Mit diesem Dialogfeld können Sie die Algorithmuskombinationen, die für den Schlüsselaustausch bei Hauptmodusaushandlungen verfügbar sind, hinzufügen, bearbeiten, entfernen und in der Priorität ändern. Sie können mehr als eine Algorithmuskombination angeben und die Reihenfolge festlegen, in der die Kombinationen überprüft werden. Die erste Kombination in der Liste, die mit beiden Peers kompatibel ist, wird verwendet.
Hinweis | |
Es empfiehlt sich, die Algorithmuskombinationen nach Sicherheit geordnet aufzulisten, wobei die Kombination mit der höchsten Sicherheit am Anfang und die Kombination mit der geringsten Sicherheit am Ende der Liste stehen sollte. Auf diese Weise erreichen Sie, dass der sicherste Algorithmus, der den beiden aushandelnden Computern gemeinsam ist, verwendet wird. Der am wenigsten sichere Algorithmus kann für die Abwärtskompatibilität verwendet werden. |
So öffnen Sie dieses Dialogfeld |
Klicken Sie im MMC-Snap-In Windows-Firewall mit erweiterten Sicherheitseinstellungen unter Übersicht auf Windows-Firewalleigenschaften.
Klicken Sie auf die Registerkarte IPsec-Einstellungen.
Klicken Sie unter IPsec-Standardeinstellungen auf Anpassen.
Wählen Sie unter Schlüsselaustausch (Hauptmodus) die Option Erweitert aus, und klicken Sie dann auf Anpassen.
Sicherheitsmethoden
Sicherheitsmethoden sind Kombinationen aus Integritätsalgorithmen und Verschlüsselungsalgorithmen, die den Schlüsselaustausch schützen. Sie können so viele Kombinationen wie nötig festlegen und sie in der Liste in der gewünschten Reihenfolge anordnen. Die Kombinationen werden in der Reihenfolge ausgewertet, in der sie hier angezeigt werden. Der erste Satz, auf den sich die beiden Peercomputer einigen können, wird verwendet. Wenn der Peercomputer keine der von Ihnen definierten Kombinationen verwenden kann, scheitert der Verbindungsversuch.
Einige Algorithmen werden nur von Computern unterstützt, die diese Versionen von Windows ausführen. Weitere Informationen finden Sie im Thema zu
Zum Hinzufügen einer Kombination zur Liste klicken Sie auf Hinzufügen, um das Dialogfeld Sicherheitsmethode hinzufügen zu öffnen.
Zum Neuordnen der Liste wählen Sie eine Kombination aus, und klicken Sie dann auf den Aufwärts- oder den Abwärtspfeil.
Hinweis | |
Es empfiehlt sich, die Kombinationen nach Sicherheit zu ordnen, wobei die Kombination mit der höchsten Sicherheit am Anfang und die Kombination mit der geringsten Sicherheit am Ende der Liste stehen sollte. Dadurch wird sichergestellt, dass die sicherste Methode verwendet wird, die beide Peers unterstützen. |
Schlüsselgültigkeitsdauer
Einstellungen der Gültigkeitsdauer legen den Zeitpunkt fest, zu dem ein neuer Schlüssel erzeugt wird. Die Schlüsselgültigkeitsdauer ermöglicht die erzwungene Generierung neuer Schlüssel, nachdem ein bestimmter Zeitraum verstrichen ist oder nachdem eine bestimmte Anzahl von Sitzungen mithilfe des aktuellen Schlüssels geschützt wurde. Die Verwendung mehrerer Schlüssel stellt sicher, dass nur ein geringer Teil der Informationen offen gelegt wird, falls es einem Angreifer gelingt, Zugriff auf einen Schlüssel zu erhalten, denn sobald ein neuer Schlüssel generiert wird, ist der Netzwerkverkehr erneut geschützt. Sie können die Gültigkeitsdauer sowohl in Minuten als auch in Anzahl der Sitzungen angeben. Beim Erreichen des ersten dieser Schwellenwerte wird der Schlüssel neu erstellt.
Hinweis | |
Diese Schlüsselneugenerierung betrifft nur den Schlüsselaustausch im Hauptmodus. Diese Einstellungen haben keine Auswirkungen auf die Einstellungen für die Schlüsselgültigkeitsdauer, die den Schnellmodus-Datenschutz betreffen. |
Minuten
Mit dieser Einstellung können Sie festlegen, wie lange (in Minuten) der in Hauptmodus-Sicherheitszuordnungen verwendete Schlüssel bestehen bleibt. Nach dieser Zeitspanne wird ein neuer Schlüssel generiert. Für darauf folgende Hauptmodussitzungen wird der neue Schlüssel verwendet.
