Exportar (0) Imprimir
Expandir Tudo

Comandos netsh para segurança IP

Atualizado: janeiro de 2005

Aplica-se a: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Comandos Netsh do IPSec

Os comandos Netsh do IPSec fornecem uma alternativa totalmente equivalente ao gerenciamento baseado em console e recursos de diagnóstico fornecidos pelos snap-ins <b>Gerenciamento de diretivas de segurança IP</b> e <b>Monitor de segurança IP</b> disponíveis no Console de gerenciamento Microsoft (MMC). Usando comandos Netsh no IPSec você pode configurar e exibir configurações de modo principal do IPSec dinâmico, configurações de modo rápido, regras e parâmetros de configuração.

Administrar o IPSec da linha de comando é especialmente útil quando você desejar:

  • Criar um script de configuração do IPSec.

  • Estender a segurança e a gerenciabilidade do IPSec configurando os seguintes recursos, que não estão disponíveis no snap-in <b>Gerenciamento de diretivas de segurança IP</b>: Diagnósticos de IPSec, isolamentos de tráfego padrão, verificação em alto grau da lista de certificados revogados (CRL), log de IKE (Oakley), intervalos de log, segurança de inicialização de computador e isolamentos de tráfego de inicialização de computador.

Você pode executar esses comandos no prompt de comando da família Windows Server 2003 ou no prompt de comando do contexto netsh ipsec. Para que esses comandos funcionem no prompt de comando da família Windows Server™ 2003, você deve digitar netsh ipsec antes de digitar os comandos e parâmetros como são exibidos na sintaxe abaixo.

Comandos de modo estático netsh ipsec

Você pode usar os comandos netsh ipsec static para executar as mesmas tarefas de gerenciamento e de monitoramento que você executa usando os consoles Gerenciamento de Diretivas de Segurança IP e Monitor de Segurança IP. Usando esses comandos, você pode criar, modificar e atribuir diretivas IPSec sem afetar imediatamente a configuração da diretiva IPSec ativa.

Comandos netsh ipsec de modo dinâmico

Você pode usar os comandos netsh ipsec dynamic para exibir o estado do IPSec ativo e para atingir imediatamente a configuração da diretiva IPsec ativa. Esses comandos configuram diretamente o banco de dados de diretiva de segurança (SPD). As alterações feitas em uma diretiva IPSec enquanto estiver usando esses comandos são válidas somente enquanto o serviço IPSec estiver sendo executado. Se o serviço IPSec for interrompido, as configurações de diretiva dinâmica são descartadas. Apesar de a maioria desses comandos ser aplicada imediatamente, vários comandos de configuração ainda requerem que você reinicie o serviço IPSec ou o computador para que sejam aplicados. Para obter mais informações sobre esses comandos, consulte as descrições de sintaxe dos comandos netsh ipsec dynamic set config.

Cuidado

  • Como o Agente de Diretivas IPSec não interpreta os comandos netsh ipsec dynamic, você deve conhecer as diretivas IKE de modo principal e de modo rápido para usá-los de forma eficaz. Cuidado ao usar esses comandos, pois é possível criar configurações de diretiva IPSec inválidas sem aviso.

Observações

  • Os comandos Netsh do IPSec podem ser usados somente para configurar diretivas IPSec em computadores que executam membros da família Windows Server™ 2003.

    Para usar a linha de comando para configurar as diretivas IPSec em computadores que executam Windows XP, use o Ipseccmd.exe, que é fornecido no CD do Windows XP, na pasta \Support\Tools. Para usar a linha de comando para configurar as diretivas IPSec em computadores que executam o Windows 2000, use o Ipseccmd.exe, que é fornecido com o Windows 2000 Server Resource Kit.

  • Para obter mais informações sobre o netsh, consulte Visão geral sobre o netsh e Inserir um contexto netsh.

  • Para obter mais informações sobre os comandos Netsh, consulte O utilitário de linha de comando Netsh.

Netsh ipsec

Os comandos a seguir estão disponíveis no prompt ipsec>, com raiz no ambiente netsh.

Observação

  • Apesar de o comando dump estar disponível no prompt ipsec, ele não é funcional.

