Ana mod anlaşmaları sırasında anahtar değişim için kullanılabilen algoritma birleşimleri eklemek, düzenlemek, kaldırmak veya bunların önceliğini değiştirmek için bu iletişim kutusunu kullanın. Birden çok algoritma birleşimi belirtebilir ve birleşimlerin denenme sırasını atayabilirsiniz. Eşlerin ikisiyle de uyumlu olan listedeki ilk birleşim kullanılır.
Not | |
En iyi uygulama, en yüksek güvenlik en üstte ve en düşük güvenlik en altta olacak şekilde algoritma birleşimlerinin listelenmesidir. Bu şekilde, anlaşma yapan iki bilgisayar arasında ortak olarak en güvenli algoritma kullanılır. Geriye doğru uyumluluk için, daha az güvenli olan algoritmalar kullanılabilir. |
Bu iletişim kutusuna nasıl ulaşılır? |
Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı MMC ek bileşeni sayfasında Genel Bakış alanında Windows Güvenlik Duvarı Özellikleri'ni tıklatın.
IPsec Ayarları sekmesini tıklatın.
IPsec varsayılanları altında Özelleştir'i tıklatın.
Anahtar değişimi (Ana Mod) seçeneğinin altında Gelişmiş öğesini seçin ve Özelleştir'i tıklatın.
Güvenlik yöntemleri
Güvenlik yöntemleri, bütünlük algoritmaları ile anahtar değişimini koruyan şifreleme algoritmalarının birleşimleridir. İstediğiniz kadar birleşiminiz olabilir ve onları listeye istediğiniz sırayla yerleştirebilirsiniz. Birleşimler, görüntülendikleri sırayla denenir. İki eş bilgisayar tarafından üzerinde anlaşma sağlanan ilk küme kullanılır. Eş bilgisayar tanımladığınız birleşimlerden herhangi birini kullanamazsa, bağlantı denemesi başarısız olur.
Bazı algoritmalar yalnızca Windows'un bu sürümünü çalıştıran bilgisayarlar tarafından desteklenir. Daha fazla bilgi için, bkz.
Listeye birleşim eklemek için, Ekle'yi tıklatarak Güvenlik Yöntemi Ekle veya Düzenle iletişim kutusunu kullanın.
Listeyi yeniden sıralamak için bir bileşimi seçin ve yukarı veya aşağı okları tıklatın.
Not | |
En iyi uygulama olarak, birleşimleri en yüksek güvenlik en üstte ve en düşük güvenlik en altta olacak şekilde sıralayın. Bu, iki eşin de desteklediği en güvenli yöntemin kullanılmasını sağlar. |
Anahtar yaşam süreleri
Yaşam süresi ayarları yeni bir anahtarın ne zaman oluşturulacağını belirtir. Anahtar yaşam süreleri, belirtilen bir zaman aralığından sonra veya geçerli anahtar kullanılarak belirtilen sayıda oturum korunduktan sonra yeni bir anahtar oluşturmaya zorlamanızı sağlar. Birden çok anahtar kullanılması, bir saldırganın tek bir anahtara erişim elde etmesi durumunda, yeni bir anahtar oluşturulmadan önce yalnızca az miktarda bilginin gösterilmesini sağlar ve böylece ağ trafiği bir kez daha korunur. Yaşam süresini hem dakika hem de oturum sayısı olarak belirtebilirsiniz. Ulaşılan ilk eşik kullanılır ve anahtar yeniden oluşturulur.
Not | |
Bu yeniden anahtar oluşturma işlemi yalnızca ana mod anahtar değişimi içindir. Bu ayarlar, hızlı mod veri koruması için anahtar yaşam süresi ayarlarını etkilemez. |
Dakika
Ana mod güvenlik ilişkilerinde kullanılan anahtarın dakika cinsinden ne kadar süreceğini yapılandırmak için bu ayarı kullanın. Bu zaman aralığından sonra, yeni bir anahtar oluşturulur. Sonraki ana mod oturumları yeni anahtarı kullanır.
