Χρησιμοποιήστε αυτό το παράθυρο διαλόγου για να προσθέσετε, να επεξεργαστείτε ή να καταργήσετε τους συνδυασμούς αλγορίθμων που είναι διαθέσιμοι για ανταλλαγή κλειδιών κατά τις διαπραγματεύσεις κύριας λειτουργίας. Μπορείτε να καθορίσετε έναν ή περισσότερους συνδυασμούς αλγορίθμων και μπορείτε να αντιστοιχίσετε τη σειρά με την οποία δοκιμάζονται οι συνδυασμοί. Θα χρησιμοποιηθεί ο πρώτος συνδυασμός που είναι στη λίστα και είναι συμβατός και με τους δύο ομότιμους υπολογιστές.
 | Σημείωση |
Μια βέλτιστη πρακτική είναι να καταγράψετε τους συνδυασμούς αλγορίθμων σε σειρά από αυτόν με την υψηλότερη ασφάλεια προς αυτόν με τη χαμηλότερη. Με αυτόν τον τρόπο, χρησιμοποιείται ο ασφαλέστερος κοινός αλγόριθμος μεταξύ δύο διαπραγματευόμενων υπολογιστών. Οι λιγότερο ασφαλείς αλγόριθμοι μπορούν να χρησιμοποιηθούν για να εξασφαλιστεί η συμβατότητα με παλαιότερα προγράμματα. |
 | Πώς μπορείτε να μεταβείτε σε αυτό το παράθυρο διαλόγου |
Στη σελίδα του συμπληρωματικού προγράμματος MMC του Τείχος προστασίας των Windows με Πρόσθετες επιλογές ασφαλείας, στην επιλογή Επισκόπηση, κάντε κλικ στο στοιχείο Ιδιότητες τείχους προστασίας των Windows.
Κάντε κλικ στην καρτέλα Ρυθμίσεις IPsec.
Στο στοιχείο Προεπιλογές IPsec, κάντε κλικ στην επιλογή Προσαρμογή.
Στο στοιχείο Ανταλλαγή κλειδιών (βασική λειτουργία), επιλέξτε Για προχωρημένους και στη συνέχεια κάντε κλικ στην επιλογή Προσαρμογή.
Μέθοδοι ασφαλείας
Οι μέθοδοι ασφαλείας είναι συνδυασμοί αλγορίθμων ακεραιότητας και κρυπτογράφησης που προστατεύουν την ανταλλαγή κλειδιών. Μπορείτε να έχετε όσους συνδυασμούς χρειάζεστε και μπορείτε να τους ταξινομήστε στη λίστα με τη σειρά που προτιμάτε. Οι συνδυασμοί δοκιμάζονται με τη σειρά που εμφανίζονται. Χρησιμοποιείται το πρώτο σύνολο, στο οποίο συμφωνούν δύο ομότιμοι υπολογιστές. Αν ο ομότιμος υπολογιστής δεν μπορεί να χρησιμοποιήσει κανέναν από τους συνδυασμούς που ορίσατε, η προσπάθεια σύνδεσης αποτυγχάνει.
Ορισμένοι αλγόριθμοι υποστηρίζονται μόνον από υπολογιστές που λειτουργούν με την παρούσα έκδοση των Windows. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα
Για να προσθέσετε έναν συνδυασμό στη λίστα, κάντε κλικ στην επιλογή Προσθήκη για να χρησιμοποιήσετε το παράθυρο διαλόγου Προσθήκη ή επεξεργασία μεθόδου ασφαλείας.
Για να αλλάξετε τη σειρά στη λίστα, επιλέξτε έναν συνδυασμό και κατόπιν κάντε κλικ στα επάνω ή κάτω βέλη.
