A negociação de Troca de Chave de Internet (IKE) do Modo Principal estabelece um canal seguro, conhecido como Associação de Segurança da Internet e associação de segurança (SA) de Protocolo de Gerenciamento de Chave (ISAKMP) entre dois computadores. A SA de ISAKMP é usada para proteger trocas subsequentes de chaves entre computadores do mesmo ponto, conhecida como negociação do Modo Rápido. Para estabelecer o canal seguro, a negociação do Modo Principal determina um grupo de pacotes de proteções criptográficas, troca material de chave para estabelecer a chave secreta e autentica identidades do computador.
O monitoramento das SAs do Modo Principal pode fornecer informações sobre quais pontos estão atualmente conectados a este computador, quando a SA foi formada, qual pacote de proteção foi usado para formar a SA e outras informações.
Filtros genéricos
Filtros genéricos são filtros IP configurados para usar qualquer uma das opções de endereço IP, como um endereço de origem ou de destino. O IPsec permite usar palavras-chave, como Meu Endereço IP, Servidor DNS, Servidor DHCP, Servidores WINS e Gateway Padrão, na configuração de filtros. Quando palavras-chave são usadas, filtros genéricos mostram as palavras-chave no snap-in Monitoramento de Segurança IP. Filtros específicos são derivados com a expansão de palavras-chave em endereços IP.
Adicionando, removendo e classificando colunas
É possível adicionar, remover, reorganizar e classificar de acordo com essas colunas no painel de resultados:
- Nome.
- Origem. Esse é o endereço IP da origem do pacote.
- Destino. Esse é o endereço IP do destino do pacote.
- Diretiva IKE. Este é o nome da diretiva IKE associada a esse filtro genérico, não o nome da diretiva IPsec que você criou usando o snap-in Diretiva IPsec. Os detalhes da diretiva, como qual conjunto de algoritmos criptográficos foi usado, podem ser visualizados no item Diretiva IKE.
- Métodos de Autenticação. Esta é uma lista de todos os métodos de autenticação disponíveis para o filtro, em ordem de preferência.
- Tipo de Conexão. É o tipo de conexão a que esse filtro é aplicado, seja o tipo de conexão uma conexão de rede de área local (LAN), acesso remoto ou todos os tipos de conexão.
Filtros específicos
Filtros específicos são expandidos em filtros genéricos usando os endereços IP do computador de origem ou de destino para a conexão real. Por exemplo, se você tiver um filtro que usou a opção Meu Endereço IP como o endereço de origem e a opção Servidor DHCP como o endereço de destino, quando uma conexão for formada usando esse filtro, um filtro que tenha o endereço IP do seu computador e o endereço IP do servidor DHCP que esse computador usa será criado automaticamente.
 | Observação |
O snap-in Monitor de Segurança IP também pode resolver endereços IP como nomes DNS para a pasta Filtros Específicos na pasta Modo Rápido, mas não na pasta Modo Principal. |
Adicionando, removendo e classificando colunas
É possível adicionar, remover, reorganizar e classificar de acordo com essas colunas no painel de resultados:
- Nome.
- Origem. Esse é o endereço IP da origem do pacote.
- Destino. Esse é o endereço IP do destino do pacote.
- Direção. Especifica se o filtro é de entrada ou de saída.
- Diretiva IKE. Este é o nome da diretiva IKE, não o nome da diretiva IPsec que você criou usando o snap-in Diretiva IPsec. Os detalhes da diretiva, como qual conjunto de algoritmos criptográficos foi usado, podem ser visualizados no item Diretiva IKE.
- Métodos de Autenticação. Esta é uma lista de todos os métodos de autenticação disponíveis para o filtro, em ordem de preferência.
- Peso. É a prioridade que o serviço IPsec dá ao filtro. O peso é derivado de vários fatores. Para obter mais informações sobre pesos de filtros, consulte
https://go.microsoft.com/fwlink/?LinkId=62212 (a página pode estar em inglês) .
Observação A propriedade peso sempre é definida como 0 em computadores que executam o Windows Vista®, Windows Server® 2008 ou versões posteriores do Windows.
Diretivas IKE
A diretiva IKE refere-se aos métodos de integridade ou criptografia com que os dois computadores do mesmo ponto podem negociar na troca de chave do Modo Principal.