Maksimum yaşam süresi 2.879 dakikadır (48 saat). Minimum yaşam süresi 1 dakikadır. Yalnızca risk çözümlemenizin gerektirdiği sıklıkta yeniden anahtarlamanızı öneririz. Aşırı sık aralıklarla yeniden anahtarlama yapılması performansı etkileyebilir.
Oturumlar
Oturum, hızlı mod SA tarafından korunan ayrı bir ileti veya ileti kümesidir. Bu ayar, aynı ana mod anahtar bilgileri kullanılarak kaç hızlı mod anahtar oluşturma oturumunun korunabileceğini belirtir. Bu eşiğe ulaşıldıktan sonra, sayaç sıfırlanır ve yeni anahtar oluşturulur. Sonraki iletişimler bu yeni anahtarı kullanır. Maksimum değer 2.147.483.647 oturumdur. Minimum değer 0 oturumdur.
Sıfır (0) oturum sınırı, yeni bir anahtar oluşturulmasının yalnızca Anahtar yaşam süresi (dakika) ayarı tarafından belirlenmesine neden olur.
Ana mod ve hızlı mod anahtarları için çok farklı anahtar yaşam sürelerini ayarlarken dikkatli olun. Örneğin, bir ana mod anahtar yaşam süresi 8 saat, bir hızlı mod anahtar yaşam süresi 2 saat olarak ayarlanırsa, ana mod SA süresi dolduktan sonra, hızlı mod SA yaklaşık 2 saat etkin kalabilir. Hızlı mod SA, ana mod SA sona ermeden kısa süre önce oluşturulduğunda bu durum gerçekleşir.
Önemli | |
Ana mod anahtarı başına izin verilen oturum sayısı yükseldikçe, ana mod anahtarının bulunma olasılığı da artar. Bu yeniden kullanım sayısını sınırlamak istiyorsanız, bir hızlı mod anahtarı sınırı belirtebilirsiniz. |
Güvenlik Not | |
Ana mod kusursuz iletme gizliliği (PFS) yapılandırmak için, Oturum cinsinden anahtar ömrü öğesini 1 olarak ayarlayın. Bu yapılandırma önemli ölçüde ek bir koruma sağlasa da, büyük ölçüde bilgi işlem ve ağ performansı kaybına da neden olur. Her yeni hızlı mod oturumu, ana mod anahtarlama malzemesini yeniden oluşturur ve bu da iki bilgisayarın yeniden kimlik doğrulaması yapmasına neden olur. PFS'yi yalnızca IPsec trafiğinin IPsec tarafından sağlanan güçlü şifreleme korumasını tehlikeye atmaya çalışabilecek ileri düzey saldırganlara açık olabileceği ortamlarda etkinleştirmenizi öneririz. |
Anahtar değişimi seçenekleri
Gelişmiş güvenlik için Diffie-Hellman'ı kullan
Windows Vista ve sonraki Windows sürümleri, geriye kalan IPsec parametrelerinin anlaşıldığı ilk güvenli bağlantının kurulması için Internet Anahtar Değişimi'ne (IKE) ek olarak Kimliği Doğrulanmış IP'yi (AuthIP) de destekler. IKE yalnızca Diffie-Hellman değişimlerini kullanır. AuthIP kullanıldığında herhangi bir Diffie-Hellman anahtar değişimi protokolü gerekmez. Kerberos sürüm 5 kimlik doğrulaması istendiğinde, Diffie-Hellman değeri yerine Kerberos sürüm 5 hizmet bileti sırrı kullanılır. Sertifika kimlik doğrulaması veya NTLM kimlik doğrulaması istenirse, bir aktarım düzeyi güvenliği (TLS) oturumu oluşturulur ve Diffie-Hellman değeri yerine sır kullanılır.
Bu onay kutusunu seçerseniz, seçilen kimlik doğrulama türüne bakılmaksızın Diffie-Hellman değişimi gerçekleşir ve geri kalan IPsec anlaşmalarının güvenliğini sağlamak için Diffie-Hellman sırrı kullanılır. Gerekli koşullar bir Diffie-Hellman değişiminin kullanılması gerektiğini belirttiğinde bunu kullanın.