Ezen párbeszédpanel használatával állíthat be egy ajánlott adatsértetlenségi algoritmust, amely a gyors módú biztonsági társítások egyeztetésekor érhető el. Meg kell adnia a hálózati csomagban lévő adatok sértetlenségének biztosítására használt protokollt és algoritmust is.
Az IPsec úgy biztosítja az adatok sértetlenségét, hogy a hálózati csomagban lévő adatok alapján kiszámít egy kivonatot. Ezt a kivonatot aztán kriptográfiai aláírással látja el (titkosítja), és beágyazza az IP-csomagba. A fogadó számítógép ugyanazt az algoritmust használja a kivonat számítására, és összehasonlítja az eredményt a fogadott csomagba beágyazott kivonattal. Ha egyezik, akkor a fogadott információ pontosan megfelel az elküldött információnak, és a rendszer elfogadja a csomagot. Ha nem egyezik, a csomagot a rendszer elveti.
A küldött üzenet titkosított kivonatának használatával számítástechnikai úton lehetetlen úgy módosítani az üzenetet, hogy az ne ütközzön a kivonattal. Ez elengedhetetlen az olyan, nem biztonságos hálózatokon végzett adatcsere során, mint az internet, mivel ellenőrizhetővé teszi, hogy az üzenet az átvitel során nem változott.
 | A párbeszédpanel elérése |
A Fokozott biztonságú Windows tűzfal MMC beépülő modul lapján, az Áttekintés területen kattintson a Windows tűzfal tulajdonságai elemre.
Kattintson az IPsec-beállítások fülre.
Az IPsec-alapértelmezések területen kattintson a Testreszabás gombra.
Az Adatvédelem (gyors mód) területen válassza a Speciális lehetőséget, majd kattintson a Testreszabás gombra.
A Sértetlenség területen válasszon ki a listából egy algoritmuskombinációt, és kattintson a Szerkesztés vagy a Hozzáadás gombra.
Protokoll
A következő protokollok a sértetlenségi információk IP-csomagba történő beágyazására használhatók.
ESP (ajánlott)
Az ESP hitelesítési, sértetlenségi és ismétlés elleni védelmet nyújt az IP-tartalom számára. Az átviteli módban használt ESP nem írja alá a teljes csomagot. Csak az IP-tartalmat védi (az IP-fejlécet nem). Az ESP használható önmagában vagy az AH protokollal együtt. Az ESP használata esetén a kivonat kiszámítása csak az ESP-fejlécet, -lezárót és -tartalmat foglalja magában. Az ESP úgy kínálhat adatvédelmi szolgáltatásokat, hogy egy vagy több támogatott titkosító algoritmussal titkosítja az ESP adattartalmat. A csomag-visszajátszási szolgáltatásokat a csomagok sorszámozása teszi lehetővé.
AH
Az AH protokoll hitelesítést, sértetlenséget és visszajátszást biztosít a teljes csomagnak (az IP-fejlécnek és a csomagban szállított adattartalomnak is). Nem biztosít viszont titkosítást, azaz nem titkosítja az adatokat. Az adatok olvashatók, de védettek a módosítással szemben. A kivonat számításából ki vannak zárva egyes mezők, amelyek megváltozhatnak az átvitel során. A csomag-visszajátszási szolgáltatásokat a csomagok sorszámozása teszi lehetővé.
 | Fontos! |
Az AH protokoll nem kompatibilis a hálózati címfordítással (NAT), mert a NAT-eszközök módosítják az információkat a sértetlenségi kivonatban található egyes csomagfejlécekben. Az IPsec-alapú forgalom NAT-eszközökön való átjutásához az ESP protokollt kell használnia, és engedélyeznie kell a NAT-bejárást (NAT-T) az IPsec-társszámítógépeken. |
NULL-beágyazás
A NULL-beágyazással azt adja meg, hogy nem kíván semmilyen, az adatok sértetlenségét biztosító vagy titkosítást alkalmazó védelmet használni a hálózati forgalomban. A hitelesítés továbbra is a kapcsolatbiztonsági szabályok követelményeinek megfelelően történik, de a biztonsági társításon keresztül cserélt hálózati csomagokhoz semmilyen más védelem nem biztosított.
 | Biztonsági Megjegyzés |
Mivel ez a lehetőség semmilyen sértetlenségi vagy bizalmassági védelmet nem nyújt, javasoljuk, hogy csak akkor használja, ha az ESP és az AH protokollal nem kompatibilis szoftvereket vagy hálózati eszközöket kell támogatnia. |
Algoritmusok
A következő adatsértetlenségi algoritmusok csak a Windows ezen verzióját futtató számítógépeken használhatók. Ezen algoritmusok egy része nem érhető el a Windows más verzióit futtató számítógépeken. Ha a Windows egy korábbi verzióját futtató számítógéppel szeretne az IPsec által védett kapcsolatot létesíteni, akkor olyan algoritmust kell választania, amely kompatibilis a korábbi verzióval.
További információt
- AES-GMAC 256
- AES-GMAC 192
- AES-GMAC 128
- SHA-1
- MD5
Figyelem! Az MD5 már nem tekinthető biztonságosnak, és csak tesztelési célokra tanácsos használni, vagy ha a távoli számítógép nem használhat biztonságosabb algoritmust. Csak a korábbi verziókkal való kompatibilitás megőrzésére szolgál.
Kulcsok élettartama
Az új kulcsok létrehozásának időpontját az élettartam-beállítások határozzák meg. A kulcsok élettartama lehetővé teszi az új kulcsok létrehozásának kikényszerítését egy adott időtartam vagy egy adott mennyiségű elküldött adat után. Ha a kommunikáció például 100 percig tart és a kulcs élettartama 10 perc, az adatcsere során a rendszer minden tizedik percben hoz létre egy új kulcsot (azaz összesen 10 kulcsot generál). Több kulcs használatával biztosítható, hogy ha a behatoló megszerzi a kommunikáció egy részéhez tartozó kulcsot, a kommunikáció akkor sincs veszélyben.
 | Megjegyzés |
Ez a kulcsregenerálás csak a gyors módú adatsértetlenség biztosítására szolgál. Ezek a beállítások nem befolyásolják a kulcs élettartamának alapmódú kulcscserével kapcsolatos beállításait. |
Perc
Ezzel a beállítással megadhatja (percekben), hogy milyen hosszú a gyors módú biztonsági társításhoz használt kulcs élettartama. A megadott intervallum után új kulcs jön létre. Az ezt követő kommunikációs folyamatok már az új kulcsot használják.
A maximális élettartam 2 879 perc (48 óra). A minimális élettartam 5 perc. Azt ajánljuk, hogy csak olyan gyakran hozzon létre újra kulcsot, ahogy a kockázatelemzés igényli. A túl gyakori kulcsváltás hatással lehet a teljesítményre.
KB
Ezzel a beállítással konfigurálhatja, hogy hány kilobájtnyi (KB) adat küldhető át egy adott kulccsal. A küszöbérték elérése után a számláló visszaáll alaphelyzetbe, és a rendszer újragenerálja a kulcsot. Az ezt követő kommunikációs folyamatok már az új kulcsot használják.
A maximális élettartam 2 147 483 647 kilobájt lehet. A minimális élettartam 20 480 KB lehet. Azt ajánljuk, hogy csak olyan gyakran hozzon létre újra kulcsot, ahogy a kockázatelemzés igényli. A túl gyakori kulcsváltás hatással lehet a teljesítményre.