Para exibir a sintaxe, clique em um comando:

estático

Vai para o contexto estático

Sintaxe

estático

Parâmetros

nenhum

dinâmico

Vai para o contexto dinâmico.

Sintaxe

dinâmico

Parâmetros

nenhum

Netsh ipsec static

Os comandos a seguir estão disponíveis no prompt ipsec static>, com raiz no ambiente netsh.

Para exibir a sintaxe, clique em um comando:

add filter

Adiciona um filtro à lista de filtros especificados.

Sintaxe

add filter filterlist= srcaddr= dstaddr= [description=][protocol=][mirrored=] [srcmask=][dstmask=][srcport=] [dstport=]

Parâmetros
filterlist= Seqüência
Necessário. Especifica o nome da lista de filtros à qual o filtro é adicionado. Cada filtro define um conjunto específico de tráfego de rede de entrada ou saída que deve ser protegido.

srcaddr={Me | Any | Endereço_IP | Nome_DNS | Tipo_de_Servidor}
Necessário. Especifica o endereço IP de origem, o nome DNS ou o tipo de servidor do tráfego IP. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

dstaddr={Me | Any |Endereço_IP | Nome_DNS | Tipo_de_Servidor}
Necessário. Especifica o endereço IP de destino, o nome DNS ou o tipo de servidor do tráfego IP. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

[ description=Seqüência]
Fornece informações sobre o filtro IP.

[ protocol={ANY | ICMP |TCP| UDP | RAW | Inteiro }]
Especifica o protocolo IP se, além das informações sobre endereçamento, você desejar filtrar um protocolo IP específico. O valor padrão é ANY, indicando que todos os protocolos serão usados para o filtro.

[ mirrored={yes | no}]
Especifica se um filtro espelhado deve ou não ser criado. Use yes para criar dois filtros com base nas configurações de filtro -- um para o tráfego para o destino e outro para o tráfego proveniente do destino. O valor padrão é yes.

[ srcmask={Máscara | Prefixo}]
Especifica a máscara de sub-rede do endereço de origem ou o prefixo dos pacotes a serem filtrados. É possível especificar um valor de prefixo de 1 a 32. O valor padrão é a máscara de 255.255.255.255.

[ dstmask={Máscara | Prefixo}
Especifica a máscara de sub-rede do endereço de destino ou o valor do prefixo dos pacotes a serem filtrados. É possível especificar um valor de prefixo de 1 a 32. O valor padrão é a máscara de 255.255.255.255.

[ srcport=Porta]
Especifica o número da porta de origem dos pacotes a serem filtrados. Essa opção somente será aplicável se você estiver filtrando pacotes TCP ou UDP. Se for especificado 0, serão filtrados os pacotes enviados de qualquer porta. O padrão é any.

[ dstport=Porta]
Especifica o número da porta de destino dos pacotes a serem filtrados. Essa opção somente será aplicável se você estiver filtrando pacotes TCP ou UDP. Se for especificado 0, serão filtrados os pacotes enviados para qualquer porta. O padrão é any.

Comentários
  • Se a lista de filtros não existir, ela será criada.

  • Não crie uma lista de filtros com o nome all. Se você fizer isso, criará um conflito com a opção netsh ipsec para selecionar todas as listas de filtros IPSec (por exemplo, delete filterlist all).

  • Para filtrar quaisquer pacotes enviados de ou para o computador, você poderá usar srcaddr=Me ou dstaddr=Me.

  • Para filtrar os pacotes enviados de ou para qualquer computador, você poderá usar srcaddr=Any ou dstaddr=Any.

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

add filteraction

Cria uma ação de filtro com os métodos de segurança de modo rápido especificados.

Sintaxe

add filteraction name= [description=][qmpfs=][inpass=] [soft=][action=][qmsecmethods=]

Parâmetros
name= Seqüência
Necessário. Especifica o nome da ação de filtro a ser criada.

[ description=Seqüência]
Fornece informações sobre a ação de filtro.

[ qmpfs={yes | no}]
Especifica se o sigilo total na transferência (PFS) de chave de sessão será ou não habilitado. Se yes for especificado, o novo material de chave mestre será negociado sempre que uma nova chave de sessão for necessária. O valor padrão é no.

