Use esta caixa de diálogo para adicionar, editar, alterar a prioridade ou remover as combinações de algoritmo disponíveis para troca de chave durante as negociações de modo principal. Você pode especificar mais de uma combinação de algoritmos e pode atribuir a ordem de tentativa das combinações. A primeira combinação de algoritmos da lista compatível com ambos os computadores ponto a ponto será usada.

Observação

Como recomendação, liste as combinações de algoritmos partindo do mais seguro na parte superior para o menos seguro na parte inferior. Dessa forma, o algoritmo mais seguro em comum entre os dois computadores negociantes é usado. O menos seguro pode ser usado para compatibilidade retroativa.

Como acessar esta caixa de diálogo
  1. Na página do snap-in do MMC do Firewall do Windows com Segurança Avançada, em Visão geral, clique em Propriedades do Firewall do Windows.

  2. Clique na guia Configurações de IPsec.

  3. Em Padrões IPSec, clique em Personalizar.

  4. Em Troca de Chaves (Modo Principal), selecione Avançado e clique em Personalizar.

Métodos de segurança

Os métodos de segurança são combinações de algoritmos de integridade e algoritmos de criptografia que protegem a troca de chaves. Você pode ter quantas combinações forem necessárias e organizá-las na ordem preferida na lista. As tentativa das combinações são realizadas na ordem em que estão exibidas. O primeiro a ser aceito pelos dois computadores ponto a ponto será usado. Se o computador ponto a ponto não puder usar nenhuma das combinações definidas, a tentativa de conexão falhará.

Alguns algoritmos são compatíveis apenas com computadores que estejam executando esta versão do Windows. Para obter mais informações, consulte Algoritmos e protocolos IPsec suportados pelo Windows (A página pode estar em inglês) (https://go.microsoft.com/fwlink/?LinkID=129230).

Para adicionar uma combinação à lista, clique em Adicionar para usar a caixa de diálogo Adicionar ou Editar Modo de Segurança.

Para reorganizar a lista, selecione uma combinação e clique nas setas para cima e para baixo.

Observação

Como recomendação, organize as combinações da segurança mais alta na parte superior da lista para a segurança mais baixa na parte inferior. Isso assegura o uso do método mais seguro para o qual haja suporte nos dois computadores ponto a ponto.

Tempos de vida das chaves

As configurações de tempo de vida determinam quando uma nova chave será gerada. Os tempos de vida da chave permitem forçar a geração de uma nova chave após um intervalo especificado ou após um número especificado de sessões ter sido protegido usando a chave atual. O uso de diversas chaves garante que se um invasor conseguir acesso a uma chave, apenas uma quantidade pequena de informações será exposta antes da geração de uma nova chave e o tráfego de rede será protegido novamente. É possível especificar o tempo de vida em minutos e em número de sessões. O primeiro limite alcançado é usado e a chave é regenerada.

Observação

Essa geração de chave serve apenas para a troca de chave no modo principal. Essas configurações não afetam as configurações de tempo de vida da chave para proteção de dados no modo rápido.

Minutos

Use essa configuração para definir a duração da chave usada na associação de segurança no modo principal, em minutos. Após esse intervalo, uma nova chave é gerada. Sessões subsequentes no modo principal usam a nova chave.

O tempo de vida máximo é de 2.879 minutos (48 horas). O tempo de vida mínimo é de 1 minuto. Recomendamos a criação de uma nova chave apenas de acordo com a exigência de suas análises de risco. A criação frequente e excessiva de novas chaves pode prejudicar o desempenho.

Sessões

Uma sessão é uma mensagem distinta ou conjunto de mensagens protegidas por uma SA de modo rápido. Essa configuração especifica quantas sessões de geração de chave no modo rápido podem ser protegidas usando as mesmas informações de chave no modo principal. Após esse limite ser atingido, o contador é reinicializado e uma chave é gerada As comunicações subsequentes usarão a nova chave. O valor máximo é de 2.147.483.647 sessões. O valor mínimo é de 0 sessão.

Um limite de sessão de zero (0) faz com que a geração de uma nova chave seja determinada apenas pela configuração Tempo de vida da chave (em minutos):.

Tenha cuidado ao configurar tempos de vida de chave muito diferentes para chaves no modo principal e no modo rápido. Por exemplo, a configuração de um tempo de vida de chave no modo principal de 8 horas e um tempo de vida de chave no modo rápido de 2 horas poderá fazer com que uma SA de modo rápido seja mantida por quase 2 horas depois de a SA de modo principal ter expirado. Isso ocorre quando a SA do modo Rápido é gerada pouco tempo antes de a SA do modo principal ter expirado.

Importante

Quanto maior o número de sessões permitidas por chave no modo principal, maior a chance de descoberta da chave no modo principal. Para limitar o número de vezes que essa reutilização ocorre, especifique um limite de chave no modo rápido.

Segurança Observação

Para configurar o PFS (perfect forward secrecy) do modo principal, defina Tempo de vida da chave em sessões como 1. Embora essa configuração forneça proteção adicional significativa, também apresenta uma penalidade significativa de desempenho computacional e de rede. Cada sessão de modo rápido nova gera novamente o material para chave de modo principal, que faz com que os dois computadores se reautentiquem. Recomendamos a ativação do PFS apenas em ambientes nos quais o tráfego IPsec pode ser exposto a invasores sofisticados que podem tentar comprometer a forte proteção criptográfica fornecida pelo IPsec.

Opções de troca de chave

Use Diffie-Hellman para obter uma proteção mais avançada

O Windows Vista e versões posteriores do Windows suportam AuthIP (Authenticated IP) além de IKE (Internet Key Exchange) para estabelecer a conexão segura inicial com a qual o resto dos parâmetros IPsec é negociado. O IKE usa apenas trocas Diffie-Hellman. Quando o AuthIP é usado, nenhum protocolo de troca de chave Diffie-Hellman é exigido. Em vez disso, quando a autenticação Kerberos versão 5 é solicitada, o segredo do tíquete de serviço Kerberos versão 5 é usado em vez de um valor de Diffie-Hellman. Quando a autenticação de certificado ou a autenticação NTLM é solicitada, uma sessão TLS (segurança em nível de transporte) é estabelecida e seu segredo é usado em vez do valor Diffie-Hellman.

Se você marcar essa caixa de seleção, uma troca Diffie-Hellman ocorrerá independentemente do tipo de autenticação selecionado e o segredo Diffie-Hellman será usado para proteger o resto das negociações de IPsec. Use isso quando requisitos regulatórios especificarem que uma troca Diffie-Hellman deve ser usada.

Consulte também


Sumário