Exporter (0) Imprimer
Développer tout

Commandes Netsh pour la sécurité IP (IPSec)

Mis à jour: janvier 2005

S'applique à: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Commandes Netsh pour la sécurité IP (IPSec)

Les commandes Netsh pour IPSec (Internet Protocol Security) offrent une alternative équivalente à la gestion via la console et aux fonctionnalités de diagnostic offertes par les composants logiciels enfichables Gestion de la stratégie de sécurité du protocole IP et Moniteur de sécurité IP, disponibles dans la console MMC (Microsoft Management Console). Grâce aux commandes Netsh pour IPSec, vous pouvez configurer et afficher des paramètres IPSec de mode principal statiques ou dynamiques, des paramètres de mode rapide, des règles et des paramètres de configuration.

L'administration de IPSec à partir de la ligne de commande est particulièrement utile lorsque vous souhaitez :

  • Écrire un script de configuration IPSec.

  • Étendre la sécurité et la gestion de IPSec en configurant les fonctionnalités suivantes, qui ne sont pas disponibles dans le composant logiciel enfichable Gestion de la stratégie de sécurité du protocole IP : diagnostics IPSec, exemptions de trafic par défaut, vérification de la liste de révocation de certificats (CRL, Certificate Revocation List), enregistrement IKE (Oakley), intervalles d'enregistrement, sécurité au démarrage de l'ordinateur et exemptions de trafic au démarrage de l'ordinateur.

Vous pouvez exécuter ces commandes à partir de l'invite de commandes des systèmes d'exploitation de la famille Windows Server™ 2003 ou de l'invite de commandes du contexte netsh ipsec. Pour que ces commandes fonctionnent à l'invite de commandes des systèmes d'exploitation de la famille Windows Server™ 2003, vous devez entrer netsh ipsec avant de taper les commandes et paramètres tels qu'ils apparaissent dans la syntaxe ci-dessous.

Commandes netsh ipsec en mode statique

Vous pouvez utiliser les commandes netsh ipsec static pour effectuer les mêmes opérations de gestion et de surveillance que celles effectuées à l'aide des consoles Gestion de la stratégie de sécurité du protocole IP et Moniteur de sécurité IP. Grâce à ces commandes, vous pouvez créer, modifier et attribuer des stratégies IPSec sans affecter immédiatement la configuration de la stratégie IPSec active.

Commandes netsh ipsec en mode dynamique

Vous pouvez utiliser les commandes netsh ipsec dynamic pour afficher l'état actif de IPSec et affecter immédiatement la configuration de la stratégie IPSec active. Ces commandes configurent directement la base de données de stratégie de sécurité (SPD, Security Policy Database). Les modifications apportées à une stratégie IPSec lors de l'utilisation de ces commandes ne prennent effet que lorsque le service IPSec est en cours d'exécution. Si le service IPSec est arrêté, les paramètres de stratégie dynamique sont annulés. Bien que la plupart de ces commandes prennent effet immédiatement, plusieurs commandes de configuration nécessitent tout de même le redémarrage du service IPSec ou de l'ordinateur. Pour plus d'informations sur ces commandes, voir la description de la syntaxe des commandes netsh ipsec dynamic set config.

Attention

  • Dans la mesure où l'Agent de stratégie IPSec n'interprète pas les commandes netsh ipsec dynamic , vous devez maîtriser l'application des stratégies IKE de mode rapide et de mode principal pour utiliser ces commandes efficacement. Soyez prudent lors de l'utilisation de ces commandes, car il est possible de créer des configurations de stratégies IPSec non valides sans que le système n'affiche d'avertissement.

Remarques

  • Vous pouvez utiliser les commandes Netsh pour IPSec pour configurer des stratégies IPSec uniquement sur les ordinateurs exécutant un système d'exploitation de la famille Windows Server™ 2003.

    Pour utiliser la ligne de commande pour configurer des stratégies IPSec sur les ordinateurs exécutant Windows XP, utilisez Ipseccmd.exe, fourni sur le CD Windows XP, dans le dossier \Support\Tools. Pour utiliser la ligne de commande pour configurer des stratégies IPSec sur les ordinateurs exécutant Windows 2000, utilisez Ipsecpol.exe, fourni dans le Kit de ressources de Windows 2000 Server.

  • Pour plus d'informations sur netsh, voir Vue d'ensemble des commandes Netsh et Entrer dans un contexte Netsh.

  • Pour plus d'informations sur les commandes Netsh, voir Utilitaire de ligne de commande Netsh.

Netsh ipsec

Les commandes ci-après sont disponibles à l'invite de commandes ipsec> ayant pour racine l'environnement netsh.

Remarque

  • Bien que la commande dump soit disponible à l'invite ipsec>, elle n'est pas fonctionnelle.

Cliquez sur une commande pour en afficher la syntaxe :

static

Bascule vers le contexte statique.

Syntaxe

static

Paramètres

Aucun

dynamic

Bascule vers le contexte dynamique.

Syntaxe

dynamic

Paramètres

Aucun

Netsh ipsec static

Les commandes ci-après sont disponibles à l'invite de commandes ipsec static> ayant pour racine l'environnement netsh.

Cliquez sur une commande pour en afficher la syntaxe :

add filter

Ajoute un filtre à la liste de filtres spécifiée.

Syntaxe

add filter filterlist= srcaddr= dstaddr= [description=][protocol=][mirrored=] [srcmask=][dstmask=][srcport=] [dstport=]

Paramètres
filterlist= Chaîne
Obligatoire. Spécifie le nom de la liste de filtres à laquelle le filtre est ajouté. Chaque filtre définit un ensemble de trafic réseau entrant ou sortant à sécuriser.

srcaddr={Me | Any | AdresseIP | NomDNS | TypeServeur}
Obligatoire. Spécifie l'adresse IP source, le nom DNS ou le type de serveur pour le trafic IP. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

dstaddr={Me | Any |AdresseIP | NomDNS | TypeServeur}
Obligatoire. Spécifie l'adresse IP de destination, le nom DNS ou le type de serveur pour le trafic IP. Vous pouvez utiliser WINS, DNS, DHCP ou gateway comme TypeServeur.

[ description=Chaîne]
Fournit des informations sur le filtre IP.

[ protocol={ANY | ICMP |TCP| UDP | RAW | Entier }]
Spécifie le protocole IP si vous souhaitez que le filtrage s'effectue non seulement en fonction des informations d'adressage, mais aussi en fonction d'un protocole IP spécifique. La valeur par défaut est ANY, ce qui signifie que tous les protocoles sont utilisés pour le filtre.

[ mirrored={yes | no}]
Indique s'il faut créer un filtre miroir. Utilisez yes pour créer deux filtres sur la base des paramètres de filtre, l'un pour le trafic vers la destination et l'autre pour le trafic à partir de la destination. La valeur par défaut est yes.

[ srcmask={Masque | Préfixe}]
Spécifie le masque de sous-réseau de l'adresse source ou le préfixe des paquets devant être filtrés. Vous pouvez spécifier une valeur de préfixe comprise entre 1 et 32. La valeur par défaut est le masque 255.255.255.255.

[ dstmask= {Masque | Préfixe}
Spécifie le masque de sous-réseau de l'adresse de destination ou la valeur de préfixe des paquets à filtrer. Vous pouvez spécifier une valeur de préfixe comprise entre 1 et 32. La valeur par défaut est le masque 255.255.255.255.

[ srcport=Port]
Indique le numéro de port source des paquets à filtrer. Cette option s'applique uniquement si vous filtrez des paquets TCP ou UDP. Si la valeur 0 est spécifiée, les paquets envoyés de n'importe quel port sont filtrés. L'option par défaut est any.

[ dstport=Port]
Indique le numéro du port de destination des paquets à filtrer. Cette option s'applique uniquement si vous filtrez des paquets TCP ou UDP. Si la valeur 0 est spécifiée, les paquets envoyés à n'importe quel port sont filtrés. L'option par défaut est any.

Notes
  • Si une liste de filtres n'existe pas, elle est créée.

  • Ne créez pas de liste de filtres portant le nom all. Sinon, vous risquez de créer un conflit avec l'option netsh ipsec permettant de sélectionner toutes les listes de filtres IPSec (par exemple, delete filterlist all).

  • Pour filtrer tous les paquets envoyés à partir de l'ordinateur ou vers celui-ci, vous pouvez utiliser srcaddr=Me ou dstaddr=Me.

  • Pour filtrer les paquets envoyés à partir d'un ordinateur quelconque ou vers un ordinateur quelconque, vous pouvez utiliser srcaddr=Any ou dstaddr=Any.

  • Tous les paramètres de chaîne respectent la casse.

add filteraction

Crée une action de filtrage avec les méthodes de sécurité de mode rapide spécifiées.

Syntaxe

add filteraction name= [description=][qmpfs=][inpass=] [soft=][action=][qmsecmethods=]

Paramètres
name= Chaîne
Obligatoire. Spécifie le nom de l'action de filtrage à créer.

[ description=Chaîne]
Fournit des informations sur l'action de filtrage.

[ qmpfs={yes | no}]
Spécifie s'il faut activer la clé de session PFS (Perfect Forward Secrecy). Si la valeur yes est spécifiée, un nouvel élément de clé principale est renégocié chaque fois qu'une nouvelle clé de session est requise. La valeur par défaut est no.

[ inpass={yes | no}]
Spécifie s'il faut autoriser un paquet entrant non sécurisé correspondant à la liste de filtres configurée, tout en imposant une communication sécurisée par IPSec lors de la réponse. La valeur par défaut est no.

[ soft={yes | no}]
Indique s'il faut basculer vers une communication non sécurisée avec les autres ordinateurs qui ne prennent pas en charge IPSec, ou en cas d'échec des négociations IPSec avec un ordinateur compatible IPSec. La valeur par défaut est no.

[ action={permit | block | negotiate}]
Indique s'il faut autoriser le trafic sans négocier la sécurité IP. Si la valeur permit est spécifiée, le trafic est transmis ou reçu sans négociation ni application de la sécurité IP. Si la valeur block est spécifiée, le trafic est bloqué. Si la valeur negotiate est spécifiée, la sécurité IP est utilisée avec la liste spécifiée des méthodes de sécurité. La valeur par défaut est negotiate.

[ qmsecmethods="Neg1Neg2"]
Spécifie une ou plusieurs méthodes de sécurité, séparées par des espaces et définies selon le format suivant :

{ESP [AlgConf,AlgAuth]:k/s | AH [AlgHach]:k/s | AH [AlgHach+ESPAlgConf,AlgAuth]:k/s}]

Dans cette syntaxe :

AlgConf
Spécifie l'algorithme de cryptage. AlgConfig peut être DES (Data Encryption Standard), 3DES ou aucun.

AlgAuth
Spécifie l'algorithme d'intégrité. AlgAuth peut être MD5 (Message Digest 5), SHA1 (Secure Hash Algorithm 1) ou aucun.

AlgHach
Spécifie la fonction de hachage. AlgHach peut être MD5 (Message Digest 5) ou SHA1.

k
Spécifie la durée de vie de la clé de session en kilo-octets. Une fois le nombre spécifié de kilo-octets de données transféré, une nouvelle clé de session pour l'association de sécurité de mode rapide est générée. La valeur par défaut est égale à 100 000 kilo-octets.

s.
Spécifie la durée de vie de la clé de session en secondes. La valeur par défaut est de 3 600 secondes.

Notes
  • Ne créez pas d'action de filtrage portant le nom all. Sinon, vous risquez de créer un conflit avec l'option netsh ipsec permettant de sélectionner toutes les actions de filtrage IPSec (par exemple, delete filteraction all).

  • Si l'option action=permit ou action=block est spécifiée et que des paramètres qmsecmethods sont spécifiés, les paramètres qmsecmethods ne sont pas utilisés. En outre, si qmpfs=yes, inpass=yes ou soft=yes est spécifié, ces paramètres ne sont pas non plus utilisés.

  • La régénération de la clé de session démarre en fonction de l'intervalle, en secondes ou en kilo-octets, atteint en premier. Si vous ne configurez pas de nouveaux intervalles, les intervalles par défaut s'appliquent.

  • Si vous ne spécifiez pas qmsecmethods= (méthodes de sécurité de mode rapide), les valeurs par défaut suivantes sont utilisées :

    • ESP [3DES, SHA1] : 100 000 k/3 600 s

    • ESP [3DES, MD5] : 100 000 k/3 600 s

  • L'ordre de préférence de chaque méthode de sécurité de mode rapide est déterminé par l'ordre dans lequel elle est spécifiée dans la commande.

  • Tous les paramètres de chaîne respectent la casse.

add filterlist

Crée une liste de filtres vide avec le nom spécifié.

Syntaxe

add filterlist name= [description=]

Paramètres
name= Chaîne
Obligatoire. Spécifie le nom de la liste de filtres à créer.

[ description=Chaîne]
Fournit des informations sur la liste des filtres.

Notes
  • Ne créez pas de liste de filtres portant le nom all. Sinon, vous risquez de créer un conflit avec l'option netsh ipsec permettant de sélectionner toutes les listes de filtres IPSec (par exemple, delete filterlist all).

  • Tous les paramètres de chaîne respectent la casse.

add policy

Crée une stratégie IPSec avec le nom spécifié.

Syntaxe

add policy name= [description=][mmpfs=][qmpermm=] [mmlifetime=][activatedefaultrule=][pollinginterval=][assign=][mmsecmethods=]

Paramètres
name= Chaîne
Obligatoire. Spécifie le nom de la stratégie IPSec à créer.

[ description=Chaîne]
Fournit des informations sur la stratégie IPSec.

[ mmpfs={yes | no}]
Indique s'il faut activer la clé principale PFS (Perfect Forward Secrecy). Si la valeur yes est spécifiée, les associations de sécurité de mode principal sont de nouveau authentifiées et un nouveau support de gestion des clés principales est négocié chaque fois qu'un support de clé de session pour une association de sécurité de mode rapide est requis. La valeur par défaut est no.

[ qmpermm=Entier]
Indique le nombre de fois que le support de gestion des clés principales peut être utilisé pour dériver la clé de session. La valeur par défaut est 0, ce qui signifie qu'un nombre illimité d'associations de sécurité de mode rapide peuvent être dérivées à partir de l'association de sécurité de mode principal.

[ mmlifetime=Entier]
Spécifie le nombre de minutes après lesquelles une nouvelle clé principale sera générée. La valeur par défaut est 480 minutes.

[ activatedefaultrule={yes | no}]
Indique s'il faut activer la règle de réponse par défaut pour cette stratégie IPSec. La valeur par défaut est yes.

[ pollinginterval=Entier]
Indique le nombre de fois que IPSec effectue une interrogation pour détecter les modifications apportées à cette stratégie. La valeur par défaut est 180 minutes.

[ assign={yes | no}]
Indique si cette stratégie IPSec doit être attribuée (une seule stratégie IPSec peut être attribuée). La valeur par défaut est no.

[ mmsecmethods="MethSec1MethSec2"]
Spécifie une ou plusieurs méthodes de sécurité d'échange de clés, séparées par des espaces et définies selon le format suivant : AlgConf-AlgHach-NumGroupe, où :

AlgConf
Spécifie l'algorithme de cryptage. AlgConf peut être DES (Data Encryption Standard) ou 3DES.

AlgHach
Spécifie la fonction de hachage. AlgHach peut être MD5 (Message Digest 5) ou SHA1 (Secure Hash Algorithm 1).

NumGroupe
Détermine le groupe Diffie-Hellman à utiliser pour le support de gestion des clés de base. NumGroupe peut être : 1 (bas, protège 768 bits de support de gestion de clés), 2 (moyen, en protège 1024 bits) et 3 (haut, en protège 2048 bits).

Notes
  • Ne créez pas de stratégie portant le nom all. Sinon, vous risquez de créer un conflit avec l'option netsh ipsec permettant de sélectionner toutes les stratégies IPSec (par exemple, delete policy all).

  • Dans la mesure où une seule stratégie IPSec peut être attribuée, si vous attribuez une nouvelle stratégie alors qu'une stratégie est déjà attribuée, l'attribution de la stratégie actuelle est automatiquement supprimée.

