Commandes Netsh pour la sécurité IP (IPSec)

static

Aucun

dynamic

Aucun

add filter filterlist= srcaddr= dstaddr= [description=][protocol=][mirrored=] [srcmask=][dstmask=][srcport=] [dstport=]

filterlist= Chaîne

Obligatoire. Spécifie le nom de la liste de filtres à laquelle le filtre est ajouté. Chaque filtre définit un ensemble de trafic réseau entrant ou sortant à sécuriser.

srcaddr={Me | Any | AdresseIP | NomDNS | TypeServeur}

Obligatoire. Spécifie l'adresse IP source, le nom DNS ou le type de serveur pour le trafic IP. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

dstaddr={Me | Any |AdresseIP | NomDNS | TypeServeur}

Obligatoire. Spécifie l'adresse IP de destination, le nom DNS ou le type de serveur pour le trafic IP. Vous pouvez utiliser WINS, DNS, DHCP ou gateway comme TypeServeur.

[ description=Chaîne]

Fournit des informations sur le filtre IP.

[ protocol={ANY | ICMP |TCP| UDP | RAW | Entier }]

Spécifie le protocole IP si vous souhaitez que le filtrage s'effectue non seulement en fonction des informations d'adressage, mais aussi en fonction d'un protocole IP spécifique. La valeur par défaut est ANY, ce qui signifie que tous les protocoles sont utilisés pour le filtre.

[ mirrored={yes | no}]

Indique s'il faut créer un filtre miroir. Utilisez yes pour créer deux filtres sur la base des paramètres de filtre, l'un pour le trafic vers la destination et l'autre pour le trafic à partir de la destination. La valeur par défaut est yes.

[ srcmask={Masque | Préfixe}]

Spécifie le masque de sous-réseau de l'adresse source ou le préfixe des paquets devant être filtrés. Vous pouvez spécifier une valeur de préfixe comprise entre 1 et 32. La valeur par défaut est le masque 255.255.255.255.

[ dstmask= {Masque | Préfixe}

Spécifie le masque de sous-réseau de l'adresse de destination ou la valeur de préfixe des paquets à filtrer. Vous pouvez spécifier une valeur de préfixe comprise entre 1 et 32. La valeur par défaut est le masque 255.255.255.255.

[ srcport=Port]

Indique le numéro de port source des paquets à filtrer. Cette option s'applique uniquement si vous filtrez des paquets TCP ou UDP. Si la valeur 0 est spécifiée, les paquets envoyés de n'importe quel port sont filtrés. L'option par défaut est any.

[ dstport=Port]

Indique le numéro du port de destination des paquets à filtrer. Cette option s'applique uniquement si vous filtrez des paquets TCP ou UDP. Si la valeur 0 est spécifiée, les paquets envoyés à n'importe quel port sont filtrés. L'option par défaut est any.

• Si une liste de filtres n'existe pas, elle est créée.
  
  
• Ne créez pas de liste de filtres portant le nom all. Sinon, vous risquez de créer un conflit avec l'option netsh ipsec permettant de sélectionner toutes les listes de filtres IPSec (par exemple, delete filterlist all).
  
  
• Pour filtrer tous les paquets envoyés à partir de l'ordinateur ou vers celui-ci, vous pouvez utiliser srcaddr=Me ou dstaddr=Me.
  
  
• Pour filtrer les paquets envoyés à partir d'un ordinateur quelconque ou vers un ordinateur quelconque, vous pouvez utiliser srcaddr=Any ou dstaddr=Any.
  
  
• Tous les paramètres de chaîne respectent la casse.
  
  

add filteraction name= [description=][qmpfs=][inpass=] [soft=][action=][qmsecmethods=]

name= Chaîne

Obligatoire. Spécifie le nom de l'action de filtrage à créer.

[ description=Chaîne]

Fournit des informations sur l'action de filtrage.

[ qmpfs={yes | no}]

Spécifie s'il faut activer la clé de session PFS (Perfect Forward Secrecy). Si la valeur yes est spécifiée, un nouvel élément de clé principale est renégocié chaque fois qu'une nouvelle clé de session est requise. La valeur par défaut est no.

[ inpass={yes | no}]

Spécifie s'il faut autoriser un paquet entrant non sécurisé correspondant à la liste de filtres configurée, tout en imposant une communication sécurisée par IPSec lors de la réponse. La valeur par défaut est no.

[ soft={yes | no}]

Indique s'il faut basculer vers une communication non sécurisée avec les autres ordinateurs qui ne prennent pas en charge IPSec, ou en cas d'échec des négociations IPSec avec un ordinateur compatible IPSec. La valeur par défaut est no.

[ action={permit | block | negotiate}]

Indique s'il faut autoriser le trafic sans négocier la sécurité IP. Si la valeur permit est spécifiée, le trafic est transmis ou reçu sans négociation ni application de la sécurité IP. Si la valeur block est spécifiée, le trafic est bloqué. Si la valeur negotiate est spécifiée, la sécurité IP est utilisée avec la liste spécifiée des méthodes de sécurité. La valeur par défaut est negotiate.

[ qmsecmethods="Neg1Neg2"]

Spécifie une ou plusieurs méthodes de sécurité, séparées par des espaces et définies selon le format suivant :

{ESP [AlgConf,AlgAuth]:k/s | AH [AlgHach]:k/s | AH [AlgHach+ESPAlgConf,AlgAuth]:k/s}]

Dans cette syntaxe :

AlgConf

Spécifie l'algorithme de cryptage. AlgConfig peut être DES (Data Encryption Standard), 3DES ou aucun.

AlgAuth

Spécifie l'algorithme d'intégrité. AlgAuth peut être MD5 (Message Digest 5), SHA1 (Secure Hash Algorithm 1) ou aucun.

AlgHach

Spécifie la fonction de hachage. AlgHach peut être MD5 (Message Digest 5) ou SHA1.

k

Spécifie la durée de vie de la clé de session en kilo-octets. Une fois le nombre spécifié de kilo-octets de données transféré, une nouvelle clé de session pour l'association de sécurité de mode rapide est générée. La valeur par défaut est égale à 100 000 kilo-octets.

s.

Spécifie la durée de vie de la clé de session en secondes. La valeur par défaut est de 3 600 secondes.

• Ne créez pas d'action de filtrage portant le nom all. Sinon, vous risquez de créer un conflit avec l'option netsh ipsec permettant de sélectionner toutes les actions de filtrage IPSec (par exemple, delete filteraction all).
  
  
• Si l'option action=permit ou action=block est spécifiée et que des paramètres qmsecmethods sont spécifiés, les paramètres qmsecmethods ne sont pas utilisés. En outre, si qmpfs=yes, inpass=yes ou soft=yes est spécifié, ces paramètres ne sont pas non plus utilisés.
  
  
• La régénération de la clé de session démarre en fonction de l'intervalle, en secondes ou en kilo-octets, atteint en premier. Si vous ne configurez pas de nouveaux intervalles, les intervalles par défaut s'appliquent.
  
  
• Si vous ne spécifiez pas qmsecmethods= (méthodes de sécurité de mode rapide), les valeurs par défaut suivantes sont utilisées :
  
  
  • ESP [3DES, SHA1] : 100 000 k/3 600 s
    
    
  • ESP [3DES, MD5] : 100 000 k/3 600 s
    
    
• L'ordre de préférence de chaque méthode de sécurité de mode rapide est déterminé par l'ordre dans lequel elle est spécifiée dans la commande.
  
  
• Tous les paramètres de chaîne respectent la casse.
  
  

add filterlist name= [description=]

name= Chaîne

Obligatoire. Spécifie le nom de la liste de filtres à créer.

[ description=Chaîne]

Fournit des informations sur la liste des filtres.

• Ne créez pas de liste de filtres portant le nom all. Sinon, vous risquez de créer un conflit avec l'option netsh ipsec permettant de sélectionner toutes les listes de filtres IPSec (par exemple, delete filterlist all).
  
  
• Tous les paramètres de chaîne respectent la casse.
  
  

add policy name= [description=][mmpfs=][qmpermm=] [mmlifetime=][activatedefaultrule=][pollinginterval=][assign=][mmsecmethods=]

name= Chaîne

Obligatoire. Spécifie le nom de la stratégie IPSec à créer.

[ description=Chaîne]

Fournit des informations sur la stratégie IPSec.

[ mmpfs={yes | no}]

Indique s'il faut activer la clé principale PFS (Perfect Forward Secrecy). Si la valeur yes est spécifiée, les associations de sécurité de mode principal sont de nouveau authentifiées et un nouveau support de gestion des clés principales est négocié chaque fois qu'un support de clé de session pour une association de sécurité de mode rapide est requis. La valeur par défaut est no.

[ qmpermm=Entier]

Indique le nombre de fois que le support de gestion des clés principales peut être utilisé pour dériver la clé de session. La valeur par défaut est 0, ce qui signifie qu'un nombre illimité d'associations de sécurité de mode rapide peuvent être dérivées à partir de l'association de sécurité de mode principal.

[ mmlifetime=Entier]

Spécifie le nombre de minutes après lesquelles une nouvelle clé principale sera générée. La valeur par défaut est 480 minutes.

[ activatedefaultrule={yes | no}]

Indique s'il faut activer la règle de réponse par défaut pour cette stratégie IPSec. La valeur par défaut est yes.

[ pollinginterval=Entier]

Indique le nombre de fois que IPSec effectue une interrogation pour détecter les modifications apportées à cette stratégie. La valeur par défaut est 180 minutes.

[ assign={yes | no}]

Indique si cette stratégie IPSec doit être attribuée (une seule stratégie IPSec peut être attribuée). La valeur par défaut est no.

[ mmsecmethods="MethSec1MethSec2"]

Spécifie une ou plusieurs méthodes de sécurité d'échange de clés, séparées par des espaces et définies selon le format suivant : AlgConf-AlgHach-NumGroupe, où :

AlgConf

Spécifie l'algorithme de cryptage. AlgConf peut être DES (Data Encryption Standard) ou 3DES.

AlgHach

Spécifie la fonction de hachage. AlgHach peut être MD5 (Message Digest 5) ou SHA1 (Secure Hash Algorithm 1).

NumGroupe

Détermine le groupe Diffie-Hellman à utiliser pour le support de gestion des clés de base. NumGroupe peut être : 1 (bas, protège 768 bits de support de gestion de clés), 2 (moyen, en protège 1024 bits) et 3 (haut, en protège 2048 bits).

• Ne créez pas de stratégie portant le nom all. Sinon, vous risquez de créer un conflit avec l'option netsh ipsec permettant de sélectionner toutes les stratégies IPSec (par exemple, delete policy all).
  
  
• Dans la mesure où une seule stratégie IPSec peut être attribuée, si vous attribuez une nouvelle stratégie alors qu'une stratégie est déjà attribuée, l'attribution de la stratégie actuelle est automatiquement supprimée.
  
  
• Si set store=domain est spécifié (lorsque la stratégie IPSec est stockée dans Active Directory), assign n'a aucun effet. Pour attribuer une stratégie à un objet de stratégie de groupe, vous devez d'abord créer une stratégie à l'aide de la commande add policy , puis utiliser la commande set store.
  
  
• Si la valeur mmpfs=yes est spécifiée (la clé principale PFS est activée), par défaut qmperm a la valeur 1 et n'est pas configurable, car chaque nouvelle session entraîne la renégociation du support de gestion des clés principales.
  
  
• Si vous ne spécifiez pas mmsecmethods= (méthodes de sécurité d'échange de clés), les valeurs par défaut suivantes s'appliquent :
  
  
  • 3DES-SHA1-2
    
    
  • 3DES-MD5-2
    
    
  • 3DES-SHA1-3
    
    
• Les homologues IPSec doivent avoir au moins une méthode de sécurité d'échange de clés en commun (une méthode qui utilise les mêmes paramètres), sinon la négociation échoue.
  
  
• Si le nombre de négociations de mode rapide dépasse la valeur définie pour le nombre de négociations de mode rapide par négociation de mode principal au cours de la durée de vie de mode principal, une nouvelle négociation de mode principal a lieu.
  
  
• Tous les paramètres de chaîne respectent la casse.
  
  

add rule name= policy= filterlist= filteraction=[tunnel=][conntype=] [activate=][description=][kerberos=][psk=][rootca=]

name= Chaîne

Obligatoire. Spécifie le nom de la règle IPSec à créer.

policy= Chaîne

Obligatoire. Spécifie le nom de la stratégie IPSec contenant cette règle.

filterlist= Chaîne

Obligatoire. Spécifie le nom de la liste de filtres IP pour cette règle.

filteraction= Chaîne

Obligatoire. Spécifie le nom de l'action de filtrage pour cette règle.

[ tunnel={AdresseIP | NomDNS}]

Spécifie l'adresse IP ou le nom DNS du point de terminaison du tunnel pour le mode tunnel. Par défaut, cette option n'est pas spécifiée et le mode de transport est utilisé.

[ conntype={lan | dialup | all}]

Indique si la règle s'applique uniquement à des connexions d'accès à distance, à des connexions aux réseaux locaux (LAN) ou à toutes les connexions. La valeur par défaut est all.

[ activate={yes | no}]

Indique s'il faut activer cette règle pour la stratégie IPSec spécifiée. La valeur par défaut est yes.

[ description=Chaîne]

Fournit des informations relatives à la règle.

[ kerberos={yes | no}]

Indique s'il faut utiliser le protocole Kerberos V5 en tant que méthode d'authentification.

[ psk=Chaîne]

Spécifie la chaîne de caractères à utiliser pour la clé prépartagée, si une clé prépartagée est utilisée en tant que méthode d'authentification.

[ rootca="Chaînecertmap:{ yes| no} excludecaname:{ yes| no} "]

Spécifie les options d'authentification du certificat, où :

Chaîne

Spécifie le nom unique du certificat, si un certificat est utilisé en tant que méthode d'authentification.

certmap:{ yes|no}

Spécifie si le mappage certificat vers compte doit être activé. Vous pouvez activer le mappage certificat vers compte afin de vérifier que le certificat est utilisé par un ordinateur de confiance.

excludecaname:{ yes|no}

Indique s'il faut exclure de la demande de certificat la liste des noms des Autorités de certification racines de confiance dont le certificat est accepté.

• Ne créez pas de règle portant le nom all. Sinon, vous risquez de créer un conflit avec l'option netsh ipsec permettant de sélectionner toutes les règles IPSec (par exemple, delete rule all).
  
  
• Vous pouvez utiliser l'authentification Kerberos V5 ou le mappage certificat vers compte uniquement pour les ordinateurs qui sont membres d'un domaine Active Directory.
  
  
• Même si vous ne pouvez utiliser qu'une seule clé prépartagée pour l'authentification, vous pouvez utiliser plusieurs certificats en spécifiant le paramètre rootca une fois, pour chaque certificat que vous souhaitez utiliser.
  