[ inpass={yes | no}]
Especifica se deve ser permitido que um pacote de entrada que corresponda à lista de filtros configurados fique sem proteção, mas exija comunicação protegida por IPSec durante a resposta. O valor padrão é no.

[ soft={yes | no}]
Especifica se deverão ser usadas comunicações sem segurança em outros computadores que não ofereçam suporte a IPSec ou quando ocorrerem falhas nas negociações de IPSec com um computador com suporte a IPSec. O valor padrão é no.

[ action={permit | block | negotiate}]
Especifica se deve ser permitido o tráfego sem negociar a segurança IP. Se permit for especificado, o tráfego será transmitido ou recebido sem que a segurança IP seja negociada ou aplicada. Se block for especificado, o tráfego será bloqueado. Se negotiate for especificado, a segurança IP será usada com a lista especificada de métodos de segurança. O valor padrão é negotiate.

[ qmsecmethods="Neg1Neg2"]
Especifica um ou mais métodos de segurança, separados por espaços e definidos pelo seguinte formato:

{ESP [ConfAlg,AuthAlg]:k/s | AH [HashAlg]:k/s | AH [HashAlg+ESPConfAlg,AuthAlg]:k/s}]

Onde:

ConfAlg
Especifica o algoritmo de criptografia. ConfigAlg pode ser DES (padrão de criptografia de dados), 3DES ou none.

AuthAlg
Especifica o algoritmo de integridade. AuthAlg pode ser MD5 (Message Digest 5), SHA1 (Secure Hash Algorithm 1) ou none.

HashAlg
Especifica a função de hash. HashAlg pode ser MD5 (Message Digest 5) ou SHA1.

k
Especifica a vida útil da chave da sessão em quilobytes. Depois que um número especificado de quilobytes de dados for transferido, uma nova chave de sessão para a autoridade de segurança de modo rápido é gerada. O valor padrão é 100.000 quilobytes.

s
Especifica a vida útil da chave da sessão em segundos. O valor padrão é 3600 segundos.

Comentários
  • Não crie uma ação de filtro com o nome all. Se você fizer isso, criará um conflito com a opção netsh ipsec para selecionar todas as ações de filtro IPSec (por exemplo, delete filteraction all).

  • Se action=permit ou action=block for especificado, e os parâmetros qmsecmethods forem especificados, os parâmetros qmsecmethods não serão usados. Além disso, se qmpfs=yes, inpass=yes ou soft=yes for especificado, esses parâmetros também não serão usados.

  • A regeneração da chave da sessão terá início com base em qualquer intervalo, seja em segundos ou quilobytes, que for atingido primeiro. Se você não configurar novos intervalos, serão usados os intervalos padrão.

  • Se você não especificar qmsecmethods= (métodos de segurança de modo rápido), os seguintes valores padrão serão usados:

    • ESP [3DES, SHA1]:100000k/3600s

    • ESP [3DES, SHA1]:100000k/3600s

  • A ordem de preferência de cada método de segurança de modo rápido é determinada pela ordem na qual foi especificado no comando.

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

add filterlist

Cria uma lista de filtros vazia com o nome especificado.

Sintaxe

add filterlist name= [description=]

Parâmetros
name= Seqüência
Necessário. Especifica o nome da lista de filtros a ser criada.

[ description=Seqüência]
Fornece informações sobre a lista de filtros.

Comentários
  • Não crie uma lista de filtros com o nome all. Se você fizer isso, criará um conflito com a opção netsh ipsec para selecionar todas as listas de filtros IPSec (por exemplo, delete filterlist all).

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

add policy

Cria uma diretiva IPSec com o nome especificado.

Sintaxe

add policy name= [description=][mmpfs=][qmpermm=] [mmlifetime=][activatedefaultrule=][pollinginterval=][assign=][mmsecmethods=]

Parâmetros
name= Seqüência
Necessário. Especifica o nome da diretiva IPSec a ser criada.

[ description=Seqüência]
Fornece informações sobre a diretiva IPSec.

[ mmpfs={yes | no}]
Especifica se o sigilo total na transferência (PFS) de chave mestre deverá ou não ser habilitado. Se yes for especificado, as autoridades de segurança de modo principal são autenticadas novamente e o novo material de chave da chave mestra é negociado toda vez que o material da chave de sessão de uma autoridade de segurança de modo principal for necessária. O valor padrão é no.