  • Si set store=domain est spécifié (lorsque la stratégie IPSec est stockée dans Active Directory), assign n'a aucun effet. Pour attribuer une stratégie à un objet de stratégie de groupe, vous devez d'abord créer une stratégie à l'aide de la commande add policy , puis utiliser la commande set store.

  • Si la valeur mmpfs=yes est spécifiée (la clé principale PFS est activée), par défaut qmperm a la valeur 1 et n'est pas configurable, car chaque nouvelle session entraîne la renégociation du support de gestion des clés principales.

  • Si vous ne spécifiez pas mmsecmethods= (méthodes de sécurité d'échange de clés), les valeurs par défaut suivantes s'appliquent :

    • 3DES-SHA1-2

    • 3DES-MD5-2

    • 3DES-SHA1-3

  • Les homologues IPSec doivent avoir au moins une méthode de sécurité d'échange de clés en commun (une méthode qui utilise les mêmes paramètres), sinon la négociation échoue.

  • Si le nombre de négociations de mode rapide dépasse la valeur définie pour le nombre de négociations de mode rapide par négociation de mode principal au cours de la durée de vie de mode principal, une nouvelle négociation de mode principal a lieu.

  • Tous les paramètres de chaîne respectent la casse.

add rule

Crée une règle qui lie la stratégie IPSec spécifiée, la liste des filtres et l'action de filtrage aux méthodes d'authentification définies.

Syntaxe

add rule name= policy= filterlist= filteraction=[tunnel=][conntype=] [activate=][description=][kerberos=][psk=][rootca=]

Paramètres
name= Chaîne
Obligatoire. Spécifie le nom de la règle IPSec à créer.

policy= Chaîne
Obligatoire. Spécifie le nom de la stratégie IPSec contenant cette règle.

filterlist= Chaîne
Obligatoire. Spécifie le nom de la liste de filtres IP pour cette règle.

filteraction= Chaîne
Obligatoire. Spécifie le nom de l'action de filtrage pour cette règle.

[ tunnel={AdresseIP | NomDNS}]
Spécifie l'adresse IP ou le nom DNS du point de terminaison du tunnel pour le mode tunnel. Par défaut, cette option n'est pas spécifiée et le mode de transport est utilisé.

[ conntype={lan | dialup | all}]
Indique si la règle s'applique uniquement à des connexions d'accès à distance, à des connexions aux réseaux locaux (LAN) ou à toutes les connexions. La valeur par défaut est all.

[ activate={yes | no}]
Indique s'il faut activer cette règle pour la stratégie IPSec spécifiée. La valeur par défaut est yes.

[ description=Chaîne]
Fournit des informations relatives à la règle.

[ kerberos={yes | no}]
Indique s'il faut utiliser le protocole Kerberos V5 en tant que méthode d'authentification.

[ psk=Chaîne]
Spécifie la chaîne de caractères à utiliser pour la clé prépartagée, si une clé prépartagée est utilisée en tant que méthode d'authentification.

[ rootca="Chaînecertmap:{ yes| no} excludecaname:{ yes| no} "]
Spécifie les options d'authentification du certificat, où :

Chaîne
Spécifie le nom unique du certificat, si un certificat est utilisé en tant que méthode d'authentification.

certmap:{ yes|no}
Spécifie si le mappage certificat vers compte doit être activé. Vous pouvez activer le mappage certificat vers compte afin de vérifier que le certificat est utilisé par un ordinateur de confiance.

excludecaname:{ yes|no}
Indique s'il faut exclure de la demande de certificat la liste des noms des Autorités de certification racines de confiance dont le certificat est accepté.

Notes
  • Ne créez pas de règle portant le nom all. Sinon, vous risquez de créer un conflit avec l'option netsh ipsec permettant de sélectionner toutes les règles IPSec (par exemple, delete rule all).

  • Vous pouvez utiliser l'authentification Kerberos V5 ou le mappage certificat vers compte uniquement pour les ordinateurs qui sont membres d'un domaine Active Directory.

  • Même si vous ne pouvez utiliser qu'une seule clé prépartagée pour l'authentification, vous pouvez utiliser plusieurs certificats en spécifiant le paramètre rootca une fois, pour chaque certificat que vous souhaitez utiliser.

  • Tous les paramètres d'authentification de certificat doivent être précisés entre guillemets. Les guillemets incorporés doivent être précédés d'une barre oblique inverse suivie d'une apostrophe (\').

  • Tous les paramètres de chaîne respectent la casse.

  • L'ordre de préférence de chaque méthode de sécurité est déterminé par l'ordre dans lequel elle est spécifiée dans la commande.

  • Si aucune méthode d'authentification n'est spécifiée, les valeurs dynamiques par défaut sont utilisées. Par défaut, les stratégies IPSec utilisent l'authentification Kerberos V5. Si l'ordinateur comporte un certificat d'ordinateur, toute Autorité de certification racine associée à ce certificat est également utilisée pour l'authentification.

  • Si excludecaname:yes est spécifié, la liste des Autorités de certification racines de confiance n'est pas envoyée avec la demande de certificat, ce qui écarte tout risque potentiel de divulgation d'informations confidentielles concernant les relations d'approbation d'un ordinateur. Pour renforcer la sécurité des ordinateurs connectés à Internet, spécifiez cette option.

  • L'utilisation d'une authentification par clé prépartagée est déconseillée dans la mesure où cette méthode d'authentification est relativement peu efficace. De plus, les clés prépartagées sont stockées en texte en clair.

  • Les homologues IPSec doivent avoir au moins une méthode d'authentification en commun, sinon la communication échoue.

delete all

Supprime l'ensemble des stratégies IPSec, des listes de filtres et des actions de filtrage.

Syntaxe

delete all

Paramètres

Aucun.

delete filter

Supprime d'une liste de filtres un filtre correspondant aux paramètres spécifiés.

Syntaxe

delete filter filterlist= srcaddr= dstaddr=[protocol=] [srcmask=][dstmask=][srcport=] [dstport=][mirrored=]

Paramètres
filterlist= Chaîne
Obligatoire. Spécifie le nom de la liste de filtres à laquelle le filtre a été ajouté.

srcaddr={Me | Any | AdresseIP | NomDNS | TypeServeur}
Obligatoire. Spécifie l'adresse IP source, le nom DNS ou le type de serveur pour le trafic IP filtré. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

dstaddr={Me | Any |AdresseIP | NomDNS | TypeServeur}
Obligatoire. Spécifie l'adresse IP de destination, le nom DNS ou le type de serveur pour le trafic IP filtré. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

[ protocol={ANY | ICMP |TCP| UDP | RAW | Entier }]
Spécifie le protocole IP si, en plus des informations d'adressage, un protocole IP spécifique est filtré. La valeur ANY sélectionne les filtres dont le paramètre de protocole est any.

[ srcmask={Masque | Préfixe}]
Spécifie le masque de sous-réseau de l'adresse source ou le préfixe des paquets filtrés. Vous pouvez spécifier une valeur de préfixe comprise entre 1 et 32. La valeur par défaut est le masque 255.255.255.255.

[ dstmask= {Masque | Préfixe}]
Spécifie le masque de sous-réseau de l'adresse de destination ou la valeur du préfixe des paquets filtrés. Vous pouvez spécifier une valeur de préfixe comprise entre 1 et 32. La valeur par défaut est le masque 255.255.255.255.

[ srcport=Port]
Indique le numéro du port source des paquets filtrés. Cette option s'applique uniquement si vous filtrez des paquets TCP ou UDP. La valeur 0 sélectionne les filtres dont le paramètre de port source est any.

[ dstport=Port]
Indique le numéro du port de destination des paquets filtrés. Cette option s'applique uniquement si vous filtrez des paquets TCP ou UDP. La valeur 0 sélectionne les filtres dont le paramètre de port de destination est any.

[ mirrored={yes | no}]
Indique si un filtre miroir a été créé.

Notes
  • Cette commande supprime un filtre uniquement s'il correspond exactement aux paramètres spécifiés.

  • Si aucun paramètre facultatif n'est spécifié, tous les filtres correspondant aux paramètres spécifiés (obligatoires) sont supprimés.

  • Pour supprimer un filtre destiné à tous les paquets envoyés à partir de l'ordinateur ou vers celui-ci, vous pouvez utiliser srcaddr=Me ou dstaddr=Me.

  • Pour supprimer un filtre destiné aux paquets envoyés à partir de n'importe quel ordinateur ou vers n'importe quel ordinateur, vous pouvez utiliser srcaddr=Any ou dstaddr=Any.

  • Tous les paramètres de chaîne respectent la casse.

delete filteraction

Supprime l'action de filtrage spécifiée, ou toutes les actions de filtrage.

Syntaxe

delete filteraction name= | all

Paramètres
name= Chaîne| all
Obligatoire. Spécifie le nom de l'action de filtrage à supprimer. Si l'option all est spécifiée, toutes les actions de filtrage sont supprimées.

Notes
  • Tous les paramètres de chaîne respectent la casse.

delete filterlist

Supprime la liste de filtres spécifiée, ou toutes les listes de filtres.

Syntaxe

delete filterlist name= | all

Paramètres
name= Chaîne| all
Obligatoire. Spécifie le nom de la liste de filtres à supprimer. Si l'option all est spécifiée, toutes les listes de filtres sont supprimées.

Notes
  • Tous les paramètres de chaîne respectent la casse.

delete policy

Supprime la stratégie IPSec spécifiée et toutes les règles qui lui sont associées, ou toutes les stratégies IPSec.

Syntaxe

delete policy name= | all

Paramètres
name= Chaîne| all
Obligatoire. Spécifie le nom de la stratégie IPSec à supprimer. Si l'option all est spécifiée, toutes les stratégies IPSec sont supprimées.

Notes
  • Tous les paramètres de chaîne respectent la casse.

delete rule

Supprime une règle spécifiée ou toutes les règles de la stratégie IPSec spécifiée.

Syntaxe

delete rule name= | ID= | allpolicy=

Paramètres
name= Chaîne | ID=Entier | all
Obligatoire. Spécifie la règle à supprimer. Si le nom ou l'ID de la règle (le nombre qui identifie la position de la règle dans la liste de règles de la stratégie) est spécifié, la règle correspondante est supprimée. Si l'option all est spécifiée, toutes les règles sont supprimées.

policy= Chaîne
Obligatoire. Spécifie le nom de la stratégie à partir de laquelle une ou plusieurs règles sont supprimées.

Notes
  • La règle de réponse par défaut ne peut pas être supprimée.

  • Une fois qu'une règle a été supprimée, tous les ID des autres règles sont modifiés en conséquence.

  • Tous les paramètres de chaîne respectent la casse.

exportpolicy

Exporte toutes les informations relatives à la stratégie IPSec vers le fichier spécifié.

Syntaxe

exportpolicy file=

Paramètres
file= Chaîne
Obligatoire. Spécifie le nom du fichier vers lequel les informations relatives à la stratégie IPSec doivent être exportées.

Notes
  • Par défaut, lorsqu'une stratégie IPSec est importée dans un fichier, l'extension .ipsec est ajoutée au nom du fichier.

  • Afin d'améliorer l'interopérabilité dans un environnement mixte comportant des ordinateurs exécutant Windows 2000, limitez à 60 caractères le nom du fichier dans lequel vous souhaitez enregistrer les informations relatives à la stratégie.

  • Tous les paramètres de chaîne respectent la casse.

importpolicy

Importe toutes les informations relatives à la stratégie IPSec à partir du fichier IPSec spécifié.

Syntaxe

importpolicy file=

Paramètres
file= Chaîne
Obligatoire. Spécifie le nom du fichier à partir duquel les informations relatives à la stratégie IPSec doivent être importées.

Notes
  • Tous les paramètres de chaîne respectent la casse.

restorepolicyexamples

Restaure les stratégies IPSec par défaut.

Syntaxe

restorepolicyexamples release=

Paramètres
release={win2K | Win2003}
Obligatoire. Spécifie la version des stratégies IPSec par défaut à restaurer. Si win2K est spécifié, les stratégies IPSec par défaut fournies avec Windows 2000 sont restaurées. Si Win2003 est spécifié, les stratégies IPSec par défaut fournies avec les systèmes d'exploitation de la famille Windows Server™ 2003 sont restaurées.

Notes
  • Lors de la restauration des stratégies IPSec par défaut, toute modification apportée aux stratégies, listes de filtres et actions de filtrage par défaut d'origine est annulée, même si le nom de ces éléments de configuration a été changé. Ne procédez pas à cette restauration si vous ne souhaitez pas annuler les changements que vous avez apportés à ces éléments.

  • Vous pouvez restaurer uniquement les stratégies IPSec par défaut de l'ordinateur. Vous ne pouvez pas restaurer les stratégies IPSec par défaut dans Active Directory.

set defaultrule

Modifie la règle de réponse par défaut pour la stratégie spécifiée.

Syntaxe

set defaultrule policy=[qmpfs=][activate=] [qmsecmethods=][kerberos=][psk=][rootca=]

Paramètres
policy= Chaîne
Obligatoire. Spécifie le nom de la stratégie IPSec dont la règle de réponse par défaut doit être modifiée.

[ qmpfs={yes | no}]
Spécifie s'il faut activer la clé de session PFS (Perfect Forward Secrecy). Si la valeur yes est spécifiée, un nouvel élément de clé principale est renégocié chaque fois qu'une nouvelle clé de session est requise. La valeur par défaut est no.

[ activate={yes | no}]
Indique s'il faut activer cette règle pour la stratégie IPSec spécifiée. La valeur par défaut est yes.

[ qmsecmethods="Neg1Neg2"]
Spécifie une ou plusieurs méthodes de sécurité, séparées par des espaces et définies selon le format suivant :

{ESP [AlgConf,AlgAuth]:k/s | AH [AlgHach]:k/s | AH [AlgHach+ESPAlgConf,AlgAuth]:k/s}]

Dans cette syntaxe :

AlgConf
Spécifie l'algorithme de cryptage. AlgConfig peut être DES (Data Encryption Standard), 3DES ou aucun.

AlgAuth
Spécifie l'algorithme d'intégrité. AlgAuth peut être MD5 (Message Digest 5), SHA1 (Secure Hash Algorithm 1) ou aucun.

AlgHach
Spécifie la fonction de hachage. AlgHach peut être MD5 (Message Digest 5) ou SHA1.

k
Spécifie la durée de vie de la clé de session en kilo-octets. Une fois le nombre spécifié de kilo-octets de données transféré, une nouvelle clé de session pour l'association de sécurité de mode rapide est générée. La valeur par défaut est égale à 100 000 kilo-octets.

s.
Spécifie la durée de vie de la clé de session en secondes. La valeur par défaut est de 3 600 secondes.

[ kerberos={yes | no}]
Indique s'il faut utiliser le protocole Kerberos V5 en tant que méthode d'authentification.

[ psk=Chaîne]
Spécifie la chaîne de caractères à utiliser pour la clé prépartagée, si une clé prépartagée est utilisée en tant que méthode d'authentification.

[ rootca="Chaînecertmap:{ yes| no} excludecaname:{ yes| no} "]
Spécifie les options d'authentification du certificat, où :

Chaîne
Spécifie le nom unique du certificat, si un certificat est utilisé en tant que méthode d'authentification.

certmap:{ yes|no}
Spécifie si le mappage certificat vers compte doit être activé. Vous pouvez activer le mappage certificat vers compte afin de vérifier que le certificat est utilisé par un ordinateur de confiance.

excludecaname:{ yes|no}
Indique s'il faut exclure de la demande de certificat la liste des noms des Autorités de certification racines de confiance dont le certificat est accepté.

Notes
  • Vous pouvez utiliser l'authentification Kerberos V5 ou le mappage certificat vers compte uniquement pour les ordinateurs qui sont membres d'un domaine Active Directory.

  • Même si vous ne pouvez utiliser qu'une seule clé prépartagée pour l'authentification, vous pouvez utiliser plusieurs certificats en spécifiant le paramètre rootca une fois, pour chaque certificat que vous souhaitez utiliser.