  
• Tous les paramètres d'authentification de certificat doivent être précisés entre guillemets. Les guillemets incorporés doivent être précédés d'une barre oblique inverse suivie d'une apostrophe (\').
  
  
• Tous les paramètres de chaîne respectent la casse.
  
  
• L'ordre de préférence de chaque méthode de sécurité est déterminé par l'ordre dans lequel elle est spécifiée dans la commande.
  
  
• Si aucune méthode d'authentification n'est spécifiée, les valeurs dynamiques par défaut sont utilisées. Par défaut, les stratégies IPSec utilisent l'authentification Kerberos V5. Si l'ordinateur comporte un certificat d'ordinateur, toute Autorité de certification racine associée à ce certificat est également utilisée pour l'authentification.
  
  
• Si excludecaname:yes est spécifié, la liste des Autorités de certification racines de confiance n'est pas envoyée avec la demande de certificat, ce qui écarte tout risque potentiel de divulgation d'informations confidentielles concernant les relations d'approbation d'un ordinateur. Pour renforcer la sécurité des ordinateurs connectés à Internet, spécifiez cette option.
  
  
• L'utilisation d'une authentification par clé prépartagée est déconseillée dans la mesure où cette méthode d'authentification est relativement peu efficace. De plus, les clés prépartagées sont stockées en texte en clair.
  
  
• Les homologues IPSec doivent avoir au moins une méthode d'authentification en commun, sinon la communication échoue.
  
  

delete all

Aucun.

delete filter filterlist= srcaddr= dstaddr=[protocol=] [srcmask=][dstmask=][srcport=] [dstport=][mirrored=]

filterlist= Chaîne

Obligatoire. Spécifie le nom de la liste de filtres à laquelle le filtre a été ajouté.

srcaddr={Me | Any | AdresseIP | NomDNS | TypeServeur}

Obligatoire. Spécifie l'adresse IP source, le nom DNS ou le type de serveur pour le trafic IP filtré. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

dstaddr={Me | Any |AdresseIP | NomDNS | TypeServeur}

Obligatoire. Spécifie l'adresse IP de destination, le nom DNS ou le type de serveur pour le trafic IP filtré. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

[ protocol={ANY | ICMP |TCP| UDP | RAW | Entier }]

Spécifie le protocole IP si, en plus des informations d'adressage, un protocole IP spécifique est filtré. La valeur ANY sélectionne les filtres dont le paramètre de protocole est any.

[ srcmask={Masque | Préfixe}]

Spécifie le masque de sous-réseau de l'adresse source ou le préfixe des paquets filtrés. Vous pouvez spécifier une valeur de préfixe comprise entre 1 et 32. La valeur par défaut est le masque 255.255.255.255.

[ dstmask= {Masque | Préfixe}]

Spécifie le masque de sous-réseau de l'adresse de destination ou la valeur du préfixe des paquets filtrés. Vous pouvez spécifier une valeur de préfixe comprise entre 1 et 32. La valeur par défaut est le masque 255.255.255.255.

[ srcport=Port]

Indique le numéro du port source des paquets filtrés. Cette option s'applique uniquement si vous filtrez des paquets TCP ou UDP. La valeur 0 sélectionne les filtres dont le paramètre de port source est any.

[ dstport=Port]

Indique le numéro du port de destination des paquets filtrés. Cette option s'applique uniquement si vous filtrez des paquets TCP ou UDP. La valeur 0 sélectionne les filtres dont le paramètre de port de destination est any.

[ mirrored={yes | no}]

Indique si un filtre miroir a été créé.

• Cette commande supprime un filtre uniquement s'il correspond exactement aux paramètres spécifiés.
  
  
• Si aucun paramètre facultatif n'est spécifié, tous les filtres correspondant aux paramètres spécifiés (obligatoires) sont supprimés.
  
  
• Pour supprimer un filtre destiné à tous les paquets envoyés à partir de l'ordinateur ou vers celui-ci, vous pouvez utiliser srcaddr=Me ou dstaddr=Me.
  
  
• Pour supprimer un filtre destiné aux paquets envoyés à partir de n'importe quel ordinateur ou vers n'importe quel ordinateur, vous pouvez utiliser srcaddr=Any ou dstaddr=Any.
  
  
• Tous les paramètres de chaîne respectent la casse.
  
  

delete filteraction name= | all

name= Chaîne| all

Obligatoire. Spécifie le nom de l'action de filtrage à supprimer. Si l'option all est spécifiée, toutes les actions de filtrage sont supprimées.

• Tous les paramètres de chaîne respectent la casse.
  
  

delete filterlist name= | all

name= Chaîne| all

Obligatoire. Spécifie le nom de la liste de filtres à supprimer. Si l'option all est spécifiée, toutes les listes de filtres sont supprimées.

• Tous les paramètres de chaîne respectent la casse.
  
  

delete policy name= | all

name= Chaîne| all

Obligatoire. Spécifie le nom de la stratégie IPSec à supprimer. Si l'option all est spécifiée, toutes les stratégies IPSec sont supprimées.

• Tous les paramètres de chaîne respectent la casse.
  
  

delete rule name= | ID= | allpolicy=

name= Chaîne | ID=Entier | all

Obligatoire. Spécifie la règle à supprimer. Si le nom ou l'ID de la règle (le nombre qui identifie la position de la règle dans la liste de règles de la stratégie) est spécifié, la règle correspondante est supprimée. Si l'option all est spécifiée, toutes les règles sont supprimées.

policy= Chaîne

Obligatoire. Spécifie le nom de la stratégie à partir de laquelle une ou plusieurs règles sont supprimées.

• La règle de réponse par défaut ne peut pas être supprimée.
  
  
• Une fois qu'une règle a été supprimée, tous les ID des autres règles sont modifiés en conséquence.
  
  
• Tous les paramètres de chaîne respectent la casse.
  
  

exportpolicy file=

file= Chaîne

Obligatoire. Spécifie le nom du fichier vers lequel les informations relatives à la stratégie IPSec doivent être exportées.

• Par défaut, lorsqu'une stratégie IPSec est importée dans un fichier, l'extension .ipsec est ajoutée au nom du fichier.
  
  
• Afin d'améliorer l'interopérabilité dans un environnement mixte comportant des ordinateurs exécutant Windows 2000, limitez à 60 caractères le nom du fichier dans lequel vous souhaitez enregistrer les informations relatives à la stratégie.
  
  
• Tous les paramètres de chaîne respectent la casse.
  
  

importpolicy file=

file= Chaîne

Obligatoire. Spécifie le nom du fichier à partir duquel les informations relatives à la stratégie IPSec doivent être importées.

• Tous les paramètres de chaîne respectent la casse.
  
  

restorepolicyexamples release=

release={win2K | Win2003}

Obligatoire. Spécifie la version des stratégies IPSec par défaut à restaurer. Si win2K est spécifié, les stratégies IPSec par défaut fournies avec Windows 2000 sont restaurées. Si Win2003 est spécifié, les stratégies IPSec par défaut fournies avec les systèmes d'exploitation de la famille Windows Server™ 2003 sont restaurées.

• Lors de la restauration des stratégies IPSec par défaut, toute modification apportée aux stratégies, listes de filtres et actions de filtrage par défaut d'origine est annulée, même si le nom de ces éléments de configuration a été changé. Ne procédez pas à cette restauration si vous ne souhaitez pas annuler les changements que vous avez apportés à ces éléments.
  
  
• Vous pouvez restaurer uniquement les stratégies IPSec par défaut de l'ordinateur. Vous ne pouvez pas restaurer les stratégies IPSec par défaut dans Active Directory.
  
  

set defaultrule policy=[qmpfs=][activate=] [qmsecmethods=][kerberos=][psk=][rootca=]

policy= Chaîne

Obligatoire. Spécifie le nom de la stratégie IPSec dont la règle de réponse par défaut doit être modifiée.

[ qmpfs={yes | no}]

Spécifie s'il faut activer la clé de session PFS (Perfect Forward Secrecy). Si la valeur yes est spécifiée, un nouvel élément de clé principale est renégocié chaque fois qu'une nouvelle clé de session est requise. La valeur par défaut est no.

[ activate={yes | no}]

Indique s'il faut activer cette règle pour la stratégie IPSec spécifiée. La valeur par défaut est yes.

[ qmsecmethods="Neg1Neg2"]

Spécifie une ou plusieurs méthodes de sécurité, séparées par des espaces et définies selon le format suivant :

{ESP [AlgConf,AlgAuth]:k/s | AH [AlgHach]:k/s | AH [AlgHach+ESPAlgConf,AlgAuth]:k/s}]

Dans cette syntaxe :

AlgConf

Spécifie l'algorithme de cryptage. AlgConfig peut être DES (Data Encryption Standard), 3DES ou aucun.

AlgAuth

Spécifie l'algorithme d'intégrité. AlgAuth peut être MD5 (Message Digest 5), SHA1 (Secure Hash Algorithm 1) ou aucun.

AlgHach

Spécifie la fonction de hachage. AlgHach peut être MD5 (Message Digest 5) ou SHA1.

k

Spécifie la durée de vie de la clé de session en kilo-octets. Une fois le nombre spécifié de kilo-octets de données transféré, une nouvelle clé de session pour l'association de sécurité de mode rapide est générée. La valeur par défaut est égale à 100 000 kilo-octets.

s.

Spécifie la durée de vie de la clé de session en secondes. La valeur par défaut est de 3 600 secondes.

[ kerberos={yes | no}]

Indique s'il faut utiliser le protocole Kerberos V5 en tant que méthode d'authentification.

[ psk=Chaîne]

Spécifie la chaîne de caractères à utiliser pour la clé prépartagée, si une clé prépartagée est utilisée en tant que méthode d'authentification.

[ rootca="Chaînecertmap:{ yes| no} excludecaname:{ yes| no} "]

Spécifie les options d'authentification du certificat, où :

Chaîne

Spécifie le nom unique du certificat, si un certificat est utilisé en tant que méthode d'authentification.

certmap:{ yes|no}

Spécifie si le mappage certificat vers compte doit être activé. Vous pouvez activer le mappage certificat vers compte afin de vérifier que le certificat est utilisé par un ordinateur de confiance.

excludecaname:{ yes|no}

Indique s'il faut exclure de la demande de certificat la liste des noms des Autorités de certification racines de confiance dont le certificat est accepté.

• Vous pouvez utiliser l'authentification Kerberos V5 ou le mappage certificat vers compte uniquement pour les ordinateurs qui sont membres d'un domaine Active Directory.
  
  
• Même si vous ne pouvez utiliser qu'une seule clé prépartagée pour l'authentification, vous pouvez utiliser plusieurs certificats en spécifiant le paramètre rootca une fois, pour chaque certificat que vous souhaitez utiliser.
  
  
• Tous les paramètres d'authentification de certificat doivent être précisés entre guillemets. Les guillemets incorporés doivent être précédés d'une barre oblique inverse suivie d'une apostrophe (\').
  
  
• Tous les paramètres de chaîne respectent la casse.
  
  
• L'ordre de préférence de chaque méthode de sécurité est déterminé par l'ordre dans lequel elle est spécifiée dans la commande.
  
  
• Si aucune méthode d'authentification n'est spécifiée, les valeurs dynamiques par défaut sont utilisées. Par défaut, les stratégies IPSec utilisent l'authentification Kerberos V5. Si l'ordinateur comporte un certificat d'ordinateur, toute Autorité de certification racine associée à ce certificat est également utilisée pour l'authentification.
  
  
• Si excludecaname:yes est spécifié, la liste des Autorités de certification racines de confiance n'est pas envoyée avec la demande de certificat, ce qui écarte tout risque potentiel de divulgation d'informations confidentielles concernant les relations d'approbation d'un ordinateur. Pour renforcer la sécurité des ordinateurs connectés à Internet, spécifiez cette option.
  
  
• L'utilisation d'une authentification par clé prépartagée est déconseillée dans la mesure où cette méthode d'authentification est relativement peu efficace. De plus, les clés prépartagées sont stockées en texte en clair.
  
  
• Les homologues IPSec doivent avoir au moins une méthode d'authentification en commun, sinon la communication échoue.
  
  
• La modification des méthodes d'authentification remplace toutes les méthodes d'authentification précédentes, même si celles-ci étaient différentes. Par exemple, si kerberos=yes et psk=yes étaient définis précédemment, et que vous spécifiez ensuite kerberos=no, le paramètre psk=yes est également remplacé et l'authentification par clé prépartagée n'est plus utilisée.
  
  
• AlgConf et AlgAuth ne peuvent pas avoir tous deux la valeur none.
  
  

set filteraction name= | guid=[newname=] [description=][qmpfs=][inpass=] [soft=][action=][qmsecmethods=]

name= Chaîne| guid= guid

Obligatoire. Spécifie le nom ou l'identificateur unique global (GUID, Globally Unique IDentifier) de l'action de filtrage à modifier.

[ newname=Chaîne]

Spécifie le nouveau nom de l'action de filtrage.

[ description=Chaîne]

Fournit des informations sur l'action de filtrage.

[ qmpfs={yes | no}]

Spécifie s'il faut activer la clé de session PFS (Perfect Forward Secrecy). Si la valeur yes est spécifiée, un nouvel élément de clé principale est renégocié chaque fois qu'une nouvelle clé de session est requise.

[ inpass={yes | no}]

Spécifie s'il faut autoriser un paquet entrant non sécurisé correspondant à la liste de filtres configurée, tout en imposant une communication sécurisée par IPSec lors de la réponse.

[ soft={yes | no}]

Indique s'il faut basculer vers des communications non sécurisées avec les autres ordinateurs qui ne prennent pas en charge IPSec, ou en cas d'échec des négociations IPSec avec un ordinateur compatible IPSec.

[ action={permit | block | negotiate}]

Indique s'il faut autoriser le trafic sans négocier la sécurité IP. Si la valeur permit est spécifiée, le trafic est transmis ou reçu sans négociation ni application de la sécurité IP. Si la valeur block est spécifiée, le trafic est bloqué. Si la valeur negotiate est spécifiée, la sécurité IP est utilisée avec la liste spécifiée des méthodes de sécurité.

[ qmsecmethods="Neg1Neg2"]

Spécifie une ou plusieurs méthodes de sécurité, séparées par des espaces et définies selon le format suivant :

{ESP [AlgConf,AlgAuth]:k/s | AH [AlgHach]:k/s | AH [AlgHach+ESPAlgConf,AlgAuth]:k/s}]

Dans cette syntaxe :

AlgConf

Spécifie l'algorithme de cryptage. AlgConfig peut être DES (Data Encryption Standard), 3DES ou aucun.