[ qmpermm=Inteiro]
Especifica quantas vezes o material de chave mestre poderá ser usado para originar a chave da sessão. O valor padrão é 0, indicando que um número ilimitado de associações de segurança de modo rápido pode ser derivado da associação de segurança de modo principal.

[ mmlifetime=Inteiro]
Especifica depois de quantos minutos será gerada uma nova chave mestre. O valor padrão é 480 minutos.

[ activatedefaultrule={yes | no}]
Especifica se a regra de resposta padrão deverá ser ativada para essa diretiva IPSec. O valor padrão é yes.

[ pollinginterval=Inteiro]
Especifica com que freqüência a IPSec verifica se há necessidade de alterações nessa diretiva. O valor padrão é 180 minutos.

[ assign={yes | no}]
Especifica se deseja atribuir esta diretiva IPSec (somente uma diretiva IPSec pode ser atribuída). O valor padrão é no.

[ mmsecmethods="SecMeth1SecMeth2"]
Especifica um ou mais métodos de segurança de troca de chaves, separados por espaços e definidos pelo seguinte formato: ConfAlg-HashAlg-GroupNumb, onde:

ConfAlg
Especifica o algoritmo de criptografia. ConfAlg pode ser DES (padrão de criptografia de dados) ou 3DES.

HashAlg
Especifica a função de hash. HashAlg pode ser MD5 (Message Digest 5) ou SHA1 (Secure Hash Algorithm 1).

GroupNum
Especifica o grupo Diffie-Hellman a ser usado para o material de chave básico GroupNumb pode ser: 1 (baixo, protege com 768 bits de material de chave), 2 (médio, protege com 1.024 bits) e 3 (alto, protege como 2.048 bits).

Comentários
  • Não crie uma diretiva com o nome all. Se você fizer isso, criará um conflito com a opção netsh ipsec para selecionar todas as diretivas IPSec (por exemplo, delete policy all).

  • Se uma diretiva estiver atribuída no momento e você atribuir uma nova diretiva, a diretiva vigente terá sua atribuição removida automaticamente.

  • Se set store=domain for especificado (quando a diretiva IPSec estiver armazenada no Active Directory), assign não terá efeito. Para atribuir uma diretiva a um objeto de Diretiva de Grupo, você deve primeiro criar uma diretiva usando o comando add policy e, em seguida, usar o comando set store.

  • Se mmpfs=yes for especificado (o PFS de chave mestre será habilitado), por padrão qmperm será definido como 1 e não poderá ser configurado, porque cada nova sessão fará com que o material de chave mestre seja renegociado.

  • Se você não especificar mmsecmethods= (métodos de segurança de troca de chaves), serão usados os seguintes valores padrão:

    • 3DES-SHA1-2

    • 3DES-MD5-2

    • 3DES-SHA1-3

  • Os computadores IPSec deverão ter, pelo menos, um método de segurança de troca de chaves em comum (um método que utilize as mesmas configurações), caso contrário as negociações não terão êxito.

  • Se o número de negociações de modo rápido exceder o valor definido para o número de negociações de modo rápido por negociação de modo principal durante a vida útil do modo principal, um novo modo de negociação principal ocorre.

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

add rule

Cria uma regra que vincula a diretiva IPSec, a lista de filtros e a ação de filtro especificadas aos métodos de autenticação especificados.

Sintaxe

add rule name= policy= filterlist= filteraction=[tunnel=][conntype=] [activate=][description=][kerberos=][psk=][rootca=]

Parâmetros
name= Seqüência
Necessário. Especifica o nome da regra IPSec a ser criada.

policy= Seqüência
Necessário. Especifica o nome da diretiva IPSec que contém esta regra.

filterlist= Seqüência
Necessário. Especifica o nome da lista de filtros IP desta regra.

filteraction= Seqüência
Necessário. Especifica o nome da ação de filtro desta regra.

[ tunnel={Endereço_IP | Nome_DNS}]
Especifica o endereço IP ou o nome DNS da extremidade do encapsulamento referente ao modo de encapsulamento. Por padrão, esta opção não é especificada e o modo de transporte é usado.

