Met dit dialoogvenster kunt u algoritmecombinaties toevoegen, bewerken en verwijderen die beschikbaar zijn voor de sleuteluitwisseling tijdens de onderhandelingen in de hoofdmodus. Daarnaast kunt u de prioriteit van de algoritmecombinaties wijzigen. U kunt meerdere algoritmecombinaties opgeven en de volgorde bepalen waarin de combinaties moeten worden geprobeerd. De eerste combinatie in de lijst die compatibel is met beide peers, wordt gebruikt.
 | Opmerking |
Het is raadzaam de algoritmecombinaties te sorteren op beveiligingsniveau (van hoog naar laag). Op die manier wordt de veiligste algoritme gebruikt voor de twee computers die bij de onderhandelingen zijn betrokken. De minst veilige algoritmen kunnen voor achterwaartse compatibiliteit worden gebruikt. |
 | Dit dialoogvenster weergeven |
Klik op de pagina in de MMC-module Windows-firewall met een geavanceerde beveiliging bij Overzicht op Eigenschappen van Windows Firewall.
Klik op de tab IPsec-instellingen.
Klik onder Standaardinstellingen voor IPsec op Aanpassen.
Selecteer onder Sleuteluitwisseling (hoofdmodus) de optie Geavanceerd en klik vervolgens op Aanpassen.
Beveiligingsmethoden
Beveiligingsmethoden zijn combinaties van integriteitsalgoritmen en versleutelingsalgoritmen waarmee de sleuteluitwisseling wordt beveiligd. U kunt zoveel combinaties gebruiken als u nodig hebt en de combinaties in de lijst naar eigen inzicht sorteren. De combinaties worden geprobeerd in de volgorde waarin ze worden weergegeven. De eerste set waarover beide peercomputers het eens zijn, wordt gebruikt. Als op de peercomputer geen van de opgegeven combinaties kan worden gebruikt, mislukt de verbindingspoging.
Sommige algoritmen worden alleen ondersteund door computers waarop deze versie van Windows wordt uitgevoerd. Zie
U kunt een combinatie aan de lijst toevoegen door te klikken op Toevoegen en de noodzakelijke instellingen op te geven in het dialoogvenster Beveiligingsmethode toevoegen of bewerken.
U kunt de sorteervolgorde van de lijst wijzigen door een combinatie te selecteren en vervolgens op de pijl-omlaag of pijl-omhoog te klikken.
| Opmerking |
Het is raadzaam de combinaties te sorteren op beveiligingsniveau (van hoog naar laag). Hierdoor weet u zeker dat de veiligste door beide peers ondersteunde methode wordt gebruikt. |
Sleutellevensduur
Met de instellingen voor de levensduur bepaalt u wanneer er een nieuwe sleutel moet worden gegenereerd. Door een sleutellevensduur in te stellen kunt u afdwingen dat er een nieuwe sleutel wordt gegenereerd na het opgegeven tijdsinterval of nadat de opgegeven hoeveelheid gegevens met de huidige sleutel is beveiligd. Door verschillende sleutels te gebruiken zorgt u ervoor dat slechts een kleine hoeveelheid gegevens gevaar loopt als een kwaadwillige gebruiker één sleutel weet te bemachtigen. Zodra er een nieuwe sleutel is gegenereerd, wordt het netwerkverkeer weer beveiligd. U kunt de levensduur zowel in minuten als in aantal sessies opgeven. De eerst bereikte drempel wordt gebruikt en de sleutel wordt opnieuw gegenereerd.
| Opmerking |
Deze sleutel wordt alleen opnieuw gegenereerd met het oog op de sleuteluitwisseling in de hoofdmodus. Deze instellingen zijn niet van invloed op de sleutellevensduur die is ingesteld voor de gegevensbeveiliging in de snelle modus. |
Minuten
Met deze instelling kunt u de geldigheid (in minuten) opgeven voor de sleutel die wordt gebruikt in de hoofdmodusbeveiligingskoppeling. Na dit interval wordt er een nieuwe sleutel gegenereerd. De nieuwe sleutel wordt tijdens daaropvolgende hoofdmodussessies gebruikt.