AlgAuth

Spécifie l'algorithme d'intégrité. AlgAuth peut être MD5 (Message Digest 5), SHA1 (Secure Hash Algorithm 1) ou aucun.

AlgHach

Spécifie la fonction de hachage. AlgHach peut être MD5 (Message Digest 5) ou SHA1 (Secure Hash Algorithm 1).

k

Spécifie la durée de vie de la clé de session en kilo-octets. Une fois le nombre spécifié de kilo-octets de données transféré, une nouvelle clé de session pour l'association de sécurité de mode rapide est générée. La valeur par défaut est égale à 100 000 kilo-octets.

s.

Spécifie la durée de vie de la clé de session en secondes. La valeur par défaut est de 3 600 secondes.

• Si vous spécifiez un nouveau nom pour l'action de filtrage, n'utilisez pas le nom all. Sinon, vous risquez de créer un conflit avec l'option netsh ipsec permettant de sélectionner toutes les actions de filtrage IPSec (par exemple, delete filteraction all).
  
  
• Si l'option action=permit ou action=block est spécifiée, ne définissez pas qmpfs=yes, inpass=yes ou soft=yes.
  
  
• La régénération de la clé de session démarre en fonction de l'intervalle, en secondes ou en kilo-octets, atteint en premier. Si vous ne configurez pas de nouveaux intervalles, les intervalles par défaut s'appliquent.
  
  
• Si vous n'avez pas spécifié précédemment qmsecmethods= (méthodes de sécurité de mode rapide) pour cette action de filtrage, les valeurs par défaut suivantes sont utilisées :
  
  
  • ESP [3DES, SHA1] :100 000 k/3 600 s
    
    
  • ESP [3DES, MD5] : 100 000 k/3 600 s
    
    
• L'ordre de préférence de chaque méthode de sécurité de mode rapide est déterminé par l'ordre dans lequel elle est spécifiée dans la commande.
  
  
• Tous les paramètres de chaîne respectent la casse.
  
  

set filterlist name= [newname=] [description=]

name= Chaîne

Obligatoire. Spécifie le nom de la liste de filtres à modifier.

[ newname=Chaîne]

Spécifie le nouveau nom de la liste de filtres.

[ description=Chaîne]

Fournit des informations sur la liste des filtres.

• Si vous spécifiez un nouveau nom pour la liste de filtres, n'utilisez pas le nom all. Sinon, vous risquez de créer un conflit avec l'option netsh ipsec permettant de sélectionner toutes les listes de filtres IPSec (par exemple, delete filterlist all).
  
  
• Tous les paramètres de chaîne respectent la casse.
  
  

set policy name= newname= [description=][mmpfs=][qmpermm=] [mmlifetime=][activatedefaultrule=][pollinginterval=][assign=][gponame=][mmsecmethods=]

name= Chaîne| guid=guid

Obligatoire. Spécifie le nom ou le GUID de la stratégie IPSec à modifier.

newname= Chaîne

Obligatoire. Spécifie le nouveau nom de la stratégie IPSec.

[ description=Chaîne]

Fournit des informations sur la stratégie IPSec.

[ mmpfs={yes | no}]

Indique s'il faut activer la clé principale PFS (Perfect Forward Secrecy). Si la valeur yes est spécifiée, les associations de sécurité de mode principal sont de nouveau authentifiées et un nouveau support de gestion des clés principales est négocié chaque fois qu'un support de clé de session pour une association de sécurité de mode rapide est requis.

[ qmpermm=Entier]

Indique le nombre de fois que le support de gestion des clés principales peut être utilisé pour dériver la clé de session.

[ mmlifetime=Entier]

Spécifie le nombre de minutes après lesquelles une nouvelle clé principale sera générée.

[ activatedefaultrule={yes | no}]

Indique s'il faut activer la règle de réponse par défaut pour cette stratégie IPSec.

[ pollinginterval=Entier]

Indique le nombre de fois que IPSec effectue une interrogation pour détecter les modifications apportées à cette stratégie. La valeur par défaut est 180 minutes.

[ assign={yes | no}]

Indique si cette stratégie IPSec doit être attribuée.

[ gponame=Chaîne]

Spécifie le nom de l'objet de stratégie de groupe auquel la stratégie IPSec est attribuée. Ce paramètre est applicable uniquement si vous configurez une stratégie pour un ordinateur appartenant à un domaine Active Directory.

[ mmsecmethods="MethSec1MethSec2"]

Spécifie une ou plusieurs méthodes de sécurité d'échange de clés, séparées par des espaces et définies selon le format suivant : AlgConf-AlgHach-NumGroupe, où :

AlgConf

Spécifie l'algorithme de cryptage. AlgConf peut être DES (Data Encryption Standard) ou 3DES.

AlgHach

Spécifie la fonction de hachage. AlgHach peut être MD5 (Message Digest 5) ou SHA1 (Secure Hash Algorithm 1).

NumGroupe

Détermine le groupe Diffie-Hellman à utiliser pour le support de gestion des clés de base. NumGroupe peut être : 1 (bas, protège 768 bits de support de gestion de clés), 2 (moyen, en protège 1024 bits) et 3 (haut, en protège 2048 bits).

• Si vous spécifiez un nouveau nom pour la stratégie, n'utilisez pas le nom all. Sinon, vous risquez de créer un conflit avec l'option netsh ipsec permettant de sélectionner toutes les stratégies IPSec (par exemple, delete policy all).
  
  
• Si set store=domain est spécifié (lorsque la stratégie IPSec est stockée dans Active Directory), assign n'a aucun effet.
  
  
• Si la valeur mmpfs=yes est spécifiée (la clé principale PFS est activée), par défaut qmperm a la valeur 1 et n'est pas configurable, car chaque nouvelle session entraîne la renégociation du support de gestion des clés principales.
  
  
• Les homologues IPSec doivent avoir au moins une méthode de sécurité d'échange de clés en commun (une méthode qui utilise les mêmes paramètres), sinon la négociation échoue.
  
  
• Vous pouvez spécifier un nom d'objet de stratégie de groupe uniquement si set store=domain.
  
  
• Tous les paramètres de chaîne respectent la casse.
  
  

set rule name= | ID=policy= [newname=][description=][filterlist=] [filteraction=] [tunnel=][conntype=] [activate=][kerberos=][psk=][rootca=]

name= Chaîne | ID=Entier

Obligatoire. Spécifie le nom ou l'ID (le nombre qui identifie la position de la règle dans la liste de règles de stratégie) de la règle à modifier.

policy= Chaîne

Obligatoire. Spécifie le nom de la stratégie IPSec contenant cette règle.

[ newname=Chaîne]

Spécifie le nouveau nom de la règle.

[ description=Chaîne]

Fournit des informations relatives à la règle.

[ filterlist=Chaîne]

Spécifie le nom de la liste de filtres IP pour cette règle.

[ filteraction=Chaîne]

Spécifie le nom de l'action de filtrage pour cette règle.

[ tunnel={AdresseIP | NomDNS}]

Spécifie l'adresse IP ou le nom DNS du point de terminaison du tunnel pour le mode tunnel.

[ conntype={lan | dialup | all}]

Indique si la règle s'applique uniquement à des connexions d'accès à distance, à des connexions aux réseaux locaux (LAN) ou à toutes les connexions.

[ activate={yes | no}]

Indique s'il faut activer cette règle pour la stratégie IPSec spécifiée.

[ kerberos={yes | no}]

Indique s'il faut utiliser le protocole Kerberos V5 en tant que méthode d'authentification.

[ psk=Chaîne]

Spécifie la chaîne de caractères à utiliser pour la clé prépartagée, si une clé prépartagée est utilisée en tant que méthode d'authentification.

[ rootca="Chaînecertmap:{ yes| no} excludecaname:{ yes| no} "]

Spécifie les options d'authentification du certificat, où :

Chaîne

Spécifie le nom unique du certificat, si un certificat est utilisé en tant que méthode d'authentification.

certmap:{ yes|no}

Spécifie si le mappage certificat vers compte doit être activé. Vous pouvez activer le mappage certificat vers compte afin de vérifier que le certificat est utilisé par un ordinateur de confiance.

excludecaname:{ yes|no}

Indique s'il faut exclure de la demande de certificat la liste des noms des Autorités de certification racines de confiance dont le certificat est accepté.

• Vous pouvez utiliser l'authentification Kerberos V5 ou le mappage certificat vers compte uniquement pour les ordinateurs qui sont membres d'un domaine Active Directory.
  
  
• Même si vous ne pouvez utiliser qu'une seule clé prépartagée pour l'authentification, vous pouvez utiliser plusieurs certificats en spécifiant le paramètre rootca une fois, pour chaque certificat que vous souhaitez utiliser.
  
  
• Tous les paramètres d'authentification de certificat doivent être précisés entre guillemets. Les guillemets incorporés doivent être précédés d'une barre oblique inverse suivie d'une apostrophe (\').
  
  
• Tous les paramètres de chaîne respectent la casse.
  
  
• L'ordre de préférence de chaque méthode de sécurité est déterminé par l'ordre dans lequel elle est spécifiée dans la commande.
  
  
• Si aucune méthode d'authentification n'est spécifiée, les valeurs dynamiques par défaut sont utilisées. Par défaut, les stratégies IPSec utilisent l'authentification Kerberos V5. Si l'ordinateur comporte un certificat d'ordinateur, toute Autorité de certification racine associée à ce certificat est également utilisée pour l'authentification.
  
  
• Si excludecaname:yes est spécifié, la liste des Autorités de certification racines de confiance n'est pas envoyée avec la demande de certificat, ce qui écarte tout risque potentiel de divulgation d'informations confidentielles concernant les relations d'approbation d'un ordinateur. Pour renforcer la sécurité des ordinateurs connectés à Internet, spécifiez cette option.
  
  
• L'utilisation d'une authentification par clé prépartagée est déconseillée dans la mesure où cette méthode d'authentification est relativement peu efficace. De plus, les clés prépartagées sont stockées en texte en clair.
  
  
• Les homologues IPSec doivent avoir au moins une méthode d'authentification en commun, sinon la communication échoue.
  
  
• La modification des méthodes d'authentification remplace toutes les méthodes d'authentification précédentes, même si celles-ci étaient différentes. Par exemple, si kerberos=yes et psk=yes étaient définis précédemment, et que vous spécifiez ensuite kerberos=no, le paramètre psk=yes est également remplacé et l'authentification par clé prépartagée n'est plus utilisée.
  
  

set store location= [domain=]

location={local | persistent | domain}

Obligatoire. Indique l'emplacement de stockage de la stratégie IPSec.

[ domain=]

Spécifie le nom du domaine dans lequel la stratégie IPSec est stockée, si elle est stockée dans Active Directory (lorsque l'option location=domain est spécifiée).

• La commande set store fonctionne uniquement à partir de l'environnement netsh, c'est-à-dire :
  
  
  • Si vous exécutez cette commande à partir de l'invite de commandes pour le contexte netsh ipsec.
    
    
  • Si vous exécutez un fichier de commandes à l'aide de la commande netsh.exe.
    
    
• Le magasin persistant contient les stratégies IPSec qui peuvent être attribuées pour sécuriser cet ordinateur au démarrage, avant l'application de la stratégie locale ou de la stratégie basée sur le domaine. Une stratégie IPSec persistante garantit la sécurité en cas de défaillance, car elle reste en vigueur que la stratégie locale ou basée sur le domaine soit appliquée ou non (par exemple, une stratégie IPSec peut ne pas être appliquée si elle est corrompue). Afin de renforcer la sécurité, il est recommandé de créer et d'attribuer une stratégie persistante.
  
  
• Le magasin persistant contient les stratégies IPSec pouvant être attribuées pour sécuriser cet ordinateur. Si une stratégie de domaine est disponible, cette stratégie est appliquée à la place de la stratégie locale.
  
  
• Le magasin persistant contient les stratégies IPSec pouvant être attribuées pour sécuriser des groupes d'ordinateurs dans un domaine.
  
  
• Il est souhaitable que la stratégie persistante soit la plus restrictive de toutes les stratégies. Les stratégies de domaine et les stratégies locales viennent en complément des stratégies persistantes.
  
  
• Utilisez la commande set machine pour configurer un ordinateur distant.
  
  
• Tous les paramètres de chaîne respectent la casse.
  
  

show all [format=] [wide=]

[ format={list | table}]

Indique s'il faut afficher les informations de configuration IPSec dans un format d'écran ou un format délimité par des tabulations. La valeur par défaut est list, ce qui signifie que la sortie est affichée dans un format écran.

[ wide={yes | no}]

Indique s'il faut autoriser l'affichage des informations de configuration IPSec à dépasser les limites de la largeur de l'écran (80 caractères). La valeur par défaut est no, ce qui signifie que l'affichage des informations de configuration est limité à la largeur de l'écran.

• Dans la mesure où la commande show all peut se traduire par une sortie longue à défilement rapide, pensez à enregistrer la sortie dans un fichier texte, sauf si vous avez seulement besoin d'en afficher des parties limitées.
  
  Pour enregistrer dans un fichier texte la sortie de la commande show all, effectuez l'une des opérations suivantes :
  
  Si vous êtes dans l'environnement netsh (netsh>)
  
  
  1. À l'invite netsh, tapez :
     
     set file open NomFichier.txt
     
     
  2. Ensuite, tapez :
     
     ipsec static show all
     
     
  3. Pour arrêter l'envoi de la sortie et fermer le fichier, tapez :
     
     set file close
     
     
  Si vous n'êtes pas dans l'environnement netsh
  
  
  • À l'invite de commande, tapez :
    
    netsh ipsec static show all >NomFichier.txt
    
    
• Pour arrêter la sortie des informations de configuration IPSec, vous devez quitter Netsh en effectuant l'une des opérations suivantes :
  
  
  • Fermez la fenêtre Netsh en cliquant sur l'icône X dans le coin supérieur droit de la fenêtre.
    
    
  • Utilisez le Gestionnaire des tâches pour fermer le programme Netsh.
    
    

show filteraction name= | rule= | all [level=][format=] [wide=]

name= Chaîne| rule=Chaîne| all

Obligatoire. Indique une ou plusieurs actions de filtrage pour lesquelles les informations de configuration doivent être affichées. Si l'option name est spécifiée, l'action de filtrage portant le nom spécifié est affichée. Si l'option rule est spécifiée, toutes les actions de filtrage associées à la règle spécifiée sont affichées. Si l'option all est spécifiée, toutes les actions de filtrage sont affichées.

[ level={verbose | normal}]

Désigne le niveau des informations à afficher. Si l'option verbose est spécifiée, les informations relatives aux méthodes de sécurité, à l'emplacement de stockage des stratégies et à l'activation ou non de la clé de session PFS (Perfect Forward Secrecy) sont affichées, en plus des informations de base sur l'action de filtrage. La valeur par défaut est normal.