| Σημείωση |
Μια βέλτιστη πρακτική είναι, να ταξινομήστε τους συνδυασμούς σε σειρά από αυτόν με την υψηλότερη ασφάλεια προς αυτόν με τη χαμηλότερη. Αυτό εξασφαλίζει ότι θα χρησιμοποιηθεί η ασφαλέστερη μέθοδος που υποστηρίζεται από τους δύο ομότιμους υπολογιστές. |
Διάρκεια ζωής κλειδιών
Οι ρυθμίσεις διάρκειας ζωής καθορίζουν πότε θα δημιουργηθεί ένα νέο κλειδί. Η διάρκεια ζωής σάς επιτρέπει να επιβάλετε τη δημιουργία ενός νέου κλειδιού έπειτα από συγκεκριμένο χρονικό διάστημα ή έπειτα από συγκεκριμένο αριθμό περιόδων που έχουν προστατευτεί με τη χρήση του τρέχοντος κλειδιού. Η χρήση πολλαπλών κλειδιών διασφαλίζει ότι αν ένας εισβολέας καταφέρει να έχει πρόσβαση σε ένα κλειδί, μόνο ένας μικρός όγκος πληροφοριών εμφανίζεται πριν δημιουργηθεί ένα νέο κλειδί και η κυκλοφορία του δικτύου είναι ξανά προστατευμένη. Μπορείτε να καθορίσετε τη διάρκεια ζωής τόσο σε λεπτά όσο και σε αριθμό περιόδων. Χρησιμοποιείται το πρώτο όριο που επιτυγχάνεται και το κλειδί αναδημιουργείται.
| Σημείωση |
Αυτή η αναδημιουργία κλειδιών αφορά μόνο στην ανταλλαγή κλειδιών κύριας κατάστασης λειτουργίας. Αυτές οι ρυθμίσεις δεν επηρεάζουν τις ρυθμίσεις διάρκειας ζωής κλειδιού για προστασία δεδομένων κύριας κατάστασης λειτουργίας. |
Λεπτά
Χρησιμοποιήστε αυτήν την επιλογή για να ρυθμίσετε τη διάρκεια ζωής σε λεπτά του κλειδιού, το οποίο χρησιμοποιείται στη συσχέτιση ασφάλειας κύριας λειτουργίας. Μετά από αυτό το διάστημα, θα δημιουργηθεί ένα νέο κλειδί. Οι επόμενες περίοδοι λειτουργίας κύριας λειτουργίας χρησιμοποιούν το νέο κλειδί.
Η μέγιστη διάρκεια ζωής είναι 2879 λεπτά (48 ώρες). Η ελάχιστη διάρκεια ζωής είναι 1 λεπτό. Σας συνιστούμε να επαναλαμβάνετε τα κλειδιά μόνο όσο συχνά το απαιτεί η ανάλυση κινδύνων. Η υπερβολικά συχνή επανάληψη κλειδιών μπορεί να επηρεάσει την απόδοση.
Περίοδοι λειτουργίας
Η περίοδος λειτουργίας είναι ένα διακριτό μήνυμα ή σύνολο μηνυμάτων που προστατεύεται από μια συσχέτιση ασφάλειας γρήγορης λειτουργίας. Η ρύθμιση αυτή καθορίζει πόσα κλειδιά γρήγορης λειτουργίας που δημιουργούν περιόδους λειτουργίας μπορούν να προστατευτούν με χρήση των ίδιων πληροφοριών κλειδιού κύριας λειτουργίας. Όταν επιτευχθεί αυτό το όριο, ο μετρητής μηδενίζεται και δημιουργείται το νέο κλειδί. Οι επόμενες επικοινωνίες θα χρησιμοποιήσουν το νέο κλειδί. Η μέγιστη διάρκεια ζωής είναι 2.147.483.647 περίοδοι λειτουργίας. Η ελάχιστη τιμή είναι 0 περίοδοι λειτουργίας.
Ένα όριο περιόδου λειτουργίας με την τιμή μηδέν (0) σημαίνει ότι η δημιουργία ενός νέου κλειδιού προσδιορίζεται μόνον από τη ρύθμιση Διάρκεια ζωής κλειδιού (σε λεπτά).
