השתמש בתיבת דו-שיח זו כדי להוסיף, לערוך, לשנות עדיפות או להסיר שילובי אלגוריתמים הזמינים עבור חילופי מפתחות במהלך משא ומתן של מצב ראשי. באפשרותך לציין יותר משילוב אחד של אלגוריתמים ולהקצות את הסדר שבו המערכת תנסה את השילובים. ייעשה שימוש בשילוב הראשון ברשימה שתואם לשני העמיתים.

הערה

מומלץ לפרט את שילובי האלגוריתמים מהאבטחה הגבוהה ביותר לאבטחה הנמוכה ביותר. באופן זה, ייעשה שימוש באלגוריתם המאובטח ביותר המשותף לשני המחשבים המנהלים משא ומתן. האלגוריתמים המאובטחים פחות ישמשו לתאימות לאחור.

כדי להגיע לתיבת דו-שיח זו
  1. בעמוד יישום ה- Snap-in של MMC,‏ חומת האש של Windows עם רכיבי אבטחה מתקדמים, במבט כולל, לחץ על מאפייני חומת האש של Windows.

  2. לחץ על הכרטיסיה הגדרות IPsec.

  3. תחת ברירות מחדל של IPsec, לחץ על התאמה אישית.

  4. תחת חילופי מפתחות (מצב ראשי), בחר מתקדם ולאחר מכן לחץ על התאמה אישית.

שיטות אבטחה

שיטות אבטחה הן שילובים של אלגוריתמים של תקינות והצפנה אשר מגנים על חילופי מפתחות. באפשרותך ליצור שילובים ללא הגבלה ולארגן אותם בסדר מועדף ברשימה. המערכת מנסה את השילובים בסדר שבו הם מוצגים. ייעשה שימוש בחבילה הראשונה שעליה יסכימו שני מחשבי העמית. אם למחשב העמית אין אפשרות להשתמש בשילוב כלשהו מבין השילובים שהגדרת, ניסיון החיבור נכשל.

עבור אלגוריתמים מסוימים קיימת תמיכה רק במחשבים שבהם פועלת גירסה זו של Windows. לקבלת מידע נוסף, ראה אלגוריתמים ופרוטוקולים של IPsec הנתמכים על-ידי Windows (ייתכן שהדף יוצג באנגלית) ‏(https://go.microsoft.com/fwlink/?linkid=129230).

כדי להוסיף שילוב לרשימה, לחץ על הוסף כדי להשתמש בתיבת הדו-שיח הוספה או עריכה של שיטת אבטחה.

כדי לשנות את סדר הרשימה, בחר שילוב ולאחר מכן לחץ על חץ למעלה או חץ למטה.

הערה

מומלץ לסדר את השילובים מהאבטחה הגבוהה ביותר לאבטחה הנמוכה ביותר. כך יובטח השימוש בשיטה המאובטחת ביותר הנתמכת על-ידי שני העמיתים.

אורכי חיים של מפתחות

הגדרות אורך החיים קובעות את מועד היצירה של מפתח חדש. אורכי חיים של מפתחות מאפשרים לך לכפות יצירה של מפתח חדש לאחר מרווח זמן שצוין, או לאחר הגנה באמצעות המפתח הנוכחי על מספר ההפעלות שצוין. השימוש במפתחות מרובים מבטיח שאם תוקף כלשהו יצליח לגשת למפתח אחד, תיחשף מידה מועטה בלבד של מידע לפני שיופק מפתח חדש והתעבורה ברשת שוב תהיה מוגנת. באפשרותך לציין את אורך החיים הן בדקות והן במספר הפעלות. נעשה שימוש בערך הראשון שמכסתו מתמלאת והמפתח נוצר מחדש.

הערה

הפקת המפתחות נועדה לחילופי מפתחות של מצב ראשי בלבד. הגדרות אלה לא משפיעות על הגדרות אורך החיים של המפתחות עבור הגנת נתונים של מצב מהיר.

דקות

השתמש בהגדרה זו כדי לקבוע את אורך חייו, בדקות, של המפתח המשמש בשיוכי אבטחה של מצב ראשי. לאחר פרק זמן זה, נוצר מפתח חדש. ההפעלות הבאות של המצב הראשי ישתמשו במפתח החדש.

