Эти диалоговое окно используется для добавления, редактирования, изменения приоритета или удаления сочетаний алгоритмов, доступных для обмена ключами во время согласований основного режима. Можно указать несколько сочетаний алгоритмов и назначить порядок, в котором они будут применяться. Будет использовано первое сочетание из списка, поддерживаемое обеими сторонами однорангового соединения.
Примечание | |
Рекомендуется упорядочить список так, чтобы сочетания алгоритмов с более высоким уровнем безопасности находились в верхней части списка. В этом случае при обмене данными между двумя компьютерами будет использоваться наиболее безопасный алгоритм. Менее безопасные алгоритмы можно использовать для обратной совместимости. |
Чтобы открыть это диалоговое окно |
-
В оснастке консоли MMC «Брандмауэр Windows в режиме повышенной безопасности» в разделе Обзор выберите пункт Свойства брандмауэра Windows.
-
Перейдите на вкладку Параметры IPsec.
-
В разделе Параметры IPsec по умолчанию нажмите кнопку Настроить.
-
В разделе Обмен ключами (основной режим) выберите Дополнительно и нажмите кнопку Настроить.
Методы безопасности
Методы безопасности - это сочетания алгоритмов проверки целостности и алгоритмов шифрования, которые защищают обмен ключами. Вы можете использовать столько сочетаний, сколько необходимо, и упорядочивать их в списке. Эти сочетания применяются в порядке их отображения в списке. Будет использован первый набор действий, принятый обоими компьютерами одноранговой сети. Если одноранговый компьютер не может использовать ни одно из определенных сочетаний, попытка подключения будет неудачной.
Некоторые алгоритмы поддерживаются только компьютерами с этой версией Windows. Дополнительные сведения см. в разделе Алгоритмы и методы протокола IPsec, поддерживаемые в разных версиях Windows (http://go.microsoft.com/fwlink/?LinkID=129230).
Чтобы добавить в список сочетание, нажмите кнопку Добавить - откроется диалоговое окно Добавление и изменение метода безопасности.
Чтобы изменить порядок элементов в списке, выберите сочетание и затем щелкайте стрелку перемещения вверх или вниз.
Примечание | |
Рекомендуется упорядочить список так, чтобы сочетания с более высоким уровнем безопасности находились в верхней части списка. Это гарантирует применение самого безопасного из методов, поддерживаемых обеими сторонами подключения. |
Время жизни ключа
Параметры времени жизни задают периодичность создания нового ключа. Время жизни ключа позволяет инициировать создание нового ключа по истечении заданного интервала времени или через указанное число сеансов, защищенных текущим ключом. Использование нескольких ключей гарантирует, что при получении злоумышленником одного ключа будет раскрыта лишь небольшая часть информации, прежде чем будет создан новый ключ и сетевой трафик защищен снова. Время жизни можно задать как в минутах, так и в количестве сеансов. При достижении любого порогового значения создается новый ключ.
Примечание | |
Пересоздание ключей необходимо только для обмена ключами основного режима. Эти параметры не затрагивают настройки времени жизни ключа для обмена ключами быстрого режима. |
Минут
Этот параметр позволяет указать, сколько времени будет использоваться ключ в сопоставлении безопасности основного режима. По истечении указанного промежутка времени будет создан новый ключ. Последующие сеансы основного режима используют новый ключ.
Максимальное время жизни ключа составляет 2 879 минут (48 часов). Минимальное - 1 минуту. Рекомендуется пересоздавать ключ не чаще, чем это следует делать, исходя из анализа рисков. Слишком частое пересоздание может сказаться на производительности.
Сеансы
Сеанс - это отдельное сообщение или набор сообщений, защищенных быстрым режимом сопоставления безопасности. Этот параметр определяет, сколько сеансов создания ключа быстрого режима защищается одной и той же информацией ключа основного режима. По достижении этого порога счетчик будет сброшен, а ключ сменен. Последующие соединения будут использовать новый ключ. Наибольшее значение - 2 147 483 647 сеансов. Минимальное - 0 сеансов.
Задание нулевого (0) предела числа сеансов приводит к созданию нового ключа в соответствии с параметром Время жизни ключа в минутах.
Следует с осторожностью устанавливать сроки жизни ключей основного и быстрого режимов слишком разными. Например, если задать для ключа основного режима срок жизни 8 часов, а для ключа быстрого режима - 2 часа, сопоставление безопасности быстрого режима сможет действовать почти два часа после истечения срока действия сопоставления безопасности основного режима. Так происходит, когда сопоставление безопасности быстрого режима создается незадолго до истечения срока действия сопоставления безопасности основного режима.
Важно! | |
Чем больше сеансов, использующих один ключ основного режима, тем выше вероятность раскрытия этого ключа. Число таких повторных использований ключа быстрого режима можно ограничить. |
Примечание по безопасности | |
Чтобы настроить безопасную пересылку основного режима (PFS), присвойте параметру Время жизни ключа в сеансах значение 1. Хотя такая настройка обеспечивает значительную дополнительную защищенность, она негативно сказывается на вычислительной и сетевой производительности. В каждом новом сеансе быстрого режима пересоздается материал ключа основного режима, что, в свою очередь, приводит к повторной проверке подлинности двух компьютеров. Рекомендуется включать PFS только в тех средах, где IPsec-трафик может быть раскрыт изощренным злоумышленником, который может попытаться обойти сильную криптографическую защиту, обеспечиваемую протоколом IPsec. |
Параметры обмена ключами
Использовать алгоритм Диффи-Хелмана для усиления безопасности
Помимо протокола IKE, Windows Vista и более поздние версии Windows поддерживают протокол IP с проверкой подлинности для установления первоначального безопасного соединения, в котором производится согласование остальных параметров IPsec. Протокол IKE использует для обмена ключами только алгоритм Диффи-Хелмана. При использовании протокола IP с проверкой подлинности протокол обмена ключами Диффи-Хелмана не требуется. В этом случае, когда требуется проверка подлинности по протоколу Kerberos V5, вместо ключа Диффи-Хелмана используется ключ билета службы Kerberos V5. Когда требуется проверка подлинности сертификата или проверка подлинности NTLM, устанавливается сеанс связи по протоколу TLS и его секретное значение используется вместо ключа Диффи-Хелмана.
При установке этого флажка будет использоваться обмен Диффи-Хелмана, независимо от выбранного типа проверки подлинности, и для обеспечения безопасности оставшихся согласований IPsec используется ключ Диффи-Хелмана. Используйте его, если по нормативным требованиям должен использоваться обмен Диффи-Хелмана.