Ezen a párbeszédpanelen az alapmódú egyeztetések során elérhető algoritmus kombinációkat szerkesztheti, eltávolíthatja, illetve újakat adhat hozzá, és módosíthatja a prioritásukat. Több algoritmuskombinációt is megadhat, és kijelölheti az algoritmusok végrehajtására tett kísérletek sorrendjét. A rendszer a lista első olyan kombinációját fogja használni, amely mindkét társsal kompatibilis.
 | Megjegyzés |
Az algoritmuskombinációkat ajánlott úgy elrendezni, hogy a legmagasabb biztonságú legyen felül, a legalacsonyabb pedig legalul. Így a két kommunikáló számítógép a legbiztonságosabb közös algoritmust használja. A kevésbé biztonságos algoritmusok a visszamenőleges kompatibilitás biztosításához használhatók. |
 | A párbeszédpanel elérése |
A Fokozott biztonságú Windows tűzfal MMC beépülő modul lapján, az Áttekintés területen kattintson a Windows tűzfal tulajdonságai elemre.
Kattintson az IPsec-beállítások fülre.
Az IPsec-alapértelmezések területen kattintson a Testreszabás gombra.
A Kulcscsere (alapmód) területen válassza a Speciális lehetőséget, majd kattintson a Testreszabás gombra.
Biztonsági módszerek
A biztonsági módszerek sértetlenségi és titkosítási algoritmusok kombinációi, amelyek a kulcscserét védik. Annyi kombinációja lehet, amennyire szüksége van, és tetszés szerinti sorrendben rendezheti el őket a listában. A rendszer a megjelenés sorrendjében kísérli meg a kombinációk végrehajtását. Az első olyan készlet lesz felhasználva, amelyet mindkét társszámítógép elfogad. Ha a társszámítógép nem tudja egyik megadott kombinációt sem használni, akkor a csatlakozási kísérlet nem sikerül.
Néhány algoritmust csak a Windows jelenlegi verzióját futtató számítógépek támogatnak. További információt
Ha egy kombinációt hozzá szeretne adni a listához, kattintson a Hozzáadás gombra a Biztonsági módszer hozzáadása vagy szerkesztése párbeszédpanel használatához.
A lista átrendezéséhez jelöljön ki egy kombinációt, majd kattintson a felfelé vagy lefelé mutató nyílra.
| Megjegyzés |
Az algoritmuskombinációkat ajánlott úgy elrendezni, hogy a legmagasabb biztonságú legyen felül, a legalacsonyabb pedig legalul. Így biztosíthatja, hogy a mindkét társ által támogatható legbiztonságosabb módszer lesz alkalmazva. |
Kulcsok élettartama
Az új kulcsok létrehozásának időpontját az élettartam-beállítások határozzák meg. A kulcsok élettartama lehetővé teszi, hogy egy megadott időtartam vagy megadott számú, az aktuális kulcs által védett munkamenet után új kulcsot generáltasson. Több kulcs használatával biztosíthatja, hogy ha egy támadó hozzáfér egy kulcshoz, csak kevés információhoz jusson hozzá, mielőtt a rendszer új kulcsot generál, és a hálózati forgalom ismét biztonságos lesz. Az élettartamot megadhatja percekben és a munkamenetek számában is. Az első elért küszöbérték lesz használatban, és a kulcs regenerálódik.
| Megjegyzés |
Ez a kulcsregeneráció csak az alapmódú kulcscseréknél érhető el. Ezek a beállítások nem befolyásolják a kulcsok élettartamának beállításait a gyors módú adatvédelemben. |
Perc
Ezzel a beállítással megadhatja percekben, hogy milyen hosszú az alapmódú biztonsági társításhoz használt kulcs élettartama. Az intervallum után a rendszer új kulcsot generál. Az ezt követő alapmódú munkamenetek az új kulcsot használják.