[ format={list | table}]

Indique s'il faut afficher les informations de configuration IPSec dans un format d'écran ou un format délimité par des tabulations. La valeur par défaut est list, ce qui signifie que la sortie est affichée dans un format écran.

[ wide={yes | no}]

Indique s'il faut autoriser l'affichage des informations de configuration IPSec à dépasser les limites de la largeur de l'écran (80 caractères). La valeur par défaut est no, ce qui signifie que l'affichage des informations de configuration est limité à la largeur de l'écran.

• Tous les paramètres de chaîne respectent la casse.
  
  
• Dans la mesure où la commande show filteraction peut se traduire par une sortie longue à défilement rapide, pensez à l'enregistrer dans un fichier texte, sauf si vous avez seulement besoin d'afficher des parties limitées.
  
  Pour enregistrer dans un fichier texte la sortie de la commande show filteraction, effectuez l'une des opérations suivantes :
  
  Si vous êtes dans l'environnement netsh (netsh>)
  
  
  1. À l'invite netsh, tapez :
     
     set file open NomFichier.txt
     
     
  2. Ensuite, tapez :
     
     ipsec static show filteractionNom | Règle | all [level=verbose | normal]
     
     
  3. Pour arrêter l'envoi de la sortie et fermer le fichier, tapez :
     
     set file close
     
     
  Si vous n'êtes pas dans l'environnement netsh
  
  
  • À l'invite de commande, tapez :
    
    netsh ipsec static show filteractionNom | Règle | all [level=verbose | normal] >NomFichier.txt
    
    
• Pour arrêter la sortie des informations de configuration IPSec, vous devez quitter Netsh en effectuant l'une des opérations suivantes :
  
  
  • Fermez la fenêtre Netsh en cliquant sur l'icône X dans le coin supérieur droit de la fenêtre.
    
    
  • Utilisez le Gestionnaire des tâches pour fermer le programme Netsh.
    
    

show filterlist name= | rule= | all [level=][format=][resolvedns=] [wide=]

name= Chaîne| rule=Chaîne| all

Obligatoire. Spécifie une ou plusieurs listes de filtres à afficher. Si l'option name est spécifiée, la liste de filtres portant le nom spécifié est affichée. Si l'option rule est spécifiée, toutes les listes de filtres associées à la règle spécifiée sont affichées. Si l'option all est spécifiée, toutes les listes de filtres sont affichées.

[ level={verbose | normal}]

Désigne le niveau des informations à afficher. Si l'option verbose est spécifiée, la source, la destination et le type de trafic IP définis par chaque filtre sont affichés, en plus des informations de base sur la liste de filtres. La valeur par défaut est normal.

[ format={list | table}]

Indique s'il faut afficher les informations de configuration IPSec dans un format d'écran ou un format délimité par des tabulations. La valeur par défaut est list, ce qui signifie que la sortie est affichée dans un format écran.

[ resolvedns={yes | no}]

Indique s'il faut résoudre le nom d'ordinateur DNS (Domain Name System) ou NETBIOS associé à une adresse IP lors de l'affichage de sources ou de destinations. Si yes est spécifié, level doit également avoir la valeur verbose, sinon les noms DNS ne sont pas affichés. La valeur par défaut est no.

[ wide={yes | no}]

Indique s'il faut autoriser l'affichage des informations de configuration IPSec à dépasser les limites de la largeur de l'écran (80 caractères). La valeur par défaut est no, ce qui signifie que l'affichage des informations de configuration est limité à la largeur de l'écran.

• Tous les paramètres de chaîne respectent la casse.
  
  
• Dans la mesure où la commande show filterlist peut se traduire par une sortie longue à défilement rapide, pensez à l'enregistrer dans un fichier texte, sauf si vous avez seulement besoin d'afficher les parties délimitées.
  
  Pour enregistrer dans un fichier texte la sortie de la commande show all, effectuez l'une des opérations suivantes :
  
  Si vous êtes dans l'environnement netsh (netsh>)
  
  
  1. À l'invite netsh, tapez :
     
     set file open NomFichier.txt
     
     
  2. Ensuite, tapez :
     
     ipsec static show filterlistNom | règle | all [level=verbose | normal][resolvedns=yes | no
     
     
  3. Pour arrêter l'envoi de la sortie et fermer le fichier, tapez :
     
     set file close
     
     
  Si vous n'êtes pas dans l'environnement netsh
  
  
  • À l'invite de commande, tapez :
    
    netsh ipsec static show filterlistNom | règle | all [level=verbose | normal][resolvedns=yes | no >NomFichier.txt
    
    
• Pour arrêter la sortie des informations de configuration IPSec, vous devez quitter Netsh en effectuant l'une des opérations suivantes :
  
  
  • Fermez la fenêtre Netsh en cliquant sur l'icône X dans le coin supérieur droit de la fenêtre.
    
    
  • Utilisez le Gestionnaire des tâches pour fermer le programme Netsh.
    
    

show gpoassignedpolicy [name= ]

[ name=Chaîne]

Spécifie le nom de l'objet de stratégie de groupe auquel la stratégie IPSec active est attribuée. Si aucun nom n'est spécifié, la stratégie IPSec locale est affichée.

• Vous pouvez spécifier un nom d'objet de stratégie de groupe uniquement si set store=domain.
  
  
• Tous les paramètres de chaîne respectent la casse.
  
  Pour enregistrer la sortie dans un fichier texte pour la commande show gpossignedpolicy, effectuez l'une des opérations suivantes :
  
  Si vous êtes dans l'environnement netsh (netsh>)
  
  
  1. À l'invite netsh, tapez :
     
     set file open NomFichier.txt
     
     
  2. Ensuite, tapez :
     
     ipsec static show gpoassignedpolicy [Nom]
     
     
  3. Pour arrêter l'envoi de la sortie et fermer le fichier, tapez :
     
     set file close
     
     
  Si vous n'êtes pas dans l'environnement netsh
  
  
  • À l'invite de commande, tapez :
    
    netsh ipsec static show gpoassignedpolicy [Nom] >NomFichier.txt
    
    

show policy name= | all [level=] [format=] [wide=]

name= Chaîne| all

Obligatoire. Spécifie le nom de la stratégie IPSec à afficher ; si l'option all est spécifiée, toutes les stratégies IPSec sont affichées.

[ level={verbose | normal}]

Désigne le niveau des informations à afficher. Si l'option verbose est spécifiée, les méthodes de sécurité et la méthode d'authentification sont affichées, en plus des informations relatives aux actions de filtrage et aux règles. La valeur par défaut est normal.

[ format={list | table}]

Indique s'il faut afficher les informations de configuration IPSec dans un format d'écran ou un format délimité par des tabulations. La valeur par défaut est list, ce qui signifie que la sortie est affichée dans un format écran.

[ wide={yes | no}]

Indique s'il faut autoriser l'affichage des informations de configuration IPSec à dépasser les limites de la largeur de l'écran (80 caractères). La valeur par défaut est no, ce qui signifie que l'affichage des informations de configuration est limité à la largeur de l'écran.

• Tous les paramètres de chaîne respectent la casse.
  
  
• Dans la mesure où la commande show policy peut se traduire par une sortie longue à défilement rapide, pensez à l'enregistrer dans un fichier texte, sauf si vous avez seulement besoin d'afficher les parties délimitées.
  
  Pour enregistrer dans un fichier texte la sortie de la commande show policy, effectuez l'une des opérations suivantes :
  
  Si vous êtes dans l'environnement netsh (netsh>)
  
  
  1. À l'invite netsh, tapez :
     
     set file open NomFichier.txt
     
     
  2. Ensuite, tapez :
     
     ipsec static show policyNom | all >NomFichier.txt
     
     
  3. Pour arrêter l'envoi de la sortie et fermer le fichier, tapez :
     
     set file close
     
     
  Si vous n'êtes pas dans l'environnement netsh
  
  
  • À l'invite de commande, tapez :
    
    netsh ipsec static show policyNom | all >NomFichier.txt
    
    
• Pour arrêter la sortie des informations de configuration IPSec, vous devez quitter Netsh en effectuant l'une des opérations suivantes :
  
  
  • Fermez la fenêtre Netsh en cliquant sur l'icône X dans le coin supérieur droit de la fenêtre.
    
    
  • Utilisez le Gestionnaire des tâches pour fermer le programme Netsh.
    
    

show rule name= | ID= | all | defaultpolicy= [type=][level=][format=] [wide=]

name={Chaîne | ID=Entier | all | default}

Obligatoire. Spécifie une ou plusieurs règles à afficher. Si le nom ou l'ID de la règle (le nombre qui identifie la position de la règle dans la liste de règles de la stratégie) est spécifié, la règle correspondante est affichée. Si l'option all est spécifiée, toutes les règles de la stratégie spécifiée sont affichées. Si l'option default est spécifiée, la règle de réponse par défaut est affichée.

policy= Chaîne

Obligatoire. Spécifie le nom de la stratégie pour laquelle la règle spécifiée, ou toutes les règles, sont affichées.

[ type={transport | tunnel}]

Détermine si ce sont les règles de transport ou les règles de tunnel qui doivent être affichées. La valeur par défaut consiste à afficher toutes les règles.

[ level={verbose | normal}]

Désigne le niveau des informations à afficher. Si l'option verbose est spécifiée, des informations relatives aux actions de filtrage associées sont affichées, en plus des informations de base sur la règle. La valeur par défaut est normal.

[ format={list | table}]

Indique s'il faut afficher les informations de configuration IPSec dans un format d'écran ou un format délimité par des tabulations. La valeur par défaut est list, ce qui signifie que la sortie est affichée dans un format écran.

[ wide={yes | no}]

Indique s'il faut autoriser l'affichage des informations de configuration IPSec à dépasser les limites de la largeur de l'écran (80 caractères). La valeur par défaut est no, ce qui signifie que l'affichage des informations de configuration est limité à la largeur de l'écran.

• Si vous utilisez le paramètre type, vous devez également utiliser le paramètre all (vous devez préciser show rule all).
  
  
• Tous les paramètres de chaîne respectent la casse.
  
  
• Dans la mesure où la commande show rule peut se traduire par une sortie longue à défilement rapide, pensez à l'enregistrer dans un fichier texte, sauf si vous avez seulement besoin d'afficher les parties délimitées.
  
  Pour enregistrer dans un fichier texte la sortie de la commande show rule, effectuez l'une des opérations suivantes :
  
  Si vous êtes dans l'environnement netsh (netsh>)
  
  
  1. À l'invite netsh, tapez :
     
     set file open NomFichier.txt
     
     
  2. Ensuite, tapez :
     
     ipsec static show ruleNom | ID | all | defaultStratégie [level=verbose | normal]
     
     
  3. Pour arrêter l'envoi de la sortie et fermer le fichier, tapez :
     
     set file close
     
     
  Si vous n'êtes pas dans l'environnement netsh
  
  
  • À l'invite de commande, tapez :
    
    netsh ipsec static show ruleNom | ID | all | defaultStratégie [level=verbose | normal] >NomFichier.txt
    
    
• Pour arrêter la sortie des informations de configuration IPSec, vous devez quitter Netsh en effectuant l'une des opérations suivantes :
  
  
  • Fermez la fenêtre Netsh en cliquant sur l'icône X dans le coin supérieur droit de la fenêtre.
    
    
  • Utilisez le Gestionnaire des tâches pour fermer le programme Netsh.
    
    

add mmpolicy name= [qmpermm=] [mmlifetime=][softsaexpirationtime=][mmsecmethods=]

name= Chaîne

Obligatoire. Spécifie le nom de la stratégie IPSec à créer.

[ qmpermm=Entier]

Indique le nombre de fois que le support de gestion des clés principales peut être utilisé pour dériver la clé de session. La valeur par défaut est 0, ce qui signifie qu'un nombre illimité d'associations de sécurité de mode rapide peuvent être dérivées à partir des associations de sécurité de mode principal.

[ mmlifetime=Entier]

Spécifie le nombre de minutes après lesquelles une nouvelle clé principale est générée. La valeur par défaut est 480 minutes.

[ softsaexpirationtime=Entier]

Spécifie le nombre de minutes après lesquelles une association de sécurité non protégée expire. La valeur par défaut est 480 minutes.

[ mmsecmethods="MethSec1MethSec2"]

Spécifie une ou plusieurs méthodes de sécurité d'échange de clés, séparées par des espaces et définies selon le format suivant : AlgConf-AlgHach-NumGroupe, où :

AlgConf

Spécifie l'algorithme de cryptage. AlgConf peut être DES ou 3DES.

AlgHach

Spécifie la fonction de hachage. AlgHach peut être MD5 ou SHA1.

NumGroupe

Détermine le groupe Diffie-Hellman à utiliser pour le support de gestion des clés de base. NumGroupe peut être : 1 (bas, protège 768 bits de support de gestion de clés), 2 (moyen, en protège 1024 bits) et 3 (haut, en protège 2048 bits).

• Ne créez pas de stratégie de mode principal portant le nom all. Sinon, vous risquez de créer un conflit avec l'option netsh ipsec permettant de sélectionner toutes les stratégies IPSec de mode principal (par exemple, delete mmpolicy all).
  
  
• Si le nombre de négociations de mode rapide dépasse la valeur définie pour le nombre de négociations de mode rapide par négociation de mode principal au cours de la durée de vie de mode principal, une nouvelle négociation de mode principal a lieu.
  
  
• Si vous ne spécifiez pas mmsecmethods= (méthodes de sécurité d'échange de clés), les valeurs par défaut suivantes s'appliquent :
  
  
  • 3DES-SHA1-2
    
    
  • 3DES-MD5-2
    
    
  • 3DES-SHA1-3
    
    
• Les homologues IPSec doivent avoir au moins une méthode de sécurité d'échange de clés en commun (une méthode qui utilise les mêmes paramètres), sinon la négociation échoue.
  
  
• Tous les paramètres de chaîne respectent la casse.
  
  

add qmpolicy name= [soft=][pfsgroup=][qmsecmethods=]

name= Chaîne

Obligatoire. Spécifie le nom de la stratégie IPSec de mode rapide à créer.

[ soft={yes | no}]

Indique s'il faut basculer vers des communications non sécurisées avec les autres ordinateurs qui ne prennent pas en charge IPSec, ou en cas d'échec des négociations IPSec avec un ordinateur compatible IPSec. La valeur par défaut est no.

[ pfsgroup={grp1 | grp2 | grp3 | grpmm | nopfs}]

Détermine le groupe Diffie-Hellman à utiliser pour la clé de session PFS. Si grp1 est spécifié, Groupe 1 (faible) est utilisé. Si grp2 est spécifié, Groupe 2 (moyen) est utilisé. Si grp3est spécifié, Groupe 2048 (élevé) est utilisé. Si grpmm est spécifié, la valeur du groupe est dérivée des paramètres actuels de mode principal. La valeur par défaut est nopfs, ce qui signifie que la clé de session PFS est désactivée.

