A Negociação de Troca de Chaves da Internet (IKE) de Modo Principal estabelece um canal seguro, conhecido como associação de segurança (SA) do Protocolo de Associação de Segurança da Internet e Gestão de Chaves (ISAKMP), entre dois computadores. A SA ISAKMP é utilizada para proteger trocas de chaves subsequentes entre computadores numa rede ponto a ponto, conhecida como negociação de Modo Rápido. Para estabelecer canais seguros, a negociação de Modo Principal determina um grupo de conjuntos de protecções criptográficas, troca material de codificação para estabelecer a chave secreta partilhada e autentica as identidades dos computadores.
A monitorização das SAs de Modo Principal pode fornecer informações sobre os elementos que estão actualmente ligados a este computador, quando a SA foi formada, o conjunto de protecção utilizado para formar a SA e outras informações.
Filtros genéricos
Os filtros genéricos são filtros IP configurados para utilização de qualquer opção do endereço IP como endereço de origem ou destino. O IPsec permite a utilização de palavras-chave, tais como O Meu Endereço IP, Servidor DNS, Servidor DHCP, Servidores WINS e Gateway Predefinido, na configuração dos filtros. Quando são utilizadas palavras-chave, os filtros genéricos mostram as palavras-chave no snap-in Monitorização de Segurança IP. Os filtros específicos são derivados através da expansão de palavras-chave em endereços IP.
Adicionar, remover e ordenar colunas
Pode adicionar, remover, alterar a disposição e ordenar pelas seguintes colunas no painel de resultados:
- Nome.
- Origem. É o endereço IP da origem do pacote.
- Destino. É o endereço IP do destino do pacote.
- Política IKE. É o nome da política IKE associada a este filtro genérico e não o nome da política IPsec que criou utilizando o snap-in Política IPsec. Os detalhes da política, tal como o conjunto de algoritmos criptográficos que foi utilizado, podem ser visualizados no item de Política IKE.
- Métodos de Autenticação. É a lista de todos os métodos de autenticação disponíveis para o filtro, por ordem de preferência.
- Tipo de Ligação. É o tipo de ligação ao qual este filtro é aplicado: rede local (LAN), acesso remoto ou todos os tipos de ligação de rede.
Filtros específicos
Os filtros específicos são expandidos a partir dos filtros genéricos através da utilização dos endereços IP do computador de origem ou destino da ligação real. Por exemplo, se tiver um filtro que utilizava a opção O Meu Endereço IP como endereço de origem e a opção Servidor DHCP como endereço de destino, quando for formada uma ligação que utilize este filtro, é criado um filtro que tem o endereço IP do seu computador e o endereço do servidor DHCP utilizado por este computador é criado automaticamente.
 | Nota |
O snap-in Monitor de Segurança IP também pode resolver endereços IP para nomes de DNS na pasta Filtros Específicos da pasta Modo Rápido, mas não na pasta Modo Principal. |
Adicionar, remover e ordenar colunas
Pode adicionar, remover, alterar a disposição e ordenar pelas seguintes colunas no painel de resultados:
- Nome.
- Origem. É o endereço IP da origem do pacote.
- Destino. É o endereço IP do destino do pacote.
- Direcção. Especifica se o filtro é de entrada ou de saída.
- Política IKE. É o nome da política IKE e não o nome da política IPsec que criou utilizando o snap-in Política IPsec. Os detalhes da política, tal como o conjunto de algoritmos criptográficos que foi utilizado, podem ser visualizados no item de Política IKE.
- Métodos de Autenticação. É a lista de todos os métodos de autenticação disponíveis para o filtro, por ordem de preferência.
- Importância. É a prioridade atribuída ao filtro pelo serviço IPsec. A importância é derivada de vários factores. Para obter mais informações sobre a importância de pacotes, consulte
https://go.microsoft.com/fwlink/?LinkId=62212 (pode estar em inglês).
Nota A propriedade importância está sempre definida para 0 em computadores que executam o Windows Vista®, Windows Server® 2008 ou versões posteriores do Windows.
Política IKE
A política IKE refere-se aos métodos de integridade ou encriptação que os dois computadores numa rede ponto a ponto podem negociar na troca de chaves de Modo Principal.