  • Tous les paramètres d'authentification de certificat doivent être précisés entre guillemets. Les guillemets incorporés doivent être précédés d'une barre oblique inverse suivie d'une apostrophe (\').

  • Tous les paramètres de chaîne respectent la casse.

  • L'ordre de préférence de chaque méthode de sécurité est déterminé par l'ordre dans lequel elle est spécifiée dans la commande.

  • Si aucune méthode d'authentification n'est spécifiée, les valeurs dynamiques par défaut sont utilisées. Par défaut, les stratégies IPSec utilisent l'authentification Kerberos V5. Si l'ordinateur comporte un certificat d'ordinateur, toute Autorité de certification racine associée à ce certificat est également utilisée pour l'authentification.

  • Si excludecaname:yes est spécifié, la liste des Autorités de certification racines de confiance n'est pas envoyée avec la demande de certificat, ce qui écarte tout risque potentiel de divulgation d'informations confidentielles concernant les relations d'approbation d'un ordinateur. Pour renforcer la sécurité des ordinateurs connectés à Internet, spécifiez cette option.

  • L'utilisation d'une authentification par clé prépartagée est déconseillée dans la mesure où cette méthode d'authentification est relativement peu efficace. De plus, les clés prépartagées sont stockées en texte en clair.

  • Les homologues IPSec doivent avoir au moins une méthode d'authentification en commun, sinon la communication échoue.

  • La modification des méthodes d'authentification remplace toutes les méthodes d'authentification précédentes, même si celles-ci étaient différentes. Par exemple, si kerberos=yes et psk=yes étaient définis précédemment, et que vous spécifiez ensuite kerberos=no, le paramètre psk=yes est également remplacé et l'authentification par clé prépartagée n'est plus utilisée.

  • AlgConf et AlgAuth ne peuvent pas avoir tous deux la valeur none.

set filteraction

Modifie une action de filtrage.

Syntaxe

set filteraction name= | guid=[newname=] [description=][qmpfs=][inpass=] [soft=][action=][qmsecmethods=]

Paramètres
name= Chaîne| guid= guid
Obligatoire. Spécifie le nom ou l'identificateur unique global (GUID, Globally Unique IDentifier) de l'action de filtrage à modifier.

[ newname=Chaîne]
Spécifie le nouveau nom de l'action de filtrage.

[ description=Chaîne]
Fournit des informations sur l'action de filtrage.

[ qmpfs={yes | no}]
Spécifie s'il faut activer la clé de session PFS (Perfect Forward Secrecy). Si la valeur yes est spécifiée, un nouvel élément de clé principale est renégocié chaque fois qu'une nouvelle clé de session est requise.

[ inpass={yes | no}]
Spécifie s'il faut autoriser un paquet entrant non sécurisé correspondant à la liste de filtres configurée, tout en imposant une communication sécurisée par IPSec lors de la réponse.

[ soft={yes | no}]
Indique s'il faut basculer vers des communications non sécurisées avec les autres ordinateurs qui ne prennent pas en charge IPSec, ou en cas d'échec des négociations IPSec avec un ordinateur compatible IPSec.

[ action={permit | block | negotiate}]
Indique s'il faut autoriser le trafic sans négocier la sécurité IP. Si la valeur permit est spécifiée, le trafic est transmis ou reçu sans négociation ni application de la sécurité IP. Si la valeur block est spécifiée, le trafic est bloqué. Si la valeur negotiate est spécifiée, la sécurité IP est utilisée avec la liste spécifiée des méthodes de sécurité.

[ qmsecmethods="Neg1Neg2"]
Spécifie une ou plusieurs méthodes de sécurité, séparées par des espaces et définies selon le format suivant :

{ESP [AlgConf,AlgAuth]:k/s | AH [AlgHach]:k/s | AH [AlgHach+ESPAlgConf,AlgAuth]:k/s}]

Dans cette syntaxe :

AlgConf
Spécifie l'algorithme de cryptage. AlgConfig peut être DES (Data Encryption Standard), 3DES ou aucun.

AlgAuth
Spécifie l'algorithme d'intégrité. AlgAuth peut être MD5 (Message Digest 5), SHA1 (Secure Hash Algorithm 1) ou aucun.

AlgHach
Spécifie la fonction de hachage. AlgHach peut être MD5 (Message Digest 5) ou SHA1 (Secure Hash Algorithm 1).

k
Spécifie la durée de vie de la clé de session en kilo-octets. Une fois le nombre spécifié de kilo-octets de données transféré, une nouvelle clé de session pour l'association de sécurité de mode rapide est générée. La valeur par défaut est égale à 100 000 kilo-octets.

s.
Spécifie la durée de vie de la clé de session en secondes. La valeur par défaut est de 3 600 secondes.

Notes
  • Si vous spécifiez un nouveau nom pour l'action de filtrage, n'utilisez pas le nom all. Sinon, vous risquez de créer un conflit avec l'option netsh ipsec permettant de sélectionner toutes les actions de filtrage IPSec (par exemple, delete filteraction all).

  • Si l'option action=permit ou action=block est spécifiée, ne définissez pas qmpfs=yes, inpass=yes ou soft=yes.

  • La régénération de la clé de session démarre en fonction de l'intervalle, en secondes ou en kilo-octets, atteint en premier. Si vous ne configurez pas de nouveaux intervalles, les intervalles par défaut s'appliquent.

  • Si vous n'avez pas spécifié précédemment qmsecmethods= (méthodes de sécurité de mode rapide) pour cette action de filtrage, les valeurs par défaut suivantes sont utilisées :

    • ESP [3DES, SHA1] :100 000 k/3 600 s

    • ESP [3DES, MD5] : 100 000 k/3 600 s

  • L'ordre de préférence de chaque méthode de sécurité de mode rapide est déterminé par l'ordre dans lequel elle est spécifiée dans la commande.

  • Tous les paramètres de chaîne respectent la casse.

set filterlist

Modifie une liste de filtres.

Syntaxe

set filterlist name= [newname=] [description=]

Paramètres
name= Chaîne
Obligatoire. Spécifie le nom de la liste de filtres à modifier.

[ newname=Chaîne]
Spécifie le nouveau nom de la liste de filtres.

[ description=Chaîne]
Fournit des informations sur la liste des filtres.

Notes
  • Si vous spécifiez un nouveau nom pour la liste de filtres, n'utilisez pas le nom all. Sinon, vous risquez de créer un conflit avec l'option netsh ipsec permettant de sélectionner toutes les listes de filtres IPSec (par exemple, delete filterlist all).

  • Tous les paramètres de chaîne respectent la casse.

set policy

Modifie une stratégie IPSec.

Syntaxe

set policy name= newname= [description=][mmpfs=][qmpermm=] [mmlifetime=][activatedefaultrule=][pollinginterval=][assign=][gponame=][mmsecmethods=]

Paramètres
name= Chaîne| guid=guid
Obligatoire. Spécifie le nom ou le GUID de la stratégie IPSec à modifier.

newname= Chaîne
Obligatoire. Spécifie le nouveau nom de la stratégie IPSec.

[ description=Chaîne]
Fournit des informations sur la stratégie IPSec.

[ mmpfs={yes | no}]
Indique s'il faut activer la clé principale PFS (Perfect Forward Secrecy). Si la valeur yes est spécifiée, les associations de sécurité de mode principal sont de nouveau authentifiées et un nouveau support de gestion des clés principales est négocié chaque fois qu'un support de clé de session pour une association de sécurité de mode rapide est requis.

[ qmpermm=Entier]
Indique le nombre de fois que le support de gestion des clés principales peut être utilisé pour dériver la clé de session.

[ mmlifetime=Entier]
Spécifie le nombre de minutes après lesquelles une nouvelle clé principale sera générée.

[ activatedefaultrule={yes | no}]
Indique s'il faut activer la règle de réponse par défaut pour cette stratégie IPSec.

[ pollinginterval=Entier]
Indique le nombre de fois que IPSec effectue une interrogation pour détecter les modifications apportées à cette stratégie. La valeur par défaut est 180 minutes.

[ assign={yes | no}]
Indique si cette stratégie IPSec doit être attribuée.

[ gponame=Chaîne]
Spécifie le nom de l'objet de stratégie de groupe auquel la stratégie IPSec est attribuée. Ce paramètre est applicable uniquement si vous configurez une stratégie pour un ordinateur appartenant à un domaine Active Directory.

[ mmsecmethods="MethSec1MethSec2"]
Spécifie une ou plusieurs méthodes de sécurité d'échange de clés, séparées par des espaces et définies selon le format suivant : AlgConf-AlgHach-NumGroupe, où :

AlgConf
Spécifie l'algorithme de cryptage. AlgConf peut être DES (Data Encryption Standard) ou 3DES.

AlgHach
Spécifie la fonction de hachage. AlgHach peut être MD5 (Message Digest 5) ou SHA1 (Secure Hash Algorithm 1).

NumGroupe
Détermine le groupe Diffie-Hellman à utiliser pour le support de gestion des clés de base. NumGroupe peut être : 1 (bas, protège 768 bits de support de gestion de clés), 2 (moyen, en protège 1024 bits) et 3 (haut, en protège 2048 bits).

Notes
  • Si vous spécifiez un nouveau nom pour la stratégie, n'utilisez pas le nom all. Sinon, vous risquez de créer un conflit avec l'option netsh ipsec permettant de sélectionner toutes les stratégies IPSec (par exemple, delete policy all).

  • Si set store=domain est spécifié (lorsque la stratégie IPSec est stockée dans Active Directory), assign n'a aucun effet.

  • Si la valeur mmpfs=yes est spécifiée (la clé principale PFS est activée), par défaut qmperm a la valeur 1 et n'est pas configurable, car chaque nouvelle session entraîne la renégociation du support de gestion des clés principales.

  • Les homologues IPSec doivent avoir au moins une méthode de sécurité d'échange de clés en commun (une méthode qui utilise les mêmes paramètres), sinon la négociation échoue.

  • Vous pouvez spécifier un nom d'objet de stratégie de groupe uniquement si set store=domain.

  • Tous les paramètres de chaîne respectent la casse.

set rule

Modifie une règle dans une stratégie IPSec.

Syntaxe

set rule name= | ID=policy= [newname=][description=][filterlist=] [filteraction=] [tunnel=][conntype=] [activate=][kerberos=][psk=][rootca=]

Paramètres
name= Chaîne | ID=Entier
Obligatoire. Spécifie le nom ou l'ID (le nombre qui identifie la position de la règle dans la liste de règles de stratégie) de la règle à modifier.

policy= Chaîne
Obligatoire. Spécifie le nom de la stratégie IPSec contenant cette règle.

[ newname=Chaîne]
Spécifie le nouveau nom de la règle.

[ description=Chaîne]
Fournit des informations relatives à la règle.

[ filterlist=Chaîne]
Spécifie le nom de la liste de filtres IP pour cette règle.

[ filteraction=Chaîne]
Spécifie le nom de l'action de filtrage pour cette règle.

[ tunnel={AdresseIP | NomDNS}]
Spécifie l'adresse IP ou le nom DNS du point de terminaison du tunnel pour le mode tunnel.

[ conntype={lan | dialup | all}]
Indique si la règle s'applique uniquement à des connexions d'accès à distance, à des connexions aux réseaux locaux (LAN) ou à toutes les connexions.

[ activate={yes | no}]
Indique s'il faut activer cette règle pour la stratégie IPSec spécifiée.

[ kerberos={yes | no}]
Indique s'il faut utiliser le protocole Kerberos V5 en tant que méthode d'authentification.

[ psk=Chaîne]
Spécifie la chaîne de caractères à utiliser pour la clé prépartagée, si une clé prépartagée est utilisée en tant que méthode d'authentification.

[ rootca="Chaînecertmap:{ yes| no} excludecaname:{ yes| no} "]
Spécifie les options d'authentification du certificat, où :

Chaîne
Spécifie le nom unique du certificat, si un certificat est utilisé en tant que méthode d'authentification.

certmap:{ yes|no}
Spécifie si le mappage certificat vers compte doit être activé. Vous pouvez activer le mappage certificat vers compte afin de vérifier que le certificat est utilisé par un ordinateur de confiance.

excludecaname:{ yes|no}
Indique s'il faut exclure de la demande de certificat la liste des noms des Autorités de certification racines de confiance dont le certificat est accepté.

Notes
  • Vous pouvez utiliser l'authentification Kerberos V5 ou le mappage certificat vers compte uniquement pour les ordinateurs qui sont membres d'un domaine Active Directory.

  • Même si vous ne pouvez utiliser qu'une seule clé prépartagée pour l'authentification, vous pouvez utiliser plusieurs certificats en spécifiant le paramètre rootca une fois, pour chaque certificat que vous souhaitez utiliser.

  • Tous les paramètres d'authentification de certificat doivent être précisés entre guillemets. Les guillemets incorporés doivent être précédés d'une barre oblique inverse suivie d'une apostrophe (\').

  • Tous les paramètres de chaîne respectent la casse.

  • L'ordre de préférence de chaque méthode de sécurité est déterminé par l'ordre dans lequel elle est spécifiée dans la commande.

  • Si aucune méthode d'authentification n'est spécifiée, les valeurs dynamiques par défaut sont utilisées. Par défaut, les stratégies IPSec utilisent l'authentification Kerberos V5. Si l'ordinateur comporte un certificat d'ordinateur, toute Autorité de certification racine associée à ce certificat est également utilisée pour l'authentification.

  • Si excludecaname:yes est spécifié, la liste des Autorités de certification racines de confiance n'est pas envoyée avec la demande de certificat, ce qui écarte tout risque potentiel de divulgation d'informations confidentielles concernant les relations d'approbation d'un ordinateur. Pour renforcer la sécurité des ordinateurs connectés à Internet, spécifiez cette option.

  • L'utilisation d'une authentification par clé prépartagée est déconseillée dans la mesure où cette méthode d'authentification est relativement peu efficace. De plus, les clés prépartagées sont stockées en texte en clair.

  • Les homologues IPSec doivent avoir au moins une méthode d'authentification en commun, sinon la communication échoue.

  • La modification des méthodes d'authentification remplace toutes les méthodes d'authentification précédentes, même si celles-ci étaient différentes. Par exemple, si kerberos=yes et psk=yes étaient définis précédemment, et que vous spécifiez ensuite kerberos=no, le paramètre psk=yes est également remplacé et l'authentification par clé prépartagée n'est plus utilisée.

set store

Définit l'emplacement de stockage actuel de la stratégie IPSec.

Syntaxe

set store location= [domain=]

Paramètres
location={local | persistent | domain}
Obligatoire. Indique l'emplacement de stockage de la stratégie IPSec.

[ domain=]
Spécifie le nom du domaine dans lequel la stratégie IPSec est stockée, si elle est stockée dans Active Directory (lorsque l'option location=domain est spécifiée).

Notes
  • La commande set store fonctionne uniquement à partir de l'environnement netsh, c'est-à-dire :

    • Si vous exécutez cette commande à partir de l'invite de commandes pour le contexte netsh ipsec.

    • Si vous exécutez un fichier de commandes à l'aide de la commande netsh.exe.

  • Le magasin persistant contient les stratégies IPSec qui peuvent être attribuées pour sécuriser cet ordinateur au démarrage, avant l'application de la stratégie locale ou de la stratégie basée sur le domaine. Une stratégie IPSec persistante garantit la sécurité en cas de défaillance, car elle reste en vigueur que la stratégie locale ou basée sur le domaine soit appliquée ou non (par exemple, une stratégie IPSec peut ne pas être appliquée si elle est corrompue). Afin de renforcer la sécurité, il est recommandé de créer et d'attribuer une stratégie persistante.

  • Le magasin persistant contient les stratégies IPSec pouvant être attribuées pour sécuriser cet ordinateur. Si une stratégie de domaine est disponible, cette stratégie est appliquée à la place de la stratégie locale.

  • Le magasin persistant contient les stratégies IPSec pouvant être attribuées pour sécuriser des groupes d'ordinateurs dans un domaine.

