Hem veri bütünlüğü hem de veri gizliliği (şifreleme) içeren ve hızlı mod güvenlik ilişkileri anlaşılırken kullanılabilen bir algoritma teklifi yapılandırmak için bu iletişim kutusunu kullanın. Ağ paketindeki veri bütünlüğünü korumak için kullanılan protokolü ve algoritmayı belirtmelisiniz.
Internet Protokolü güvenliği (IPsec), ağ paketindeki verilerden oluşturulan bir karmayı hesaplayarak bütünlük sağlar. Daha sonra karma şifreli olarak imzalanır (şifrelenir) ve IP paketine katıştırılır. Alıcı bilgisayar, karmayı hesaplamak için aynı algoritmayı kullanır ve alınan pakette katıştırılmış olan karmayla sonucu karşılaştırır. Eşleşme olması durumunda, alınan bilgi gönderilen bilgiyle tamamen aynı olduğundan paket kabul edilir. Eşleşme olmaması durumunda ise paket bırakılır.
İletilen iletinin şifrelenmiş karmasının kullanılması, karma ile uyuşmazlığa neden olmadan iletinin değiştirilmesini, hesaplama açısından olanaksız kılar. Bu, veriler Internet gibi güvenilir olmayan bir ağ üzerinden gönderilip alındığında kritik bir öneme sahip olup iletim sırasında iletinin değiştirilmemiş olduğunun anlaşılması için bir yol sağlar.
Bu iletişim kutusu, bütünlük korumasına ek olarak, iletim sırasında ağ paketinin kesilmesi durumunda verilerin okunmasının önlenmesine yardımcı olan bir şifreleme algoritması belirtmenizi sağlar.
 | Bu iletişim kutusuna nasıl ulaşılır? |
Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı MMC ek bileşeninden Genel Bakış alanında Windows Güvenlik Duvarı Özellikleri'ni tıklatın.
IPsec Ayarları sekmesini tıklatın.
IPsec varsayılanları altında Özelleştir'i tıklatın.
Veri Koruması (Hızlı Mod) seçeneğinin altında Gelişmiş öğesini seçin ve Özelleştir'i tıklatın.
Veri bütünlüğü ve şifreleme'nin altındaki listeden bir algoritma birleşimi seçin ve Düzenle'yi veya Ekle'yi tıklatın.
Protocol
Bütünlük ve şifreleme bilgilerini IP paketine katıştırmak için aşağıdaki protokoller kullanılır.
ESP (önerilen)
Kapsüllenen Güvenlik Yükü (ESP), IP yükü için kimlik doğrulama, bütünlük ve yeniden yürütmeyi önleme özelliklerinin yanı sıra gizlilik de sağlar. Aktarım modunda ESP tüm paketi imzalamaz. Yalnızca IP veri yükü korunur, IP üstbilgisi korunmaz. ESP tek başına veya Kimlik Doğrulama Üstbilgisi (AH) ile birlikte kullanılabilir. ESP ile, karma hesaplaması yalnızca ESP üstbilgisini, artbilgisini ve yükünü içerir. ESP desteklenen şifreleme algoritmalarından biriyle ESP yükünü şifreleyerek veri gizliliği hizmetleri sağlar. Paketi yeniden kullanma hizmetleri, her pakete bir sıra numarası eklenerek sağlanır.
ESP ve AH
Bu seçenek, ESP protokolünün güvenliğini AH protokolü ile birleştirir. AH, tüm paket (hem IP üstbilgisi, hem de pakette taşınan veri yükü) için kimlik doğrulama ve bütünlük sağlar ve yeniden yürütmeyi önler.
 | Önemli |
Ağ adresi çevirisi (NAT) aygıtlarının paket üstbilgilerindeki bilgileri değiştirmesi gerektiği için, AH protokolü NAT ile uyumlu değildir. IPsec tabanlı trafiğin NAT aygıtından geçmesine izin vermek için, IPsec eş bilgisayarlarınızda NAT Geçişi'nin (NAT-T) desteklendiğinden emin olmalısınız. |
Algoritmalar
Şifreleme algoritması
Bu Windows sürümünü çalıştıran bilgisayarlar aşağıdaki şifreleme algoritmalarını kullanabilir. Bu algoritmalardan bazıları, önceki Windows sürümlerini çalıştıran bilgisayarlarda kullanılamaz. Önceki Windows sürümünü çalıştıran bir bilgisayarla IPsec korumalı bağlantılar kurmanız gerekirse, önceki sürümle uyumlu algoritma seçeneklerini dahil etmelisiniz.
