają połączenie z tym komputerem oraz jaki typ integralności danych i szyfrowania jest używany na potrzeby tego połączenia.
Te informacje mogą być przydatne podczas testowania zasad IPsec i rozwiązywania problemów z dostępem.
Dodawanie, usuwanie i sortowanie kolumn
W okienku wyników można dodawać, usuwać i sortować poniższe kolumny oraz zmieniać ich kolejność:
- Ja. To jest adres IP komputera lokalnego.
- Identyfikator tego komputera. To jest nazwa DNS komputera lokalnego.
- Węzeł równorzędny. To jest adres IP komputera zdalnego lub węzła równorzędnego.
- Identyfikator komputera równorzędnego. To jest nazwa DNS komputera zdalnego lub węzła równorzędnego.
- Uwierzytelnianie. To jest metoda uwierzytelniania używana podczas tworzenia skojarzenia zabezpieczeń.
- Szyfrowanie. To jest metoda szyfrowania używana przez skojarzenie zabezpieczeń do wymiany klucza w trybie szybkim.
- Integralność. To jest metoda zapewniania integralności danych używana przez skojarzenie zabezpieczeń do wymiany klucza w trybie szybkim.
- Diffie-Hellman. To jest grupa Diffie-Hellman używana do tworzenia skojarzenia zabezpieczeń w trybie głównym.