  • Il est souhaitable que la stratégie persistante soit la plus restrictive de toutes les stratégies. Les stratégies de domaine et les stratégies locales viennent en complément des stratégies persistantes.

  • Utilisez la commande set machine pour configurer un ordinateur distant.

  • Tous les paramètres de chaîne respectent la casse.

show all

Affiche les informations de configuration de l'ensemble des stratégies IPSec, des règles, des listes de filtres et des actions de filtrage.

Syntaxe

show all [format=] [wide=]

Paramètres
[ format={list | table}]
Indique s'il faut afficher les informations de configuration IPSec dans un format d'écran ou un format délimité par des tabulations. La valeur par défaut est list, ce qui signifie que la sortie est affichée dans un format écran.

[ wide={yes | no}]
Indique s'il faut autoriser l'affichage des informations de configuration IPSec à dépasser les limites de la largeur de l'écran (80 caractères). La valeur par défaut est no, ce qui signifie que l'affichage des informations de configuration est limité à la largeur de l'écran.

Notes
  • Dans la mesure où la commande show all peut se traduire par une sortie longue à défilement rapide, pensez à enregistrer la sortie dans un fichier texte, sauf si vous avez seulement besoin d'en afficher des parties limitées.

    Pour enregistrer dans un fichier texte la sortie de la commande show all, effectuez l'une des opérations suivantes :

    Si vous êtes dans l'environnement netsh (netsh>)

    1. À l'invite netsh, tapez :

      set file open NomFichier.txt

    2. Ensuite, tapez :

      ipsec static show all

    3. Pour arrêter l'envoi de la sortie et fermer le fichier, tapez :

      set file close

    Si vous n'êtes pas dans l'environnement netsh

    • À l'invite de commande, tapez :

      netsh ipsec static show all >NomFichier.txt

  • Pour arrêter la sortie des informations de configuration IPSec, vous devez quitter Netsh en effectuant l'une des opérations suivantes :

    • Fermez la fenêtre Netsh en cliquant sur l'icône X dans le coin supérieur droit de la fenêtre.

    • Utilisez le Gestionnaire des tâches pour fermer le programme Netsh.

show filteraction

Affiche les informations de configuration relatives à une ou plusieurs actions de filtrage.

Syntaxe

show filteraction name= | rule= | all [level=][format=] [wide=]

Paramètres
name= Chaîne| rule=Chaîne| all
Obligatoire. Indique une ou plusieurs actions de filtrage pour lesquelles les informations de configuration doivent être affichées. Si l'option name est spécifiée, l'action de filtrage portant le nom spécifié est affichée. Si l'option rule est spécifiée, toutes les actions de filtrage associées à la règle spécifiée sont affichées. Si l'option all est spécifiée, toutes les actions de filtrage sont affichées.

[ level={verbose | normal}]
Désigne le niveau des informations à afficher. Si l'option verbose est spécifiée, les informations relatives aux méthodes de sécurité, à l'emplacement de stockage des stratégies et à l'activation ou non de la clé de session PFS (Perfect Forward Secrecy) sont affichées, en plus des informations de base sur l'action de filtrage. La valeur par défaut est normal.

[ format={list | table}]
Indique s'il faut afficher les informations de configuration IPSec dans un format d'écran ou un format délimité par des tabulations. La valeur par défaut est list, ce qui signifie que la sortie est affichée dans un format écran.

[ wide={yes | no}]
Indique s'il faut autoriser l'affichage des informations de configuration IPSec à dépasser les limites de la largeur de l'écran (80 caractères). La valeur par défaut est no, ce qui signifie que l'affichage des informations de configuration est limité à la largeur de l'écran.

Notes
  • Tous les paramètres de chaîne respectent la casse.

  • Dans la mesure où la commande show filteraction peut se traduire par une sortie longue à défilement rapide, pensez à l'enregistrer dans un fichier texte, sauf si vous avez seulement besoin d'afficher des parties limitées.

    Pour enregistrer dans un fichier texte la sortie de la commande show filteraction, effectuez l'une des opérations suivantes :

    Si vous êtes dans l'environnement netsh (netsh>)

    1. À l'invite netsh, tapez :

      set file open NomFichier.txt

    2. Ensuite, tapez :

      ipsec static show filteractionNom | Règle | all [level=verbose | normal]

    3. Pour arrêter l'envoi de la sortie et fermer le fichier, tapez :

      set file close

    Si vous n'êtes pas dans l'environnement netsh

    • À l'invite de commande, tapez :

      netsh ipsec static show filteractionNom | Règle | all [level=verbose | normal] >NomFichier.txt

  • Pour arrêter la sortie des informations de configuration IPSec, vous devez quitter Netsh en effectuant l'une des opérations suivantes :

    • Fermez la fenêtre Netsh en cliquant sur l'icône X dans le coin supérieur droit de la fenêtre.

    • Utilisez le Gestionnaire des tâches pour fermer le programme Netsh.

show filterlist

Affiche les informations de configuration relatives à une ou plusieurs listes de filtres.

Syntaxe

show filterlist name= | rule= | all [level=][format=][resolvedns=] [wide=]

Paramètres
name= Chaîne| rule=Chaîne| all
Obligatoire. Spécifie une ou plusieurs listes de filtres à afficher. Si l'option name est spécifiée, la liste de filtres portant le nom spécifié est affichée. Si l'option rule est spécifiée, toutes les listes de filtres associées à la règle spécifiée sont affichées. Si l'option all est spécifiée, toutes les listes de filtres sont affichées.

[ level={verbose | normal}]
Désigne le niveau des informations à afficher. Si l'option verbose est spécifiée, la source, la destination et le type de trafic IP définis par chaque filtre sont affichés, en plus des informations de base sur la liste de filtres. La valeur par défaut est normal.

[ format={list | table}]
Indique s'il faut afficher les informations de configuration IPSec dans un format d'écran ou un format délimité par des tabulations. La valeur par défaut est list, ce qui signifie que la sortie est affichée dans un format écran.

[ resolvedns={yes | no}]
Indique s'il faut résoudre le nom d'ordinateur DNS (Domain Name System) ou NETBIOS associé à une adresse IP lors de l'affichage de sources ou de destinations. Si yes est spécifié, level doit également avoir la valeur verbose, sinon les noms DNS ne sont pas affichés. La valeur par défaut est no.

[ wide={yes | no}]
Indique s'il faut autoriser l'affichage des informations de configuration IPSec à dépasser les limites de la largeur de l'écran (80 caractères). La valeur par défaut est no, ce qui signifie que l'affichage des informations de configuration est limité à la largeur de l'écran.

Notes
  • Tous les paramètres de chaîne respectent la casse.

  • Dans la mesure où la commande show filterlist peut se traduire par une sortie longue à défilement rapide, pensez à l'enregistrer dans un fichier texte, sauf si vous avez seulement besoin d'afficher les parties délimitées.

    Pour enregistrer dans un fichier texte la sortie de la commande show all, effectuez l'une des opérations suivantes :

    Si vous êtes dans l'environnement netsh (netsh>)

    1. À l'invite netsh, tapez :

      set file open NomFichier.txt

    2. Ensuite, tapez :

      ipsec static show filterlistNom | règle | all [level=verbose | normal][resolvedns=yes | no

    3. Pour arrêter l'envoi de la sortie et fermer le fichier, tapez :

      set file close

    Si vous n'êtes pas dans l'environnement netsh

    • À l'invite de commande, tapez :

      netsh ipsec static show filterlistNom | règle | all [level=verbose | normal][resolvedns=yes | no >NomFichier.txt

  • Pour arrêter la sortie des informations de configuration IPSec, vous devez quitter Netsh en effectuant l'une des opérations suivantes :

    • Fermez la fenêtre Netsh en cliquant sur l'icône X dans le coin supérieur droit de la fenêtre.

    • Utilisez le Gestionnaire des tâches pour fermer le programme Netsh.

show gpoassignedpolicy

Affiche les informations de configuration relatives à la stratégie IPSec active attribuée à l'objet de stratégie de groupe spécifié.

Syntaxe

show gpoassignedpolicy [name= ]

Paramètres
[ name=Chaîne]
Spécifie le nom de l'objet de stratégie de groupe auquel la stratégie IPSec active est attribuée. Si aucun nom n'est spécifié, la stratégie IPSec locale est affichée.

Notes
  • Vous pouvez spécifier un nom d'objet de stratégie de groupe uniquement si set store=domain.

  • Tous les paramètres de chaîne respectent la casse.

    Pour enregistrer la sortie dans un fichier texte pour la commande show gpossignedpolicy, effectuez l'une des opérations suivantes :

    Si vous êtes dans l'environnement netsh (netsh>)

    1. À l'invite netsh, tapez :

      set file open NomFichier.txt

    2. Ensuite, tapez :

      ipsec static show gpoassignedpolicy [Nom]

    3. Pour arrêter l'envoi de la sortie et fermer le fichier, tapez :

      set file close

    Si vous n'êtes pas dans l'environnement netsh

    • À l'invite de commande, tapez :

      netsh ipsec static show gpoassignedpolicy [Nom] >NomFichier.txt

show policy

Affiche les informations de configuration relatives à la stratégie IPSec spécifiée ou à toutes les stratégies IPSec.

Syntaxe

show policy name= | all [level=] [format=] [wide=]

Paramètres
name= Chaîne| all
Obligatoire. Spécifie le nom de la stratégie IPSec à afficher ; si l'option all est spécifiée, toutes les stratégies IPSec sont affichées.

[ level={verbose | normal}]
Désigne le niveau des informations à afficher. Si l'option verbose est spécifiée, les méthodes de sécurité et la méthode d'authentification sont affichées, en plus des informations relatives aux actions de filtrage et aux règles. La valeur par défaut est normal.

[ format={list | table}]
Indique s'il faut afficher les informations de configuration IPSec dans un format d'écran ou un format délimité par des tabulations. La valeur par défaut est list, ce qui signifie que la sortie est affichée dans un format écran.

[ wide={yes | no}]
Indique s'il faut autoriser l'affichage des informations de configuration IPSec à dépasser les limites de la largeur de l'écran (80 caractères). La valeur par défaut est no, ce qui signifie que l'affichage des informations de configuration est limité à la largeur de l'écran.

Notes
  • Tous les paramètres de chaîne respectent la casse.

  • Dans la mesure où la commande show policy peut se traduire par une sortie longue à défilement rapide, pensez à l'enregistrer dans un fichier texte, sauf si vous avez seulement besoin d'afficher les parties délimitées.

    Pour enregistrer dans un fichier texte la sortie de la commande show policy, effectuez l'une des opérations suivantes :

    Si vous êtes dans l'environnement netsh (netsh>)

    1. À l'invite netsh, tapez :

      set file open NomFichier.txt

    2. Ensuite, tapez :

      ipsec static show policyNom | all >NomFichier.txt

    3. Pour arrêter l'envoi de la sortie et fermer le fichier, tapez :

      set file close

    Si vous n'êtes pas dans l'environnement netsh

    • À l'invite de commande, tapez :

      netsh ipsec static show policyNom | all >NomFichier.txt

  • Pour arrêter la sortie des informations de configuration IPSec, vous devez quitter Netsh en effectuant l'une des opérations suivantes :

    • Fermez la fenêtre Netsh en cliquant sur l'icône X dans le coin supérieur droit de la fenêtre.

    • Utilisez le Gestionnaire des tâches pour fermer le programme Netsh.

show rule

Affiche les informations de configuration relatives à une règle d'une stratégie spécifiée, ou à toutes les règles d'une stratégie spécifiée.

Syntaxe

show rule name= | ID= | all | defaultpolicy= [type=][level=][format=] [wide=]

Paramètres
name={Chaîne | ID=Entier | all | default}
Obligatoire. Spécifie une ou plusieurs règles à afficher. Si le nom ou l'ID de la règle (le nombre qui identifie la position de la règle dans la liste de règles de la stratégie) est spécifié, la règle correspondante est affichée. Si l'option all est spécifiée, toutes les règles de la stratégie spécifiée sont affichées. Si l'option default est spécifiée, la règle de réponse par défaut est affichée.

policy= Chaîne
Obligatoire. Spécifie le nom de la stratégie pour laquelle la règle spécifiée, ou toutes les règles, sont affichées.

[ type={transport | tunnel}]
Détermine si ce sont les règles de transport ou les règles de tunnel qui doivent être affichées. La valeur par défaut consiste à afficher toutes les règles.

[ level={verbose | normal}]
Désigne le niveau des informations à afficher. Si l'option verbose est spécifiée, des informations relatives aux actions de filtrage associées sont affichées, en plus des informations de base sur la règle. La valeur par défaut est normal.

[ format={list | table}]
Indique s'il faut afficher les informations de configuration IPSec dans un format d'écran ou un format délimité par des tabulations. La valeur par défaut est list, ce qui signifie que la sortie est affichée dans un format écran.

[ wide={yes | no}]
Indique s'il faut autoriser l'affichage des informations de configuration IPSec à dépasser les limites de la largeur de l'écran (80 caractères). La valeur par défaut est no, ce qui signifie que l'affichage des informations de configuration est limité à la largeur de l'écran.

Notes
  • Si vous utilisez le paramètre type, vous devez également utiliser le paramètre all (vous devez préciser show rule all).

  • Tous les paramètres de chaîne respectent la casse.

  • Dans la mesure où la commande show rule peut se traduire par une sortie longue à défilement rapide, pensez à l'enregistrer dans un fichier texte, sauf si vous avez seulement besoin d'afficher les parties délimitées.

    Pour enregistrer dans un fichier texte la sortie de la commande show rule, effectuez l'une des opérations suivantes :

    Si vous êtes dans l'environnement netsh (netsh>)

    1. À l'invite netsh, tapez :

      set file open NomFichier.txt

    2. Ensuite, tapez :

      ipsec static show ruleNom | ID | all | defaultStratégie [level=verbose | normal]

    3. Pour arrêter l'envoi de la sortie et fermer le fichier, tapez :

      set file close

    Si vous n'êtes pas dans l'environnement netsh

    • À l'invite de commande, tapez :

      netsh ipsec static show ruleNom | ID | all | defaultStratégie [level=verbose | normal] >NomFichier.txt

  • Pour arrêter la sortie des informations de configuration IPSec, vous devez quitter Netsh en effectuant l'une des opérations suivantes :

    • Fermez la fenêtre Netsh en cliquant sur l'icône X dans le coin supérieur droit de la fenêtre.

    • Utilisez le Gestionnaire des tâches pour fermer le programme Netsh.

Netsh ipsec dynamic

Les commandes ci-après sont disponibles à l'invite de commandes ipsec dynamic> ayant pour racine l'environnement netsh.

Cliquez sur une commande pour en afficher la syntaxe :

add mmpolicy

Crée une stratégie IPSec de mode principal avec le nom spécifié et l'ajoute à la base de données de stratégie de sécurité (SPD, Security Policy Database).

Syntaxe

add mmpolicy name= [qmpermm=] [mmlifetime=][softsaexpirationtime=][mmsecmethods=]

Paramètres
name= Chaîne
Obligatoire. Spécifie le nom de la stratégie IPSec à créer.

[ qmpermm=Entier]
Indique le nombre de fois que le support de gestion des clés principales peut être utilisé pour dériver la clé de session. La valeur par défaut est 0, ce qui signifie qu'un nombre illimité d'associations de sécurité de mode rapide peuvent être dérivées à partir des associations de sécurité de mode principal.

[ mmlifetime=Entier]
Spécifie le nombre de minutes après lesquelles une nouvelle clé principale est générée. La valeur par défaut est 480 minutes.

[ softsaexpirationtime=Entier]
Spécifie le nombre de minutes après lesquelles une association de sécurité non protégée expire. La valeur par défaut est 480 minutes.

[ mmsecmethods="MethSec1MethSec2"]
Spécifie une ou plusieurs méthodes de sécurité d'échange de clés, séparées par des espaces et définies selon le format suivant : AlgConf-AlgHach-NumGroupe, où :

AlgConf
Spécifie l'algorithme de cryptage. AlgConf peut être DES ou 3DES.

