استخدم مربع الحوار هذا لإضافة الأولوية أو تحريرها أو تغييرها، أو لإزالة مجموعات الخوارزميات المتوفرة لتبادل المفاتيح أثناء مفاوضات الوضع الأساسي. ويمكنك تحديد أكثر من مجموعة خوارزميات واحدة، بالإضافة إلى أنه يمكنك تعيين الترتيب الذي يتم به اختيار المجموعات. ويتم استخدام المجموعة الأولى في القائمة والمتوافقة مع كلا النظيرين.
ملاحظة | |
من أفضل الممارسات سرد مجموعات الخوارزميات بترتيب حسب مستوى الأمان ليكون الأعلى أماناً في الأعلى والأقل أماناً في الأسفل. وهكذا، يتم استخدام الخوارزمية الأعلى أماناً بالاشتراك بين جهازي الكمبيوتر المتفاوضين. ويمكن استخدام الخوارزميات الأقل أماناً من أجل التوافق مع الإصدارات السابقة. |
كيفية الوصول إلى مربع الحوار هذا |
في صفحة الأداة الإضافية جدار حماية Windows مع أمان متقدم MMC، ضمن Overview، انقر فوق Windows Firewall Properties.
انقر فوق علامة التبويب IPsec Settings.
أسفل IPsec defaults، انقر فوق Customize.
ضمن Key exchange (Main Mode)، قم بتحديد Advanced، ثم انقر فوق Customize.
Security methods
"أساليب الأمان" (Security methods) هي مجموعات من خوارزميات التكامل وخوارزميات التشفير التي تحمي عمليات تبادل المفاتيح. ويمكن أن يكون لديك العديد من المجموعات على قدر حاجتك، كما يمكن ترتيبها بالتسلسل المفضل لديك في القائمة. ويتم استخدام المجموعات حسب الترتيب الذي يتم عرضها به. ويتم استخدام أول مجموعة يتم قبولها من قبل كل من جهازي الكمبيوتر النظيرين. وإذا تعذر على الكمبيوتر النظير استخدام أي من المجموعات التي قمت بتعريفها، تفشل محاولة الاتصال.
تكون بعض الخوارزميات معتمدة فقط من قبل أجهزة الكمبيوتر التي تعمل باستخدام هذا الإصدار من Windows. لمزيد من المعلومات، راجع
لإضافة مجموعة إلى القائمة، انقر فوق Add لاستخدام مربع الحوار Add or Edit Security Method.
لإعادة ترتيب القائمة، حدد مجموعة، ثم انقر فوق السهمين لأعلى أو لأسفل.
ملاحظة | |
من أفضل الممارسات ترتيب مجموعات الخوارزميات بترتيب حسب مستوى الأمان ليكون الأعلى أماناً في أعلى القائمة والأقل أماناً في أسفلها. ويضمن هذا استخدام أكثر الأساليب أماناً التي يمكن لكلا النظيرين استخدامها. |
Key lifetimes
تحدد إعدادات مدد البقاء الوقت الذي يتم فيه إنشاء مفتاح جديد. تسمح لك مدد بقاء المفاتيح بفرض إنشاء مفتاح جديد بعد فاصل زمني محدد أو بعد عدد محدد من جلسات العمل التي يتم حمايتها بواسطة استخدام المفتاح الحالي. ويضمن استخدام مفاتيح متعددة أن يتم عرض كم قليل من المعلومات فقط إذا حاول أحد المتطفلين الوصول إلى المفتاح، وذلك قبل إنشاء مفتاح جديد وحماية نقل بيانات الشبكة مرة أخرى. ويمكنك تحديد مدة البقاء حسب كل من الدقائق وعدد جلسات العمل. يتم استخدام أول عتبة يتم الوصول إليها ويتم إعادة إنشاء المفتاح.
ملاحظة | |
تكون عملية إعادة إنشاء المفاتيح هذه خاصة بتبادل المفاتيح في الوضع الأساسي فقط. ولا تؤثر هذه الإعدادات على إعدادات مدة بقاء المفتاح الخاصة بتبادل المفاتيح في الوضع الأساسي. |
Minutes
استخدم هذا الإعداد لتكوين المدة التي يتم فيها استخدام المفتاح في اقتران أمان الوضع الأساسي بالدقائق. وبعد انقضاء هذا الفاصل الزمني، يتم إنشاء مفتاح جديد. تستخدم جلسات عمل الوضع الأساسي اللاحقة المفتاح الجديد.
