Använd den här dialogrutan när du vill konfigurera ett algoritmerbjudande som inkluderar både dataintegritet och datasekretess (kryptering) och som är tillgängligt när du förhandlar om säkerhetsassociationer för snabbläge. Du måste ange både protokollet och algoritmen som används för att skydda integriteten för data i nätverkspaketet.
IPsec (Internet Protocol security) tillhandahåller integritet genom att beräkna ett hashvärde som genererats från data i nätverkspaketet. Hashvärdet signeras sedan kryptografiskt (krypteras) och bäddas in i IP-paketet. Den mottagande datorn använder samma algoritm för att beräkna hashvärdet och jämför resultatet med hashvärdet som är inbäddat i det mottagna paketet. Om det matchar är den mottagna informationen exakt samma information som den som skickades och paketet accepteras. Om det inte matchar ignoreras paketet.
Genom att använda ett krypterat hashvärde för det överförda meddelandet är det beräkningsmässigt omöjligt att ändra meddelandet utan att det leder till att meddelandet inte överensstämmer med hashvärdet. Detta är viktigt när data överförs via ett osäkert nätverk, t.ex. Internet, och är ett säkert sätt att se till att meddelandet inte ändras under överföringen.
Via den här dialogrutan kan du även, utöver integritetsskyddet, ange en krypteringsalgoritm som hjälper till att förhindra att data läses om nätverkspaketet har avlyssnats under överföringen.
 | Så här kommer du till dialogrutan |
På sidan Windows-brandväggen med avancerad säkerhet i snapin-modulen MMC klickar du på Egenskaper för Windows-brandväggen i Översikt.
Klicka på fliken IPsec-inställningar.
Klicka på Anpassa under Standardvärden för IPsec.
Under Dataskydd (snabbläge) väljer du Avancerat och klickar sedan på Anpassa.
Under Dataintegritet och kryptering väljer du en algoritmkombination i listan och klickar på Redigera eller Lägg till.
Protokoll
Följande protokoll används för att bädda in integritets- och krypteringsinformationen i ett IP-paket.
ESP (rekommenderas)
ESP tillhandahåller sekretess (förutom verifiering, integritet och skydd mot anti-omsändning) för IP-nyttolasten. När ESP är i transportläge signeras inte hela paketet. Endast IP-datanyttolasten, inte IP-huvudet, skyddas. ESP kan användas självständigt eller tillsammans med AH (Authentication Header). ESP inkluderar ESP-huvudet, ESP-slutet och nyttolasten i beräkningen av hash-algoritmen. ESP tillhandahåller tjänster för datasekretess genom att kryptera ESP-nyttolasten med en av de krypteringsalgoritmer som stöds. Svarstjänster för datapaket tillhandahålls genom inkluderandet av ett sekvensnummer för varje paket.
ESP och AH
I det här alternativet kombineras säkerheten i ESP-protokollet med AH-protokollet. AH ger autentisering, integritet och anti-omsändning av hela paket (både av IP-huvudet och datanyttolasten som finns i paketet).
 | Viktigt! |
AH-protokollet är inte kompatibelt med NAT (Network Address Translation) eftersom information i pakethuvuden måste utbytas av NAT-enheter. Om du vill tillåta att IPsec-baserad trafik passerar genom en NAT-enhet måste du se till att NAT-T (NAT Traversal) stöds på peer-datorerna med IPsec. |
Algoritmer
Krypteringsalgoritm
Följande krypteringsalgoritmer är tillgängliga för datorer med den här versionen av Windows. Vissa av algoritmerna är inte tillgängliga på datorer med tidigare versioner av Windows. Om du måste upprätta IPsec-skyddade anslutningar med en dator som använder en tidigare version av Windows måste du inkludera algoritmalternativ som är kompatibla med den tidigare versionen.
Mer information finns på
- AES-GCM 256
- AES-GCM 192
- AES-GCM 128
- AES-CBC 256
- AES-CBC 192
- AES-CBC 128
- 3DES
- DES
 | SäkerhetsOBS |
Vi rekommenderar inte att du använder DES. Den används endast för bakåtkompatibilitet. |
 | OBS |
Om du anger en AES-GCM-algoritm för kryptering måste du sedan ange samma algoritm för integritet. |
Integritetsalgoritm
Följande integritetsalgoritmer är tillgängliga för datorer med den här versionen av Windows. Vissa av algoritmerna är inte tillgängliga på datorer med andra versioner av Windows. Om du måste upprätta IPsec-skyddade anslutningar med en dator som använder en tidigare version av Windows måste du inkludera algoritmalternativ som är kompatibla med den tidigare versionen.
Mer information finns på
- AES-GCM 256
- AES-GCM 192
- AES-GCM 128
- AES-GMAC 256
- AES-GMAC 192
- AES-GMAC 128
- SHA-1
- MD5
| SäkerhetsOBS |
Vi rekommenderar inte att du använder MD5. Den används endast för bakåtkompatibilitet. |
| OBS |
Om du anger en AES-GCM-algoritm för integritet måste du sedan ange samma algoritm för kryptering. |
Livstid för nycklar
Livstidsinställningarna avgör när en ny nyckel genereras. Med hjälp av livstider för nycklar kan du framtvinga generering av en ny nyckel efter ett visst intervall eller efter att en viss mängd data har överförts. Om kommunikationen exempelvis varar i 100 minuter och du anger nyckelns giltighetstid till tio minuter, kommer tio nycklar att skapas (en var tionde minut) under utbytet. Om du använder flera nycklar blir inte hela kommunikationen osäker även om någon obehörig person kommer åt nyckeln till en del av kommunikationen.
| OBS |
Omgenereringen av nycklar är för dataintegritet och kryptering i snabbläge och påverkar inte inställningarna för livstid för nycklar för nyckelutbyte i huvudläge. |
Minuter
Använd den här inställningen när du vill konfigurera hur länge nyckeln som används i säkerhetsassociationer för snabbläge räcker, i minuter. Efter det här intervallet genereras nyckeln om. I efterföljande kommunikation används den nya nyckeln.
Den maximala livstiden är 2 879 minuter (48 timmar). Den minimala livstiden är 5 minuter. Vi rekommenderar att du endast förnyar nyckeln så ofta som riskanalysen kräver. Överdrivet täta nyckelförnyelser kan påverka prestandan.
KB
Använd den här inställningen när du vill konfigurera hur många kilobyte (KB) data som skickas med nyckeln. Efter att det här tröskelvärdet har uppnåtts återställs räknaren och nyckeln genereras om. I efterföljande kommunikation används den nya nyckeln.
Den maximala livstiden är 2,147,483,647 kB. Den minimala livstiden är 20,480 kB. Vi rekommenderar att du endast förnyar nyckeln så ofta som riskanalysen kräver. Överdrivet täta nyckelförnyelser kan påverka datorns prestanda.