AlgHach
Spécifie la fonction de hachage. AlgHach peut être MD5 ou SHA1.

NumGroupe
Détermine le groupe Diffie-Hellman à utiliser pour le support de gestion des clés de base. NumGroupe peut être : 1 (bas, protège 768 bits de support de gestion de clés), 2 (moyen, en protège 1024 bits) et 3 (haut, en protège 2048 bits).

Notes
  • Ne créez pas de stratégie de mode principal portant le nom all. Sinon, vous risquez de créer un conflit avec l'option netsh ipsec permettant de sélectionner toutes les stratégies IPSec de mode principal (par exemple, delete mmpolicy all).

  • Si le nombre de négociations de mode rapide dépasse la valeur définie pour le nombre de négociations de mode rapide par négociation de mode principal au cours de la durée de vie de mode principal, une nouvelle négociation de mode principal a lieu.

  • Si vous ne spécifiez pas mmsecmethods= (méthodes de sécurité d'échange de clés), les valeurs par défaut suivantes s'appliquent :

    • 3DES-SHA1-2

    • 3DES-MD5-2

    • 3DES-SHA1-3

  • Les homologues IPSec doivent avoir au moins une méthode de sécurité d'échange de clés en commun (une méthode qui utilise les mêmes paramètres), sinon la négociation échoue.

  • Tous les paramètres de chaîne respectent la casse.

add qmpolicy

Crée une stratégie IPSec de mode rapide avec le nom spécifié et l'ajoute à la SPD.

Syntaxe

add qmpolicy name= [soft=][pfsgroup=][qmsecmethods=]

Paramètres
name= Chaîne
Obligatoire. Spécifie le nom de la stratégie IPSec de mode rapide à créer.

[ soft={yes | no}]
Indique s'il faut basculer vers des communications non sécurisées avec les autres ordinateurs qui ne prennent pas en charge IPSec, ou en cas d'échec des négociations IPSec avec un ordinateur compatible IPSec. La valeur par défaut est no.

[ pfsgroup={grp1 | grp2 | grp3 | grpmm | nopfs}]
Détermine le groupe Diffie-Hellman à utiliser pour la clé de session PFS. Si grp1 est spécifié, Groupe 1 (faible) est utilisé. Si grp2 est spécifié, Groupe 2 (moyen) est utilisé. Si grp3est spécifié, Groupe 2048 (élevé) est utilisé. Si grpmm est spécifié, la valeur du groupe est dérivée des paramètres actuels de mode principal. La valeur par défaut est nopfs, ce qui signifie que la clé de session PFS est désactivée.

[ qmsecmethods="Neg1Neg2"]
Spécifie une ou plusieurs méthodes de sécurité, séparées par des espaces et définies selon le format suivant :

{ESP [AlgConf,AlgAuth]:k/s | AH [AlgHach]:k/s | AH [AlgHach+ESPAlgConf,AlgAuth]:k/s}]

Dans cette syntaxe :

AlgConf
Spécifie l'algorithme de cryptage. AlgConfig peut être DES (Data Encryption Standard), 3DES ou aucun.

AlgAuth
Spécifie l'algorithme d'intégrité. AlgAuth peut être MD5 (Message Digest 5), SHA1 (Secure Hash Algorithm 1) ou aucun.

AlgHach
Spécifie la fonction de hachage. AlgHach peut être MD5 (Message Digest 5) ou SHA1 (Secure Hash Algorithm 1).

k
Spécifie la durée de vie de la clé de session en kilo-octets. Une fois le nombre spécifié de kilo-octets de données transféré, une nouvelle clé de session pour l'association de sécurité de mode rapide est générée. La valeur par défaut est égale à 100 000 kilo-octets.

s.
Spécifie la durée de vie de la clé de session en secondes. La valeur par défaut est de 3 600 secondes.

Notes
  • Ne créez pas de stratégie de mode rapide portant le nom all. Sinon, vous risquez de créer un conflit avec l'option netsh ipsec permettant de sélectionner toutes les stratégies IPSec de mode rapide (par exemple, delete qmpolicy all).

  • Si vous ne spécifiez pas qmsecmethods= (méthodes de sécurité de mode rapide), les valeurs par défaut suivantes sont utilisées :

    • ESP [3DES, SHA1] : 100 000 k/3 600 s

    • ESP [3DES, MD5] : 100 000 k/3 600 s

  • AlgConf et AlgAuth ne peuvent pas avoir tous deux la valeur none.

  • Le même paramètre pfsgroup doit être activé pour les homologues IPSec (c'est-à-dire que les deux homologues doivent utiliser le même groupe Diffie-Hellman pour la clé de session PFS) ; à défaut, la communication échoue.

  • Pour une meilleure sécurité, n'utilisez pas le groupe 1 Diffie-Hellman. Pour une sécurité maximale, utilisez le groupe 2048 chaque fois que cela est possible. Utilisez Groupe 2 lorsque cela est nécessaire pour l'interopérabilité avec Windows 2000 et Windows XP.

  • Tous les paramètres de chaîne respectent la casse.

add rule

Crée une règle IPSec avec la stratégie de mode rapide et la stratégie de mode principal spécifiées et l'ajoute à la SPD.

Syntaxe

add rule srcaddr= dstaddr= mmpolicy=[qmpolicy=][protocol=][srcport=][dstport=][mirrored=][conntype=][actioninbound=][actionoutbound=][srcmask=][dstmask=][tunneldstaddress=][kerberos=][psk=][rootca=]

Paramètres
srcaddr={Me | Any | AdresseIP | NomDNS | TypeServeur}
Obligatoire. Spécifie l'adresse IP source, le nom DNS ou le type de serveur pour le trafic IP. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

dstaddr={Me | Any |AdresseIP | NomDNS | TypeServeur}
Obligatoire. Spécifie l'adresse IP de destination, le nom DNS ou le type de serveur pour le trafic IP. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

mmpolicy= Chaîne
Obligatoire. Spécifie le nom de la stratégie de mode principal.

[ qmpolicy=]Chaîne
Spécifie le nom de la stratégie de mode rapide. Obligatoire si l'option actioninbound=negotiate ou actionoutbound=negotiate est spécifiée.

[ protocol={ANY | ICMP |TCP| UDP | RAW | Entier }]
Spécifie le protocole IP si vous souhaitez que le filtrage s'effectue non seulement en fonction des informations d'adressage, mais aussi en fonction d'un protocole IP spécifique. La valeur par défaut est ANY, ce qui signifie que tous les protocoles sont utilisés pour le filtre.

[ srcport=Port]
Indique le numéro de port source des paquets à filtrer. Cette option s'applique uniquement si vous filtrez des paquets TCP ou UDP. Si la valeur 0 est spécifiée, les paquets envoyés de n'importe quel port sont filtrés. L'option par défaut est any.

[ dstport=Port]
Indique le numéro du port de destination des paquets à filtrer. Cette option s'applique uniquement si vous filtrez des paquets TCP ou UDP. Si la valeur 0 est spécifiée, les paquets envoyés à n'importe quel port sont filtrés. L'option par défaut est any.

[ mirrored={yes | no}]
Indique s'il faut créer un filtre miroir. Utilisez yes pour créer deux filtres sur la base des paramètres de filtre, l'un pour le trafic vers la destination et l'autre pour le trafic à partir de la destination La valeur par défaut est yes.

[ conntype={lan | dialup | all}]
Indique si la règle s'applique uniquement à des connexions d'accès à distance, à des connexions aux réseaux locaux (LAN) ou à toutes les connexions. La valeur par défaut est all.

[ actioninbound={permit | block | negotiate}]
Spécifie l'action que IPSec doit entreprendre pour le trafic entrant. Si la valeur permit est spécifiée, le trafic est reçu sans négociation ni application de la sécurité IP. Si la valeur block est spécifiée, le trafic est bloqué. Si la valeur negotiate est spécifiée, la sécurité IP est utilisée avec la liste des méthodes de sécurité spécifiée dans les stratégies de mode principal et de mode rapide. La valeur par défaut est negotiate.

[ actionoutbound={permit | block | negotiate}]
Spécifie l'action que IPSec doit entreprendre pour le trafic sortant. Si la valeur permit est spécifiée, le trafic est envoyé sans négociation ni application de la sécurité IP. Si la valeur block est spécifiée, le trafic est bloqué. Si la valeur negotiate est spécifiée, la sécurité IP est utilisée avec la liste des méthodes de sécurité spécifiée dans les stratégies de mode principal et de mode rapide. La valeur par défaut est negotiate.

[ srcmask={Masque | Préfixe}]
Spécifie le masque de sous-réseau de l'adresse source ou le préfixe des paquets devant être filtrés. Vous pouvez spécifier une valeur de préfixe comprise entre 1 et 32. La valeur par défaut est le masque 255.255.255.255.

[ dstmask= {Masque | Préfixe}]
Spécifie le masque de sous-réseau de l'adresse de destination ou la valeur de préfixe des paquets à filtrer. Vous pouvez spécifier une valeur de préfixe comprise entre 1 et 32. La valeur par défaut est le masque 255.255.255.255.

[ tunneldstaddress={AdresseIP | NomDNS}]
Indique si le trafic utilise le mode de tunnel et, si c'est le cas, l'adresse IP ou le nom DNS de la destination du tunnel (l'ordinateur ou la passerelle de l'autre côté du tunnel).

[ kerberos={yes | no}]
Indique s'il faut utiliser le protocole Kerberos V5 en tant que méthode d'authentification.

[ psk=Chaîne]
Spécifie la chaîne de caractères à utiliser pour la clé prépartagée, si une clé prépartagée est utilisée en tant que méthode d'authentification.

[ rootca="Chaînecertmap:{ yes| no} excludecaname:{ yes| no} "]
Spécifie les options d'authentification du certificat, où :

Chaîne
Spécifie le nom unique du certificat, si un certificat est utilisé en tant que méthode d'authentification.

certmap:{ yes|no}
Spécifie si le mappage certificat vers compte doit être activé. Vous pouvez activer le mappage certificat vers compte afin de vérifier que le certificat est utilisé par un ordinateur de confiance.

excludecaname:{ yes|no}
Indique s'il faut exclure de la demande de certificat la liste des noms des Autorités de certification racines de confiance dont le certificat est accepté.

Notes
  • Ne créez pas de règle portant le nom all. Sinon, vous risquez de créer un conflit avec l'option netsh ipsec permettant de sélectionner toutes les règles IPSec (par exemple, delete rule all).

  • Si l'action de filtrage pour le trafic à la fois entrant et sortant (actioninbound et actionoutbound) a la valeur Permit ou Block, un filtre de mode rapide n'est pas nécessaire.

  • Si aucune règle de tunnel n'est spécifiée, mirror doit avoir la valeur no (par défaut, mirror a la valeur yes). S'agissant des tunnels IPSec, vous devez créer deux règles ; l'une décrit le trafic à envoyer via le tunnel (trafic sortant) et l'autre le trafic à recevoir via le tunnel (trafic entrant). Ensuite, créez deux règles utilisant les listes de filtres de trafic entrant et sortant dans votre stratégie.

  • Pour filtrer tous les paquets envoyés à partir de l'ordinateur ou vers celui-ci, vous pouvez utiliser srcaddr=Me ou dstaddr=Me.

  • Pour filtrer les paquets envoyés à partir d'un ordinateur quelconque ou vers un ordinateur quelconque, vous pouvez utiliser srcaddr=Any ou dstaddr=Any.

  • Vous pouvez utiliser l'authentification Kerberos V5 ou le mappage certificat vers compte uniquement pour les ordinateurs qui sont membres d'un domaine Active Directory.

  • Même si vous ne pouvez utiliser qu'une seule clé prépartagée pour l'authentification, vous pouvez utiliser plusieurs certificats en spécifiant le paramètre rootca une fois, pour chaque certificat que vous souhaitez utiliser.

  • Tous les paramètres d'authentification de certificat doivent être précisés entre guillemets. Les guillemets incorporés doivent être précédés d'une barre oblique inverse suivie d'une apostrophe (\').

  • Tous les paramètres de chaîne respectent la casse.

  • L'ordre de préférence de chaque méthode de sécurité est déterminé par l'ordre dans lequel elle est spécifiée dans la commande.

  • Si aucune méthode d'authentification n'est spécifiée, les valeurs dynamiques par défaut sont utilisées. Par défaut, les stratégies IPSec utilisent l'authentification Kerberos V5. Si l'ordinateur comporte un certificat d'ordinateur, toute Autorité de certification racine associée à ce certificat est également utilisée pour l'authentification.

  • Si excludecaname:yes est spécifié, la liste des Autorités de certification racines de confiance n'est pas envoyée avec la demande de certificat, ce qui écarte tout risque potentiel de divulgation d'informations confidentielles concernant les relations d'approbation d'un ordinateur. Pour renforcer la sécurité des ordinateurs connectés à Internet, spécifiez cette option.

  • L'utilisation d'une authentification par clé prépartagée est déconseillée dans la mesure où cette méthode d'authentification est relativement peu efficace. De plus, les clés prépartagées sont stockées en texte en clair.

  • Les homologues IPSec doivent avoir au moins une méthode d'authentification en commun, sinon la communication échoue.

delete all

Supprime si possible l'ensemble des stratégies IPSec, des filtres et des méthodes d'authentification de la SPD.

Syntaxe

delete all

Paramètres

Aucun.

delete mmpolicy

Supprime la stratégie IPSec de mode principal spécifiée, ou toutes les stratégies IPSec de mode principal, de la SPD.

Syntaxe

delete mmpolicy name= | all

Paramètres
name= Chaîne| all
Obligatoire. Spécifie le nom de la stratégie IPSec de mode principal à supprimer. Si l'option all est spécifiée, toutes les stratégies IPSec de mode principal sont supprimées.

Notes
  • Si une règle est associée à la stratégie de mode principal, vous devez la supprimer pour pouvoir supprimer la stratégie.

  • Tous les paramètres de chaîne respectent la casse.

delete qmpolicy

Supprime la stratégie IPSec de mode rapide spécifiée, ou toutes les stratégies IPSec de mode rapide, de la SPD.

Syntaxe

delete qmpolicy [name=] | [all]

Paramètres
name= Chaîne| all
Obligatoire. Spécifie le nom de la stratégie IPSec de mode rapide à supprimer. Si l'option all est spécifiée, toutes les stratégies IPSec de mode rapide sont supprimées.

Notes
  • Si une règle est associée à la stratégie de mode rapide, vous devez la supprimer pour pouvoir supprimer la stratégie.

  • Tous les paramètres de chaîne respectent la casse.

delete rule

Supprime une règle IPSec de la SPD.

Syntaxe

delete rule srcaddr= dstaddr= protocol= srcport= dstport= mirrored= conntype=[srcmask=][dstmask=][tunneldstaddress=]

Paramètres
srcaddr={Me | Any | AdresseIP | NomDNS | TypeServeur}
Obligatoire. Spécifie l'adresse IP source, le nom DNS ou le type de serveur pour le trafic IP. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

dstaddr={Me | Any |AdresseIP | NomDNS | TypeServeur}
Obligatoire. Spécifie l'adresse IP de destination, le nom DNS ou le type de serveur pour le trafic IP. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

protocol={ANY | ICMP |TCP| UDP | RAW | Entier }
Obligatoire. Spécifie le protocole IP utilisé pour le filtre.

srcport= Port
Requis. Indique le numéro du port source des paquets filtrés. Cette option s'applique uniquement si vous filtrez des paquets TCP ou UDP. La valeur 0 sélectionne les filtres dont le port source est 0 ou any.

dstport= Port
Obligatoire. Indique le numéro du port de destination des paquets filtrés. Cette option s'applique uniquement si vous filtrez des paquets TCP ou UDP. La valeur 0 sélectionne les filtres dont le port de destination est 0 ou any.

mirrored={yes | no}
Obligatoire. Spécifie si la règle a été créée avec des filtres en miroir.

conntype={lan | dialup | all}
Obligatoire. Indique si la règle à supprimer s'applique uniquement à des connexions d'accès à distance, à des connexions aux réseaux locaux (LAN) ou à toutes les connexions.

