استخدم مربع الحوار هذا لتكوين عرض خاص بخوارزمية تكامل البيانات يكون متوفراً عند مفاوضة اقترانات أمان الوضع السريع. ويجب تحديد كل من البروتوكول والخوارزمية المستخدمين في حماية تكامل البيانات في حزمة الشبكة.

يوفر "أمان بروتوكول إنترنت" (Internet Protocol security) ‏(IPsec) التكامل عن طريق حساب التجزئة التي تم إنشاؤها من البيانات الموجودة في حزمة الشبكة. ويتم بعد ذلك التوقيع على التجزئة بشكل سري (تشفيرها) وتضمينها في حزمة IP. يستخدم الكمبيوتر المتلقي نفس الخوارزمية لحساب التجزئة ومقارنة نتائجها بالتجزئة المضمنة في الحزمة المتلقاة. وفي حالة وجود توافق، فستكون المعلومات المتلقاة هي بالضبط نفس المعلومات التي تم إرسالها، ويتم قبول الحزمة. وإذا لم تكن تتوافق، فسيتم إسقاط الحزمة.

سيكون من الصعب تغيير الرسالة حسابياً عند استخدام تجزئة مشفرة للرسالة التي تم إرسالها دون أن يؤدي ذلك إلى حدوث عدم التطابق مع التجزئة. ويكون هذا الأمر هاماً عند تبادل البيانات من خلال شبكة غير آمنة، مثل إنترنت، حيث يوفر طريقة لمعرفة أنه لم يتم تغيير الرسالة أثناء النقل.

كيفية الوصول إلى مربع الحوار هذا

  1. في صفحة الأداة الإضافية ‎جدار حماية Windows مع أمان متقدم MMC، ضمن Overview، انقر فوق Windows Firewall Properties.

  2. انقر فوق علامة التبويب IPsec Settings.

  3. أسفل IPsec defaults، انقر فوق Customize.

  4. أسفل Data protection (Quick Mode)‎، قم بتحديد Advanced، ثم انقر فوق Customize.

  5. ضمن Data integrity، قم بتحديد مجموعة خوارزميات من القائمة، ثم انقر فوق Edit أو Add.

Protocol

يتم استخدام البروتوكولات التالية لتضمين معلومات التكامل في حزمة IP.

ESP (recommended)‎

يوفر ESP المصادقة والتكامل والحماية من إعادة تلقي الحزم لحمولة IP. ولا يقوم ESP المستخدم في وضع النقل بتوقيع الحزمة بالكامل. يتم حماية حمولة IP فقط وليس رأس IP. ويمكن استخدام ESP بمفرده أو مع AH. فباستخدام ESP، يتضمن حساب التجزئة رأس ESP والملحق والحمولة فقط. ويمكن لـ ESP توفير خدمات سرية البيانات بشكل اختياري عن طريق تشفير حمولة ESP باستخدام إحدى خوارزميات التشفير المعتمدة والمتعددة. ويتم توفير خدمات إعادة تلقي الحزم من خلال تضمين رقم تسلسلي لكل حزمة.

AH

يوفر AH المصادقة والتكامل وعدم إعادة التلقي للحزمة بالكامل (يتم تضمين كل من رأس IP وحمولة البيانات في الحزمة). إلا أنه لا يوفر السرية، وهو ما يعني أنه لا يقوم بتشفير البيانات. تكون البيانات قابلة للقراءة، إلا أنها تكون محمية ضد التعديل. ويتم استثناء بعض الحقول المسموح بتغييرها أثناء النقل من حساب التجزئة. ويتم توفير خدمات إعادة تلقي الحزم من خلال تضمين رقم تسلسلي لكل حزمة.

هام

يكون بروتوكول AH غير متوافق مع ترجمة عناوين الشبكة (NAT)، لأن أجهزة NAT تقوم بتغيير المعلومات في بعض رؤوس الحزم المضمنة في تجزئة التكامل. وللسماح لنقل البيانات المستند إلى IPsec بالمرور من خلال جهاز NAT، يجب استخدام ESP والتأكد من تمكين "قطع NAT"‏ (NAT-T) على أجهزة الكمبيوتر النظيرة التي تستخدم IPsec.

Null encapsulation

يعني تحديد التغليف الفارغ أنك لا ترغب في استخدام أي تكامل أو حماية التشفير لنقل بيانات الشبكة. يتم إجراء المصادقة حسب الطلب بواسطة قواعد أمان الاتصال، لكن لا يتم توفير أي حماية أخرى لحزم الشبكة التي يتم تبادلها خلال اقتران الأمان هذا.