אורך החיים המקסימלי הוא 2,879 דקות (48 שעות). אורך החיים המינימלי הוא דקה אחת. אנו ממליצים שתיצור מחדש מפתחות רק בתדירות שדורש ניתוח הסיכונים. יצירה מחדש מוגזמת של מפתחות עשויה להשפיע על הביצועים.

הפעלות

הפעלה היא הודעה נפרדת או סדרת הודעות המוגנות על-ידי שיוך אבטחה של מצב מהיר. הגדרה זו מציינת כמה הפעלות של הפקת מפתחות של מצב מהיר יכולות להיות מוגנות באמצעות אותו מידע של מפתח מצב ראשי. לאחר שהמכסה מתמלאת, המונה מאופס ומפתח חדש נוצר. פעילויות תקשורת עוקבות ישתמשו במפתח החדש. הערך המקסימלי הוא 2,147,483,647 הפעלות. הערך המינימלי הוא 0 הפעלות.

מגבלת הפעלות של אפס (0) גורמת להפקת מפתח חדש רק לפי ההגדרה אורך חיים של מפתח (בדקות).

נקוט במשנה זהירות בעת הגדרת אורכי חיים שונים מאוד של מפתחות עבור מפתחות של מצב ראשי ומצב מהיר. לדוגמה, קביעת משך חיים של מפתח של מצב ראשי ל- 8 שעות וקביעת משך חיים של מפתח של מצב מהיר לשעתיים עשויות להשאיר שיוך אבטחה של מצב מהיר במצב פעיל כמעט שעתיים לאחר שפג תוקפו של שיוך האבטחה של המצב הראשי. דבר זה מתרחש כאשר שיוך האבטחה של מצב מהיר נוצר זמן קצר לפני תפוגת שיוך האבטחה של המצב הראשי.

חשוב

ככל שמספר ההפעלות המותר עבור כל מפתח מצב ראשי גבוה יותר, יש יותר סיכויים שמפתח המצב הראשי יתגלה. אם ברצונך להגביל את מספר הפעמים שבהן ניתן לבצע שימוש חוזר זה, באפשרותך לציין מגבלה של מפתח מצב מהיר.

אבטחה הערה

כדי להגדיר סודיות העברה מלאה (PFS) של מצב ראשי, הגדר את משך חיים של מפתח בהפעלות ל- 1. למרות שתצורה זו מספקת הגנה נוספת משמעותית, היא גם נושאת עימה נטל משמעותי מבחינת ביצועי מיחשוב ורשת. כל הפעלה חדשה של מצב מהיר מפיקה מחדש את חומר המפתוח של המצב הראשי, מה שמוביל לאימות מחדש של שני המחשבים. מומלץ להפוך את PFS לזמין רק בסביבות שבהן תעבורת IPsec עלולה להיחשף לתוקפים מתוחכמים שעלולים לנסות לפגוע בהגנת ההצפנה החזקה שמספק IPsec.

אפשרויות חילופי מפתחות

השתמש ב- Diffie-Hellman להשגת אבטחה משופרת

Windows Vista וגירסאות מתקדמות יותר של Windows תומכות ב- IP מאומת (AuthIP), בנוסף לחילופי מפתחות באינטרנט (IKE), ליצירת החיבור המאובטח הראשוני שבו מתנהל המשא ומתן של שאר הפרמטרים של IPsec. IKE משתמש בחילופי Diffie-Hellman בלבד. בעת השימוש ב- AuthIP, אין צורך בפרוטוקול חילופי מפתחות של Diffie-Hellman. במקום זאת, כאשר יש דרישה לאימות Kerberos גירסה 5, נעשה שימוש בסוד כרטיס השירות של Kerberos גירסה 5 במקום ערך של Diffie-Hellman. כאשר יש דרישה לאימות אישור או אימות NTLM, נוצרת הפעלה של אבטחה ברמת תעבורה (TLS) והסוד שלה משמש במקום הערך של Diffie-Hellman.

אם תבחר תיבת סימון זו, חילופי Diffie-Hellman מתרחשים ללא קשר לסוג האימות שנבחר, והסוד של Diffie-Hellman משמש לאבטחת שארית המשא ומתן של IPsec. השתמש באפשרות זו כאשר דרישות תקינה מציינות שיש להשתמש בחילופי Diffie-Hellman.

למידע נוסף


תוכן העניינים