[ conntype={lan | dialup | all}]
Especifica se a regra se aplica somente a conexões dial-up ou de acesso remoto, a conexões de rede local (LAN) ou a todas as conexões. O valor padrão é all.

[ activate={ yes | no}]
Especifica se esta regra deve ser ativada para a diretiva IPSec especificada. O valor padrão é yes.

[ description=Seqüência]
Fornece informações sobre a regra.

[ kerberos={yes | no}]
Especifica se o protocolo Kerberos V5 deve ser usado como método de autenticação.

[ psk=Seqüência]
Especifica a seqüência a ser usada na chave pré-compartilhada, caso uma chave pré-compartilhada seja usada como método de autenticação.

[ rootca="Seqüênciacertmap:{ yes| no} excludecaname:{ yes| no} "]
Especifica as opções de autenticação de certificado, onde:

Seqüência
Especifica o nome distinto do certificado, caso um certificado seja usado como método de autenticação.

certmap:{ yes|no}
Especifica se o mapeamento de certificado para conta deve ser habilitado. Você pode habilitar o mapeamento certificado para conta para verificar se o certificado está sendo usado por um computador confiável.

excludecaname:{ yes|no}
Especifica se deverá ser excluída da solicitação de certificado a lista de nomes de autoridades de certificação raiz confiáveis com base nos quais um certificado é aceito.

Comentários
  • Não crie uma regra com o nome all. Se você fizer isso, criará um conflito com a opção netsh ipsec para selecionar todas as regras IPSec (por exemplo, delete rule all).

  • Você só poderá usar a autenticação por meio do protocolo Kerberos V5 ou o mapeamento de certificado para conta para os computadores que participarem de um domínio do Active Directory.

  • Embora só possa usar uma chave pré-compartilhada para autenticação, você poderá usar vários certificados especificando o parâmetro rootca uma vez, para cada certificado que deseja usar.

  • Todos os parâmetros de autenticação de certificado devem ser colocados entre aspas. As aspas internas devem ser substituídas por uma barra invertida antecedidas de um apóstrofo (\').

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

  • A ordem de precedência de cada método de autenticação é determinada pela ordem especificada no comando.

  • Se nenhum método de autenticação for especificado, serão usados métodos padrão dinâmicos. Por padrão, as diretivas IPSec usam a autenticação Kerberos V5. Se o computador tiver um certificado de computador, qualquer autoridade de certificação raiz ao qual o certificado de computador esteja encadeado também é usada para autenticação.

  • Se excludecaname:yes for especificado, a lista de autoridades de certificação raiz confiáveis não será enviada como parte da solicitação de certificado, o que impedirá a possível revelação de informações confidenciais sobre as relações de confiança de um computador. Para aprimorar a segurança referente a computadores conectados à Internet, especifique esta opção.

  • O uso da autenticação de chave pré-compartilhada não é recomendável porque é um método de autenticação relativamente fraco. Além disso, as chaves pré-compartilhadas são armazenadas em texto sem formatação.

  • Os computadores IPSec devem ter, pelo menos, um método de autenticação em comum; caso contrário, a comunicação não será bem-sucedida.

delete all

Exclui todas as diretivas, listas de filtros e ações de filtro IPSec.

Sintaxe

delete all

Parâmetros

Nenhum.

delete filter

Exclui um filtro de uma lista de filtros que corresponde aos parâmetros especificados.

Sintaxe

delete filter filterlist= srcaddr= dstaddr=[protocol=] [srcmask=][dstmask=][srcport=] [dstport=][mirrored=]

Parâmetros
filterlist= Seqüência
Necessário. Especifica o nome da lista de filtros à qual o filtro foi adicionado.

srcaddr={Me | Any | Endereço_IP | Nome_DNS | Tipo_de_Servidor}
Necessário. Especifica o endereço IP de origem, o nome DNS ou o tipo de servidor do tráfego IP que está sendo correspondido. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

dstaddr={Me | Any |Endereço_IP | Nome_DNS | Tipo_de_Servidor}
Necessário. Especifica o endereço IP de destino, o nome DNS ou o tipo de servidor do tráfego IP que está sendo correspndido. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

[ protocol={ANY | ICMP |TCP| UDP | RAW | Inteiro }]
Especifica o protocolo IP se, além de serem abordadas informações, um protocolo IP específico for filtrado. Um valor de ANY corresponde os filtros a uma configuração de protocolo any.