[ srcmask={Masque | Préfixe}]
Spécifie le masque de sous-réseau de l'adresse source ou le préfixe des paquets filtrés. Vous pouvez spécifier une valeur de préfixe comprise entre 1 et 32. La valeur par défaut est le masque 255.255.255.255.

[ dstmask= {Masque | Préfixe}]
Spécifie le masque de sous-réseau de l'adresse de destination ou la valeur du préfixe des paquets filtrés. Vous pouvez spécifier une valeur de préfixe comprise entre 1 et 32. La valeur par défaut est le masque 255.255.255.255.

[ tunneldstaddress={AdresseIP | NomDNS}]
Indique si le trafic utilise le mode de tunnel et, si c'est le cas, l'adresse IP ou le nom DNS de la destination du tunnel (l'ordinateur ou la passerelle de l'autre côté du tunnel).

Notes
  • Pour filtrer tous les paquets envoyés à partir de l'ordinateur ou vers celui-ci, vous pouvez utiliser srcaddr=Me ou dstaddr=Me.

  • Pour filtrer les paquets envoyés à partir d'un ordinateur quelconque ou vers un ordinateur quelconque, vous pouvez utiliser srcaddr=Any ou dstaddr=Any.

set config

Crée ou modifie les paramètres IPSec suivants : diagnostics IPSec, exemptions de trafic par défaut, vérification de la liste de révocation de certificats (CRL, Certificate Revocation List), enregistrement IKE (Oakley), intervalles d'enregistrement, sécurité au démarrage de l'ordinateur et exemptions de trafic au démarrage de l'ordinateur.

Syntaxe

set config [property=] [value=]

Paramètres
[ property=]{ipsecdiagnostics value= | ipsecexempt value= | ipsecloginterval value= | ikelogging value= | strongcrlcheck value= | bootmode value= | bootexemptions value=}
Obligatoire. Spécifie le nom du paramètre IPSec à créer ou à modifier, ainsi qu'une valeur pour le paramètre,

où :

ipsecdiagnostics value={0 | 1 | 2 | 3 | 4 | 5 | 6 | 7}
Indique s'il faut activer ou non l'enregistrement des diagnostics IPSec et, le cas échéant, à quel niveau. La valeur par défaut est 0, ce qui signifie que l'enregistrement est désactivé. Si vous modifiez la valeur de ce paramètre, vous devez redémarrer l'ordinateur pour que la nouvelle valeur prenne effet.

Vous pouvez spécifier d'autres valeurs, afin d'activer différents niveaux d'enregistrement :

  • Lorsque la valeur 1 est spécifiée, les paquets SPI incorrects (c'est-à-dire le nombre total de paquets pour lesquels l'index des paramètres de sécurité (SPI, Security Parameters Index) était incorrect), les échecs de négociation IKE, les échecs de traitement IPSec, les paquets reçus avec une syntaxe non valide et les autres erreurs sont enregistrés dans le journal système. Les hachages non authentifiés (à l'exception de l'événement « Réception de texte en clair alors qu'il aurait dû être sécurisé ») sont également enregistrés.

  • Lorsque la valeur 2 est spécifiée, les événements de suppression de paquets entrants sont enregistrés dans le journal système.

  • Lorsque la valeur 3 est spécifiée, l'enregistrement des niveaux 1 et 2 est effectué. En outre, les événements de type « texte en clair inattendu » (paquets envoyés ou reçus sous forme de texte en clair) sont également enregistrés.

  • Lorsque la valeur 4 est spécifiée, les événements de suppression de paquets sortants sont enregistrés dans le journal système.

  • Lorsque la valeur 5 est spécifiée, l'enregistrement des niveaux 1 et 4 est effectué.

  • Lorsque la valeur 6 est spécifiée, l'enregistrement des niveaux 2 et 4 est effectué.

  • Lorsque la valeur 7 est spécifiée, tous les niveaux d'enregistrement sont exécutés.

ipsecexempt value={ 0 | 1 | 2 | 3}
Spécifie si l'exemption de trafic IPSec par défaut doit être modifiée (le trafic qui ne correspond pas à des filtres IPSec, mais qui reste autorisé). La valeur par défaut est 3, ce qui signifie que seul le trafic IKE est exempté de filtrage IPSec. Si vous modifiez la valeur de ce paramètre, vous devez redémarrer l'ordinateur pour que la nouvelle valeur prenne effet.

Vous pouvez spécifier d'autres valeurs, de la manière suivante :

  • Si la valeur 0 est spécifiée, le trafic de diffusion, de multidiffusion, RSVP, Kerberos et IKE est exempté de filtrage IPSec.

  • Si la valeur 1 est spécifiée, le trafic Kerberos et RSVP n'est pas exempté de filtrage IPSec (le trafic de diffusion, de multidiffusion et IKE est exempté).

  • Si la valeur 2 est spécifiée, le trafic de diffusion et de multidiffusion n'est pas exempté de filtrage IPSec (le trafic RSVP, Kerberos et IKE est exempté).

ipsecloginterval value={Entier}
Spécifie l'intervalle, en secondes, après lequel les journaux d'événements IPSec sont envoyés au journal système. Pour Entier, la valeur doit être comprise entre 60 et 86 400. La valeur par défaut est 3600. Si vous modifiez la valeur de ce paramètre, vous devez redémarrer l'ordinateur pour que la nouvelle valeur prenne effet.

ikelogging value={0 | 1}
Spécifie si l'enregistrement IKE (Oakley) doit être activé, afin de générer des détails sur le processus d'établissement de l'association de sécurité. La valeur par défaut est 0, ce qui signifie que l'enregistrement IKE est désactivé.

strongcrlcheck value={ 0 | 1 | 2}
Spécifie le niveau de vérification CRL à utiliser. Si l'option 0 est spécifiée, la vérification CRL est désactivée. Si l'option 1 est spécifiée, la vérification CRL standard est utilisée et la validation des certificats échoue uniquement s'il s'avère que le certificat doit être révoqué. Si l'option 2 est spécifiée, la vérification CRL renforcée est utilisée et la validation des certificats échoue en cas d'erreur de vérification. La valeur par défaut est 1.

bootmode value={stateful | block | permit}
Spécifie l'action que IPSec doit entreprendre au démarrage de l'ordinateur. Si l'option stateful est spécifiée, seul le trafic suivant est autorisé lors du démarrage de l'ordinateur : le trafic sortant initié par l'ordinateur lors du démarrage, le trafic entrant envoyé en réponse au trafic sortant, ainsi que le trafic DHCP. Si l'option block est spécifiée, tout le trafic entrant et sortant est bloqué jusqu'à l'application d'une stratégie IPSec locale ou basée sur le domaine. Si l'option permit est spécifiée, tout le trafic est transmis et reçu. La valeur par défaut est stateful. Si vous utilisez le filtrage avec état ou si vous précisez que le trafic doit être bloqué lors du démarrage de l'ordinateur, vous pouvez également utiliser le paramètre bootexemptions pour préciser les types de trafic que vous souhaitez exempter de filtrage lors du démarrage de l'ordinateur.

Si vous modifiez la valeur de ce paramètre, vous devez redémarrer l'ordinateur pour que la nouvelle valeur prenne effet.

bootexemptions value=Exemption1Exemption2
Spécifie une ou plusieurs exemptions de trafic IPSec pour la sécurité au démarrage, séparées par des espaces et définies selon le format suivant pour le trafic TCP et UDP : protocole:port_src:port_dest:direction, et selon le format suivant pour le trafic non TCP/UDP : protocole:direction, où :

protocole={ ICMP| TCP| UDP| RAW| Entier }
Spécifie le type de protocole IP à exempter du filtrage IPSec au démarrage de l'ordinateur.

port_src=Port
Spécifie le numéro du port source des paquets à exempter du filtrage IPSec au démarrage de l'ordinateur. La valeur 0 signifie que tous les ports source sont exemptés.

port_dest=Port
Spécifie le numéro du port de destination des paquets à exempter du filtrage IPSec au démarrage de l'ordinateur. La valeur 0 signifie que tous les ports de destination sont exemptés.

direction={ inbound | outbound}
Spécifie la direction du trafic à exempter du filtrage IPSec au démarrage de l'ordinateur.

Notes
  • Utilisez la vérification CRL renforcée (property=strongcrlcheck value=2) si le point de distribution CRL doit être accessible sur le réseau et si les certificats peuvent uniquement être validés si aucune erreur de vérification CRL ne se produit.

  • IPSec peut uniquement négocier des associations de sécurité pour le trafic Kerberos si votre stratégie IPSec n'utilise pas Kerberos comme méthode d'authentification. Si Kerberos est requis pour l'authentification, vous devez exempter le trafic Kerberos en utilisant le paramètre ipsecexempt.

  • Dans Windows 2000 et Windows XP, par défaut, l'ensemble du trafic de diffusion, multidiffusion, IKE (Internet Key Exchange), Kerberos et RSVP (Resource Reservation Protocol) était exempté du filtrage IPSec. Dans les systèmes d'exploitation de la famille Windows Server™ 2003, seul le trafic IKE est exempté de filtrage IPSec par défaut. Tous les autres types de trafic sont désormais comparés aux filtres IPSec, et vous pouvez configurer des actions de filtrage de type Bloquer ou Autoriser spécialement pour le trafic de multidiffusion et de diffusion (IPSec ne négocie pas les associations de sécurité pour le trafic de diffusion et de multidiffusion).

    Suite à ce changement du comportement par défaut de IPSec, vous devez vérifier le comportement des stratégies IPSec conçues pour Windows 2000 ou Windows XP, afin de déterminer si des filtres d'autorisation explicites doivent être configurés pour autoriser des types de trafic spécifiques. Pour restaurer le comportement par défaut de Windows 2000 et de Windows XP pour les stratégies IPSec, modifiez la clé de Registre suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec. Ajoutez une nouvelle valeur DWORD nommée NoDefaultExempt et affectez-lui la valeur 0. Pour plus d'informations sur l'ajout de valeurs aux clés de Registre, voir Ajouter une valeur à une entrée de clé du Registre.

Attention

  • Une modification incorrecte du Registre peut endommager gravement votre système. Avant d'apporter des modifications au Registre, il est conseillé de sauvegarder les données de valeur stockées dans l'ordinateur.

  • La modification des exemptions de trafic IPSec à partir de la sécurité au démarrage (c'est-à-dire la modification du paramètre bootexemptions=) remplace toutes les exemptions précédentes.

set mmpolicy

Modifie une stratégie IPSec de mode principal et écrit les modifications dans la SPD.

Syntaxe

set mmpolicy name= [qmperm=][mmlifetime=][softsaexpirationtime=][mmsecmethods=]

Paramètres
name= Chaîne
Obligatoire. Spécifie le nom de la stratégie IPSec de mode principal à modifier.

[ qmpermm=Entier]
Indique le nombre de fois que le support de gestion des clés principales est utilisé pour dériver la clé de session. La valeur 0 signifie qu'un nombre illimité d'associations de sécurité de mode rapide peuvent être dérivées à partir de l'association de sécurité de mode principal.

[ mmlifetime=Entier]
Spécifie le nombre de minutes après lesquelles une nouvelle clé principale est générée.

[ softsaexpirationtime=Entier]
Spécifie le nombre de minutes après lesquelles une association de sécurité non protégée expire.

[ mmsecmethods="MethSec1MethSec2"]
Spécifie une ou plusieurs méthodes de sécurité d'échange de clés, séparées par des espaces et définies selon le format AlgConf-AlgHach-NumGroupe, où :

AlgConf
Spécifie l'algorithme de cryptage. AlgConf peut être DES ou 3DES.

AlgHach
Spécifie la fonction de hachage. AlgHach peut être MD5 ou SHA1.

NumGroupe
Détermine le groupe Diffie-Hellman à utiliser pour le support de gestion des clés de base. NumGroupe peut être : 1 (bas, protège 768 bits de support de gestion de clés), 2 (moyen, en protège 1024 bits) et 3 (haut, en protège 2048 bits).

Notes
  • Les homologues IPSec doivent avoir au moins une méthode de sécurité d'échange de clés en commun (une méthode qui utilise les mêmes paramètres), sinon la négociation échoue.

  • Si le nombre de négociations de mode rapide dépasse la valeur définie pour le nombre de négociations de mode rapide par négociation de mode principal au cours de la durée de vie de mode principal, une nouvelle négociation de mode principal a lieu.

  • Tous les paramètres de chaîne respectent la casse.

set qmpolicy

Modifie une stratégie IPSec de mode rapide et écrit les modifications dans la SPD.

Syntaxe

set qmpolicy name= [soft=][pfsgroup=][qmsecmethods=]

Paramètres
name= Chaîne
Obligatoire. Spécifie le nom de la stratégie IPSec de mode rapide à modifier.

[ soft={yes | no}]
Indique s'il faut basculer vers des communications non sécurisées avec les autres ordinateurs qui ne prennent pas en charge IPSec, ou en cas d'échec des négociations IPSec avec un ordinateur compatible IPSec.

[ pfsgroup={grp1 | grp2 | grp3 | grpmm | nopfs}]
Détermine le groupe Diffie-Hellman à utiliser pour la clé de session PFS. Si grp1 est spécifié, Groupe 1 (faible) est utilisé. Si grp2 est spécifié, Groupe 2 (moyen) est utilisé. Si grp3est spécifié, Groupe 2048 (élevé) est utilisé. Si grpmm est spécifié, la valeur du groupe est dérivée des paramètres actuels de mode principal. La valeur nopfs signifie que la clé de session PFS est désactivée.

[ qmsecmethods="Neg1Neg2"]
Spécifie une ou plusieurs méthodes de sécurité, séparées par des espaces et définies selon le format suivant : {ESP [AlgConf,AlgAuth]:k/s | AH [AlgHach]:k/s | AH [AlgHach+ESPAlgConf,AlgAuth]:k/s}]

Dans cette syntaxe :

AlgConf
Spécifie l'algorithme de cryptage. AlgConfig peut être DES (Data Encryption Standard), 3DES ou aucun.

AlgAuth
Spécifie l'algorithme d'intégrité. AlgAuth peut être MD5 (Message Digest 5), SHA1 (Secure Hash Algorithm 1) ou aucun.

AlgHach
Spécifie la fonction de hachage. AlgHach peut être MD5 ou SHA1.

k
Spécifie la durée de vie de la clé de session en kilo-octets. Une fois le nombre spécifié de kilo-octets de données transféré, une nouvelle clé de session pour l'association de sécurité de mode rapide est générée. La valeur par défaut est égale à 100 000 kilo-octets.

s.
Spécifie la durée de vie de la clé de session en secondes. La valeur par défaut est de 3 600 secondes.

Notes
  • L'ordre de préférence de chaque méthode de sécurité de mode rapide est déterminé par l'ordre dans lequel elle est spécifiée dans la commande.

  • Le même paramètre pfsgroup doit être activé pour les homologues IPSec (c'est-à-dire que les deux homologues doivent utiliser le même groupe Diffie-Hellman pour la clé de session PFS) ; à défaut, la communication échoue.

  • Pour une meilleure sécurité, n'utilisez pas le groupe 1 Diffie-Hellman. Pour une sécurité maximale, utilisez le groupe 2048 chaque fois que cela est possible. Utilisez Groupe 2 lorsque cela est nécessaire pour l'interopérabilité avec Windows 2000 et Windows XP.

  • Tous les paramètres de chaîne respectent la casse.

set rule

Modifie une règle IPSec qui définit un ensemble de filtres et écrit les modifications dans la SPD.

