Brug denne dialogboks til at tilføje, redigere, ændre prioriteten af eller fjerne de algoritmekombinationer, der findes for nøgleudveksling under forhandlinger i hovedtilstand. Du kan angive mere end én algoritmekombination, og du kan tildele den rækkefølge, som kombinationerne forsøges i. Den første kombination på listen, som er kompatibel med begge peers, bruges.
Bemærk! | |
Den bedste fremgangsmåde er at vise alle algoritmekombinationerne i rækkefølge med den højeste sikkerhed øverst og den laveste sikkerhed nederst. På den måde bruges den mest sikre algoritme af de to computere. De mindre sikre algoritmer kan bruges af hensyn til bagudkompatibilitet. |
Sådan åbnes dialogboksen |
Klik på Egenskaber for Windows Firewall under Oversigt i MMC-snap-in'en Windows Firewall med avanceret sikkerhed.
Klik på fanen IPsec-indstillinger.
Klik på Tilpas under IPsec-standardindstillinger.
Vælg Avanceret under Nøgleudveksling (hovedtilstand), og klik derefter på Tilpas.
Sikkerhedsmetoder
Sikkerhedskombinationer er kombinationer af integritetsalgoritmer og krypteringsalgoritmer, der beskytter nøgleudvekslingen. Du kan have så mange kombinationer, du ønsker, og du kan arrangere dem i den foretrukne rækkefølge på listen. Kombinationerne forsøges i den viste rækkefølge. Den første pakke, som begge peercomputere accepterer, anvendes. Hvis peercomputeren ikke kan bruge nogen af de definerede kombinationer, bliver forbindelsen ikke oprettet.
Visse algoritmer understøttes kun af computere, der kører denne version af Windows. Du kan finde flere oplysninger under
Hvis du vil føje en kombination til listen, skal du klikke på Tilføj for at bruge dialogboksen Tilføj eller Rediger sikkerhedsmetode.
Hvis du vil ændre rækkefølgen på listen, skal du vælge en kombination og derefter klikke på pil op eller ned.
Bemærk! | |
Som en bedste fremgangsmåde bør du sortere kombinationerne, så de kombinationer, der har den højeste sikkerhed, står øverst på listen, og dem med lavest sikkerhed står nederst på listen. Derved sikres, at den mest sikre metode, som begge peercomputere kan acceptere, anvendes. |
Levetid for nøgler
Indstillingerne for en nøgles levetid fastslår, hvornår der oprettes en ny nøgle. Levetiden for nøgler gør det muligt at gennemtvinge oprettelse af en ny nøgle efter den angivne tidsperiode, eller efter at et angivet antal sessioner er blevet beskyttet med nøglen. Hvis du bruger flere nøgler, sikrer du, at en angriber, som har fået adgang til en nøgle, kun kan få adgang til en lille mængde oplysninger, inden der oprettes en ny nøgle, så netværkstrafikken igen er sikker. Du kan både angive levetiden i minutter og antal sessioner. Den første grænse, der nås, bruges, og nøglen gendannes.
Bemærk! | |
Nøgleoprettelsen er kun beregnet til nøgleudveksling i hovedtilstand. Indstillingerne har ikke indflydelse på indstillingerne for levetiden for nøgler for databeskyttelse i hurtigtilstand. |
Minutter
Brug denne indstilling til at konfigurere, hvor længe den nøgle, der bruges i sikkerhedstilknytninger i hovedtilstand varer. Angives i minutter. Efter den angivne periode oprettes der en ny nøgle. Efterfølgende sessioner i hovedtilstand bruger den nye nøgle.
Maksimumlevetiden er 2.879 minutter (48 timer). Minimumlevetiden er et minut. Det anbefales, at du kun opretter nye nøgler, så ofte som det er påkrævet af din risikoanalyse. Hvis der ofte oprettes nye nøgler, kan det påvirke ydelsen.
Sessioner
En session er en særskilt meddelelse eller et sæt af meddelelser, der er beskyttet af en sikkerhedstilknytning i hurtigtilstand. Indstillingen angiver, hvor mange sessioner til nøgleoprettelse i hurtigtilstand der kan beskyttes med de samme nøgleoplysninger for hovedtilstand. Når denne grænse er nået, nulstilles tælleren, og der oprettes en ny nøgle. Efterfølgende kommunikation bruger den nye nøgle. Maksimumværdien er 2.147.483.647 sessioner. Minimumværdien er nul sessioner.
En sessionsgrænse på nul (0) medfører, at oprettelsen af en ny nøgle kun bestemmes af indstillingen Nøglelevetid i minutter.
Vær forsigtig, når du angiver meget forskellige levetider for nøgler i hovedtilstand og hurtigtilstand. Hvis du f.eks. sætter levetiden for en nøgle i hovedtilstand til otte timer og levetiden for en nøgle i hurtigtilstand til to timer, kan der være en sikkerhedstilknytning i hurtigtilstand i næsten to timer efter, at sikkerhedstilknytningen i hovedtilstand er udløbet. Dette sker, hvis hurtigtilstandssikkerhedstilknytningen oprettes kort før udløbet af hovedtilstandssikkerhedstilknytningen.
Vigtigt! | |
Jo større antal sessioner, der er tilladt pr. nøgle i hovedtilstand, jo større er risikoen for, at nøglen i hovedtilstand opdages. Hvis du vil begrænse det antal gange, materialet kan genbruges, kan du angive en nøglegrænse i hurtigtilstand. |
Sikkerhed Bemærk! | |
Hvis du vil konfigurere PFS (Perfect Forward Secrecy), skal du angive Nøglelevetid i sessioner til 1. Selvom denne konfiguration yder en betydeligt bedre beskyttelse, medfører den også en betydelig belastning af computer og netværk. Alle nye sessioner i hurtigtilstand genopretter nøglemateriale i hovedtilstand, hvilket medfører, at de to computeren godkendes igen. Det anbefales, at du kun aktiverer PFS i de miljøer, hvor IPsec-trafikken kan være synlig for avancerede angribere, der kan forsøge at kompromittere den stærke kryptografiske beskyttelse i IPsec. |
Indstillinger for nøgleudveksling
Brug af Diffie-Hellman til forbedret sikkerhed
Windows Vista og nyere versioner af Windows understøtter AuthIP (Authenticated IP) foruden IKE (Internet Key Exchange) til at oprette den første sikre forbindelse, som bruges til at forhandle de øvrige IPsec-parametre. IKE bruger kun Diffie-Hellman-udveksling. Når der bruges AuthIP, kræves der ikke nogen Diffie-Hellman-protokol til nøgleudveksling. Når der i stedet anmodes om Kerberos version 5-godkendelse, bruges den hemmelige Kerberos version 5-tjenestetilladelse i stedet for en Diffie-Hellman-værdi. Når der anmodes om enten certifikatgodkendelse eller NTLM-godkendelse, oprettes der en TLS-session (transport level security), og dens hemmelige kode bruges i stedet for Diffie-Hellman-værdien.
Hvis du markerer dette afkrydsningsfelt, sker der en Diffie-Hellman-udveksling, uanset den valgte godkendelsestype, og den hemmelige Diffie-Hellman-kode bruges til at sikre resten af IPsec-forhandlingerne. Brug dette, når lovkrav angiver, at Diffie-Hellman-udvekslingen skal bruges.