Daha fazla bilgi için, bkz.
- AES-GCM 256
- AES-GCM 192
- AES-GCM 128
- AES-CBC 256
- AES-CBC 192
- AES-CBC 128
- 3DES
- DES
 | Güvenlik Not |
DES kullanmamanızı öneririz. Yalnızca geriye dönük uyumluluk için sağlanır. |
 | Not |
Şifreleme için AES-GCM algoritması belirtirseniz, bütünlük için de aynı algoritmayı belirtmeniz gerekir. |
Bütünlük algoritması
Bu Windows sürümünü çalıştıran bilgisayarlar aşağıdaki bütünlük algoritmalarını kullanabilir. Bu algoritmalardan bazıları, başka Windows sürümlerini çalıştıran bilgisayarlarda kullanılamaz. Önceki Windows sürümünü çalıştıran bir bilgisayarla IPsec korumalı bağlantılar kurmanız gerekirse, önceki sürümle uyumlu algoritma seçeneklerini dahil etmelisiniz.
Daha fazla bilgi için, bkz.
- AES-GCM 256
- AES-GCM 192
- AES-GCM 128
- AES-GMAC 256
- AES-GMAC 192
- AES-GMAC 128
- SHA-1
- MD5
| Güvenlik Not |
MD5 kullanmamanızı öneririz. Yalnızca geriye dönük uyumluluk için sağlanır. |
| Not |
Bütünlük için AES-GCM algoritması belirtirseniz, şifreleme için de aynı algoritmayı belirtmeniz gerekir. |
Anahtar yaşam süreleri
Yaşam süresi ayarları yeni bir anahtarın ne zaman oluşturulacağını belirtir. Anahtar yaşam süreleri, belirtilen bir zaman aralığından sonra veya belirtilen miktarda veri iletildikten sonra yeni bir anahtar oluşturmaya zorlamanızı sağlar. Örneğin, iletişim 100 dakika sürüyorsa ve 10 dakikalık bir anahtar yaşam süresi belirtirseniz, değişim sırasında 10 anahtar oluşturulur (her 10 dakikada bir). Birden çok anahtar kullanma, saldırganın iletişimin bir bölümü ile ilgili anahtarı eline geçirmesi durumunda, tüm iletişimin tehlikeye atılmamasını sağlar.
| Not |
Bu yeniden anahtar oluşturma işlemi hızlı mod veri bütünlüğü ve şifrelemesi için olup ana mod anahtar değişiminin anahtar yaşam süresi ayarlarını etkilemez. |
Dakika
Hızlı mod güvenlik ilişkilerinde kullanılan anahtarın dakika cinsinden ne kadar süreceğini yapılandırmak için bu ayarı kullanın. Bu zaman aralığından sonra, anahtar yeniden oluşturulur. Sonraki iletişimler bu yeni anahtarı kullanır.
En fazla yaşam süresi 2.879 dakikadır (48 saat). En az yaşam süresi 5 dakikadır. Yalnızca risk çözümlemenizin gerektirdiği sıklıkta yeniden anahtarlamanızı öneririz. Aşırı sık aralıklarla yeniden anahtarlama yapılması performansı etkileyebilir.
KB
Anahtar kullanılarak kaç kilobayt (KB) veri gönderileceğini yapılandırmak için bu ayarı kullanın. Bu eşiğe ulaşıldıktan sonra, sayaç sıfırlanır ve anahtar yeniden oluşturulur. Sonraki iletişimler bu yeni anahtarı kullanır.
En fazla yaşam süresi 2.147.483.647 KB'dir. En az yaşam süresi 20.480 KB'dir. Yalnızca risk çözümlemenizin gerektirdiği sıklıkta yeniden anahtarlamanızı öneririz. Aşırı sık aralıklarla yeniden anahtarlama yapılması performansı etkileyebilir.