Syntaxe

set rule srcaddr= dstaddr= protocol= srcport= dstport= mirrored= conntype= [srcmask=][dstmask=][tunneldstaddress=][mmpolicy=][qmpolicy=][actioninbound=][actionoutbound=][kerberos=][psk=][rootca=]

Paramètres
srcaddr={Me | Any | AdresseIP | NomDNS | TypeServeur}
Obligatoire. Spécifie l'adresse IP source, le nom DNS ou le type de serveur pour le trafic IP. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

dstaddr={Me | Any |AdresseIP | NomDNS | TypeServeur}
Obligatoire. Spécifie l'adresse IP de destination, le nom DNS ou le type de serveur pour le trafic IP. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

protocol={ANY | ICMP |TCP| UDP | RAW | Entier }
Obligatoire. Spécifie le protocole IP utilisé pour le filtre.

srcport= Port
Requis. Indique le numéro du port source des paquets filtrés. Cette option s'applique uniquement si vous filtrez des paquets TCP ou UDP. La valeur 0 sélectionne les filtres dont le port source est 0 ou any.

dstport= Port
Obligatoire. Indique le numéro du port de destination des paquets filtrés. Cette option s'applique uniquement si vous filtrez des paquets TCP ou UDP. La valeur 0 sélectionne les filtres dont le port de destination est 0 ou any.

mirrored={yes | no}
Obligatoire. Spécifie si la règle a été créée avec des filtres en miroir.

conntype={lan | dialup | all}
Obligatoire. Indique si la règle s'applique uniquement à des connexions d'accès à distance, à des connexions aux réseaux locaux (LAN) ou à toutes les connexions.

[ srcmask={Masque | Préfixe}]
Spécifie le masque de sous-réseau de l'adresse source ou le préfixe des paquets filtrés. Vous pouvez spécifier une valeur de préfixe comprise entre 1 et 32. La valeur par défaut est le masque 255.255.255.255.

[ dstmask= {Masque | Préfixe}]
Spécifie le masque de sous-réseau de l'adresse de destination ou la valeur du préfixe des paquets filtrés. Vous pouvez spécifier une valeur de préfixe comprise entre 1 et 32. La valeur par défaut est le masque 255.255.255.255.

[ tunneldstaddress={AdresseIP | NomDNS}]
Indique si le trafic utilise le mode de tunnel et, si c'est le cas, l'adresse IP ou le nom DNS de la destination du tunnel (l'ordinateur ou la passerelle de l'autre côté du tunnel).

[ mmpolicy=Chaîne]
Spécifie le nom de la stratégie de mode principal.

[ qmpolicy=Chaîne]
Spécifie le nom de la stratégie de mode rapide.

[ actioninbound={permit | block | negotiate}]
Spécifie l'action que IPSec doit entreprendre pour le trafic entrant. Si la valeur permit est spécifiée, le trafic est reçu sans négociation ni application de la sécurité IP. Si la valeur block est spécifiée, le trafic est bloqué. Si la valeur negotiate est spécifiée, la sécurité IP est utilisée avec la liste des méthodes de sécurité spécifiée dans les stratégies de mode principal et de mode rapide.

[ actionoutbound={permit | block | negotiate}]
Spécifie l'action que IPSec doit entreprendre pour le trafic sortant. Si la valeur permit est spécifiée, le trafic est envoyé sans négociation ni application de la sécurité IP. Si la valeur block est spécifiée, le trafic est bloqué. Si la valeur negotiate est spécifiée, la sécurité IP est utilisée avec la liste des méthodes de sécurité spécifiée dans les stratégies de mode principal et de mode rapide.

[ kerberos={yes | no}]
Indique s'il faut utiliser le protocole Kerberos V5 en tant que méthode d'authentification.

[ psk=Chaîne]
Spécifie la chaîne de caractères à utiliser pour la clé prépartagée, si une clé prépartagée est utilisée en tant que méthode d'authentification.

[ rootca="Chaînecertmap:{ yes| no} excludecaname:{ yes| no} "]
Spécifie les options d'authentification du certificat, où :

Chaîne
Spécifie le nom unique du certificat, si un certificat est utilisé en tant que méthode d'authentification.

certmap:{ yes|no}
Spécifie si le mappage certificat vers compte doit être activé. Vous pouvez activer le mappage certificat vers compte afin de vérifier que le certificat est utilisé par un ordinateur de confiance.

excludecaname:{ yes|no}
Indique s'il faut exclure de la demande de certificat la liste des noms des Autorités de certification racines de confiance dont le certificat est accepté.

Notes
  • Vous pouvez modifier les paramètres suivants : mmpolicy=, qmpolicy=, actioninbound= et actionoutbound=. Tous les autres paramètres sont utilisés pour identifier la règle que vous souhaitez modifier ; ils ne peuvent donc pas être modifiés.

  • Si l'action de filtrage pour le trafic à la fois entrant et sortant (actioninbound et actionoutbound) a la valeur Permit ou Block, un filtre de mode rapide n'est pas nécessaire.

  • Si aucune règle de tunnel n'est spécifiée, mirror doit avoir la valeur no (par défaut, mirror a la valeur yes). Dans le cas des tunnels IPSec, vous devez créer deux règles : l'une décrit le trafic à envoyer via le tunnel (trafic sortant) et l'autre le trafic à recevoir via le tunnel (trafic entrant). Ensuite, créez deux règles utilisant les listes de filtres de trafic entrant et sortant dans votre stratégie.

  • Pour filtrer tous les paquets envoyés à partir de l'ordinateur ou vers celui-ci, vous pouvez utiliser srcaddr=Me ou dstaddr=Me.

  • Pour filtrer les paquets envoyés à partir d'un ordinateur quelconque ou vers un ordinateur quelconque, vous pouvez utiliser srcaddr=Any ou dstaddr=Any.

  • Vous pouvez utiliser l'authentification Kerberos V5 ou le mappage certificat vers compte uniquement pour les ordinateurs qui sont membres d'un domaine Active Directory.

  • Même si vous ne pouvez utiliser qu'une seule clé prépartagée pour l'authentification, vous pouvez utiliser plusieurs certificats en spécifiant le paramètre rootca une fois, pour chaque certificat que vous souhaitez utiliser.

  • Tous les paramètres d'authentification de certificat doivent être précisés entre guillemets. Les guillemets incorporés doivent être précédés d'une barre oblique inverse suivie d'une apostrophe (\').

  • Tous les paramètres de chaîne respectent la casse.

  • L'ordre de préférence de chaque méthode de sécurité est déterminé par l'ordre dans lequel elle est spécifiée dans la commande.

  • Si aucune méthode d'authentification n'est spécifiée, les valeurs dynamiques par défaut sont utilisées. Par défaut, les stratégies IPSec utilisent l'authentification Kerberos V5. Si l'ordinateur comporte un certificat d'ordinateur, toute Autorité de certification racine associée à ce certificat est également utilisée pour l'authentification.

  • Si excludecaname:yes est spécifié, la liste des Autorités de certification racines de confiance n'est pas envoyée avec la demande de certificat, ce qui écarte tout risque potentiel de divulgation d'informations confidentielles concernant les relations d'approbation d'un ordinateur. Pour renforcer la sécurité des ordinateurs connectés à Internet, spécifiez cette option.

  • L'utilisation d'une authentification par clé prépartagée est déconseillée dans la mesure où cette méthode d'authentification est relativement peu efficace. De plus, les clés prépartagées sont stockées en texte en clair.

  • Les homologues IPSec doivent avoir au moins une méthode d'authentification en commun, sinon la communication échoue.

  • La modification des méthodes d'authentification remplace toutes les méthodes d'authentification précédentes, même si celles-ci étaient différentes. Par exemple, si kerberos=yes et psk=yes étaient définis précédemment, et que vous spécifiez ensuite kerberos=no, le paramètre psk=yes est également remplacé et l'authentification par clé prépartagée n'est plus utilisée.

show all

Affiche les informations de configuration relatives à l'ensemble des stratégies IPSec, des filtres, des statistiques et des associations de sécurité de la SPD.

Syntaxe

show all [resolvedns=]

Paramètres
[ resolvedns={yes | no}]
Indique s'il faut résoudre le nom d'ordinateur DNS (Domain Name System) ou NETBIOS associé à une adresse IP lors de l'affichage de sources ou de destinations.

Notes
  • Dans la mesure où la commande show all peut se traduire par une sortie longue à défilement rapide, pensez à enregistrer la sortie dans un fichier texte, sauf si vous avez seulement besoin d'en afficher des parties limitées.

    Pour enregistrer dans un fichier texte la sortie de la commande show all, effectuez l'une des opérations suivantes :

    Si vous êtes dans l'environnement netsh (netsh>)

    1. À l'invite netsh, tapez :

      set file open NomFichier.txt

    2. Ensuite, tapez :

      ipsec dynamic show all

    3. Pour arrêter l'envoi de la sortie et fermer le fichier, tapez :

      set file close

    Si vous n'êtes pas dans l'environnement netsh

    • À l'invite de commande, tapez :

      netsh ipsec dynamic show all >NomFichier.txt

  • Pour arrêter la sortie des informations de configuration IPSec, vous devez quitter Netsh en effectuant l'une des opérations suivantes :

    • Fermez la fenêtre Netsh en cliquant sur l'icône X dans le coin supérieur droit de la fenêtre.

    • Utilisez le Gestionnaire des tâches pour fermer le programme Netsh.

show config

Affiche les valeurs pour les paramètres IPSec suivants : diagnostics IPSec, exemptions de trafic par défaut, vérification de la liste de révocation de certificats (CRL, Certificate Revocation List), enregistrement IKE (Oakley), intervalles d'enregistrement, sécurité au démarrage de l'ordinateur et exemptions de trafic au démarrage de l'ordinateur.

Syntaxe

show config

Paramètres

Aucun.

Notes
  • Pour enregistrer dans un fichier texte la sortie de la commande show config, effectuez l'une des opérations suivantes :

    Si vous êtes dans l'environnement netsh (netsh>)

    1. À l'invite netsh, tapez :

      set file open NomFichier.txt

    2. Ensuite, tapez :

      ipsec dynamic show config

    3. Pour arrêter l'envoi de la sortie et fermer le fichier, tapez :

      set file close

    Si vous n'êtes pas dans l'environnement netsh

    • À l'invite de commande, tapez :

      netsh ipsec dynamic show config >NomFichier.txt

show mmfilter

Affiche les informations de configuration relatives au filtre IPSec de mode principal spécifié, ou à tous les filtres IPSec de mode principal, de la SPD.

Syntaxe

show mmfilter name= | all [type=] srcaddr=dstadd= [srcmask=][dstmask=] [resolvedns=]

Paramètres
name= Chaîne| all
Obligatoire. Spécifie le nom du filtre IPSec de mode principal à afficher. Si l'option all est spécifiée, tous les filtres IPSec de mode principal sont affichés.

type={generic | specific}
Indique s'il faut afficher les filtres de mode principal spécifiques ou génériques. La valeur par défaut est generic.

[ srcaddr={Me | Any | AdresseIP | NomDNS | TypeServeur}]
Spécifie l'adresse IP source, le nom DNS ou le type de serveur pour le trafic IP filtré. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

[ dstaddr={Me | Any |AdresseIP | NomDNS | TypeServeur}]
Spécifie l'adresse IP de destination, le nom DNS ou le type de serveur pour le trafic IP filtré. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

[ srcmask={Masque | Préfixe}]
Spécifie le masque de sous-réseau de l'adresse source ou le préfixe des paquets filtrés. Vous pouvez spécifier une valeur de préfixe comprise entre 1 et 32. La valeur par défaut est le masque 255.255.255.255.

[ dstmask= {Masque | Préfixe}]
Spécifie le masque de sous-réseau de l'adresse de destination ou la valeur du préfixe des paquets filtrés. Vous pouvez spécifier une valeur de préfixe comprise entre 1 et 32. La valeur par défaut est le masque 255.255.255.255.

[ resolvedns={yes | no}]
Indique s'il faut résoudre le nom d'ordinateur DNS (Domain Name System) ou NETBIOS associé à une adresse IP lors de l'affichage de sources ou de destinations. La valeur par défaut est no.

Notes
  • Tous les paramètres de chaîne respectent la casse.

  • Dans la mesure où la commande show mmfilter peut se traduire par une sortie longue à défilement rapide, pensez à l'enregistrer dans un fichier texte, sauf si vous avez seulement besoin d'afficher les parties délimitées.

    Pour enregistrer dans un fichier texte la sortie de la commande show mmfilter, effectuez l'une des opérations suivantes :

    Si vous êtes dans l'environnement netsh (netsh>)

    1. À l'invite netsh, tapez :

      set file open NomFichier.txt

    2. Ensuite, tapez :

      ipsec dynamic show mmfilterNom | all

    3. Pour arrêter l'envoi de la sortie et fermer le fichier, tapez :

      set file close

    Si vous n'êtes pas dans l'environnement netsh

    • À l'invite de commande, tapez :

      ipsec dynamic show mmfilterNom | all >=NomFichier.txt

  • Pour arrêter la sortie des informations de configuration IPSec, vous devez quitter Netsh en effectuant l'une des opérations suivantes :

    • Fermez la fenêtre Netsh en cliquant sur l'icône X dans le coin supérieur droit de la fenêtre.

    • Utilisez le Gestionnaire des tâches pour fermer le programme Netsh.

show mmpolicy

Affiche les informations de configuration relatives à la stratégie IPSec de mode principal spécifiée, ou à toutes les stratégies IPSec de mode principal, de la SPD.

Syntaxe

show mmpolicy name= | all

Paramètres
name= Chaîne| all
Obligatoire. Spécifie le nom de la stratégie IPSec de mode principal à afficher. Si l'option all est spécifiée, toutes les stratégies IPSec de mode principal sont affichées.

Notes
  • Tous les paramètres de chaîne respectent la casse.

  • Dans la mesure où la commande show mmpolicy peut se traduire par une sortie longue à défilement rapide, pensez à l'enregistrer dans un fichier texte, sauf si vous avez seulement besoin d'afficher les parties délimitées.

    Pour enregistrer dans un fichier texte la sortie de la commande show mmpolicy, effectuez l'une des opérations suivantes :

    Si vous êtes dans l'environnement netsh (netsh>)

    1. À l'invite netsh, tapez :

      set file open NomFichier.txt

    2. Ensuite, tapez :

      ipsec dynamic show mmpolicyNom | all

    3. Pour arrêter l'envoi de la sortie et fermer le fichier, tapez :

      set file close

    Si vous n'êtes pas dans l'environnement netsh

    • À l'invite de commande, tapez :

      ipsec dynamic show mmpolicyNom | all >NomFichier.txt

  • Pour arrêter la sortie des informations de configuration IPSec, vous devez quitter Netsh en effectuant l'une des opérations suivantes :

    • Fermez la fenêtre Netsh en cliquant sur l'icône X dans le coin supérieur droit de la fenêtre.

    • Utilisez le Gestionnaire des tâches pour fermer le programme Netsh.

show mmsas

Affiche les associations de sécurité IPSec de mode principal pour les adresses source et destination spécifiées, ou toutes les associations de sécurité IPSec de mode principal, de la SPD.

Syntaxe

show mmsas [all] [srcaddr=][dstaddr=][format=] [resolvedns=]

Paramètres
[ all]
Spécifie que toutes les associations de sécurité de mode principal sont affichées.

[ srcaddr={Me | Any | AdresseIP | NomDNS | TypeServeur}]
Spécifie l'adresse IP source, le nom DNS ou le type de serveur pour le trafic IP filtré. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

[ dstaddr={Me | Any |AdresseIP | NomDNS | TypeServeur}]
Spécifie l'adresse IP de destination, le nom DNS ou le type de serveur pour le trafic IP filtré. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

[ format={list | table}]
Indique s'il faut afficher les informations de configuration IPSec dans un format d'écran ou un format délimité par des tabulations. La valeur par défaut est list, ce qui signifie que la sortie est affichée dans un format écran.

[ resolvedns={yes | no}]
Indique s'il faut résoudre le nom d'ordinateur DNS (Domain Name System) ou NETBIOS associé à une adresse IP lors de l'affichage de sources ou de destinations. La valeur par défaut est no.

Notes
  • Si aucun paramètre n'est spécifié, toutes les associations de sécurité de mode principal sont affichées.

  • Tous les paramètres de chaîne respectent la casse.

  • Dans la mesure où la commande show mmsas peut se traduire par une sortie longue à défilement rapide, pensez à l'enregistrer dans un fichier texte, sauf si vous avez seulement besoin d'afficher les parties délimitées.