Συνιστάται προσοχή κατά τη ρύθμιση πολύ διαφορετικών διαρκειών ζωής κλειδιών για κλειδιά κύριας λειτουργίας και γρήγορης λειτουργίας. Για παράδειγμα, εάν ρυθμίσετε τη διάρκεια ζωής του κύριου κλειδιού στην κύρια κατάσταση λειτουργίας σε οκτώ ώρες και εκείνη του κλειδιού περιόδου λειτουργίας της γρήγορης κατάστασης λειτουργίας σε δύο ώρες, η συσχέτιση ασφάλειας γρήγορης κατάστασης λειτουργίας ενδέχεται να παραμείνει ενεργή επί σχεδόν δύο ώρες μετά τη λήξη της συσχέτισης ασφάλειας κύριας κατάστασης λειτουργίας. Αυτό συμβαίνει όταν η SA γρήγορης κατάστασης λειτουργίας δημιουργείται λίγο πριν τη λήξη της SA κύριας κατάστασης λειτουργίας.
 | Σημαντικό |
Όσο μεγαλύτερος είναι ο αριθμός των περιόδων λειτουργίας που επιτρέπεται ανά κλειδί κύριας λειτουργίας, τόσο πιθανότερο είναι να αποκαλυφθεί το κλειδί κύριας λειτουργίας. Εάν θέλετε να περιορίσετε τη συχνότητα χρήσης του κλειδιού, μπορείτε να καθορίσετε ένα όριο κλειδιών γρήγορης λειτουργίας. |
 | Ασφάλεια Σημείωση |
Για να ρυθμίσετε τις παραμέτρους της άριστης και άμεσης εμπιστευτικότητας (PFS) της κύριας λειτουργίας, ρυθμίστε την τιμή της επιλογής Διάρκεια ζωής κλειδιού σε περιόδους λειτουργίας στο 1. Αν και η συγκεκριμένη ρύθμιση παραμέτρων παρέχει σημαντική πρόσθετη προστασία, φέρει επίσης μια σημαντική ποινή υπολογιστικής και δικτυακής απόδοσης. Κάθε νέα περίοδος γρήγορης λειτουργίας αναδημιουργεί το υλικό δημιουργίας κλειδιού κύριας λειτουργίας, το οποίο με τη σειρά του θα έχει ως αποτέλεσμα τον εκ νέου έλεγχο ταυτότητας των δύο υπολογιστών. Σας συνιστούμε να ενεργοποιήσετε το PFS μόνο σε περιβάλλοντα όπου η κυκλοφορία IPsec μπορεί να είναι εκτεθημένη σε έμπειρους εισβολείς οι οποίοι ενδέχεται να προσπαθήσουν να περιορίσουν την ισχυρή κρυπτογραφική προστασία που παρέχεται από το IPsec. |
Επιλογές ανταλλαγής κλειδιών
Χρησιμοποιήστε Diffie-Hellman για βελτιωμένη ασφάλεια
Τα Windows Vista και προγενέστερες εκδόσεις των Windows υποστηρίζουν IP με έλεγχο ταυτότητας (AuthIP) εκτός από την ανταλλαγή κλειδιού Internet (IKE) για τη δημιουργία της αρχικής ασφαλούς σύνδεσης στην οποία διαπραγματεύονται οι υπόλοιπες παράμετροι IPsec. Το IKE χρησιμοποιεί μόνο ανταλλαγές Diffie-Hellman. Όταν χρησιμοποιείται AuthIP, δεν χρειάζεται πρωτόκολλο ανταλλαγής κλειδιών Diffie-Hellman. Αντίθετα, όταν απαιτείται έλεγχος ταυτότητας Kerberos έκδοσης 5, το μυστικό δελτίο υπηρεσίας του Kerberos έκδοσης 5 χρησιμοποιείται στη θέση μιας τιμής Diffie-Hellman. Όταν απαιτείται είτε έλεγχος ταυτότητας πιστοποιητικού ή έλεγχος ταυτότητας NTLM, δημιουργείται μια περίοδος λειτουργίας ασφάλειας επιπέδου μεταφοράς (TLS) και τα μυστικά στοιχεία χρησιμοποιούνται στη θέση της τιμής Diffie-Hellman.
Αν επιλέξετε αυτό το πλαίσιο ελέγχου, τότε πραγματοποιείται η ανταλλαγή Diffie-Hellman ανεξάρτητα από τον τύπο ελέγχου ταυτότητας που επιλέχθηκε και τα μυστικά στοιχεία Diffie-Hellman χρησιμοποιούνται για να ασφαλίσουν στις υπόλοιπες διαπραγματεύσεις IPsec. Χρησιμοποιήστε το όταν οι ρυθμιστικές απαιτήσεις ορίζουν ότι πρέπει να χρησιμοποιηθεί ανταλλαγή Diffie-Hellman.