[ qmsecmethods="Neg1Neg2"]

Spécifie une ou plusieurs méthodes de sécurité, séparées par des espaces et définies selon le format suivant :

{ESP [AlgConf,AlgAuth]:k/s | AH [AlgHach]:k/s | AH [AlgHach+ESPAlgConf,AlgAuth]:k/s}]

Dans cette syntaxe :

AlgConf

Spécifie l'algorithme de cryptage. AlgConfig peut être DES (Data Encryption Standard), 3DES ou aucun.

AlgAuth

Spécifie l'algorithme d'intégrité. AlgAuth peut être MD5 (Message Digest 5), SHA1 (Secure Hash Algorithm 1) ou aucun.

AlgHach

Spécifie la fonction de hachage. AlgHach peut être MD5 (Message Digest 5) ou SHA1 (Secure Hash Algorithm 1).

k

Spécifie la durée de vie de la clé de session en kilo-octets. Une fois le nombre spécifié de kilo-octets de données transféré, une nouvelle clé de session pour l'association de sécurité de mode rapide est générée. La valeur par défaut est égale à 100 000 kilo-octets.

s.

Spécifie la durée de vie de la clé de session en secondes. La valeur par défaut est de 3 600 secondes.

• Ne créez pas de stratégie de mode rapide portant le nom all. Sinon, vous risquez de créer un conflit avec l'option netsh ipsec permettant de sélectionner toutes les stratégies IPSec de mode rapide (par exemple, delete qmpolicy all).
  
  
• Si vous ne spécifiez pas qmsecmethods= (méthodes de sécurité de mode rapide), les valeurs par défaut suivantes sont utilisées :
  
  
  • ESP [3DES, SHA1] : 100 000 k/3 600 s
    
    
  • ESP [3DES, MD5] : 100 000 k/3 600 s
    
    
• AlgConf et AlgAuth ne peuvent pas avoir tous deux la valeur none.
  
  
• Le même paramètre pfsgroup doit être activé pour les homologues IPSec (c'est-à-dire que les deux homologues doivent utiliser le même groupe Diffie-Hellman pour la clé de session PFS) ; à défaut, la communication échoue.
  
  
• Pour une meilleure sécurité, n'utilisez pas le groupe 1 Diffie-Hellman. Pour une sécurité maximale, utilisez le groupe 2048 chaque fois que cela est possible. Utilisez Groupe 2 lorsque cela est nécessaire pour l'interopérabilité avec Windows 2000 et Windows XP.
  
  
• Tous les paramètres de chaîne respectent la casse.
  
  

add rule srcaddr= dstaddr= mmpolicy=[qmpolicy=][protocol=][srcport=][dstport=][mirrored=][conntype=][actioninbound=][actionoutbound=][srcmask=][dstmask=][tunneldstaddress=][kerberos=][psk=][rootca=]

srcaddr={Me | Any | AdresseIP | NomDNS | TypeServeur}

Obligatoire. Spécifie l'adresse IP source, le nom DNS ou le type de serveur pour le trafic IP. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

dstaddr={Me | Any |AdresseIP | NomDNS | TypeServeur}

Obligatoire. Spécifie l'adresse IP de destination, le nom DNS ou le type de serveur pour le trafic IP. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

mmpolicy= Chaîne

Obligatoire. Spécifie le nom de la stratégie de mode principal.

[ qmpolicy=]Chaîne

Spécifie le nom de la stratégie de mode rapide. Obligatoire si l'option actioninbound=negotiate ou actionoutbound=negotiate est spécifiée.

[ protocol={ANY | ICMP |TCP| UDP | RAW | Entier }]

Spécifie le protocole IP si vous souhaitez que le filtrage s'effectue non seulement en fonction des informations d'adressage, mais aussi en fonction d'un protocole IP spécifique. La valeur par défaut est ANY, ce qui signifie que tous les protocoles sont utilisés pour le filtre.

[ srcport=Port]

Indique le numéro de port source des paquets à filtrer. Cette option s'applique uniquement si vous filtrez des paquets TCP ou UDP. Si la valeur 0 est spécifiée, les paquets envoyés de n'importe quel port sont filtrés. L'option par défaut est any.

[ dstport=Port]

Indique le numéro du port de destination des paquets à filtrer. Cette option s'applique uniquement si vous filtrez des paquets TCP ou UDP. Si la valeur 0 est spécifiée, les paquets envoyés à n'importe quel port sont filtrés. L'option par défaut est any.

[ mirrored={yes | no}]

Indique s'il faut créer un filtre miroir. Utilisez yes pour créer deux filtres sur la base des paramètres de filtre, l'un pour le trafic vers la destination et l'autre pour le trafic à partir de la destination La valeur par défaut est yes.

[ conntype={lan | dialup | all}]

Indique si la règle s'applique uniquement à des connexions d'accès à distance, à des connexions aux réseaux locaux (LAN) ou à toutes les connexions. La valeur par défaut est all.

[ actioninbound={permit | block | negotiate}]

Spécifie l'action que IPSec doit entreprendre pour le trafic entrant. Si la valeur permit est spécifiée, le trafic est reçu sans négociation ni application de la sécurité IP. Si la valeur block est spécifiée, le trafic est bloqué. Si la valeur negotiate est spécifiée, la sécurité IP est utilisée avec la liste des méthodes de sécurité spécifiée dans les stratégies de mode principal et de mode rapide. La valeur par défaut est negotiate.

[ actionoutbound={permit | block | negotiate}]

Spécifie l'action que IPSec doit entreprendre pour le trafic sortant. Si la valeur permit est spécifiée, le trafic est envoyé sans négociation ni application de la sécurité IP. Si la valeur block est spécifiée, le trafic est bloqué. Si la valeur negotiate est spécifiée, la sécurité IP est utilisée avec la liste des méthodes de sécurité spécifiée dans les stratégies de mode principal et de mode rapide. La valeur par défaut est negotiate.

[ srcmask={Masque | Préfixe}]

Spécifie le masque de sous-réseau de l'adresse source ou le préfixe des paquets devant être filtrés. Vous pouvez spécifier une valeur de préfixe comprise entre 1 et 32. La valeur par défaut est le masque 255.255.255.255.

[ dstmask= {Masque | Préfixe}]

Spécifie le masque de sous-réseau de l'adresse de destination ou la valeur de préfixe des paquets à filtrer. Vous pouvez spécifier une valeur de préfixe comprise entre 1 et 32. La valeur par défaut est le masque 255.255.255.255.

[ tunneldstaddress={AdresseIP | NomDNS}]

Indique si le trafic utilise le mode de tunnel et, si c'est le cas, l'adresse IP ou le nom DNS de la destination du tunnel (l'ordinateur ou la passerelle de l'autre côté du tunnel).

[ kerberos={yes | no}]

Indique s'il faut utiliser le protocole Kerberos V5 en tant que méthode d'authentification.

[ psk=Chaîne]

Spécifie la chaîne de caractères à utiliser pour la clé prépartagée, si une clé prépartagée est utilisée en tant que méthode d'authentification.

[ rootca="Chaînecertmap:{ yes| no} excludecaname:{ yes| no} "]

Spécifie les options d'authentification du certificat, où :

Chaîne

Spécifie le nom unique du certificat, si un certificat est utilisé en tant que méthode d'authentification.

certmap:{ yes|no}

Spécifie si le mappage certificat vers compte doit être activé. Vous pouvez activer le mappage certificat vers compte afin de vérifier que le certificat est utilisé par un ordinateur de confiance.

excludecaname:{ yes|no}

Indique s'il faut exclure de la demande de certificat la liste des noms des Autorités de certification racines de confiance dont le certificat est accepté.

• Ne créez pas de règle portant le nom all. Sinon, vous risquez de créer un conflit avec l'option netsh ipsec permettant de sélectionner toutes les règles IPSec (par exemple, delete rule all).
  
  
• Si l'action de filtrage pour le trafic à la fois entrant et sortant (actioninbound et actionoutbound) a la valeur Permit ou Block, un filtre de mode rapide n'est pas nécessaire.
  
  
• Si aucune règle de tunnel n'est spécifiée, mirror doit avoir la valeur no (par défaut, mirror a la valeur yes). S'agissant des tunnels IPSec, vous devez créer deux règles ; l'une décrit le trafic à envoyer via le tunnel (trafic sortant) et l'autre le trafic à recevoir via le tunnel (trafic entrant). Ensuite, créez deux règles utilisant les listes de filtres de trafic entrant et sortant dans votre stratégie.
  
  
• Pour filtrer tous les paquets envoyés à partir de l'ordinateur ou vers celui-ci, vous pouvez utiliser srcaddr=Me ou dstaddr=Me.
  
  
• Pour filtrer les paquets envoyés à partir d'un ordinateur quelconque ou vers un ordinateur quelconque, vous pouvez utiliser srcaddr=Any ou dstaddr=Any.
  
  
• Vous pouvez utiliser l'authentification Kerberos V5 ou le mappage certificat vers compte uniquement pour les ordinateurs qui sont membres d'un domaine Active Directory.
  
  
• Même si vous ne pouvez utiliser qu'une seule clé prépartagée pour l'authentification, vous pouvez utiliser plusieurs certificats en spécifiant le paramètre rootca une fois, pour chaque certificat que vous souhaitez utiliser.
  
  
• Tous les paramètres d'authentification de certificat doivent être précisés entre guillemets. Les guillemets incorporés doivent être précédés d'une barre oblique inverse suivie d'une apostrophe (\').
  
  
• Tous les paramètres de chaîne respectent la casse.
  
  
• L'ordre de préférence de chaque méthode de sécurité est déterminé par l'ordre dans lequel elle est spécifiée dans la commande.
  
  
• Si aucune méthode d'authentification n'est spécifiée, les valeurs dynamiques par défaut sont utilisées. Par défaut, les stratégies IPSec utilisent l'authentification Kerberos V5. Si l'ordinateur comporte un certificat d'ordinateur, toute Autorité de certification racine associée à ce certificat est également utilisée pour l'authentification.
  
  
• Si excludecaname:yes est spécifié, la liste des Autorités de certification racines de confiance n'est pas envoyée avec la demande de certificat, ce qui écarte tout risque potentiel de divulgation d'informations confidentielles concernant les relations d'approbation d'un ordinateur. Pour renforcer la sécurité des ordinateurs connectés à Internet, spécifiez cette option.
  
  
• L'utilisation d'une authentification par clé prépartagée est déconseillée dans la mesure où cette méthode d'authentification est relativement peu efficace. De plus, les clés prépartagées sont stockées en texte en clair.
  
  
• Les homologues IPSec doivent avoir au moins une méthode d'authentification en commun, sinon la communication échoue.
  
  

delete all

Aucun.

delete mmpolicy name= | all

name= Chaîne| all

Obligatoire. Spécifie le nom de la stratégie IPSec de mode principal à supprimer. Si l'option all est spécifiée, toutes les stratégies IPSec de mode principal sont supprimées.

• Si une règle est associée à la stratégie de mode principal, vous devez la supprimer pour pouvoir supprimer la stratégie.
  
  
• Tous les paramètres de chaîne respectent la casse.
  
  

delete qmpolicy [name=] | [all]

name= Chaîne| all

Obligatoire. Spécifie le nom de la stratégie IPSec de mode rapide à supprimer. Si l'option all est spécifiée, toutes les stratégies IPSec de mode rapide sont supprimées.

• Si une règle est associée à la stratégie de mode rapide, vous devez la supprimer pour pouvoir supprimer la stratégie.
  
  
• Tous les paramètres de chaîne respectent la casse.
  
  

delete rule srcaddr= dstaddr= protocol= srcport= dstport= mirrored= conntype=[srcmask=][dstmask=][tunneldstaddress=]

srcaddr={Me | Any | AdresseIP | NomDNS | TypeServeur}

Obligatoire. Spécifie l'adresse IP source, le nom DNS ou le type de serveur pour le trafic IP. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

dstaddr={Me | Any |AdresseIP | NomDNS | TypeServeur}

Obligatoire. Spécifie l'adresse IP de destination, le nom DNS ou le type de serveur pour le trafic IP. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

protocol={ANY | ICMP |TCP| UDP | RAW | Entier }

Obligatoire. Spécifie le protocole IP utilisé pour le filtre.

srcport= Port

Requis. Indique le numéro du port source des paquets filtrés. Cette option s'applique uniquement si vous filtrez des paquets TCP ou UDP. La valeur 0 sélectionne les filtres dont le port source est 0 ou any.

dstport= Port

Obligatoire. Indique le numéro du port de destination des paquets filtrés. Cette option s'applique uniquement si vous filtrez des paquets TCP ou UDP. La valeur 0 sélectionne les filtres dont le port de destination est 0 ou any.

mirrored={yes | no}

Obligatoire. Spécifie si la règle a été créée avec des filtres en miroir.

conntype={lan | dialup | all}

Obligatoire. Indique si la règle à supprimer s'applique uniquement à des connexions d'accès à distance, à des connexions aux réseaux locaux (LAN) ou à toutes les connexions.

[ srcmask={Masque | Préfixe}]

Spécifie le masque de sous-réseau de l'adresse source ou le préfixe des paquets filtrés. Vous pouvez spécifier une valeur de préfixe comprise entre 1 et 32. La valeur par défaut est le masque 255.255.255.255.

[ dstmask= {Masque | Préfixe}]

Spécifie le masque de sous-réseau de l'adresse de destination ou la valeur du préfixe des paquets filtrés. Vous pouvez spécifier une valeur de préfixe comprise entre 1 et 32. La valeur par défaut est le masque 255.255.255.255.

[ tunneldstaddress={AdresseIP | NomDNS}]

Indique si le trafic utilise le mode de tunnel et, si c'est le cas, l'adresse IP ou le nom DNS de la destination du tunnel (l'ordinateur ou la passerelle de l'autre côté du tunnel).

• Pour filtrer tous les paquets envoyés à partir de l'ordinateur ou vers celui-ci, vous pouvez utiliser srcaddr=Me ou dstaddr=Me.
  
  
• Pour filtrer les paquets envoyés à partir d'un ordinateur quelconque ou vers un ordinateur quelconque, vous pouvez utiliser srcaddr=Any ou dstaddr=Any.
  
  

set config [property=] [value=]

[ property=]{ipsecdiagnostics value= | ipsecexempt value= | ipsecloginterval value= | ikelogging value= | strongcrlcheck value= | bootmode value= | bootexemptions value=}

Obligatoire. Spécifie le nom du paramètre IPSec à créer ou à modifier, ainsi qu'une valeur pour le paramètre,

où :

ipsecdiagnostics value={0 | 1 | 2 | 3 | 4 | 5 | 6 | 7}

Indique s'il faut activer ou non l'enregistrement des diagnostics IPSec et, le cas échéant, à quel niveau. La valeur par défaut est 0, ce qui signifie que l'enregistrement est désactivé. Si vous modifiez la valeur de ce paramètre, vous devez redémarrer l'ordinateur pour que la nouvelle valeur prenne effet.