Estatísticas
Essa tabela mostra as estatísticas disponíveis no modo de exibição Estatísticas do Modo Principal:
| Observação |
Algumas dessas estatísticas não se aplicam a computadores que executam o Windows Vista, Windows Server 2008 ou versões posteriores do Windows. |
| Estatística de IKE | Descrição |
|---|---|
Aquisição Ativa | Uma aquisição é uma solicitação por parte do driver IPsec para que o IKE execute uma tarefa. A estatística de Aquisição Ativa inclui a solicitação pendente e o número de solicitações na fila, se houver. Normalmente, o número de aquisições ativas é 1. Quando a carga é pesada, o número de aquisições ativas é 1 e o número de solicitações que são armazenadas na fila por IKE para serem processadas aumenta. |
Recebimento Ativo | O número de mensagens IKE recebidas que estão na fila para serem processadas. |
Falhas de Aquisição | O número de vezes que uma aquisição falhou. |
Falhas na Recepção | O número de vezes que a função WSARecvFrom() do Windows Sockets falhou durante a recepção de mensagens IKE. |
Falhas no Envio | O número de vezes que a função WSASendTo() do Windows Sockets falhou durante o envio de mensagens IKE. |
Adquirir Tamanho de Pilha | O número de entradas na pilha de aquisições, que armazena aquisições ativas. Esse número aumenta com uma carga pesada e depois diminui gradualmente com o tempo, à medida que a pilha de aquisições é limpa. |
Tamanho da Pilha de Recebimento | O número de entradas nos buffers de recepção IKE para mensagens de entrada IKE. |
Falhas de Autenticação | O número total de falhas de autenticação de identidade (chave pré-compartilhada, de certificado, Kerberos) ocorridas durante a negociação do Modo Principal. Se estiver com dificuldade para se comunicar com segurança, tente a comunicação e consulte essa estatística para ver se esse número aumenta. Em caso positivo, verifique suas configurações de autenticação a fim de detectar se é utilizado um método de autenticação não correspondente ou uma configuração incorreta de método de autenticação (por exemplo, o uso de chaves pré-compartilhadas que não são correspondentes). |
Falhas de Negociação | O número total de falhas de negociação que ocorreram durante as negociações do Modo Principal ou do Modo Rápido. Se estiver com dificuldade para se comunicar com segurança, tente a comunicação e consulte essa estatística para ver se esse número aumenta. Em caso positivo, verifique suas configurações de método de segurança e autenticação a fim de detectar se é utilizado um método de autenticação não correspondente, uma configuração incorreta de método de autenticação (por exemplo, o uso de chaves pré-compartilhadas que não são correspondentes) ou configurações ou métodos de segurança não correspondentes. |
Cookies Inválidos Recebidos | Um cookie é um valor contido em uma mensagem IKE recebida usado por IKE para descobrir o estado de um Modo Principal ativo. Um cookie em uma mensagem IKE recebida que não pode corresponder a um Modo Principal ativo é inválido. |
Aquisição Total | O número total de solicitações de trabalho submetidas por IKE ao driver IPsec. |
Obter SPI Total | O número total de solicitações submetidas por IKE ao driver IPsec para obter uma Indexação de Parâmetros de Segurança (SPI) exclusiva. |
Adições de Chaves | O número de associações de segurança de Modo Rápido de saída adicionadas por IKE ao driver IPsec. |
Atualizações de Chave | O número de associações de segurança de Modo Rápido de entrada adicionadas por IKE ao driver IPsec. |
Obter Falhas SPI | O número de solicitações submetidas por IKE ao driver IPsec para obter uma SPI exclusiva, mas que não tiveram êxito. |
Falhas de Aquisição de Chave | O número de solicitações de adição de associações de segurança de Modo Rápido de saída submetidas por IKE ao driver IPsec, mas que não tiveram êxito. |
Falhas em Atualizações de Chave | O número de solicitações de adição de associações de segurança de Modo Rápido de entrada submetidas por IKE ao driver IPsec, mas que não tiveram êxito. |
Tamanho da Lista ISADB | O número de entradas de estado de Modo Principal, incluindo Modos Principais negociados, Modos Principais em andamento e Modos Principais que falharam e não foram excluídos. |
Tamanho da Lista de Conexão | O número de entradas de estado de Modo Rápido. |
Modo principal de IKE | O número total de associações de segurança bem-sucedidas criadas durante negociações de Modo Principal. |
Modo Rápido de IKE | O número total de associações de segurança bem-sucedidas criadas durante negociações de Modo Rápido. Como normalmente há várias associações de segurança de Modo Rápido criadas para cada associação de segurança de Modo Principal, esse número não corresponde necessariamente ao número do Modo Principal. |
Associações Virtuais | O número total de negociações que resultaram no uso de texto sem formatação (também conhecidas como associações de segurança virtuais). Esse número normalmente reflete o número de associações formadas com computadores que não responderam às tentativas de negociação de Modo Principal. Isso pode incluir computadores não-compatíveis com IPsec e compatíveis com IPsec que não possuam diretivas IPsec para negociar a segurança com esse ponto IPsec. Embora as associações de segurança virtuais não sejam o resultado de negociações de Modo Rápido e de Modo Principal, elas ainda são tratadas como associações de segurança de Modo Rápido. |
Pacotes Inválidos Recebidos | O número de mensagens IKE recebidas inválidas, incluindo mensagens IKE com campos de cabeçalho inválidos, tamanhos de carga incorretos e valores incorretos para o cookie respondedor (quando deveria ser definido como 0). As mensagens IKE inválidas normalmente são ocasionadas por mensagens IKE retransmitidas obsoletas ou por uma chave pré-compartilhada não correspondente entre os pontos IPsec. |
| Observação |
Algumas dessas estatísticas podem ser usadas para detectar tentativas de ataque da rede. |
Associações de segurança
Esse modo de exibição exibe as associações de segurança ativas neste computador. Uma associação de segurança é a combinação de uma chave negociada, um protocolo de segurança e a indexação de parâmetros de segurança, que em conjunto definem a segurança usada para proteger a comunicação do remetente para o receptor. Portanto, olhando as associações de segurança deste computador, é possível determinar quais computadores têm conexões com este computador, que tipo de integridade de dados e criptografia está sendo usado para essa conexão e outras informações.
Essas informações podem ser úteis quando você está testando diretivas IPsec e solucionando problemas de acesso.
Adicionando, removendo e classificando colunas
É possível adicionar, remover, reorganizar e classificar de acordo com essas colunas no painel de resultados:
- Eu. Esse é o endereço IP do computador local.
- Meu ID. Esse é o nome DNS do computador local.
- Ponto. Esse é o endereço IP do computador remoto ou de mesmo nível.
- ID de mesmo nível. Esse é o nome do computador remoto ou de DNS de mesmo nível.
- Autenticação. Esse é o método de autenticação usado na criação da associação de segurança.
- Criptografia. Esse é o método de criptografia usado pela associação de segurança para trocas de chave de Modo Rápido.
- Integridade. Esse é o método de integridade de dados usado pela associação de segurança para trocas de chave de Modo Rápido.
- Diffie-Hellman. Esse é o grupo Diffie-Hellman usado para criar a associação de segurança do Modo Principal.