A maximális élettartam 2 879 perc (48 óra). A minimális élettartam 1 perc. Azt ajánljuk, hogy csak olyan gyakran hozzon létre újra kulcsot, ahogy a kockázatelemzés igényli. A túl gyakori kulcsváltás hatással lehet a teljesítményre.
Munkamenetek
A munkamenetek külön üzenetek vagy üzenetcsoportok, amelyeket gyors módú biztonsági társítások védenek. Ez a beállítás megadja, hogy hány gyors módú kulcsgeneráló munkamenet legyen védhető ugyanannak az alapmódú kulcsinformációnak a felhasználásával. Ennek a küszöbértéknek az elérése után a számláló alaphelyzetbe áll, és egy új kulcs jön létre. Az ezt követő kommunikációs folyamatok már az új kulcsot használják. A maximális érték 2 147 483 647 munkamenet lehet. A minimális érték 0 munkamenet lehet.
Ha a munkamenet határértéke nulla (0), akkor az új kulcs generálását csak a Kulcsélettartam (perc) beállítás határozza meg.
Járjon el figyelmesen, ha nagyon eltérő kulcsélettartamokat állít be az alapmódú és gyors módú kulcsokhoz. Ha az alapmódú főkulcs élettartamát például nyolc órára állítja, a gyors módú kulcsét pedig két órára, a gyors módú biztonsági társítás csaknem további két óráig fennállhat az alapmódú biztonsági társítás lejárta után. Ez akkor történhet meg, ha a gyors módú biztonsági társítás kevéssel az alapmódú biztonsági társítás lejárta előtt jön létre.
 | Fontos! |
Minél magasabb az alapmódú kulcs által engedélyezett munkamenetek száma, annál nagyobb az esélye az alapmódú kulcs felfedezésének. Az ismételt felhasználás számának korlátozása érdekében a gyors módú kulcshoz korlát határozható meg. |
 | Biztonsági Megjegyzés |
Az alapmódú sérülés utáni titkosságvédelem (PFS) beállításához a Kulcsélettartam munkamenetszámban beállítás értékét állítsa 1-re. Bár ez a beállítás lényegesen több védelmet nyújt, jelentős negatív hatással van a számítógép és a hálózat teljesítményére. Minden új gyors módú munkamenet regenerálja az alapmódú kulcskezelő anyagot, amely pedig a két számítógép ismételt hitelesítését eredményezi. Azt javasoljuk, hogy a sérülés utáni titkosságvédelmet csak olyan környezetekben engedélyezze, ahol az IPsec forgalmát jól felkészült támadók veszélyeztetik, akik megkísérelhetik az IPsec által nyújtott erős titkosítási védelem feltörését. |
Kulcscsere beállításai
A fokozott biztonságot nyújtó Diffie-Hellman algoritmus használata
A Windows Vista és a Windows újabb verziói az IKE protokoll mellett támogatják az AuthIP protokollt is a kezdeti biztonságos kapcsolat létrehozásához, amelyen belül a többi IPsec-paraméter egyeztetése zajlik. Az IKE csak Diffie-Hellman algoritmusokon keresztül bonyolítja az információcserét. Az AuthIP használata során nincs szükség Diffie-Hellman kulcscsere protokollra. Ha azonban Kerberos 5-ös verziójú hitelesítés szükséges, a rendszer a Kerberos 5-ös verziójú szolgáltatásjegy titkot használja a Diffie-Hellman értékek helyett. Ha tanúsítványhitelesítés vagy NTLM-hitelesítés szükséges, akkor a rendszer egy átviteli szintű biztonsági (TLS) munkamenetet hoz létre, és ennek a titkát használja a Diffie-Hellman érték helyett.
Ha bejelöli ezt a jelölőnégyzetet, akkor a választott hitelesítési típustól függetlenül Diffie-Hellman kulcscsere történik, és a rendszer a Diffie-Hellman titkot használja a fennmaradó IPsec egyeztetések végrehajtására. Akkor használja ezt a beállítást, ha a szabályozó követelmények előírják, hogy Diffie-Hellman cserét kell használni.