Vous pouvez spécifier d'autres valeurs, afin d'activer différents niveaux d'enregistrement :

• Lorsque la valeur 1 est spécifiée, les paquets SPI incorrects (c'est-à-dire le nombre total de paquets pour lesquels l'index des paramètres de sécurité (SPI, Security Parameters Index) était incorrect), les échecs de négociation IKE, les échecs de traitement IPSec, les paquets reçus avec une syntaxe non valide et les autres erreurs sont enregistrés dans le journal système. Les hachages non authentifiés (à l'exception de l'événement « Réception de texte en clair alors qu'il aurait dû être sécurisé ») sont également enregistrés.
  
  
• Lorsque la valeur 2 est spécifiée, les événements de suppression de paquets entrants sont enregistrés dans le journal système.
  
  
• Lorsque la valeur 3 est spécifiée, l'enregistrement des niveaux 1 et 2 est effectué. En outre, les événements de type « texte en clair inattendu » (paquets envoyés ou reçus sous forme de texte en clair) sont également enregistrés.
  
  
• Lorsque la valeur 4 est spécifiée, les événements de suppression de paquets sortants sont enregistrés dans le journal système.
  
  
• Lorsque la valeur 5 est spécifiée, l'enregistrement des niveaux 1 et 4 est effectué.
  
  
• Lorsque la valeur 6 est spécifiée, l'enregistrement des niveaux 2 et 4 est effectué.
  
  
• Lorsque la valeur 7 est spécifiée, tous les niveaux d'enregistrement sont exécutés.
  
  

ipsecexempt value={ 0 | 1 | 2 | 3}

Spécifie si l'exemption de trafic IPSec par défaut doit être modifiée (le trafic qui ne correspond pas à des filtres IPSec, mais qui reste autorisé). La valeur par défaut est 3, ce qui signifie que seul le trafic IKE est exempté de filtrage IPSec. Si vous modifiez la valeur de ce paramètre, vous devez redémarrer l'ordinateur pour que la nouvelle valeur prenne effet.

Vous pouvez spécifier d'autres valeurs, de la manière suivante :

• Si la valeur 0 est spécifiée, le trafic de diffusion, de multidiffusion, RSVP, Kerberos et IKE est exempté de filtrage IPSec.
  
  
• Si la valeur 1 est spécifiée, le trafic Kerberos et RSVP n'est pas exempté de filtrage IPSec (le trafic de diffusion, de multidiffusion et IKE est exempté).
  
  
• Si la valeur 2 est spécifiée, le trafic de diffusion et de multidiffusion n'est pas exempté de filtrage IPSec (le trafic RSVP, Kerberos et IKE est exempté).
  
  

ipsecloginterval value={Entier}

Spécifie l'intervalle, en secondes, après lequel les journaux d'événements IPSec sont envoyés au journal système. Pour Entier, la valeur doit être comprise entre 60 et 86 400. La valeur par défaut est 3600. Si vous modifiez la valeur de ce paramètre, vous devez redémarrer l'ordinateur pour que la nouvelle valeur prenne effet.

ikelogging value={0 | 1}

Spécifie si l'enregistrement IKE (Oakley) doit être activé, afin de générer des détails sur le processus d'établissement de l'association de sécurité. La valeur par défaut est 0, ce qui signifie que l'enregistrement IKE est désactivé.

strongcrlcheck value={ 0 | 1 | 2}

Spécifie le niveau de vérification CRL à utiliser. Si l'option 0 est spécifiée, la vérification CRL est désactivée. Si l'option 1 est spécifiée, la vérification CRL standard est utilisée et la validation des certificats échoue uniquement s'il s'avère que le certificat doit être révoqué. Si l'option 2 est spécifiée, la vérification CRL renforcée est utilisée et la validation des certificats échoue en cas d'erreur de vérification. La valeur par défaut est 1.

bootmode value={stateful | block | permit}

Spécifie l'action que IPSec doit entreprendre au démarrage de l'ordinateur. Si l'option stateful est spécifiée, seul le trafic suivant est autorisé lors du démarrage de l'ordinateur : le trafic sortant initié par l'ordinateur lors du démarrage, le trafic entrant envoyé en réponse au trafic sortant, ainsi que le trafic DHCP. Si l'option block est spécifiée, tout le trafic entrant et sortant est bloqué jusqu'à l'application d'une stratégie IPSec locale ou basée sur le domaine. Si l'option permit est spécifiée, tout le trafic est transmis et reçu. La valeur par défaut est stateful. Si vous utilisez le filtrage avec état ou si vous précisez que le trafic doit être bloqué lors du démarrage de l'ordinateur, vous pouvez également utiliser le paramètre bootexemptions pour préciser les types de trafic que vous souhaitez exempter de filtrage lors du démarrage de l'ordinateur.

Si vous modifiez la valeur de ce paramètre, vous devez redémarrer l'ordinateur pour que la nouvelle valeur prenne effet.

bootexemptions value=Exemption1Exemption2

Spécifie une ou plusieurs exemptions de trafic IPSec pour la sécurité au démarrage, séparées par des espaces et définies selon le format suivant pour le trafic TCP et UDP : protocole:port_src:port_dest:direction, et selon le format suivant pour le trafic non TCP/UDP : protocole:direction, où :

protocole={ ICMP| TCP| UDP| RAW| Entier }

Spécifie le type de protocole IP à exempter du filtrage IPSec au démarrage de l'ordinateur.

port_src=Port

Spécifie le numéro du port source des paquets à exempter du filtrage IPSec au démarrage de l'ordinateur. La valeur 0 signifie que tous les ports source sont exemptés.

port_dest=Port

Spécifie le numéro du port de destination des paquets à exempter du filtrage IPSec au démarrage de l'ordinateur. La valeur 0 signifie que tous les ports de destination sont exemptés.

direction={ inbound | outbound}

Spécifie la direction du trafic à exempter du filtrage IPSec au démarrage de l'ordinateur.

• Utilisez la vérification CRL renforcée (property=strongcrlcheck value=2) si le point de distribution CRL doit être accessible sur le réseau et si les certificats peuvent uniquement être validés si aucune erreur de vérification CRL ne se produit.
  
  
• IPSec peut uniquement négocier des associations de sécurité pour le trafic Kerberos si votre stratégie IPSec n'utilise pas Kerberos comme méthode d'authentification. Si Kerberos est requis pour l'authentification, vous devez exempter le trafic Kerberos en utilisant le paramètre ipsecexempt.
  
  
• Dans Windows 2000 et Windows XP, par défaut, l'ensemble du trafic de diffusion, multidiffusion, IKE (Internet Key Exchange), Kerberos et RSVP (Resource Reservation Protocol) était exempté du filtrage IPSec. Dans les systèmes d'exploitation de la famille Windows Server™ 2003, seul le trafic IKE est exempté de filtrage IPSec par défaut. Tous les autres types de trafic sont désormais comparés aux filtres IPSec, et vous pouvez configurer des actions de filtrage de type Bloquer ou Autoriser spécialement pour le trafic de multidiffusion et de diffusion (IPSec ne négocie pas les associations de sécurité pour le trafic de diffusion et de multidiffusion).
  
  Suite à ce changement du comportement par défaut de IPSec, vous devez vérifier le comportement des stratégies IPSec conçues pour Windows 2000 ou Windows XP, afin de déterminer si des filtres d'autorisation explicites doivent être configurés pour autoriser des types de trafic spécifiques. Pour restaurer le comportement par défaut de Windows 2000 et de Windows XP pour les stratégies IPSec, modifiez la clé de Registre suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec. Ajoutez une nouvelle valeur DWORD nommée NoDefaultExempt et affectez-lui la valeur 0. Pour plus d'informations sur l'ajout de valeurs aux clés de Registre, voir Ajouter une valeur à une entrée de clé du Registre.
  
  

Attention

• Une modification incorrecte du Registre peut endommager gravement votre système. Avant d'apporter des modifications au Registre, il est conseillé de sauvegarder les données de valeur stockées dans l'ordinateur.
  
  
• La modification des exemptions de trafic IPSec à partir de la sécurité au démarrage (c'est-à-dire la modification du paramètre bootexemptions=) remplace toutes les exemptions précédentes.
  
  

set mmpolicy name= [qmperm=][mmlifetime=][softsaexpirationtime=][mmsecmethods=]

name= Chaîne

Obligatoire. Spécifie le nom de la stratégie IPSec de mode principal à modifier.

[ qmpermm=Entier]

Indique le nombre de fois que le support de gestion des clés principales est utilisé pour dériver la clé de session. La valeur 0 signifie qu'un nombre illimité d'associations de sécurité de mode rapide peuvent être dérivées à partir de l'association de sécurité de mode principal.

[ mmlifetime=Entier]

Spécifie le nombre de minutes après lesquelles une nouvelle clé principale est générée.

[ softsaexpirationtime=Entier]

Spécifie le nombre de minutes après lesquelles une association de sécurité non protégée expire.

[ mmsecmethods="MethSec1MethSec2"]

Spécifie une ou plusieurs méthodes de sécurité d'échange de clés, séparées par des espaces et définies selon le format AlgConf-AlgHach-NumGroupe, où :

AlgConf

Spécifie l'algorithme de cryptage. AlgConf peut être DES ou 3DES.

AlgHach

Spécifie la fonction de hachage. AlgHach peut être MD5 ou SHA1.

NumGroupe

Détermine le groupe Diffie-Hellman à utiliser pour le support de gestion des clés de base. NumGroupe peut être : 1 (bas, protège 768 bits de support de gestion de clés), 2 (moyen, en protège 1024 bits) et 3 (haut, en protège 2048 bits).

• Les homologues IPSec doivent avoir au moins une méthode de sécurité d'échange de clés en commun (une méthode qui utilise les mêmes paramètres), sinon la négociation échoue.
  
  
• Si le nombre de négociations de mode rapide dépasse la valeur définie pour le nombre de négociations de mode rapide par négociation de mode principal au cours de la durée de vie de mode principal, une nouvelle négociation de mode principal a lieu.
  
  
• Tous les paramètres de chaîne respectent la casse.
  
  

set qmpolicy name= [soft=][pfsgroup=][qmsecmethods=]

name= Chaîne

Obligatoire. Spécifie le nom de la stratégie IPSec de mode rapide à modifier.

[ soft={yes | no}]

Indique s'il faut basculer vers des communications non sécurisées avec les autres ordinateurs qui ne prennent pas en charge IPSec, ou en cas d'échec des négociations IPSec avec un ordinateur compatible IPSec.

[ pfsgroup={grp1 | grp2 | grp3 | grpmm | nopfs}]

Détermine le groupe Diffie-Hellman à utiliser pour la clé de session PFS. Si grp1 est spécifié, Groupe 1 (faible) est utilisé. Si grp2 est spécifié, Groupe 2 (moyen) est utilisé. Si grp3est spécifié, Groupe 2048 (élevé) est utilisé. Si grpmm est spécifié, la valeur du groupe est dérivée des paramètres actuels de mode principal. La valeur nopfs signifie que la clé de session PFS est désactivée.

[ qmsecmethods="Neg1Neg2"]

Spécifie une ou plusieurs méthodes de sécurité, séparées par des espaces et définies selon le format suivant : {ESP [AlgConf,AlgAuth]:k/s | AH [AlgHach]:k/s | AH [AlgHach+ESPAlgConf,AlgAuth]:k/s}]

Dans cette syntaxe :

AlgConf

Spécifie l'algorithme de cryptage. AlgConfig peut être DES (Data Encryption Standard), 3DES ou aucun.

AlgAuth

Spécifie l'algorithme d'intégrité. AlgAuth peut être MD5 (Message Digest 5), SHA1 (Secure Hash Algorithm 1) ou aucun.

AlgHach

Spécifie la fonction de hachage. AlgHach peut être MD5 ou SHA1.

k

Spécifie la durée de vie de la clé de session en kilo-octets. Une fois le nombre spécifié de kilo-octets de données transféré, une nouvelle clé de session pour l'association de sécurité de mode rapide est générée. La valeur par défaut est égale à 100 000 kilo-octets.

s.

Spécifie la durée de vie de la clé de session en secondes. La valeur par défaut est de 3 600 secondes.

• L'ordre de préférence de chaque méthode de sécurité de mode rapide est déterminé par l'ordre dans lequel elle est spécifiée dans la commande.
  
  
• Le même paramètre pfsgroup doit être activé pour les homologues IPSec (c'est-à-dire que les deux homologues doivent utiliser le même groupe Diffie-Hellman pour la clé de session PFS) ; à défaut, la communication échoue.
  
  
• Pour une meilleure sécurité, n'utilisez pas le groupe 1 Diffie-Hellman. Pour une sécurité maximale, utilisez le groupe 2048 chaque fois que cela est possible. Utilisez Groupe 2 lorsque cela est nécessaire pour l'interopérabilité avec Windows 2000 et Windows XP.
  
  
• Tous les paramètres de chaîne respectent la casse.
  
  

set rule srcaddr= dstaddr= protocol= srcport= dstport= mirrored= conntype= [srcmask=][dstmask=][tunneldstaddress=][mmpolicy=][qmpolicy=][actioninbound=][actionoutbound=][kerberos=][psk=][rootca=]

srcaddr={Me | Any | AdresseIP | NomDNS | TypeServeur}

Obligatoire. Spécifie l'adresse IP source, le nom DNS ou le type de serveur pour le trafic IP. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

dstaddr={Me | Any |AdresseIP | NomDNS | TypeServeur}

Obligatoire. Spécifie l'adresse IP de destination, le nom DNS ou le type de serveur pour le trafic IP. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

protocol={ANY | ICMP |TCP| UDP | RAW | Entier }

Obligatoire. Spécifie le protocole IP utilisé pour le filtre.

srcport= Port

Requis. Indique le numéro du port source des paquets filtrés. Cette option s'applique uniquement si vous filtrez des paquets TCP ou UDP. La valeur 0 sélectionne les filtres dont le port source est 0 ou any.

dstport= Port

Obligatoire. Indique le numéro du port de destination des paquets filtrés. Cette option s'applique uniquement si vous filtrez des paquets TCP ou UDP. La valeur 0 sélectionne les filtres dont le port de destination est 0 ou any.

mirrored={yes | no}

Obligatoire. Spécifie si la règle a été créée avec des filtres en miroir.

conntype={lan | dialup | all}

Obligatoire. Indique si la règle s'applique uniquement à des connexions d'accès à distance, à des connexions aux réseaux locaux (LAN) ou à toutes les connexions.