يكون الحد الأقصى لمدة بقاء المفتاح هو 2.879 دقيقة (48 ساعة). بينما يبلغ الحد الأدنى لمدة البقاء دقيقة واحدة. ومن المستحسن القيام بإعادة إنشاء مفتاح بشكل متكرر فقط كلما تطلب تحليل المخاطر ذلك. فعمليات إعادة إنشاء المفاتيح الزائدة عن الحد تؤثر على الأداء.
Sessions
جلسة العمل هي رسالة مميزة أو مجموعة رسائل محمية بواسطة اقتران أمان الوضع السريع. يحدد هذا الإعداد عدد جلسات العمل الخاصة بإنشاء المفاتيح في الوضع السريع التي يمكن حمايتها باستخدام نفس معلومات مفتاح الوضع الأساسي. وبعد الوصول إلى العتبة، يتم إعادة تعيين العداد ويتم إنشاء مفتاح جديد. ستستخدم الاتصالات اللاحقة المفتاح الجديد. ويكون الحد الأقصى للقيمة هو 2.147.483.647 جلسة عمل. أما الحد الأدنى فهو 0 جلسة عمل.
يؤدي تعيين حد جلسات العمل إلى صفر (0) إلى تحديد إنشاء مفتاح جديد بواسطة الإعداد Key lifetime (in minutes) فقط.
يجب الانتباه أثناء إعداد مدد بقاء المفاتيح شديدة الاختلاف بالنسبة لمفاتيح الوضع الأساسي والوضع السريع. على سبيل المثال، قد يؤدي تعيين مدة بقاء المفتاح الخاص بالوضع الأساسي إلى ثمان ساعات ومدة بقاء مفتاح الوضع السريع إلى ساعتين إلى وجود اقتران أمان الوضع السريع فعالاً لساعتين تقريباً بعد انتهاء مدة صلاحية اقتران أمان الوضع الأساسي. وهذا يحدث عندما يتم إنشاء اقتران أمان الوضع السريع قبل انتهاء مدة صلاحية اقتران أمان الوضع الأساسي بفترة قصيرة.
هام | |
كلما زاد عدد جلسات العمل المسموح بها لكل مفتاح خاص بالوضع الأساسي، زادت فرص اكتشاف مفتاح الوضع الأساسي. وعند الرغبة في تحديد عدد مرات إعادة الاستخدام هذه، فيمكنك تعيين حد لمفتاح الوضع السريع. |
الأمان ملاحظة | |
لتكوين "السرية التامة لإعادة التوجيه" (perfect forward secrecy) (PFS) الخاصة بالوضع الأساسي، قم بتعيين Key lifetime in sessions إلى 1. وبالرغم من أن هذا التكوين يوفر حماية إضافية ملحوظة، فهو ينفذ أيضاً جزاءات ملحوظة خاصة بالأداء من الناحية الحسابية وخاصة بأداء الشبكة. تقوم كل جلسة عمل وضع سريع جديدة بإعادة إنشاء مادة إنشاء المفاتيح الخاصة بالوضع الأساسي، مما يؤدي إلى إعادة مصادقة جهازي الكمبيوتر. ومن المستحسن تمكين PFS فقط في البيئات التي قد يكون فيها نقل بيانات IPsec عرضة للمتطفلين المتطورين الذين قد يحاول أحدهم تعريض حماية التشفير القوية المتوفرة بواسطة IPsec للخطر. |
Key exchange options
Use Diffie-Hellman for enhanced security
يدعم Windows Vista والإصدارات الحديثة من Windows "بروتوكول IP المصادق عليه" (AuthIP) بالإضافة إلى "مفتاح إنترنت التبادلي" (IKE) لإنشاء اتصال الأمان المبدئي حيث يتم مفاوضة باقي معلمات IPsec. يستخدم IKE عمليات التبادل التي تتم باستخدام Diffie-Hellman فقط. وعند استخدام AuthIP، لا يتم المطالبة ببروتوكول تبادل مفتاح Diffie-Hellman. بدلاً من ذلك، عند المطالبة بالمصادقة باستخدام الإصدار 5 من Kerberos، يتم استخدام سر تذكرة الخدمة الخاص بالإصدار 5 من Kerberos بدلاً من قيمة Diffie-Hellman. وعند المطالبة إما بمصادقة شهادة أو مصادقة NTLM، يتم إنشاء جلسة عمل أمان مستوى النقل (TLS)، ويتم استخدام السر الخاص بها بدلاً من قيمة Diffie-Hellman.
في حالة تحديد خانة الاختيار هذه، تحدث عملية تبادل Diffie-Hellman بغض النظر عن نوع المصادقة المحدد، ويتم استخدام سر Diffie-Hellman لتأمين باقي مفاوضات IPsec. استخدم هذا في حالة تحديد المتطلبات الإجرائية بضرورة استخدام تبادل Diffie-Hellman.