الأمان ملاحظة

ولأن هذا الخيار لا يوفر أي تكامل أو حماية السرية من أي نوع، فمن المستحسن استخدامه فقط إذا كان يجب دعم البرنامج أو أجهزة الشبكة غير المتوافقة مع ESP أو AH.

Algorithms

تكون خوارزميات التكامل التالية متوفرة لأجهزة الكمبيوتر التي تعمل باستخدام هذا الإصدار من Windows. ولا تكون بعض من هذه الخوارزميات متوفرة على أجهزة الكمبيوتر التي تعمل باستخدام إصدارات أخرى من Windows. وإذا كان يجب تأسيس الاتصالات المحمية بواسطة IPsec باستخدام كمبيوتر يعمل باستخدام إصدار قديم من Windows، فيجب تضمين خيارات الخوارزمية المتوافقة مع الإصدار القديم.

لمزيد من المعلومات، راجع خوارزميات IPsec والأساليب المعتمدة في Windows (متوفر بالإنجليزية) ‏(https://go.microsoft.com/fwlink/?LinkID=129230).

  • AES-GMAC 256

  • AES-GMAC 192

  • AES-GMAC 128

  • SHA-1

  • MD5

    تنبيه

    لم تعد تعتبر خوارزمية MD5 آمنة، ويجب استخدامها فقط بغرض الاختبار أو في الحالات التي يتعذر على الكمبيوتر البعيد فيها استخدام خوارزمية أكثر أماناً. فقد تم توفيرها من أجل التوافق مع الإصدارات السابقة فقط.

Key lifetimes

تحدد إعدادات مدد البقاء الوقت الذي يتم فيه إنشاء مفتاح جديد. وتسمح مدد بقاء المفاتيح بفرض إنشاء مفتاح جديد بعد فاصل زمني محدد أو بعد إرسال مقدار محدد من البيانات. على سبيل المثال، إذا استغرق الاتصال 100 دقيقة وقمت بتحديد مدة بقاء المفتاح بـ 10 دقائق، فسيتم إنشاء 10 مفاتيح (مفتاح كل 10 دقائق) أثناء التبادل. يضمن استخدام عدة مفاتيح أنه في حالة تخطيط أحد المتسللين للحصول على المفتاح الخاص بأحد طرفي الاتصال، فلن يتم إجراء الاتصال بالكامل.

ملاحظة

يكون إعادة إنشاء المفاتيح خاص بتكامل البيانات في الوضع السريع فقط. ولا تؤثر هذه الإعدادات على إعدادات مدة بقاء المفتاح الخاصة بتبادل المفاتيح في الوضع الأساسي.

Minutes

استخدم هذا الإعداد لتكوين مدة استخدام المفتاح بالدقائق في مجموعة أمان الوضع السريع. وبعد انقضاء هذا الفاصل الزمني، يتم إنشاء مفتاح جديد. وستستخدم الاتصالات اللاحقة المفتاح الجديد.

يصل الحد الأقصى لمدة البقاء إلى 2,879 دقيقة (48 ساعة). بينما يكون الحد الأدنى لمدة البقاء هو 5 دقائق. ومن المستحسن القيام بإعادة إنشاء مفتاح بشكل متكرر فقط كلما تطلب تحليل المخاطر ذلك. فعمليات إعادة إنشاء المفاتيح الزائدة عن الحد تؤثر على الأداء.

KB

استخدم هذا الإعداد لتكوين عدد الكيلوبايت الخاص بالبيانات المرسلة باستخدام المفتاح. وبعد الوصول إلى هذه العتبة، يتم إعادة تعيين العداد ويتم إعادة إنشاء المفتاح. وستستخدم الاتصالات اللاحقة المفتاح الجديد.

يكون الحد الأقصى لمدة البقاء هو 2,147,483,647 كيلوبايت. أما الحد الأدنى لمدة البقاء فيكون 20.480 كيلوبايت. ومن المستحسن القيام بإعادة إنشاء مفتاح بشكل متكرر فقط كلما تطلب تحليل المخاطر ذلك. فعمليات إعادة إنشاء المفاتيح الزائدة عن الحد تؤثر على الأداء.

راجع أيضاً


جدول المحتويات