[ srcmask={Máscara | Prefixo}]
Especifica a máscara de sub-rede do endereço de origem ou o prefixo dos pacotes que estão sendo filtrados. É possível especificar um valor de prefixo de 1 a 32. O valor padrão é a máscara de 255.255.255.255.

[ dstmask= {Máscara | Prefixo}]
Especifica a máscara de sub-rede do endereço de destino ou o valor do prefixo dos pacotes que estão sendo filtrados. É possível especificar um valor de prefixo de 1 a 32. O valor padrão é a máscara de 255.255.255.255.

[ srcport=Porta]
Especifica o número da porta de origem dos pacotes que estão sendo filtrados. Essa opção somente será aplicável se você estiver filtrando pacotes TCP ou UDP. Um valor de 0 corresponde os filtros a uma configuração de porta de origem any.

[ dstport=Porta]
Especifica o número da porta de destino dos pacotes que estão sendo filtrados. Essa opção somente será aplicável se você estiver filtrando pacotes TCP ou UDP. Um valor de 0 corresponde os filtros a uma configuração de porta de destino any.

[ mirrored={yes | no}]
Especifica se um filtro espelhado foi criado.

Comentários
  • Este comando exclui somente um filtro que corresponde aos parâmetros exatos especificados.

  • Se nenhum parâmetro opcional for especificado, todos os filtros que correspondem aos parâmetros especificados (necessários) são excluídos.

  • Para excluir um filtro de pacotes enviados do computador ou para o computador, você poderá usar srcaddr=Me ou dstaddr=Me.

  • Para excluir um filtro de pacotes enviados de qualquer computador ou para qualquer computador, você pode usarsrcaddr=Any ou dstaddr=Any.

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

delete filteraction

Exclui a ação de filtro especificada ou todas as ações de filtro.

Sintaxe

delete filteraction name= | all

Parâmetros
name= Seqüência| all
Necessário. Especifica o nome da ação de filtro a ser excluída. Se all for especificado, todas as ações de filtro são excluídas.

Comentários
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

delete filterlist

Exclui a lista de filtros especificada ou todas as listas de filtros.

Sintaxe

delete filterlist name= | all

Parâmetros
name= Seqüência| all
Necessário. Especifica o nome da lista de filtros a ser excluída. Se all for especificado, todas as listas de filtro são excluídas.

Comentários
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

delete policy

Exclui a diretiva IPSec especificada e todas as regras associadas ou todas as diretivas IPSec.

Sintaxe

delete policy name= | all

Parâmetros
name= Seqüência| all
Necessário. Especifica o nome da diretiva IPSec a ser excluída. Se all for especificado, todas as diretivas IPSec são excluídas.

Comentários
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

delete rule

Exclui uma regra especificada ou todas as regras da diretiva IPSec especificada.

Sintaxe

delete rule name= | ID= | allpolicy=

Parâmetros
name= Seqüência| ID=Inteiro| all
Necessário. Especifica a regra a ser excluída. Se o nome da regra ou a identificação da regra (o número que identifica a posição da regra na lista de regras da diretiva) for especificado, a regra correspondente é excluída. Se all for especificado, todas as regras são excluídas.

policy= Seqüência
Necessário. Especifica o nome da diretiva da qual uma ou mais regras são excluídas.

Comentários
  • Não é possível excluir a regra de resposta padrão.

  • Depois que uma regra for excluída, todas as identificações das regras restantes são alteradas de forma apropriada.

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

exportpolicy

Exporta todas as informações de diretiva IPSec para o arquivo especificado.

Sintaxe

exportpolicy file=

Parâmetros
file= Seqüência
Necessário. Especifica o nome do arquivo para o qual as informações sobre a diretiva IPSec são exportadas.

Comentários
  • Por padrão, quando uma diretiva IPSec é importada em um arquivo, a extensão .ipsec é adicionada ao nome de arquivo.

  • Para aprimorar a interoperabilidade em um ambiente misto com computadores que executam o Windows 2000, limite o nome do arquivo para o qual as informações sobre a diretiva devem ser salvas em 60 caracteres.