Estatísticas
Este rótulo apresenta as estatísticas disponíveis a partir da vista Estatísticas de Modo Principal:
| Nota |
Algumas destas estatísticas não se aplicam a computadores que executam o Windows Vista, o Windows Server 2008 ou versões posteriores do Windows. |
| Estatística IKE | Descrição |
|---|---|
Aquisição Activa | Uma aquisição é um pedido efectuado pelo controlador IPsec para que a IKE execute uma tarefa. A estatística Aquisição Activa inclui o pedido pendente e o número de quaisquer pedidos em fila de espera. Normalmente, o número de aquisições activas é 1. Em caso de sobrecarga, o número de aquisições activas é 1 e o número de pedidos colocados em fila de espera pela IKE para processamento aumenta. |
Recepção Activa | O número de mensagens IKE recebidas que são colocadas em fila de espera para processamento. |
Falhas na Aquisição | O número de vezes que uma aquisição falhou. |
Falhas na Recepção | Trata-se do número de vezes que a função WSARecvFrom() dos Sockets do Windows falhou durante a recepção de mensagens IKE. |
Falhas no Envio | O número de vezes que a função WSASendTo() dos Sockets do Windows falhou durante o envio de mensagens IKE. |
Tamanho da Pilha de Aquisição | O número de entradas na pilha de aquisição, que armazena aquisições activas. Este número aumenta em caso de sobrecarga, diminuindo gradualmente ao longo do tempo à medida que a pilha de aquisição vai sendo limpa. |
Tamanho da Pilha de Recepção | Trata-se do número de entradas nas memórias intermédias de recepção IKE para mensagens IKE a receber. |
Falhas na Autenticação | O número total de falhas na autenticação de identidade (Kerberos, certificado e chave pré-partilhada) que ocorreram durante a negociação de Modo Principal. Se estiver com problemas em estabelecer uma comunicação segura, tente a comunicação e consulte esta estatística para ver se este número aumenta. Se o número aumentar, verifique as definições da autenticação para confirmar se existe um método de autenticação não correspondido ou uma configuração incorrecta do método de autenticação (por exemplo, a utilização da chave pré-partilhadas que não correspondem). |
Falhas na Negociação | O número total de negociações falhadas ocorridas durante as negociações do Modo Principal ou do Modo Rápido. Se estiver com problemas em estabelecer uma comunicação segura, tente a comunicação e consulte esta estatística para ver se este número aumenta. Se o número aumentar, verifique as definições do método de segurança e autenticação para confirmar se existe um método de autenticação não correspondido, uma configuração incorrecta do método de autenticação (por exemplo, a utilização da chave pré-partilhada que não correspondem) ou definições ou métodos de segurança não correspondidos. |
Cookies Inválidos Recebidos | Um cookie é um valor contido numa mensagem IKE recebida, utilizado pela IKE para localizar o estado de um Modo Principal activo. Um cookie numa mensagem IKE recebida que não possa ser correspondido com um Modo Principal activo é considerado inválido. |
Aquisição Total | O número total de pedidos de trabalho submetidos pela IKE ao controlador IPsec. |
Total de Aquisição de SPI | O número total de pedidos submetidos pela IKE ao controlador IPsec para obter um Índice de Parâmetros de Segurança (SPI) exclusivo. |
Adições de Chaves | O número de SAs de Modo Rápido de entrada adicionadas pela IKE ao controlador IPsec. |
Actualizações Chave | O número de SAs de Modo Rápido de saída adicionadas pela IKE ao controlador IPsec. |
Falhas de Aquisição de SPI | O número de falhas em pedidos submetidos pela IKE ao controlador IPsec para obtenção de um SPI exclusivo. |
Falhas Chave de Adição | O número de falhas em pedidos de adição de SAs de Modo Rápido de saída submetidos pela IKE ao controlador IPsec. |
Falhas Chave de Actualização | O número de falhas em pedidos de adição de SAs de Modo Rápido de entrada submetidos pela IKE ao controlador IPsec. |
Tamanho da Lista ISADB | O número de entradas de estado de Modo Principal, incluindo Modos Principais negociados, Modos Principais em curso ou Modos Principais que falharam e não foram eliminados. |
Tamanho da Lista de Ligação | O número de entradas de estado de Modo Rápido. |
Modo Principal IKE | O número de SAs criadas com êxito durante as negociações de Modo Principal. |
Modo Rápido IKE | O número de SAs criadas com êxito durante as negociações de Modo Rápido. Visto que existem normalmente várias SAs de Modo Rápido criadas para cada SA de Modo Principal, este número não corresponde necessariamente ao número no Modo Principal. |
Associações Temporárias | O número total de negociações que resultaram na utilização de texto simples (também conhecidas como SAs fracas). Isto reflecte normalmente o número de associações formadas com computadores que não responderam às tentativas de negociação de Modo Principal. Isto pode incluir os computadores que não são compatíveis com IPsec e os computadores que são compatíveis com IPsec mas que não disponham de uma política IPsec para negociar a segurança com este elemento IPsec. Apesar de as SAs fracas não serem resultado de negociações de Modo Principal e Modo Rápido, são tratadas como SAs de Modo Rápido. |
Pacotes Inválidos Recebidos | O número de mensagens IKE recebidas consideradas inválidas, incluindo mensagens IKE com campos de cabeçalho inválidos, comprimentos de payload incorrectos e valores incorrectos para o cookie do dispositivo de resposta (quando deveria ser definido como 0). As mensagens IKE inválidas são frequentemente causadas pela retransmissão de mensagens IKE obsoletas ou por uma chave pré-partilhada não correspondida entre elementos IPsec. |
| Nota |
Algumas destas estatísticas podem ser utilizadas para detectar tentativas de ataque à rede. |
Associações de Segurança
Esta vista apresenta as SAs activas neste computador. Uma SA é a combinação de uma chave negociada, de um protocolo de segurança e de SPI que, em conjunto, definem a segurança utilizada para proteger a comunicação entre o emissor e o receptor. Consequentemente, observando as associações de segurança deste computador, pode determinar os computadores que tiveram ligações com este computador, o tipo de integridade e encriptação de dados utilizado nessas ligações e outras informações.
Estas informações podem ser úteis quando estiver a testar as políticas IPsec e a resolver problemas de acesso.
Adicionar, remover e ordenar colunas
Pode adicionar, remover, alterar a disposição e ordenar pelas seguintes colunas no painel de resultados:
- Eu . É o endereço IP do computador local.
- O meu ID. É o nome DNS do computador local.
- Elemento da rede. É o endereço IP do computador remoto ou elemento.
- ID do peer. É o endereço IP do computador remoto ou o nome DNS do elemento.
- Autenticação. É o método de autenticação utilizado na criação da SA.
- Encriptação. É o método de encriptação utilizado pela SA para trocas de chaves de Modo Rápido.
- Integridade. É o método de integridade de dados utilizado pela SA para trocas de chaves de Modo Rápido.
- Diffie-Hellman. É o grupo Diffie-Hellman utilizado para criar a SA de Modo Principal.