Cette boîte de dialogue vous permet d’ajouter, modifier, changer la priorité ou supprimer les combinaisons d’algorithmes disponibles pour l’échange de clé durant les négociations en mode principal. Vous pouvez spécifier plusieurs algorithmes dans une combinaison d’algorithmes et définir l’ordre dans lequel les combinaisons sont essayées. Parmi les combinaisons répertoriées, la première qui s’avère compatible avec les deux homologues sera utilisée.
Remarques | |
Il est recommandé de répertorier les combinaisons d’algorithmes par ordre de sécurité (la plus élevée en haut de la liste, la plus faible au bas de la liste). Ainsi, l’algorithme le plus sécurisé commun aux deux ordinateurs sera utilisé pour la négociation. Les algorithmes moins sécurisés peuvent être utilisés à des fins de compatibilité descendante. |
Pour accéder à cette boîte de dialogue |
Dans la page du composant logiciel enfichable MMC Pare-feu Windows avec sécurité avancée, dans Vue d’ensemble, cliquez sur Propriétés du Pare-feu Windows.
Cliquez sur l’onglet Paramètres IPsec.
Sous Valeurs par défaut IPsec, cliquez sur Personnaliser.
Sous Échange de clé (mode principal), sélectionnez Avancé, puis cliquez sur Personnaliser.
Méthodes de sécurité
Les méthodes de sécurité sont des combinaisons d’algorithmes d’intégrité et d’algorithmes de chiffrement qui protègent l’échange de clé. Vous pouvez avoir autant de combinaisons que nécessaire et les organiser par ordre de préférence dans la liste. Les combinaisons sont tentées dans l’ordre dans lequel elles sont affichées. Le premier jeu sur lequel s’accordent les deux ordinateurs homologues est utilisé. Si l’ordinateur homologue ne peut utiliser aucune des combinaisons que vous avez définies, la tentative de connexion échoue.
Certains algorithmes ne sont pris en charge que par les ordinateurs exécutant cette version de Windows. Pour plus d’informations, voir
Pour ajouter une combinaison à la liste, cliquez sur Ajouter afin d’afficher la boîte de dialogue Ajouter ou modifier une méthode de sécurité.
Pour modifier l’ordre de la liste, sélectionner une combinaison, puis cliquez sur la flèche Haut ou Bas.
Remarques | |
Il est recommandé de répertorier les combinaisons d’algorithmes par ordre de sécurité (la plus élevée en haut de la liste, la plus faible au bas de la liste). Ainsi, la méthode la plus sécurisée pouvant être prise en charge par les deux homologues est utilisée. |
Durée de vie des clés
Les paramètres de durée de vie déterminent le moment où une clé est générée. Les durées de vie des clés vous permettent d’imposer la génération d’une nouvelle clé après un intervalle spécifique ou après qu’un nombre spécifique de sessions ont été protégées à l’aide de la clé actuelle. L’utilisation de clés multiples permet de s’assurer que si un intrus parvient à accéder à l’une des clés, seule une petite quantité d’informations est exposée avant qu’une nouvelle clé soit générée et que le trafic soit de nouveau protégé. Vous pouvez spécifier la durée de vie en minutes et en nombre de sessions. Le premier seuil atteint est utilisé et la clé est régénérée.
Remarques | |
Cette régénération de clé concerne uniquement l’échange de clé en mode principal. Ces paramètres n’affectent pas les paramètres de durée de vie des clés relatifs à la protection des données en mode rapide. |
Minutes
Ce paramètre vous permet de configurer la durée de vie, en minutes, de la clé utilisée dans l’association de sécurité de mode principal. Au terme de cet intervalle, une nouvelle clé est générée. Les sessions ultérieures en mode principal utilisent la nouvelle clé.
La durée de vie maximale est de 2 879 minutes (48 heures). La durée de vie minimale est de 1 minute. Nous vous conseillons de générer une nouvelle clé uniquement selon la fréquence imposée par votre analyse des risques. Une génération de clé trop fréquente peut avoir un impact sur les performances.
Sessions
Une session est un message ou ensemble de messages spécifique protégé par une association de sécurité de mode rapide. Ce paramètre spécifie le nombre de sessions de génération de clé en mode rapide pouvant être protégées à l’aide des mêmes informations de clé en mode principale. Une fois ce seuil atteint, le compteur est réinitialisé et une nouvelle clé est générée. Les communications ultérieures utilisent la nouvelle clé. La valeur maximale est de 2 147 483 647 sessions. La valeur minimale est de 0 session.
Si la durée maximale de session est égale à zéro (0), les générations de nouvelle clé seront déterminées uniquement par le paramètre Durée de vie de la clé (en minutes).
Faites preuve de prudence lorsque vous définissez des durées de vie très différentes pour la clé de mode principal et la clé de mode rapide. Si, par exemple, vous établissez une durée de vie égale à huit heures pour la clé du mode principal et à deux heures pour la clé de mode rapide, une association de sécurité de mode rapide risque de demeurer en place pendant presque deux heures après l’expiration de l’association de sécurité de mode principal. C’est ce qui peut se produire lorsque l’association de sécurité de mode rapide est générée peu de temps avant l’expiration de l’association de sécurité de mode principal.
Important | |
Plus le nombre de sessions autorisées par clé de mode principal est élevé, plus la clé de mode principal risque d’être découverte. Pour limiter le nombre de réutilisations, vous pouvez définir une limite de clé de mode principal. |
Sécurité Remarques | |
Pour configurer PFS (Perfect Forward Secrecy) en mode principal, attribuez la valeur 1 à Durée de vie de la clé (en sessions). Bien que cette configuration assure une protection supplémentaire importante, elle a également un impact négatif en matière de performances réseau et de rapidité de traitement. Chaque nouvelle session en mode rapide régénère les mêmes éléments de clé de mode principal, ce qui provoque la réauthentification des deux ordinateurs. Nous vous conseillons d’activer PFS uniquement dans les environnements dans lesquels le trafic IPsec est susceptible d’être exposé à des agresseurs expérimentés qui pourraient tenter de compromettre la protection de chiffrement fournie par la sécurité IPsec. |
Options d’échange de clé
Utiliser Diffie-Hellman pour une sécurité accrue
Windows Vista et les versions ultérieures de Windows prennent en charge AuthIP (Authenticated IP) en plus d’IKE (Internet Key Exchange) pour l’établissement de la connexion sécurisée initiale durant laquelle le reste des paramètres IPsec sont négociés. IKE utilise uniquement des échanges Diffie-Hellman. Lorsque AuthIP est utilisé, aucun protocole d’échange de clé Diffie-Hellman n’est requis. Au lieu de cela, lorsque l’authentification Kerberos version 5 est demandée, le secret de ticket de service Kerberos version 5 est utilisé à la place d’une valeur Diffie-Hellman. Lorsque l’authentification de certificat ou NTLM est demandée, une session TLS (Transport Level Security) est établie et son secret est utilisé à la place de la valeur Diffie-Hellman.
Si vous activez cette case à cocher, un échange Diffie-Hellman a lieu quel que soit le type d’authentification sélectionné et le secret Diffie-Hellman est utilisé pour sécuriser le reste des négociations IPsec. Utilisez cette option lorsque les exigences de réglementation spécifient l’utilisation d’un échange Diffie-Hellman.