對話方塊：自訂進階金鑰交換設定

使用這個設定，設定使用金鑰用在主要模式安全性關聯的持續時間 (以分鐘為單位)。在此時間間隔之後，就會重新產生金鑰。後續的主要模式工作階段將使用新的金鑰。

最大存留期為 2,879 分 (48 小時)。最小存留期為 1 分鐘。我們建議您隨著風險分析需求的頻率來更新金鑰。更新金鑰太過頻繁會影響效能。

工作階段是指受到快速模式 SA 保護的特殊訊息或訊息組。此設定會指定可以使用相同的主要模式金鑰資訊，來保護多少個快速模式金鑰產生工作階段。達到此閾值之後，就會重設計數器並重新產生金鑰。後續的通訊將使用新的金鑰。最大值為 2,147,483,647 個工作階段。最小值為 0 個工作階段。

將工作階段限制為 0 時，則只由 [金鑰存留期 (分)] 設定來判定是否需要重新產生金鑰。

在設定非常不同的主要模式與快速模式金鑰的存留期時，請特別小心。例如，將主要模式金鑰存留期設定為 8 小時，而將快速模式金鑰存留期設定為 2 小時，可能會使快速模式 SA 在主要模式 SA 過期之後保留在原處近 2 小時。在主要模式 SA 快到期之前建立快速模式 SA，便會發生這種情況。

	重要
	每個主要模式金鑰所允許的工作階段數目越大，主要模式金鑰被破解的機會就越大。如果要限制發生這種重新使用的次數，可以指定快速模式金鑰限制。

	安全性 附註
	若要設定主要模式金鑰完全正向加密 (PFS)，可以將 [金鑰存留期 (以工作階段為單位)] 設定成 1。雖然這個設定會提供其他足夠的保護，但會帶來大量的計算，而嚴重影響網路效能。每一個新的快速模式工作階段，會重新產生主要模式金鑰內容，這樣反而會造成兩部電腦的重新驗證。我們建議，如果專業的攻擊者可能會破壞 IPsec 提供的強大加密編譯保護，因而在這種環境下 IPsec 流量可能會外洩，此時才啟用 PFS。

Windows Vista 以及最新版本的 Windows，除了網際網路金鑰交換之外，還支援 Authenticated IP (AuthIP)，用來建立起始的安全連線，並從中交涉其餘的 IPsec 參數。IKE 只使用 Diffie-Hellman 交換。使用 AuthIP 之後，便不需要 Diffie-Hellman 金鑰交換通訊協定。反而是，當要求 Kerberos 版本 5 驗證時，會使用 Kerberos 版本 5 服務票證密碼來取代 Diffie-Hellman 值。當要求憑證驗證或 NTLM 驗證時，會建立傳輸層安全性 (TLS) 工作階段，然後用它的密碼來取代 Diffie-Hellman 值。

如果您選取這個核取方塊，則無論選取的驗證類型為何，都會進行 Diffie-Hellman 交換，而且會使用 Diffie-Hellman 密碼保護其他的 IPsec 交涉。當法規需求指定必須使用 Diffie-Hellman 交換時，請使用這個選項。