Der Höchstwert beträgt 2.879 Minuten (48 Stunden). Der Mindestwert beträgt 1 Minute. Es wird empfohlen, Schlüssel nur so oft neu zu erstellen, wie es, basierend auf der Risikoanalyse, erforderlich ist. Eine übertrieben häufige Schlüsselneuerstellung kann sich nachteilig auf die Leistung auswirken.
Sitzungen
Eine Sitzung umfasst eine bestimmte Nachricht oder einen Satz von Nachrichten, die bzw. der durch eine Schnellmodus-Sicherheitszuordnung geschützt wird. Mit dieser Einstellung geben Sie an, wie viele Schlüsselgenerierungssitzungen im Schnellmodus mithilfe derselben Hauptmodus-Schlüsselinformationen geschützt werden können. Wenn dieser Schwellenwert erreicht ist, wird der Zähler zurückgesetzt und ein neuer Schlüssel generiert. Alle darauf folgende Kommunikation verwendet den neuen Schlüssel. Der Höchstwert sind 2.147.483.647 Sitzungen. Der Mindestwert liegt bei 0 Sitzungen.
Bei einem Sitzungslimit von null (0) erfolgt die Generierung eines neuen Schlüssels nur basierend auf der Einstellung unter Schlüsselgültigkeitsdauer (in Minuten).
Beim Festlegen sehr unterschiedlicher Schlüsselgültigkeitsdauern für die Hauptmodus- und Schnellmodusschlüssel ist Vorsicht geboten. Wird z. B. für den Hauptmodusschlüssel eine Gültigkeitsdauer von 8 Stunden und für den Schnellmodusschlüssel eine Gültigkeitsdauer von 2 Stunden festgelegt, kann dies dazu führen, dass eine vorhandene Schnellmodus-Sicherheitszuordnung noch 2 Stunden nach Ablauf der Hauptmodus-Sicherheitszuordnung aktiv ist. Dieser Fall tritt dann ein, wenn die Schnellmodus-Sicherheitszuordnung kurz vor dem Ablaufen der Hauptmodus-Sicherheitszuordnung generiert wird.
Wichtig | |
Je höher die Anzahl der pro Hauptmodusschlüssel zugelassenen Sitzungen ist, umso höher ist die Wahrscheinlichkeit, dass der Hauptmodusschlüssel aufgedeckt wird. Wenn Sie die Häufigkeit der Wiederverwendung beschränken möchten, können Sie ein Limit für den Schnellmodusschlüssel angeben. |
Sicherheit Hinweis | |
Zum Konfigurieren von PFS (Perfect Forward Secrecy) für den Hauptmodus legen Sie für Schlüsselgültigkeitsdauer in Sitzungen den Wert 1 fest. Diese Konfiguration bietet ein hohes Maß an zusätzlichem Schutz, geht jedoch mit erheblichen Beeinträchtigungen im Hinblick auf Rechen- und Netzwerkleistung einher. In jeder neuen Schnellmodussitzung wird das Hauptmodus-Schlüsselerstellungsmaterial neu generiert, was wiederum eine erneute Authentifizierung der beiden Computer zur Folge hat. Es empfiehlt sich, PFS nur in Umgebungen zu aktivieren, in denen der IPsec-Datenverkehr eventuell für raffinierte Angreifer zugänglich ist, die versuchen könnten, den hohen kryptografischen Schutz, den IPsec bietet, zu schwächen. |
Optionen für den Schlüsselaustausch
Diffie-Hellman für verstärkte Sicherheit verwenden
Windows Vista und höhere Windows-Versionen unterstützen neben dem Internetschlüsselaustausch (Internet Key Exchange, IKE) auch authentifiziertes IP (AuthIP), um die sichere Erstverbindung aufzubauen, über die die verbleibenden IPsec-Parameter ausgehandelt werden können. IKE verwendet ausschließlich den Diffie-Hellman-Austausch. Wenn AuthIP verwendet wird, ist kein Diffie-Hellman-Schlüsselaustauschprotokoll erforderlich. Wenn die Authentifizierung mittels Kerberos, Version 5, angefordert wird, wird der geheime Schlüssel des Kerberos-5-Diensttickets anstelle eines Diffie-Hellman-Werts verwendet. Wenn entweder die Zertifikatauthentifizierung oder die NTLM-Authentifizierung angefordert wird, wird eine TLS-Sitzung (Transport Level Security) aufgebaut und der zugehörige geheime Schlüssel anstelle des Diffie-Hellman-Werts verwendet.
Wenn Sie dieses Kontrollkästchen aktivieren, erfolgt ungeachtet des ausgewählten Authentifizierungstyps ein Diffie-Hellman-Austausch, und der verbleibende Teil der IPsec-Aushandlungen wird mithilfe des geheimen Diffie-Hellman-Schlüssels geschützt. Verwenden Sie diese Option, wenn bestimmte Vorschriften die Verwendung eines Diffie-Hellman-Austauschs als verbindlich festlegen.