    Pour enregistrer dans un fichier texte la sortie de la commande show mmsas, effectuez l'une des opérations suivantes :

    Si vous êtes dans l'environnement netsh (netsh>)

    1. À l'invite netsh, tapez :

      set file open NomFichier.txt

    2. Ensuite, tapez :

      ipsec dynamic show mmsas

    3. Pour arrêter l'envoi de la sortie et fermer le fichier, tapez :

      set file close

    Si vous n'êtes pas dans l'environnement netsh

    • À l'invite de commande, tapez :

      netsh ipsec dynamic show all mmsas >NomFichier.txt

  • Pour arrêter la sortie des informations de configuration IPSec, vous devez quitter Netsh en effectuant l'une des opérations suivantes :

    • Fermez la fenêtre Netsh en cliquant sur l'icône X dans le coin supérieur droit de la fenêtre.

    • Utilisez le Gestionnaire des tâches pour fermer le programme Netsh.

show qmfilter

Affiche les informations de configuration relatives au filtre de mode rapide spécifié, ou à tous les filtres de mode rapide, de la SPD.

Syntaxe

show qmfilter name= | all [type=] [srcaddr=][dstaddr=][srcmask=][dstmask=][protocol=][srcport=][dstport=][actioninbound=][actionoutbound=][resolvedns=]

Paramètres
name= Chaîne| all
Obligatoire. Spécifie le nom du filtre IPSec de mode rapide à afficher ; si l'option all est spécifiée, tous les filtres IPSec de mode rapide sont affichés.

[ type={generic | specific}]
Indique s'il faut afficher les filtres de mode rapide spécifiques ou génériques. La valeur par défaut est generic.

[ srcaddr={Me | Any | AdresseIP | NomDNS | TypeServeur}]
Spécifie l'adresse IP source, le nom DNS ou le type de serveur pour le trafic IP filtré. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

[ dstaddr={Me | Any |AdresseIP | NomDNS | TypeServeur}]
Spécifie l'adresse IP de destination, le nom DNS ou le type de serveur pour le trafic IP filtré. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

[ srcmask={Masque | Préfixe}]
Spécifie le masque de sous-réseau de l'adresse source ou le préfixe des paquets filtrés. Vous pouvez spécifier une valeur de préfixe comprise entre 1 et 32. La valeur par défaut est le masque 255.255.255.255.

[ dstmask= {Masque | Préfixe}]
Spécifie le masque de sous-réseau de l'adresse de destination ou la valeur du préfixe des paquets filtrés. Vous pouvez spécifier une valeur de préfixe comprise entre 1 et 32. La valeur par défaut est le masque 255.255.255.255.

[ protocol={ANY | ICMP |TCP| UDP | RAW | Entier }]
Spécifie le protocole IP si, en plus des informations d'adressage, un protocole IP spécifique est filtré. La valeur par défaut est ANY, ce qui signifie que tous les protocoles sont utilisés pour le filtre.

[ srcport=Port]
Indique le numéro du port source des paquets filtrés. Cette option s'applique uniquement si vous filtrez des paquets TCP ou UDP. Si la valeur 0 est spécifiée, les paquets envoyés de n'importe quel port sont filtrés. L'option par défaut est any.

[ dstport=Port]
Indique le numéro du port de destination des paquets filtrés. Cette option s'applique uniquement si vous filtrez des paquets TCP ou UDP. Si la valeur 0 est spécifiée, les paquets envoyés à n'importe quel port sont filtrés. L'option par défaut est any.

[ actioninbound={permit | block | negotiate}]
Spécifie l'action que IPSec doit entreprendre pour le trafic entrant. La valeur par défaut est negotiate.

[ actionoutbound={permit | block | negotiate}]
Spécifie l'action que IPSec doit entreprendre pour le trafic sortant. La valeur par défaut est negotiate.

[ resolvedns={yes | no}]
Indique s'il faut résoudre le nom d'ordinateur DNS (Domain Name System) ou NETBIOS associé à une adresse IP lors de l'affichage de sources ou de destinations. La valeur par défaut est no.

Notes
  • Tous les paramètres de chaîne respectent la casse.

  • Dans la mesure où la commande show qmfilter peut se traduire par une sortie longue à défilement rapide, pensez à l'enregistrer dans un fichier texte, sauf si vous avez seulement besoin d'afficher les parties délimitées.

    Pour enregistrer dans un fichier texte la sortie de la commande show qmfilter, effectuez l'une des opérations suivantes :

    Si vous êtes dans l'environnement netsh (netsh>)

    1. À l'invite netsh, tapez :

      set file open NomFichier.txt

    2. Ensuite, tapez :

      ipsec dynamic show qmfilterNom | all

    3. Pour arrêter l'envoi de la sortie et fermer le fichier, tapez :

      set file close

    Si vous n'êtes pas dans l'environnement netsh

    • À l'invite de commande, tapez :

      netsh ipsec dynamic show qmfilterNom | all >NomFichier.txt

  • Pour arrêter la sortie des informations de configuration IPSec, vous devez quitter Netsh en effectuant l'une des opérations suivantes :

    • Fermez la fenêtre Netsh en cliquant sur l'icône X dans le coin supérieur droit de la fenêtre.

    • Utilisez le Gestionnaire des tâches pour fermer le programme Netsh.

show qmpolicy

Affiche les informations de configuration relatives à la stratégie IPSec de mode rapide spécifiée, ou à toutes les stratégies IPSec de mode rapide, de la SPD.

Syntaxe

show qmpolicy name= | all

Paramètres
name= Chaîne| all
Obligatoire. Spécifie le nom de la stratégie IPSec de mode rapide à afficher. Si l'option all est spécifiée, toutes les stratégies IPSec de mode rapide sont affichées.

Notes
  • Tous les paramètres de chaîne respectent la casse.

  • Dans la mesure où la commande show qmpolicy peut se traduire par une sortie longue à défilement rapide, pensez à l'enregistrer dans un fichier texte, sauf si vous avez seulement besoin d'afficher les parties délimitées.

    Pour enregistrer dans un fichier texte la sortie de la commande show qmpolicy, effectuez l'une des opérations suivantes :

    Si vous êtes dans l'environnement netsh (netsh>)

    1. À l'invite netsh, tapez :

      set file open NomFichier.txt

    2. Ensuite, tapez :

      ipsec dynamic show qmpolicyNom | all

    3. Pour arrêter l'envoi de la sortie et fermer le fichier, tapez :

      set file close

    Si vous n'êtes pas dans l'environnement netsh

    • À l'invite de commande, tapez :

      netsh ipsec dynamic show qmpolicyNom | all >NomFichier.txt

  • Pour arrêter la sortie des informations de configuration IPSec, vous devez quitter Netsh en effectuant l'une des opérations suivantes :

    • Fermez la fenêtre Netsh en cliquant sur l'icône X dans le coin supérieur droit de la fenêtre.

    • Utilisez le Gestionnaire des tâches pour fermer le programme Netsh.

show qmsas

Affiche les associations de sécurité IPSec de mode rapide pour les adresses source et destination spécifiées, ou toutes les associations de sécurité IPSec de mode rapide, de la SPD.

Syntaxe

show qmsas [all][srcaddr=][dstaddr=][protocol=][format=][resolvedns=]

Paramètres
[ all]
Spécifie que toutes les associations de sécurité IPSec de mode rapide sont affichées.

[ srcaddr={Me | Any | AdresseIP | NomDNS | TypeServeur}]
Spécifie l'adresse IP source, le nom DNS ou le type de serveur pour le trafic IP filtré. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

[ dstaddr={Me | Any |AdresseIP | NomDNS | TypeServeur]
Spécifie l'adresse IP de destination, le nom DNS ou le type de serveur pour le trafic IP filtré. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

[ protocol={ANY | ICMP |TCP| UDP | RAW | Entier }]
Spécifie le protocole IP si, en plus des informations d'adressage, un protocole IP spécifique est utilisé pour l'association de sécurité. La valeur par défaut est ANY, ce qui signifie que tous les protocoles sont utilisés pour l'association de sécurité.

[ format={list | table}]
Indique s'il faut afficher les informations de configuration IPSec dans un format d'écran ou un format délimité par des tabulations. La valeur par défaut est list, ce qui signifie que la sortie est affichée dans un format écran.

[ resolvedns={yes | no}]
Indique s'il faut résoudre le nom d'ordinateur DNS (Domain Name System) ou NETBIOS associé à une adresse IP lors de l'affichage de sources ou de destinations. La valeur par défaut est no.

Notes
  • Dans la mesure où la commande show qmsas peut se traduire par une sortie longue à défilement rapide, pensez à l'enregistrer dans un fichier texte, sauf si vous avez seulement besoin d'afficher les parties délimitées.

    Pour enregistrer dans un fichier texte la sortie de la commande show qmsas, effectuez l'une des opérations suivantes :

    Si vous êtes dans l'environnement netsh (netsh>)

    1. À l'invite netsh, tapez :

      set file open NomFichier.txt

    2. Ensuite, tapez :

      ipsec dynamic show qmsas all

    3. Pour arrêter l'envoi de la sortie et fermer le fichier, tapez :

      set file close

    Si vous n'êtes pas dans l'environnement netsh

    • À l'invite de commande, tapez :

      netsh ipsec dynamic show qmsas all >NomFichier.txt

  • Pour arrêter la sortie des informations de configuration IPSec, vous devez quitter Netsh en effectuant l'une des opérations suivantes :

    • Fermez la fenêtre Netsh en cliquant sur l'icône X dans le coin supérieur droit de la fenêtre.

    • Utilisez le Gestionnaire des tâches pour fermer le programme Netsh.

show rule

Affiche les informations de configuration relatives à une ou plusieurs règles IPSec dans la SPD.

Syntaxe

show rule [type=][srcaddr=] [dstaddr=][srcmask=][dstmask=] [protocol=][srcport=][dstport=][actioninbound=][actionoutbound=][resolvedns=]

Paramètres
[ type={transport | tunnel}]
Détermine si c'est une règle de transport ou une règle de tunnel qui doit être affichée. La valeur par défaut consiste à afficher toutes les règles.

[ srcaddr={Me | Any | AdresseIP | NomDNS | TypeServeur}]
Spécifie l'adresse IP source, le nom DNS ou le type de serveur pour le trafic IP filtré. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

[ dstaddr={Me | Any |AdresseIP | NomDNS | TypeServeur}]
Spécifie l'adresse IP de destination, le nom DNS ou le type de serveur pour le trafic IP filtré. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

[ srcmask={Masque | Préfixe}]
Spécifie le masque de sous-réseau de l'adresse source ou le préfixe des paquets filtrés. Vous pouvez spécifier une valeur de préfixe comprise entre 1 et 32. La valeur par défaut est le masque 255.255.255.255.

[ dstmask= {Masque | Préfixe}]
Spécifie le masque de sous-réseau de l'adresse de destination ou la valeur du préfixe des paquets filtrés. Vous pouvez spécifier une valeur de préfixe comprise entre 1 et 32. La valeur par défaut est le masque 255.255.255.255.

[ protocol={ANY | ICMP |TCP| UDP | RAW | Entier }]
Spécifie le protocole IP si, en plus des informations d'adressage, un protocole IP spécifique est utilisé pour la règle. La valeur par défaut est ANY, ce qui signifie que tous les protocoles sont utilisés pour la règle.

[ srcport=Port]
Indique le numéro du port source des paquets filtrés. Cette option s'applique uniquement si vous filtrez des paquets TCP ou UDP. Si la valeur 0 est spécifiée, les paquets envoyés de n'importe quel port sont filtrés. L'option par défaut est any.

[ dstport=Port]
Indique le numéro du port de destination des paquets filtrés. Cette option s'applique uniquement si vous filtrez des paquets TCP ou UDP. Si la valeur 0 est spécifiée, les paquets envoyés à n'importe quel port sont filtrés. L'option par défaut est any.

[ actioninbound={permit | block | negotiate}]
Spécifie l'action que IPSec doit entreprendre pour le trafic entrant. La valeur par défaut est negotiate.

[ actionoutbound={permit | block | negotiate}]
Spécifie l'action que IPSec doit entreprendre pour le trafic sortant. La valeur par défaut est negotiate.

[ resolvedns={yes | no}]
Indique s'il faut résoudre le nom d'ordinateur DNS (Domain Name System) ou NETBIOS associé à une adresse IP lors de l'affichage de sources ou de destinations. La valeur par défaut est no.

Notes
  • Tous les paramètres de chaîne respectent la casse.

  • Dans la mesure où la commande show rule peut se traduire par une sortie longue à défilement rapide, pensez à l'enregistrer dans un fichier texte, sauf si vous avez seulement besoin d'afficher les parties délimitées.

    Pour enregistrer dans un fichier texte la sortie de la commande show rule, effectuez l'une des opérations suivantes :

    Si vous êtes dans l'environnement netsh (netsh>)

    1. À l'invite netsh, tapez :

      set file open NomFichier.txt

    2. Ensuite, tapez :

      ipsec dynamic show rule

    3. Pour arrêter l'envoi de la sortie et fermer le fichier, tapez :

      set file close

    Si vous n'êtes pas dans l'environnement netsh

    • À l'invite de commande, tapez :

      netsh ipsec dynamic show rule >NomFichier.txt

  • Pour arrêter la sortie des informations de configuration IPSec, vous devez quitter Netsh en effectuant l'une des opérations suivantes :

    • Fermez la fenêtre Netsh en cliquant sur l'icône X dans le coin supérieur droit de la fenêtre.

    • Utilisez le Gestionnaire des tâches pour fermer le programme Netsh.

show stats

Affiche les statistiques de mode principal et de mode rapide pour IPSec.

Syntaxe

show stats [type=]

Paramètres
[ type=all| ike| ipsec]
Spécifie les statistiques IPSec à afficher. Si l'option all est spécifiée, les statistiques IPSec de mode principal et de mode rapide sont affichées. Si l'option ike est spécifiée, seules les statistiques IPSec de mode principal sont affichées. Si l'option ipsec est spécifiée, seules les statistiques IPSec de mode rapide sont affichées.

Notes
  • Dans la mesure où la commande show stats peut se traduire par une sortie longue à défilement rapide, pensez à l'enregistrer dans un fichier texte, sauf si vous avez seulement besoin d'afficher les parties délimitées.

    Pour enregistrer dans un fichier texte la sortie de la commande show stats, effectuez l'une des opérations suivantes :

    Si vous êtes dans l'environnement netsh (netsh>)

    1. À l'invite netsh, tapez :

      set file open NomFichier.txt

    2. Ensuite, tapez :

      ipsec dynamic show stats

    3. Pour arrêter l'envoi de la sortie et fermer le fichier, tapez :

      set file close

    Si vous n'êtes pas dans l'environnement netsh

    • À l'invite de commande, tapez :

      netsh ipsec dynamic show stats >NomFichier.txt

  • Pour arrêter la sortie des informations de configuration IPSec, vous devez quitter Netsh en effectuant l'une des opérations suivantes :

    • Fermez la fenêtre Netsh en cliquant sur l'icône X dans le coin supérieur droit de la fenêtre.

    • Utilisez le Gestionnaire des tâches pour fermer le programme Netsh.

Légende de mise en forme

 

Mise en forme Signification

Italique

Informations que l'utilisateur doit fournir

Gras

Éléments que l'utilisateur doit taper tels qu'ils sont indiqués

Points de suspension (...)

Paramètre pouvant être répété plusieurs fois dans une ligne de commande

Entre crochets ([])

Éléments facultatifs

Entre accolades ({}), avec séparation des options par une barre verticale (|). Exemple : {pair|impair}

Ensemble d'options parmi lesquelles l'utilisateur doit en choisir une seule

Police Courier

Code ou données de programme

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Microsoft réalise une enquête en ligne pour recueillir votre opinion sur le site Web de MSDN. Si vous choisissez d’y participer, cette enquête en ligne vous sera présentée lorsque vous quitterez le site Web de MSDN.

Si vous souhaitez y participer,
Afficher:
© 2014 Microsoft