استخدم مربع الحوار هذا لتكوين عرض خوارزمية يتضمن كل من تكامل البيانات وسرية البيانات (التشفير)، ويكون متوفراً عند مفاوضة اقترانات أمان الوضع السريع. يجب تحديد كل من البروتوكول والخوارزمية المستخدمين في حماية تكامل البيانات في حزمة الشبكة.

يوفر "أمان بروتوكول إنترنت" (Internet Protocol security) ‏(IPsec) التكامل عن طريق حساب التجزئة التي تم إنشاؤها من البيانات الموجودة في حزمة الشبكة. ويتم بعد ذلك التوقيع على التجزئة بشكل سري (تشفيرها) وتضمينها في حزمة IP. يستخدم الكمبيوتر المتلقي نفس الخوارزمية لحساب التجزئة ومقارنة نتائجها بالتجزئة المضمنة في الحزمة المتلقاة. في حالة وجود توافق، فستكون المعلومات المتلقاة هي بالضبط نفس المعلومات التي تم إرسالها، ويتم قبول الحزمة. وإذا لم تكن تتوافق، فسيتم إسقاط الحزمة.

سيكون من الصعب تغيير الرسالة حسابياً عند استخدام تجزئة مشفرة للرسالة التي تم إرسالها دون أن يؤدي ذلك إلى حدوث عدم التوافق مع التجزئة. ويكون هذا الأمر هاماً عند تبادل البيانات من خلال شبكة غير آمنة، مثل إنترنت، حيث يوفر طريقة لمعرفة أنه لم يتم تغيير الرسالة أثناء النقل.

وبالإضافة إلى حماية التكامل، يسمح مربع الحوار هذا بتحديد خوارزمية التشفير التي تساعدك في منع قراءة البيانات في حالة الوصول إلى حزمة البيانات أثناء نقلها.

كيفية الوصول إلى مربع الحوار هذا
  1. في صفحة الأداة الإضافية ‎جدار حماية Windows مع أمان متقدم MMC، ضمن Overview، انقر فوق Windows Firewall Properties.

  2. انقر فوق علامة التبويب IPsec Settings.

  3. أسفل IPsec defaults، انقر فوق Customize.

  4. أسفل Data protection (Quick Mode)‎، قم بتحديد Advanced، ثم انقر فوق Customize.

  5. أسفل Data integrity and encryption، قم بتحديد مجموعة خوارزميات من القائمة، ثم انقر فوق Edit أو Add.

Protocol

يتم استخدام البروتوكولات التالية لتضمين معلومات التكامل والتشفير في حزمة IP.

ESP (recommended)‎

يوفر تغليف حمولة الأمان (ESP) السرية (بالإضافة إلى المصادقة والتكامل وعدم إعادة تلقي الحزم) لحمولة IP. ولا يوقع ESP الحزمة بأكملها في وضع النقل. يتم حماية حمولة بيانات IP فقط وليس رأس IP. ويمكن استخدام ESP بمفرده أو مع Authentication Header ‏(AH). فباستخدام ESP، يتضمن حساب التجزئة رأس ESP والملحق والحمولة فقط. يوفر ESP خدمات سرية البيانات عن طريق تشفير حمولة ESP باستخدام إحدى خوارزميات التشفير المعتمدة. ويتم توفير خدمات إعادة تلقي الحزم من خلال تضمين رقم تسلسلي لكل حزمة.

ESP and AH

يجمع هذا الخيار بين أمان بروتوكول ESP مع بروتوكول AH. يوفر AH المصادقة والتكامل وعدم إعادة التلقي للحزمة بالكامل (يتم تضمين كل من رأس IP وحمولة البيانات في الحزمة).

هام

لا يتتطابق بروتوكول AH مع ترجمة عناوين الشبكة (NAT) لأن أجهزة NAT تحتاج إلى تغيير المعلومات الموجودة في رؤوس الحزم. وللسماح نقل البيانات المستند إلى IPsec بالمرور خلال جهاز ترجمة عناوين الشبكة (NAT)، يجب التأكد من أن NAT Traversal‏ (NAT-T) معتمداً على أجهزة الكمبيوتر النظيرة المزودة بـ IPsec.

Algorithms

خوارزميات التشفير

تكون خوارزميات التشفير التالية متوفرة لأجهزة الكمبيوتر التي تعمل باستخدام هذا الإصدار من Windows. بعض من هذه الخوارزميات لا تكون متوفرة على أجهزة الكمبيوتر التي تعمل باستخدام إصدارات قديمة من Windows. وإذا كان يجب تأسيس الاتصالات المحمية بواسطة IPsec باستخدام كمبيوتر يعمل باستخدام إصدار قديم من Windows، فيجب تضمين خيارات الخوارزمية المتوافقة مع الإصدار القديم.

