Utilize esta caixa de diálogo para adicionar, editar, alterar a prioridade ou remover as combinações de algoritmos disponíveis para troca de chaves durante negociações no modo principal. Pode especificar mais de uma combinação de algoritmos e pode atribuir a ordem pela qual as combinações são tentadas. Será utilizada o primeira combinação da lista que seja compatível com ambos os elementos de rede.
Nota | |
Uma melhor prática é a listagem de combinações de algoritmos por uma ordem que indique a segurança mais elevada no topo e a segurança mais baixa no fim da lista. Deste modo, é utilizado o algoritmo mais seguro em comum entre os dois computadores em negociação. Os algoritmos menos seguros podem ser utilizados para fins de retro-compatibilidade. |
Como aceder a esta caixa de diálogo |
Na página do snap-in Firewall do Windows com segurança avançada da MMC, em Descrição Geral, clique em Propriedades da Firewall do Windows.
Clique no separador Definições de IPsec.
Em Predefinições IPsec, clique em Personalizar.
Em Troca de Chaves (Modo Principal), seleccione Avançadas e clique em Personalizar.
Métodos de segurança
Os métodos de segurança são combinações de algoritmos de integridade e de algoritmos de encriptação que protegem a troca de chaves. Pode ter tantas combinações quantas forem necessárias e pode dispô-las na ordem preferida na lista. As combinações são tentadas pela ordem em que são apresentadas. É utilizado o primeiro conjunto acordado por ambos os computadores numa rede ponto-a-ponto. Se o computador numa rede ponto-a-ponto não conseguir utilizar nenhuma das combinações definidas, a tentativa de ligação falha.
Alguns algoritmos só são suportados por computadores com esta versão do Windows. Para mais informações, consulte
Para adicionar uma combinação à lista, clique em Adicionar para utilizar a caixa de diálogo Adicionar ou Editar Método de Segurança.
Para reordenar a lista, seleccione uma combinação e clique na seta para cima ou na seta para baixo.
Nota | |
Como melhor prática, ordene as combinações da segurança mais elevada no topo para a segurança mais baixa no fim da lista. Isto assegura a utilização do método mais seguro suportado por ambos os elementos de rede. |
Durações da chave
As definições de duração determinam quando é gerada uma nova chave. A duração da chave permite forçar a geração de uma nova chave após um intervalo de tempo especificado ou após um número de sessões especificado ter sido protegido com a chave actual. A utilização de várias chaves assegura que, se um atacante conseguir aceder a uma chave, só uma pequena quantidade de informações ficará exposta antes de uma nova chave ser gerada e de o tráfego de rede ficar novamente protegido. Pode especificar a duração em minutos e em número de sessões. É utilizado o primeiro limiar atingido e a chave é regenerada.
Nota | |
Esta regeneração de chaves destina-se apenas à troca de chaves no modo principal. Estas definições não afectam as definições de duração da chave para protecção de dados no modo rápido. |
Minutos
Utilize esta definição para configurar a duração da chave utilizada na associação de segurança no modo principal, em minutos. Após este intervalo, é gerada uma nova chave. As sessões de modo principal seguintes utilizam a nova chave.
A duração máxima é de 2.879 minutos (48 horas). A duração mínima é de 1 minuto. Recomenda-se que a recodificação seja efectuada apenas com a frequência exigida pela análise de riscos. Uma recodificação excessivamente frequente pode ter impacto no desempenho.
Sessões
Uma sessão é uma mensagem distinta ou um conjunto de mensagens protegidas por uma SA de modo rápido. Esta definição especifica o número de sessões de geração de chave de modo rápido que é possível proteger utilizando as mesmas informações de chave de modo principal. Uma vez atingido este limiar, o contador é reposto e uma nova chave é gerada. As comunicações subsequentes irão utilizar a chave nova. O valor máximo é de 2.147.483.647 sessões. O valor mínimo é de 0 sessões.
Um limite de sessão de zero (0) faz com que a geração de uma nova chave seja determinada apenas pela definição Duração da chave (em minutos).
Tenha especial atenção ao definir durações de chave muito diferentes para chaves de modo principal e de modo rápido. Por exemplo, a definição de uma duração de chave de modo principal de oito horas e a definição de uma duração de chave de modo rápido de duas horas poderia deixar uma SA de modo rápido activa durante quase duas horas após a SA de modo principal ter expirado. Isto ocorre quando a SA de modo rápido é gerada pouco antes de a SA de modo principal expirar.
Importante | |
Quanto maior for o número de sessões permitidas por chave de modo principal, maiores serão as probabilidades de a chave de modo principal ser detectada. Se pretender limitar o número de vezes que esta reutilização ocorre, pode especificar um limite de chaves de modo rápido. |
Segurança Nota | |
Para configurar o PFS (Perfect Forward Secrecy) de modo principal, defina Duração da chave em sessões como 1. Apesar de esta configuração fornecer uma protecção avançada significativa, também acarreta uma penalização significativa para o desempenho computacional e da rede. Cada nova sessão de modo rápido regenera o material para chaves de modo principal, o que, por sua vez, faz com que os computadores efectuem a reautenticação. Recomenda-se a activação de PFS apenas em ambientes em que o tráfego IPsec possa estar exposto a atacantes sofisticados que possam tentar comprometer a forte protecção criptográfica fornecida por IPsec. |
Opções de troca de chaves
Utilizar Diffie-Hellman para segurança avançada
O Windows Vista e as versões posteriores do Windows suportam Authenticated IP (AuthIP) em conjunto com IKE (Internet Key Exchange) para estabelecer a ligação segura inicial em que os restantes parâmetros de IPsec serão negociados. O IKE só utiliza trocas Diffie-Hellman. Quando o AuthIP é utilizado, não é necessário um protocolo de troca de chaves Diffie-Hellman. Em vez disso, quando é necessária a autenticação Kerberos, versão 5, a palavra-passe da permissão de serviço Kerberos, versão 5, é utilizada em vez de um valor Diffie-Hellman. Quando é necessária a autenticação de certificados ou a autenticação NTLM, é estabelecida uma sessão de segurança de nível de transporte (TLS) e esta palavra-passe é utilizada em vez do valor Diffie-Hellman.
Se seleccionar esta caixa de verificação, é efectuada uma troca Diffie-Hellman, independentemente do tipo de autenticação seleccionado, e a palavra-passe Diffie-Hellman é utilizada para proteger as restantes negociações de IPsec. Utilize esta opção quando os requisitos da regulamentação especificam que tem de ser utilizada uma troca Diffie-Hellman.