[ srcmask={Masque | Préfixe}]

Spécifie le masque de sous-réseau de l'adresse source ou le préfixe des paquets filtrés. Vous pouvez spécifier une valeur de préfixe comprise entre 1 et 32. La valeur par défaut est le masque 255.255.255.255.

[ dstmask= {Masque | Préfixe}]

Spécifie le masque de sous-réseau de l'adresse de destination ou la valeur du préfixe des paquets filtrés. Vous pouvez spécifier une valeur de préfixe comprise entre 1 et 32. La valeur par défaut est le masque 255.255.255.255.

[ tunneldstaddress={AdresseIP | NomDNS}]

Indique si le trafic utilise le mode de tunnel et, si c'est le cas, l'adresse IP ou le nom DNS de la destination du tunnel (l'ordinateur ou la passerelle de l'autre côté du tunnel).

[ mmpolicy=Chaîne]

Spécifie le nom de la stratégie de mode principal.

[ qmpolicy=Chaîne]

Spécifie le nom de la stratégie de mode rapide.

[ actioninbound={permit | block | negotiate}]

Spécifie l'action que IPSec doit entreprendre pour le trafic entrant. Si la valeur permit est spécifiée, le trafic est reçu sans négociation ni application de la sécurité IP. Si la valeur block est spécifiée, le trafic est bloqué. Si la valeur negotiate est spécifiée, la sécurité IP est utilisée avec la liste des méthodes de sécurité spécifiée dans les stratégies de mode principal et de mode rapide.

[ actionoutbound={permit | block | negotiate}]

Spécifie l'action que IPSec doit entreprendre pour le trafic sortant. Si la valeur permit est spécifiée, le trafic est envoyé sans négociation ni application de la sécurité IP. Si la valeur block est spécifiée, le trafic est bloqué. Si la valeur negotiate est spécifiée, la sécurité IP est utilisée avec la liste des méthodes de sécurité spécifiée dans les stratégies de mode principal et de mode rapide.

[ kerberos={yes | no}]

Indique s'il faut utiliser le protocole Kerberos V5 en tant que méthode d'authentification.

[ psk=Chaîne]

Spécifie la chaîne de caractères à utiliser pour la clé prépartagée, si une clé prépartagée est utilisée en tant que méthode d'authentification.

[ rootca="Chaînecertmap:{ yes| no} excludecaname:{ yes| no} "]

Spécifie les options d'authentification du certificat, où :

Chaîne

Spécifie le nom unique du certificat, si un certificat est utilisé en tant que méthode d'authentification.

certmap:{ yes|no}

Spécifie si le mappage certificat vers compte doit être activé. Vous pouvez activer le mappage certificat vers compte afin de vérifier que le certificat est utilisé par un ordinateur de confiance.

excludecaname:{ yes|no}

Indique s'il faut exclure de la demande de certificat la liste des noms des Autorités de certification racines de confiance dont le certificat est accepté.

• Vous pouvez modifier les paramètres suivants : mmpolicy=, qmpolicy=, actioninbound= et actionoutbound=. Tous les autres paramètres sont utilisés pour identifier la règle que vous souhaitez modifier ; ils ne peuvent donc pas être modifiés.
  
  
• Si l'action de filtrage pour le trafic à la fois entrant et sortant (actioninbound et actionoutbound) a la valeur Permit ou Block, un filtre de mode rapide n'est pas nécessaire.
  
  
• Si aucune règle de tunnel n'est spécifiée, mirror doit avoir la valeur no (par défaut, mirror a la valeur yes). Dans le cas des tunnels IPSec, vous devez créer deux règles : l'une décrit le trafic à envoyer via le tunnel (trafic sortant) et l'autre le trafic à recevoir via le tunnel (trafic entrant). Ensuite, créez deux règles utilisant les listes de filtres de trafic entrant et sortant dans votre stratégie.
  
  
• Pour filtrer tous les paquets envoyés à partir de l'ordinateur ou vers celui-ci, vous pouvez utiliser srcaddr=Me ou dstaddr=Me.
  
  
• Pour filtrer les paquets envoyés à partir d'un ordinateur quelconque ou vers un ordinateur quelconque, vous pouvez utiliser srcaddr=Any ou dstaddr=Any.
  
  
• Vous pouvez utiliser l'authentification Kerberos V5 ou le mappage certificat vers compte uniquement pour les ordinateurs qui sont membres d'un domaine Active Directory.
  
  
• Même si vous ne pouvez utiliser qu'une seule clé prépartagée pour l'authentification, vous pouvez utiliser plusieurs certificats en spécifiant le paramètre rootca une fois, pour chaque certificat que vous souhaitez utiliser.
  
  
• Tous les paramètres d'authentification de certificat doivent être précisés entre guillemets. Les guillemets incorporés doivent être précédés d'une barre oblique inverse suivie d'une apostrophe (\').
  
  
• Tous les paramètres de chaîne respectent la casse.
  
  
• L'ordre de préférence de chaque méthode de sécurité est déterminé par l'ordre dans lequel elle est spécifiée dans la commande.
  
  
• Si aucune méthode d'authentification n'est spécifiée, les valeurs dynamiques par défaut sont utilisées. Par défaut, les stratégies IPSec utilisent l'authentification Kerberos V5. Si l'ordinateur comporte un certificat d'ordinateur, toute Autorité de certification racine associée à ce certificat est également utilisée pour l'authentification.
  
  
• Si excludecaname:yes est spécifié, la liste des Autorités de certification racines de confiance n'est pas envoyée avec la demande de certificat, ce qui écarte tout risque potentiel de divulgation d'informations confidentielles concernant les relations d'approbation d'un ordinateur. Pour renforcer la sécurité des ordinateurs connectés à Internet, spécifiez cette option.
  
  
• L'utilisation d'une authentification par clé prépartagée est déconseillée dans la mesure où cette méthode d'authentification est relativement peu efficace. De plus, les clés prépartagées sont stockées en texte en clair.
  
  
• Les homologues IPSec doivent avoir au moins une méthode d'authentification en commun, sinon la communication échoue.
  
  
• La modification des méthodes d'authentification remplace toutes les méthodes d'authentification précédentes, même si celles-ci étaient différentes. Par exemple, si kerberos=yes et psk=yes étaient définis précédemment, et que vous spécifiez ensuite kerberos=no, le paramètre psk=yes est également remplacé et l'authentification par clé prépartagée n'est plus utilisée.
  
  

show all [resolvedns=]

[ resolvedns={yes | no}]

Indique s'il faut résoudre le nom d'ordinateur DNS (Domain Name System) ou NETBIOS associé à une adresse IP lors de l'affichage de sources ou de destinations.

• Dans la mesure où la commande show all peut se traduire par une sortie longue à défilement rapide, pensez à enregistrer la sortie dans un fichier texte, sauf si vous avez seulement besoin d'en afficher des parties limitées.
  
  Pour enregistrer dans un fichier texte la sortie de la commande show all, effectuez l'une des opérations suivantes :
  
  Si vous êtes dans l'environnement netsh (netsh>)
  
  
  1. À l'invite netsh, tapez :
     
     set file open NomFichier.txt
     
     
  2. Ensuite, tapez :
     
     ipsec dynamic show all
     
     
  3. Pour arrêter l'envoi de la sortie et fermer le fichier, tapez :
     
     set file close
     
     
  Si vous n'êtes pas dans l'environnement netsh
  
  
  • À l'invite de commande, tapez :
    
    netsh ipsec dynamic show all >NomFichier.txt
    
    
• Pour arrêter la sortie des informations de configuration IPSec, vous devez quitter Netsh en effectuant l'une des opérations suivantes :
  
  
  • Fermez la fenêtre Netsh en cliquant sur l'icône X dans le coin supérieur droit de la fenêtre.
    
    
  • Utilisez le Gestionnaire des tâches pour fermer le programme Netsh.
    
    

show config

Aucun.

• Pour enregistrer dans un fichier texte la sortie de la commande show config, effectuez l'une des opérations suivantes :
  
  Si vous êtes dans l'environnement netsh (netsh>)
  
  
  1. À l'invite netsh, tapez :
     
     set file open NomFichier.txt
     
     
  2. Ensuite, tapez :
     
     ipsec dynamic show config
     
     
  3. Pour arrêter l'envoi de la sortie et fermer le fichier, tapez :
     
     set file close
     
     
  Si vous n'êtes pas dans l'environnement netsh
  
  
  • À l'invite de commande, tapez :
    
    netsh ipsec dynamic show config >NomFichier.txt
    
    

show mmfilter name= | all [type=] srcaddr=dstadd= [srcmask=][dstmask=] [resolvedns=]

name= Chaîne| all

Obligatoire. Spécifie le nom du filtre IPSec de mode principal à afficher. Si l'option all est spécifiée, tous les filtres IPSec de mode principal sont affichés.

type={generic | specific}

Indique s'il faut afficher les filtres de mode principal spécifiques ou génériques. La valeur par défaut est generic.

[ srcaddr={Me | Any | AdresseIP | NomDNS | TypeServeur}]

Spécifie l'adresse IP source, le nom DNS ou le type de serveur pour le trafic IP filtré. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

[ dstaddr={Me | Any |AdresseIP | NomDNS | TypeServeur}]

Spécifie l'adresse IP de destination, le nom DNS ou le type de serveur pour le trafic IP filtré. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

[ srcmask={Masque | Préfixe}]

Spécifie le masque de sous-réseau de l'adresse source ou le préfixe des paquets filtrés. Vous pouvez spécifier une valeur de préfixe comprise entre 1 et 32. La valeur par défaut est le masque 255.255.255.255.

[ dstmask= {Masque | Préfixe}]

Spécifie le masque de sous-réseau de l'adresse de destination ou la valeur du préfixe des paquets filtrés. Vous pouvez spécifier une valeur de préfixe comprise entre 1 et 32. La valeur par défaut est le masque 255.255.255.255.

[ resolvedns={yes | no}]

Indique s'il faut résoudre le nom d'ordinateur DNS (Domain Name System) ou NETBIOS associé à une adresse IP lors de l'affichage de sources ou de destinations. La valeur par défaut est no.

• Tous les paramètres de chaîne respectent la casse.
  
  
• Dans la mesure où la commande show mmfilter peut se traduire par une sortie longue à défilement rapide, pensez à l'enregistrer dans un fichier texte, sauf si vous avez seulement besoin d'afficher les parties délimitées.
  
  Pour enregistrer dans un fichier texte la sortie de la commande show mmfilter, effectuez l'une des opérations suivantes :
  
  Si vous êtes dans l'environnement netsh (netsh>)
  
  
  1. À l'invite netsh, tapez :
     
     set file open NomFichier.txt
     
     
  2. Ensuite, tapez :
     
     ipsec dynamic show mmfilterNom | all
     
     
  3. Pour arrêter l'envoi de la sortie et fermer le fichier, tapez :
     
     set file close
     
     
  Si vous n'êtes pas dans l'environnement netsh
  
  
  • À l'invite de commande, tapez :
    
    ipsec dynamic show mmfilterNom | all >=NomFichier.txt
    
    
• Pour arrêter la sortie des informations de configuration IPSec, vous devez quitter Netsh en effectuant l'une des opérations suivantes :
  
  
  • Fermez la fenêtre Netsh en cliquant sur l'icône X dans le coin supérieur droit de la fenêtre.
    
    
  • Utilisez le Gestionnaire des tâches pour fermer le programme Netsh.
    
    

show mmpolicy name= | all

name= Chaîne| all

Obligatoire. Spécifie le nom de la stratégie IPSec de mode principal à afficher. Si l'option all est spécifiée, toutes les stratégies IPSec de mode principal sont affichées.

• Tous les paramètres de chaîne respectent la casse.
  
  
• Dans la mesure où la commande show mmpolicy peut se traduire par une sortie longue à défilement rapide, pensez à l'enregistrer dans un fichier texte, sauf si vous avez seulement besoin d'afficher les parties délimitées.
  
  Pour enregistrer dans un fichier texte la sortie de la commande show mmpolicy, effectuez l'une des opérations suivantes :
  
  Si vous êtes dans l'environnement netsh (netsh>)
  
  
  1. À l'invite netsh, tapez :
     
     set file open NomFichier.txt
     
     
  2. Ensuite, tapez :
     
     ipsec dynamic show mmpolicyNom | all
     
     
  3. Pour arrêter l'envoi de la sortie et fermer le fichier, tapez :
     
     set file close
     
     
  Si vous n'êtes pas dans l'environnement netsh
  
  
  • À l'invite de commande, tapez :
    
    ipsec dynamic show mmpolicyNom | all >NomFichier.txt
    
    
• Pour arrêter la sortie des informations de configuration IPSec, vous devez quitter Netsh en effectuant l'une des opérations suivantes :
  
  
  • Fermez la fenêtre Netsh en cliquant sur l'icône X dans le coin supérieur droit de la fenêtre.
    
    
  • Utilisez le Gestionnaire des tâches pour fermer le programme Netsh.
    
    

show mmsas [all] [srcaddr=][dstaddr=][format=] [resolvedns=]

[ all]

Spécifie que toutes les associations de sécurité de mode principal sont affichées.

[ srcaddr={Me | Any | AdresseIP | NomDNS | TypeServeur}]

Spécifie l'adresse IP source, le nom DNS ou le type de serveur pour le trafic IP filtré. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

[ dstaddr={Me | Any |AdresseIP | NomDNS | TypeServeur}]

Spécifie l'adresse IP de destination, le nom DNS ou le type de serveur pour le trafic IP filtré. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

[ format={list | table}]

Indique s'il faut afficher les informations de configuration IPSec dans un format d'écran ou un format délimité par des tabulations. La valeur par défaut est list, ce qui signifie que la sortie est affichée dans un format écran.

[ resolvedns={yes | no}]

Indique s'il faut résoudre le nom d'ordinateur DNS (Domain Name System) ou NETBIOS associé à une adresse IP lors de l'affichage de sources ou de destinations. La valeur par défaut est no.

• Si aucun paramètre n'est spécifié, toutes les associations de sécurité de mode principal sont affichées.
  
  
• Tous les paramètres de chaîne respectent la casse.
  
  
• Dans la mesure où la commande show mmsas peut se traduire par une sortie longue à défilement rapide, pensez à l'enregistrer dans un fichier texte, sauf si vous avez seulement besoin d'afficher les parties délimitées.
  
