Genom IKE-förhandlingen för snabbläget (också kallat fas 2) upprättas en säker kanal mellan två datorer för att skydda data. På grund av att de säkerhetsassociationer som upprättas under denna fas förhandlas av IPSec-tjänsten kallas de för IPSec-säkerhetsassociationer. Under snabbläget uppdateras nyckelmaterialet, och nya nycklar skapas om så behövs. Det väljs också en skyddsuppsättning som skyddar angiven IP-trafik. En skyddsuppsättning består av en viss uppsättning inställningar för dataintegritet och datakryptering. Snabbläget anses inte vara ett komplett utbyte eftersom det är avhängigt ett huvudlägesutbyte.

En övervakning av snabblägets säkerhetsassociationer kan ge information om vilka peer-datorer som för tillfället är anslutna till datorn, vilken skyddsuppsättning som användes för att bilda säkerhetsassociationen och andra uppgifter.

Allmänna filter

Allmänna filter är IP-filter som har konfigurerats att använda valfritt IP-adressalternativ som antingen käll- eller måladress. Med IPSec kan du även använda nyckelord som Min IP-adress, DNS-server, DHCP-server, WINS-servrar och Standard-gateway när du konfigurerar filtren. När nyckelord används visar allmänna filter dessa i snapin-modulen IPSec-övervakaren. Specifika filter erhålls från de allmänna filtren genom att nyckelorden utökas till IP-adresser.

Lägga till, ta bort och sortera kolumner

Du kan lägga till, ta bort, ändra ordningen på och sortera efter dessa kolumner i resultatfönstret:

  • Namn.

  • Källa. Detta är IP-adressen till paketets källa.

  • Mål. Detta är IP-adressen till paketets mål.

  • Källport. Detta är paketkällans TCP- eller UDP-port.

  • Målport. Detta är paketmålets TCP- eller UDP-port.

  • Tunnelns källslutpunkt. Detta är tunnelslutpunkten närmast den lokala datorn, om en sådan har angetts.

  • Tunnelns målslutpunkt. Detta är tunnelslutpunkten närmast måldatorn, om en sådan har angetts.

  • Protokoll. Detta är det protokoll som anges i filtret.

  • Inkommande åtgärd. Detta anger om inkommande trafik Tillåts, Blockeras eller om åtgärden Förhandla om säkerhetsnivå tillämpas.

  • Utgående åtgärd. Detta anger om utgående trafik Tillåts, Blockeras eller om åtgärden Förhandla om säkerhetsnivå tillämpas.

  • Förhandlingsprincip. Detta är namnet på snabblägets förhandlingsprincip, eller krypteringsinställningar.

  • Anslutningstyp. Detta är den typ av anslutning som filtret tillämpas på, antingen LAN-anslutning, fjärråtkomst eller alla nätverksanslutningstyper.

Specifika filter

Specifika filter byggs ut från allmänna filter med hjälp av IP-adresserna till den aktuella anslutningens käll- och måldator. Om du till exempel har ett filter som använder alternativet Min IP-adress som källadress och alternativet DHCP-server som måladress och upprättar en anslutning med filtret, skapas ett filter med din dators IP-adress och IP-adressen till den DHCP-server som din datorn använder.

Lägga till, ta bort och sortera kolumner

Du kan lägga till, ta bort, ändra ordningen på och sortera efter dessa kolumner i resultatfönstret:

  • Namn.

  • Källa. Detta är IP-adressen till paketets källa.

  • Mål. Detta är IP-adressen till paketets mål.

  • Källport. Detta är paketkällans TCP- eller UDP-port.

  • Målport. Detta är paketmålets TCP- eller UDP-port.

  • Tunnelns källslutpunkt. Detta är tunnelslutpunkten närmast den lokala datorn, om en sådan har angetts.

  • Tunnelns målslutpunkt. Detta är tunnelslutpunkten närmast måldatorn, om en sådan har angetts.

  • Protokoll. Detta är det protokoll som anges i filtret.

  • Inkommande åtgärd. Detta anger om inkommande trafik Tillåts, Blockeras eller om åtgärden Förhandla om säkerhetsnivå tillämpas.

  • Utgående åtgärd. Detta anger om utgående trafik Tillåts, Blockeras eller om åtgärden Förhandla om säkerhetsnivå tillämpas.

  • Förhandlingsprincip. Detta är namnet på snabblägets förhandlingsprincip, eller krypteringsinställningar.

  • Vikt. Detta är vilken prioritet IPSec-tjänsten ger filtret. Vikten härleds ur en rad faktorer. Mer information om filtervikter finns i https://go.microsoft.com/fwlink/?LinkId=62212 (sidan kan vara på engelska).

    OBS

    Viktegenskapen ges alltid värdet 0 för datorer som kör Windows Vista®, Windows Server® 2008 eller senare versioner av Windows.

Förhandlingsprinciper

Förhandlingsprincipen är den prioritetsordning för säkerhetsmetoder som de två peer-datorerna kommer överens om att använda när de kommunicerar med varandra under snabblägesförhandlingar.

Statistik

Tabellen visar den tillgängliga statistiken från vyn Snabblägesstatistik:

IPSec-statistikBeskrivning

Aktiva säkerhetsassociationer

Detta är antalet aktiva IPSec-säkerhetsassociationer.