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

importpolicy

Importa todas as informações de diretiva IPSec do arquivo IPSec especificado.

Sintaxe

importpolicy file=

Parâmetros
file= Seqüência
Necessário. Especifica o nome do arquivo do qual as informações sobre a diretiva IPSec são importadas.

Comentários
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

restorepolicyexamples

Restaura as diretivas IPSec padrão.

Sintaxe

restorepolicyexamples release=

Parâmetros
release={win2K | Win2003}
Necessário. Especifica a versão das diretivas IPSec padrão que estão sendo restauradas. Se win2K for especificado, as diretivas IPSec padrão que foram fornecidas com o Windows 2000 serão restauradas. Se Win2003 for especificado, as diretivas IPSec padrão que foram fornecidas com a família Windows Server™ 2003 serão restauradas.

Comentários
  • A restauração das diretivas IPSec padrão substituirá quaisquer alterações nas diretivas padrão, nas listas de filtro e nas ações de filtro originais, mesmo quando os nomes das diretivas padrão tiverem sido alterados. Se você tiver modificado esses itens e não desejar que essas modificações sejam substituídas, não restaure as diretivas padrão.

  • Você só pode restaurar as diretivas IPSec padrão para diretivas IPSec com base em computador. Não é possível restaurar as diretivas IPSec padrão para diretivas IPSec no Active Directory.

set defaultrule

Modifica a regra de resposta padrão da diretiva especificada.

Sintaxe

set defaultrule policy=[qmpfs=][activate=] [qmsecmethods=][kerberos=][psk=][rootca=]

Parâmetros
policy= Seqüência
Necessário. Especifica o nome da diretiva IPSec da qual a regra de resposta padrão deve ser modificada.

[ qmpfs={yes | no}]
Especifica se o sigilo total na transferência (PFS) de chave de sessão será ou não habilitado. Se yes for especificado, o novo material de chave mestre será negociado sempre que uma nova chave de sessão for necessária. O valor padrão é no.

[ activate={yes | no}]
Especifica se esta regra deve ser ativada para a diretiva IPSec especificada. O valor padrão é yes.

[ qmsecmethods="Neg1Neg2"]
Especifica um ou mais métodos de segurança, separados por espaços e definidos pelo seguinte formato:

{ESP [ConfAlg,AuthAlg]:k/s | AH [HashAlg]:k/s | AH [HashAlg+ESPConfAlg,AuthAlg]:k/s}]

Onde:

ConfAlg
Especifica o algoritmo de criptografia. ConfigAlg pode ser DES (padrão de criptografia de dados), 3DES ou none.

AuthAlg
Especifica o algoritmo de integridade. AuthAlg pode ser MD5 (Message Digest 5), SHA1 (Secure Hash Algorithm 1) ou none.

HashAlg
Especifica a função de hash. HashAlg pode ser MD5 (Message Digest 5) ou SHA1.

k
Especifica a vida útil da chave da sessão em quilobytes. Depois que um número especificado de quilobytes de dados for transferido, uma nova chave de sessão para a autoridade de segurança de modo rápido é gerada. O valor padrão é 100.000 quilobytes.

s
Especifica a vida útil da chave da sessão em segundos. O valor padrão é 3600 segundos.

[ kerberos={yes | no}]
Especifica se o protocolo Kerberos V5 deve ser usado como método de autenticação.

[ psk=Seqüência]
Especifica a seqüência a ser usada na chave pré-compartilhada, caso uma chave pré-compartilhada seja usada como método de autenticação.

[ rootca="Seqüênciacertmap:{ yes| no} excludecaname:{ yes| no} "]
Especifica as opções de autenticação de certificado, onde:

Seqüência
Especifica o nome distinto do certificado, caso um certificado seja usado como método de autenticação.

certmap:{ yes|no}
Especifica se o mapeamento de certificado para conta deve ser habilitado. Você pode habilitar o mapeamento certificado para conta para verificar se o certificado está sendo usado por um computador confiável.

excludecaname:{ yes|no}
Especifica se deverá ser excluída da solicitação de certificado a lista de nomes de autoridades de certificação raiz confiáveis com base nos quais um certificado é aceito.