  Pour enregistrer dans un fichier texte la sortie de la commande show mmsas, effectuez l'une des opérations suivantes :
  
  Si vous êtes dans l'environnement netsh (netsh>)
  
  
  1. À l'invite netsh, tapez :
     
     set file open NomFichier.txt
     
     
  2. Ensuite, tapez :
     
     ipsec dynamic show mmsas
     
     
  3. Pour arrêter l'envoi de la sortie et fermer le fichier, tapez :
     
     set file close
     
     
  Si vous n'êtes pas dans l'environnement netsh
  
  
  • À l'invite de commande, tapez :
    
    netsh ipsec dynamic show all mmsas >NomFichier.txt
    
    
• Pour arrêter la sortie des informations de configuration IPSec, vous devez quitter Netsh en effectuant l'une des opérations suivantes :
  
  
  • Fermez la fenêtre Netsh en cliquant sur l'icône X dans le coin supérieur droit de la fenêtre.
    
    
  • Utilisez le Gestionnaire des tâches pour fermer le programme Netsh.
    
    

show qmfilter name= | all [type=] [srcaddr=][dstaddr=][srcmask=][dstmask=][protocol=][srcport=][dstport=][actioninbound=][actionoutbound=][resolvedns=]

name= Chaîne| all

Obligatoire. Spécifie le nom du filtre IPSec de mode rapide à afficher ; si l'option all est spécifiée, tous les filtres IPSec de mode rapide sont affichés.

[ type={generic | specific}]

Indique s'il faut afficher les filtres de mode rapide spécifiques ou génériques. La valeur par défaut est generic.

[ srcaddr={Me | Any | AdresseIP | NomDNS | TypeServeur}]

Spécifie l'adresse IP source, le nom DNS ou le type de serveur pour le trafic IP filtré. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

[ dstaddr={Me | Any |AdresseIP | NomDNS | TypeServeur}]

Spécifie l'adresse IP de destination, le nom DNS ou le type de serveur pour le trafic IP filtré. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

[ srcmask={Masque | Préfixe}]

Spécifie le masque de sous-réseau de l'adresse source ou le préfixe des paquets filtrés. Vous pouvez spécifier une valeur de préfixe comprise entre 1 et 32. La valeur par défaut est le masque 255.255.255.255.

[ dstmask= {Masque | Préfixe}]

Spécifie le masque de sous-réseau de l'adresse de destination ou la valeur du préfixe des paquets filtrés. Vous pouvez spécifier une valeur de préfixe comprise entre 1 et 32. La valeur par défaut est le masque 255.255.255.255.

[ protocol={ANY | ICMP |TCP| UDP | RAW | Entier }]

Spécifie le protocole IP si, en plus des informations d'adressage, un protocole IP spécifique est filtré. La valeur par défaut est ANY, ce qui signifie que tous les protocoles sont utilisés pour le filtre.

[ srcport=Port]

Indique le numéro du port source des paquets filtrés. Cette option s'applique uniquement si vous filtrez des paquets TCP ou UDP. Si la valeur 0 est spécifiée, les paquets envoyés de n'importe quel port sont filtrés. L'option par défaut est any.

[ dstport=Port]

Indique le numéro du port de destination des paquets filtrés. Cette option s'applique uniquement si vous filtrez des paquets TCP ou UDP. Si la valeur 0 est spécifiée, les paquets envoyés à n'importe quel port sont filtrés. L'option par défaut est any.

[ actioninbound={permit | block | negotiate}]

Spécifie l'action que IPSec doit entreprendre pour le trafic entrant. La valeur par défaut est negotiate.

[ actionoutbound={permit | block | negotiate}]

Spécifie l'action que IPSec doit entreprendre pour le trafic sortant. La valeur par défaut est negotiate.

[ resolvedns={yes | no}]

Indique s'il faut résoudre le nom d'ordinateur DNS (Domain Name System) ou NETBIOS associé à une adresse IP lors de l'affichage de sources ou de destinations. La valeur par défaut est no.

• Tous les paramètres de chaîne respectent la casse.
  
  
• Dans la mesure où la commande show qmfilter peut se traduire par une sortie longue à défilement rapide, pensez à l'enregistrer dans un fichier texte, sauf si vous avez seulement besoin d'afficher les parties délimitées.
  
  Pour enregistrer dans un fichier texte la sortie de la commande show qmfilter, effectuez l'une des opérations suivantes :
  
  Si vous êtes dans l'environnement netsh (netsh>)
  
  
  1. À l'invite netsh, tapez :
     
     set file open NomFichier.txt
     
     
  2. Ensuite, tapez :
     
     ipsec dynamic show qmfilterNom | all
     
     
  3. Pour arrêter l'envoi de la sortie et fermer le fichier, tapez :
     
     set file close
     
     
  Si vous n'êtes pas dans l'environnement netsh
  
  
  • À l'invite de commande, tapez :
    
    netsh ipsec dynamic show qmfilterNom | all >NomFichier.txt
    
    
• Pour arrêter la sortie des informations de configuration IPSec, vous devez quitter Netsh en effectuant l'une des opérations suivantes :
  
  
  • Fermez la fenêtre Netsh en cliquant sur l'icône X dans le coin supérieur droit de la fenêtre.
    
    
  • Utilisez le Gestionnaire des tâches pour fermer le programme Netsh.
    
    

show qmpolicy name= | all

name= Chaîne| all

Obligatoire. Spécifie le nom de la stratégie IPSec de mode rapide à afficher. Si l'option all est spécifiée, toutes les stratégies IPSec de mode rapide sont affichées.

• Tous les paramètres de chaîne respectent la casse.
  
  
• Dans la mesure où la commande show qmpolicy peut se traduire par une sortie longue à défilement rapide, pensez à l'enregistrer dans un fichier texte, sauf si vous avez seulement besoin d'afficher les parties délimitées.
  
  Pour enregistrer dans un fichier texte la sortie de la commande show qmpolicy, effectuez l'une des opérations suivantes :
  
  Si vous êtes dans l'environnement netsh (netsh>)
  
  
  1. À l'invite netsh, tapez :
     
     set file open NomFichier.txt
     
     
  2. Ensuite, tapez :
     
     ipsec dynamic show qmpolicyNom | all
     
     
  3. Pour arrêter l'envoi de la sortie et fermer le fichier, tapez :
     
     set file close
     
     
  Si vous n'êtes pas dans l'environnement netsh
  
  
  • À l'invite de commande, tapez :
    
    netsh ipsec dynamic show qmpolicyNom | all >NomFichier.txt
    
    
• Pour arrêter la sortie des informations de configuration IPSec, vous devez quitter Netsh en effectuant l'une des opérations suivantes :
  
  
  • Fermez la fenêtre Netsh en cliquant sur l'icône X dans le coin supérieur droit de la fenêtre.
    
    
  • Utilisez le Gestionnaire des tâches pour fermer le programme Netsh.
    
    

show qmsas [all][srcaddr=][dstaddr=][protocol=][format=][resolvedns=]

[ all]

Spécifie que toutes les associations de sécurité IPSec de mode rapide sont affichées.

[ srcaddr={Me | Any | AdresseIP | NomDNS | TypeServeur}]

Spécifie l'adresse IP source, le nom DNS ou le type de serveur pour le trafic IP filtré. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

[ dstaddr={Me | Any |AdresseIP | NomDNS | TypeServeur]

Spécifie l'adresse IP de destination, le nom DNS ou le type de serveur pour le trafic IP filtré. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

[ protocol={ANY | ICMP |TCP| UDP | RAW | Entier }]

Spécifie le protocole IP si, en plus des informations d'adressage, un protocole IP spécifique est utilisé pour l'association de sécurité. La valeur par défaut est ANY, ce qui signifie que tous les protocoles sont utilisés pour l'association de sécurité.

[ format={list | table}]

Indique s'il faut afficher les informations de configuration IPSec dans un format d'écran ou un format délimité par des tabulations. La valeur par défaut est list, ce qui signifie que la sortie est affichée dans un format écran.

[ resolvedns={yes | no}]

Indique s'il faut résoudre le nom d'ordinateur DNS (Domain Name System) ou NETBIOS associé à une adresse IP lors de l'affichage de sources ou de destinations. La valeur par défaut est no.

• Dans la mesure où la commande show qmsas peut se traduire par une sortie longue à défilement rapide, pensez à l'enregistrer dans un fichier texte, sauf si vous avez seulement besoin d'afficher les parties délimitées.
  
  Pour enregistrer dans un fichier texte la sortie de la commande show qmsas, effectuez l'une des opérations suivantes :
  
  Si vous êtes dans l'environnement netsh (netsh>)
  
  
  1. À l'invite netsh, tapez :
     
     set file open NomFichier.txt
     
     
  2. Ensuite, tapez :
     
     ipsec dynamic show qmsas all
     
     
  3. Pour arrêter l'envoi de la sortie et fermer le fichier, tapez :
     
     set file close
     
     
  Si vous n'êtes pas dans l'environnement netsh
  
  
  • À l'invite de commande, tapez :
    
    netsh ipsec dynamic show qmsas all >NomFichier.txt
    
    
• Pour arrêter la sortie des informations de configuration IPSec, vous devez quitter Netsh en effectuant l'une des opérations suivantes :
  
  
  • Fermez la fenêtre Netsh en cliquant sur l'icône X dans le coin supérieur droit de la fenêtre.
    
    
  • Utilisez le Gestionnaire des tâches pour fermer le programme Netsh.
    
    

show rule [type=][srcaddr=] [dstaddr=][srcmask=][dstmask=] [protocol=][srcport=][dstport=][actioninbound=][actionoutbound=][resolvedns=]

[ type={transport | tunnel}]

Détermine si c'est une règle de transport ou une règle de tunnel qui doit être affichée. La valeur par défaut consiste à afficher toutes les règles.

[ srcaddr={Me | Any | AdresseIP | NomDNS | TypeServeur}]

Spécifie l'adresse IP source, le nom DNS ou le type de serveur pour le trafic IP filtré. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

[ dstaddr={Me | Any |AdresseIP | NomDNS | TypeServeur}]

Spécifie l'adresse IP de destination, le nom DNS ou le type de serveur pour le trafic IP filtré. Vous pouvez utiliser WINS, DNS, DHCP ou passerelle comme TypeServeur.

[ srcmask={Masque | Préfixe}]

Spécifie le masque de sous-réseau de l'adresse source ou le préfixe des paquets filtrés. Vous pouvez spécifier une valeur de préfixe comprise entre 1 et 32. La valeur par défaut est le masque 255.255.255.255.

[ dstmask= {Masque | Préfixe}]

Spécifie le masque de sous-réseau de l'adresse de destination ou la valeur du préfixe des paquets filtrés. Vous pouvez spécifier une valeur de préfixe comprise entre 1 et 32. La valeur par défaut est le masque 255.255.255.255.

[ protocol={ANY | ICMP |TCP| UDP | RAW | Entier }]

Spécifie le protocole IP si, en plus des informations d'adressage, un protocole IP spécifique est utilisé pour la règle. La valeur par défaut est ANY, ce qui signifie que tous les protocoles sont utilisés pour la règle.

[ srcport=Port]

Indique le numéro du port source des paquets filtrés. Cette option s'applique uniquement si vous filtrez des paquets TCP ou UDP. Si la valeur 0 est spécifiée, les paquets envoyés de n'importe quel port sont filtrés. L'option par défaut est any.

[ dstport=Port]

Indique le numéro du port de destination des paquets filtrés. Cette option s'applique uniquement si vous filtrez des paquets TCP ou UDP. Si la valeur 0 est spécifiée, les paquets envoyés à n'importe quel port sont filtrés. L'option par défaut est any.

[ actioninbound={permit | block | negotiate}]

Spécifie l'action que IPSec doit entreprendre pour le trafic entrant. La valeur par défaut est negotiate.

[ actionoutbound={permit | block | negotiate}]

Spécifie l'action que IPSec doit entreprendre pour le trafic sortant. La valeur par défaut est negotiate.

[ resolvedns={yes | no}]

Indique s'il faut résoudre le nom d'ordinateur DNS (Domain Name System) ou NETBIOS associé à une adresse IP lors de l'affichage de sources ou de destinations. La valeur par défaut est no.

• Tous les paramètres de chaîne respectent la casse.
  
  
• Dans la mesure où la commande show rule peut se traduire par une sortie longue à défilement rapide, pensez à l'enregistrer dans un fichier texte, sauf si vous avez seulement besoin d'afficher les parties délimitées.
  
  Pour enregistrer dans un fichier texte la sortie de la commande show rule, effectuez l'une des opérations suivantes :
  
  Si vous êtes dans l'environnement netsh (netsh>)
  
  
  1. À l'invite netsh, tapez :
     
     set file open NomFichier.txt
     
     
  2. Ensuite, tapez :
     
     ipsec dynamic show rule
     
     
  3. Pour arrêter l'envoi de la sortie et fermer le fichier, tapez :
     
     set file close
     
     
  Si vous n'êtes pas dans l'environnement netsh
  
  
  • À l'invite de commande, tapez :
    
    netsh ipsec dynamic show rule >NomFichier.txt
    
    
• Pour arrêter la sortie des informations de configuration IPSec, vous devez quitter Netsh en effectuant l'une des opérations suivantes :
  
  
  • Fermez la fenêtre Netsh en cliquant sur l'icône X dans le coin supérieur droit de la fenêtre.
    
    
  • Utilisez le Gestionnaire des tâches pour fermer le programme Netsh.
    
    

show stats [type=]

[ type=all| ike| ipsec]

Spécifie les statistiques IPSec à afficher. Si l'option all est spécifiée, les statistiques IPSec de mode principal et de mode rapide sont affichées. Si l'option ike est spécifiée, seules les statistiques IPSec de mode principal sont affichées. Si l'option ipsec est spécifiée, seules les statistiques IPSec de mode rapide sont affichées.

• Dans la mesure où la commande show stats peut se traduire par une sortie longue à défilement rapide, pensez à l'enregistrer dans un fichier texte, sauf si vous avez seulement besoin d'afficher les parties délimitées.
  
  Pour enregistrer dans un fichier texte la sortie de la commande show stats, effectuez l'une des opérations suivantes :
  
  Si vous êtes dans l'environnement netsh (netsh>)
  
  
  1. À l'invite netsh, tapez :
     
     set file open NomFichier.txt
     
     
  2. Ensuite, tapez :
     
     ipsec dynamic show stats
     
     
  3. Pour arrêter l'envoi de la sortie et fermer le fichier, tapez :
     
     set file close
     
     
  Si vous n'êtes pas dans l'environnement netsh
  
  
  • À l'invite de commande, tapez :
    
    netsh ipsec dynamic show stats >NomFichier.txt
    
    
• Pour arrêter la sortie des informations de configuration IPSec, vous devez quitter Netsh en effectuant l'une des opérations suivantes :
  
  
  • Fermez la fenêtre Netsh en cliquant sur l'icône X dans le coin supérieur droit de la fenêtre.
    
    
  • Utilisez le Gestionnaire des tâches pour fermer le programme Netsh.