Avlästa säkerhetsassociationer

Detta är antalet aktiva IPSec-säkerhetsassociationer avlästa av maskinvara.

Väntande nyckelåtgärder

Detta är antalet pågående IPSec-nyckelåtgärder.

Nyckeltillägg

Detta är det totala antalet lyckade IPSec-säkerhetsassociationsförhandlingar.

Nyckelborttagningar

Detta är antalet nyckelborttagningar för IPSec-säkerhetsassociationer.

Nyckeluppdateringar

Detta är antalet nyckeluppdateringar för IPSec-säkerhetsassociationer.

Aktiva tunnlar

Detta är antalet aktiva IPSec-tunnlar.

Ogiltiga SPI-paket

Detta är det totala antalet paket med ogiltig säkerhetsparameterindex (SPI). SPI används för att matcha inkommande paket med säkerhetsassociationer. Om SPI inte är giltigt kan det bero på att den inkommande säkerhetsassociationen har upphört att gälla och att ett paket som använder det gamla SPI:t nyligen har anlänt. Numret ökar normalt om nyckeluppdateringsintervallen är korta och det förekommer många säkerhetsassociationer. Eftersom säkerhetsassociationer normalt upphör att gälla behöver ett ogiltigt SPI inte innebära att IPSec inte fungerar.

Paket som inte dekrypterats

Detta är det totala antalet paket där krypteringen misslyckades. Misslyckandet kan vara en indikering på att ett paket har anlänt till en säkerhetsassociation som har upphört att gälla . Om säkerhetsassociationen upphör att gälla tas också sessionsnyckeln som används för att dekryptera paketet bort. Det här behöver inte innebära att IPSec inte fungerar.

Paket som inte autentiserats

Detta är det totala antalet paket där informationen inte gick att verifiera. Felet beror troligen på att säkerhetsassociationen har upphört att gälla.

Paket med repetitionsavkänning

Detta är det totala antalet paket som innehåller ett giltigt sekvensnummerfält.

Skickade konfidentiella byte

Detta är det totala antalet byte som skickats med ESP-protokollet.

Mottagna konfidentiella byte

Detta är det totala antalet byte som tagits emot med ESP-protokollet.

Skickade autentiserade byte

Detta är det totala antalet byte som skickats med AH-protokollet.

Mottagna autentiserade byte

Detta är det totala antalet byte som tagits emot med AH-protokollet.

Skickade transportbyte

Detta är det totala antalet byte som skickats i IPSec-transportläge.

Mottagna transportbyte

Detta är det totala antalet byte som tagits emot i IPSec-transportläge.

Byte som skickats i tunnlar

Detta är det totala antalet byte som skickats i IPSec-tunnelläge.

Byte som tagits emot i tunnlar

Detta är det totala antalet byte som tagits emot i IPSec-tunnelläge.

Avlästa byte som skickats

Detta är det totala antalet byte som skickats med maskinvaruavläsning.

Avlästa byte som tagits emot

Detta är det totala antalet byte som tagits emot med maskinvaruavläsning.

OBS

Delar av statistiken kan användas för att upptäcka försök till nätverksattacker.

Säkerhetsassociationer

I den här vyn visas datorns aktiva säkerhetsassociationer. En säkerhetsassociation (SA) består av en kombination av förhandlade nycklar, säkerhetsprotokoll och säkerhetsparameterindex (SPI) vilka alla tillsammans definierar den säkerhet som används för att skydda kommunikationen mellan avsändaren och mottagaren. Genom att studera datorns säkerhetsassociationer kan du avgöra vilka datorer som har anslutningar till datorn, vilken typ av dataintegritet och krypterings som används för anslutningarna samt få annan information.

Informationen kan vara till hjälp när du ska testa IPSec-principer och felsöka åtkomstrelaterade problem.

Lägga till, ta bort och sortera kolumner

Du kan lägga till, ta bort, ändra ordningen på och sortera efter dessa kolumner i resultatfönstret:

  • Min dator . Detta är IP-adressen till den lokala datorn.

  • Peer-dator. Detta är IP-adressen till fjärrdatorn.

  • Protokoll. Detta är det protokoll som anges i filtret.

  • Min port. Detta är TCP- eller UDP-porten till den lokala dator som används i filtret.

  • Peer-datorns port. Detta är TCP- eller UDP-porten till den fjärrdator som används i filtret.

  • Förhandlingsprincip. Detta är namnet på snabblägets förhandlingsprincip, eller krypteringsinställningar.

  • AH-integritet. Detta är den AH-protokollspecifika dataintegritetsmetod som används för kommunikation mellan peer-datorer.

  • ESP-konfidentialitet. Detta är den ESP-protokollspecifika krypteringsmetod som används för kommunikation mellan peer-datorer.

  • ESP-integritet. Detta är den ESP-protokollspecifika dataintegritetsmetod som används för kommunikation mellan peer-datorer.

  • Min tunnelslutpunkt. Detta är tunnelslutpunkten närmast den lokala datorn, om en sådan har angetts.

  • Peer-datorns tunnelslutpunkt. Detta är tunnelslutpunkten närmast den lokala datorn, om en sådan har angetts.

Ytterligare referenser