لمزيد من المعلومات، راجع خوارزميات IPsec والأساليب المعتمدة في Windows (متوفر بالإنجليزية) ‏(https://go.microsoft.com/fwlink/?LinkID=129230).

  • AES-GCM 256

  • AES-GCM 192

  • AES-GCM 128

  • AES-CBC 256

  • AES-CBC 192

  • AES-CBC 128

  • 3DES

  • DES

الأمان ملاحظة

من المستحسن عدم استخدام DES. فقد تم توفيرها من أجل التوافق مع الإصدارات السابقة فقط.

ملاحظة

إذا قمت بتحديد خوارزمية AES-GCM للتشفير، فيجب القيام بتحديد نفس الخوارزمية للتكامل.

خوارزميات التكامل

تكون خوارزميات التكامل التالية متوفرة لأجهزة الكمبيوتر التي تعمل باستخدام هذا الإصدار من Windows. ولا تكون بعض من هذه الخوارزميات متوفرة على أجهزة الكمبيوتر التي تعمل باستخدام إصدارات أخرى من Windows. وإذا كان يجب تأسيس الاتصالات المحمية بواسطة IPsec باستخدام كمبيوتر يعمل باستخدام إصدار قديم من Windows، فيجب تضمين خيارات الخوارزمية المتوافقة مع الإصدار القديم.

لمزيد من المعلومات، راجع خوارزميات IPsec والأساليب المعتمدة في Windows (متوفر بالإنجليزية) ‏(https://go.microsoft.com/fwlink/?LinkID=129230).

  • AES-GCM 256

  • AES-GCM 192

  • AES-GCM 128

  • AES-GMAC 256

  • AES-GMAC 192

  • AES-GMAC 128

  • SHA-1

  • MD5

الأمان ملاحظة

من المستحسن عدم استخدام MD5. فقد تم توفيرها من أجل التوافق مع الإصدارات السابقة فقط.

ملاحظة

في حالة تحديد خوارزمية AES-GCM للتكامل، فيجب القيام بتحديد نفس الخوارزمية للتشفير.

Key lifetimes

تحدد إعدادات مدد البقاء الوقت الذي يتم فيه إنشاء مفتاح جديد. تسمح مدد بقاء المفاتيح بفرض إنشاء مفتاح جديد بعد فاصل زمني محدد أو بعد إرسال مقدار محدد من البيانات. على سبيل المثال، إذا استغرق الاتصال 100 دقيقة مع تحديد مدة بقاء المفتاح بـ 10 دقائق، يتم تكوين 10 مفاتيح (مفتاح كل 10 دقائق) أثناء التبادل. ويضمن استخدام عدة مفاتيح أنه في حالة نجاح أحد المهاجمين في الحصول على المفتاح الخاص بأحد أجزاء الاتصال، فلن يتم تعريض الاتصال بالكامل للخطر.

ملاحظة

تكون عملية إعادة إنشاء المفاتيح من أجل تكامل البيانات وتشفيرها في الوضع السريع، ولا تؤثر على إعدادات مدة بقاء المفتاح فيما يخص تبادل مفتاح الوضع الأساسي.

Minutes

استخدم هذا الإعداد لتكوين مدة استخدام المفتاح بالدقائق في مجموعة أمان الوضع السريع. وبعد انقضاء هذا الفاصل الزمني، يتم إعادة إنشاء المفتاح. وستستخدم الاتصالات اللاحقة المفتاح الجديد.

يكون الحد الأقصى لمدة بقاء المفتاح هو 2.879 دقيقة (48 ساعة). أما الحد الأدنى لمدة البقاء هو 5 دقائق. من المستحسن القيام بإعادة إنشاء مفتاح بشكل متكرر فقط كلما تطلب تحليل المخاطر ذلك. فعمليات إعادة إنشاء المفاتيح الزائدة عن الحد تؤثر على الأداء.

KB

استخدم هذا الإعداد لتكوين عدد الكيلوبايت الخاص بالبيانات المرسلة باستخدام المفتاح. وبعد الوصول إلى هذه العتبة، يتم إعادة تعيين العداد ويتم إعادة إنشاء المفتاح. وستستخدم الاتصالات اللاحقة المفتاح الجديد.

يكون الحد الأقصى لمدة البقاء هو 2,147,483,647 كيلوبايت. أما الحد الأدنى لمدة البقاء فيكون 20.480 كيلوبايت. من المستحسن القيام بإعادة إنشاء مفتاح بشكل متكرر فقط كلما تطلب تحليل المخاطر ذلك. فعمليات إعادة إنشاء المفاتيح الزائدة عن الحد تؤثر على الأداء.

راجع أيضاً


جدول المحتويات