Använd den här dialogrutan när du vill lägga till, ändra, ändra prioritet på eller ta bort de algoritmkombinationer som är tillgängliga för nyckelutbyte under förhandlingar i huvudläge. Du kan ange fler än en algoritmkombination och du kan ange i vilken ordning kombinationerna försöker användas. Den första kombinationen i listan som är kompatibel med båda peer-datorerna används.
OBS | |
Ett råd är att lista algoritmkombinationerna i ordning från den med högst säkerhet överst till den med lägst säkerhet nederst. På så sätt används den mest säkra algoritmen som är gemensam för de två datorer som förhandlar. De mindre säkra algoritmerna kan användas för bakåtkompatibilitet. |
Så här öppnar du den här dialogrutan |
Klicka på Egenskaper för Windows-brandväggen i Översikt i MMC-snapin-modulen Windows-brandväggen med avancerad säkerhet.
Klicka på fliken IPsec-inställningar.
Klicka på Anpassa under Standardvärden för IPsec.
Markera Avancerat under Nyckelutbyte (huvudläge) och klicka sedan på Anpassa.
Säkerhetsmetoder
Säkerhetsmetoder är kombinationer av integritetsalgoritmer och krypteringsalgoritmer som skyddar nyckelutbytet. Du kan använda så många kombinationer du vill och ordna dem i en speciell ordning i listan. Kombinationerna försöker användas i den ordning som de visas. Den första sviten som accepteras av båda peer-datorerna används. Om peer-datorn inte kan använda någon av de kombinationer du definierar misslyckas anslutningsförsöket.
Vissa algoritmer stöds endast av datorer som kör den här versionen av Windows. Mer information finns i
Lägg till en kombination i listan genom att klicka på Lägg till och använda dialogrutan Lägg till eller ändra säkerhetsmetod.
Ändra ordning i listan genom att markera en kombination och sedan klicka på upp- och nedpilarna.
OBS | |
Ett råd är att ordna kombinationerna efter den med högst säkerhet överst i listan till den med lägst säkerhet nederst i listan. Detta säkerställer att den säkraste metoden som stöds av båda peer-datorerna används. |
Livstid för nycklar
Livstidsinställningarna avgör när en ny nyckel genereras. Med livstider för nycklar kan du framtvinga att en ny nyckel genereras efter ett visst tidsintervall eller efter att ett visst antal sessioner har skyddats med den aktuella nyckeln. Om du använder flera nycklar säkerställer du att endast en liten mängd information blir sårbar innan en ny nyckel genereras och nätverkstrafiken är skyddad igen, om någon som attackerar nätverket lyckas få tag på en nyckel. Du kan ange livstid i både minuter och antal sessioner. Det första tröskelvärdet som uppnås används och nyckeln omgenereras.
OBS | |
Genereringen av nya nycklar gäller endast för nyckelutbyte i huvudläge. De här inställningarna påverkar inte inställningarna för nyckelns livstid för dataskydd i snabbläge. |
Minuter
Använd den här inställningen om du vill konfigurera hur länge nyckeln som används i säkerhetsassociationen för huvudläge gäller, i minuter. Efter det här intervallet genereras en ny nyckel. Den nya nyckeln används under efterföljande sessioner i huvudläge.
Den maximala livstiden är 2 879 minuter (48 timmar). Den minimala livstiden är 1 minut. Vi rekommenderar att du endast genererar nya nycklar så ofta som riskanalysen kräver. Prestanda kan försämras om nya nycklar genereras onödigt ofta.
Sessioner
En session är ett visst meddelande eller en uppsättning meddelanden som skyddas av en säkerhetsassociation i snabbläge. I den här inställningen anges hur många sessioner för nyckelgenerering i snabbläge som kan skyddas med samma nyckelinformation i huvudläge. Efter att det här tröskelvärdet har uppnåtts återställs räknaren och en ny nyckel genereras. I efterföljande kommunikation används den nya nyckeln. Det maximala värdet är 2 147 483 647 sessioner. Det lägsta värdet är 0 sessioner.
Om en sessionsgräns på noll (0) används leder det till att genereringen av en ny nyckel endast fastställs av inställningen Livstid för nyckel (minuter).
Var försiktig med att ange mycket olika livstider för nycklar i huvudläge och snabbläge. Om du t.ex. anger en livstid på åtta timmar för en nyckel i huvudläge och två timmar för en nyckel i snabbläge, kan detta medföra att en SA för snabbläge kommer att vara giltig i nästan två timmar efter det att tiden för SA för huvudläge har utgått. Detta inträffar när SA för snabbläge skapas strax innan tiden för SA för huvudläge har gått ut.
Viktigt! | |
Ju högre antal sessioner som tillåts per nyckel i huvudläge, desto större risk att nyckeln i huvudläge avslöjas. Om du vill begränsa hur många gånger nycklarna får återanvändas kan du ange en gräns för nyckeln i snabbläge. |
SäkerhetsOBS | |
Om du vill konfigurera PFS (Perfect Forward Secrecy) i huvudläge anger du Livstid för nyckel (i sessioner) till 1. Även om den här konfigurationen ger avsevärt mer skydd medför den också en avsevärd försämring av beräknings- och nätverksprestanda. Vid varje ny session i snabbläge genereras nyckelmaterialet i huvudläge om, vilket i sin tur leder till att de två datorerna autentiseras om. Vi rekommenderar att du endast aktiverar PFS i miljöer där IPsec-trafik kan utsättas för avancerade attacker som kan göra att det starka kryptografiska skyddet som IPsec medför äventyras. |
Alternativ för nyckelutbyte
Använd Diffie-Hellman för förbättrad säkerhet
Windows Vista och senare versioner av Windows har stöd för AuthIP (autentiserad IP) och IKE (Internet Key Exchange) vid upprättandet av den första skyddade anslutningen under vilken resten av IPsec-parametrarna förhandlas. Med IKE används endast Diffie-Hellman-utbyten. När AuthIP används krävs inget Diffie-Hellman-protokoll för nyckelutbyte. När autentisering med Kerberos version 5 krävs används hemligheten för tjänstbiljetten för Kerberos version 5 i stället för ett Diffie-Hellman-värde. När antingen certifikatautentisering eller NTLM-autentisering begärs upprättas en TLS-session (Transport Level Security) och dess hemlighet används i stället för Diffie-Hellman-värdet.
Om du markerar den här kryssrutan sker ett Diffie-Hellman-utbyte oavsett vilken autentiseringstyp som valts, och Diffie-Hellman-hemligheten används för att skydda resten av IPsec-förhandlingarna. Använd det här alternativet ett Diffie-Hellman-utbyte måste användas enligt myndighetskrav.