De maximumlevensduur bedraagt 2879 minuten (48 uur). De minimumlevensduur bedraagt 1 minuut. Het is raadzaam niet vaker opnieuw een sleutel te genereren dan op grond van uw risicoanalyse vereist is. Als er te vaak nieuwe sleutels worden gegenereerd, kan dat de prestaties nadelig beïnvloeden.
Sessies
Een sessie is een afzonderlijk bericht of een set berichten die met een snelle-modusbeveiligingskoppeling wordt beveiligd. Met deze instelling geeft u aan hoeveel sessies voor het genereren van sleutels voor de snelle modus kunnen worden beveiligd met dezelfde sleutelgegevens voor de hoofdmodus. Wanneer deze drempel is bereikt, wordt de teller opnieuw ingesteld en wordt er een nieuwe sleutel gegenereerd. De nieuwe sleutel wordt tijdens daaropvolgende communicatie gebruikt. De maximumwaarde bedraagt 2.147.483.647 sessies. De minimumwaarde bedraagt 0 sessies.
Bij een sessielimiet van nul (0) bepaalt alleen de instelling Sleutellevensduur in minuten wanneer een nieuwe sleutel wordt gegenereerd.
Ga voorzichtig te werk wanneer u een sterk afwijkende levensduur instelt voor sleutels voor de hoofdmodus en de snelle modus. Als u de levensduur van de sleutel voor de hoofdmodus bijvoorbeeld instelt op 8 uur en die van de sleutel voor de snelle modus op 2 uur, is het mogelijk dat de snelle-modusbeveiligingskoppeling nog bijna 2 uur actief blijft nadat de hoofdmodusbeveiligingskoppeling is verlopen. Dit doet zich voor wanneer de beveiligingskoppeling in de snelle modus wordt gegenereerd kort voordat beveiligingskoppeling in de hoofdmodus verloopt.
 | Belangrijk |
Hoe hoger het aantal toegestane sessies per sleutel voor de hoofdmodus, des te groter het risico dat de sleutel voor de hoofdmodus wordt ontdekt. Geef een sleutellimiet voor de snelle modus op als u het aantal keren wilt beperken dat de sleutel opnieuw wordt gebruikt. |
 | Beveiliging Opmerking |
U kunt Perfect Forward Secrecy (PFS) voor de hoofdmodus configureren door Sleutellevensduur in sessies in te stellen op 1. Hoewel deze configuratie een stuk veiliger is, heeft deze ook een nadelige invloed op de systeem- en netwerkprestaties. Bij elke nieuwe sessie in de snelle modus, wordt het sleutelmateriaal voor de hoofdsessie opnieuw gegenereerd, waardoor de twee computers telkens opnieuw moeten worden geverifieerd. Het is raadzaam PFS alleen in te schakelen in omgevingen waarin IPsec-verkeer het gevaar loopt te worden aangevallen door hackers die proberen de sterke cryptografiebeveiliging van IPsec te ondermijnen. |
Opties sleuteluitwisseling
Gebruik Diffie-Hellman voor verbeterde beveiliging
In Windows Vista en hogere versies van Windows wordt naast IKE (Internet Key Exchange) ook AuthIP (Authenticated IP) gebruikt voor het tot stand brengen van de eerste beveiligde verbinding waarmee kan worden onderhandeld over de overige IPsec-parameters. Bij IKE worden alleen Diffie-Hellman-uitwisselingen gebruikt. Wanneer AuthIP wordt gebruikt, hoeft er geen sleuteluitwisselingsprotocol op basis van Diffie-Hellman te worden gebruikt. Wanneer in plaats daarvan wordt verzocht om verificatie op basis van Kerberos versie 5, wordt het geheim van het Kerberos versie 5-serviceticket gebruikt in plaats van een Diffie-Hellman-waarde. Wanneer wordt verzocht om certificaatverificatie of NTLM-verificatie, wordt er een TLS-sessie (Transport Level Security) tot stand gebracht en wordt het bijbehorende geheim gebruikt in plaats van de Diffie-Hellman-waarde.
Als u dit selectievakje inschakelt, vindt er een Diffie-Hellman-uitwisseling plaats, ongeacht het geselecteerde verificatietype, en wordt het Diffie-Hellman-geheim gebruikt om de overige IPsec-onderhandelingen te beveiligen. Gebruik dit selectievakje wanneer de voorschriften vereisen dat een Diffie-Hellman-uitwisseling moet worden gebruikt.