Comentários
  • Você só poderá usar a autenticação por meio do protocolo Kerberos V5 ou o mapeamento de certificado para conta para os computadores que participarem de um domínio do Active Directory.

  • Embora só possa usar uma chave pré-compartilhada para autenticação, você poderá usar vários certificados especificando o parâmetro rootca uma vez, para cada certificado que deseja usar.

  • Todos os parâmetros de autenticação de certificado devem ser colocados entre aspas. As aspas internas devem ser substituídas por uma barra invertida antecedidas de um apóstrofo (\').

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

  • A ordem de precedência de cada método de autenticação é determinada pela ordem especificada no comando.

  • Se nenhum método de autenticação for especificado, serão usados métodos padrão dinâmicos. Por padrão, as diretivas IPSec usam a autenticação Kerberos V5. Se o computador tiver um certificado de computador, qualquer autoridade de certificação raiz ao qual o certificado de computador esteja encadeado também é usada para autenticação.

  • Se excludecaname:yes for especificado, a lista de autoridades de certificação raiz confiáveis não será enviada como parte da solicitação de certificado, o que impedirá a possível revelação de informações confidenciais sobre as relações de confiança de um computador. Para aprimorar a segurança referente a computadores conectados à Internet, especifique esta opção.

  • O uso da autenticação de chave pré-compartilhada não é recomendável porque é um método de autenticação relativamente fraco. Além disso, as chaves pré-compartilhadas são armazenadas em texto sem formatação.

  • Os computadores IPSec devem ter, pelo menos, um método de autenticação em comum; caso contrário, a comunicação não será bem-sucedida.

  • A modificação dos métodos de autenticação substituirá todos os métodos de autenticação anteriores, mesmo se esse métodos forem diferentes. Por exemplo, se kerberos=yes e psk=yes tiverem sido especificados anteriormente e você especificar kerberos=no, o parâmetro psk=yes também será substituído e a autenticação de chave pré-compartilhada não será mais usada.

  • ConfAlg e AuthAlg não podem ser definidos como none.

set filteraction

Modifica uma ação de filtro.

Sintaxe

set filteraction name= | guid=[newname=] [description=][qmpfs=][inpass=] [soft=][action=][qmsecmethods=]

Parâmetros
name= Seqüência| guid= guid
Necessário. Especifica o nome ou identificador global exclusivo (GUID) da ação de filtro a ser modificada.

[ newname=Seqüência]
Especifica o novo nome da ação de filtro.

[ description=Seqüência]
Fornece informações sobre a ação de filtro.

[ qmpfs={yes | no}]
Especifica se o sigilo total na transferência (PFS) de chave de sessão será ou não habilitado. Se yes for especificado, o novo material de chave mestre será negociado sempre que uma nova chave de sessão for necessária.

[ inpass={yes | no}]
Especifica se deve ser permitido que um pacote de entrada que corresponda à lista de filtros configurados fique sem proteção, mas exija comunicação protegida por IPSec durante a resposta.

[ soft={yes | no}]
Especifica se deverão ser usadas comunicações sem segurança em outros computadores que não ofereçam suporte a IPSec ou quando ocorrerem falhas nas negociações de IPSec com um computador com suporte a IPSec.

[ action={permit | block | negotiate}]
Especifica se deve ser permitido o tráfego sem negociar a segurança IP. Se permit for especificado, o tráfego será transmitido ou recebido sem que a segurança IP seja negociada ou aplicada. Se block for especificado, o tráfego será bloqueado. Se negotiate for especificado, a segurança IP será usada, com a lista especificada de métodos de segurança.

[ qmsecmethods="Neg1Neg2"]
Especifica um ou mais métodos de segurança, separados por espaços e definidos pelo seguinte formato:

{ESP [ConfAlg,AuthAlg]:k/s | AH [HashAlg]:k/s | AH [HashAlg+ESPConfAlg,AuthAlg]:k/s}]

Onde:

ConfAlg
Especifica o algoritmo de criptografia. ConfigAlg pode ser DES (padrão de criptografia de dados), 3DES ou none.

AuthAlg
Especifica o algoritmo de integridade. AuthAlg pode ser MD5 (Message Digest 5), SHA1 (Secure Hash Algorithm 1) ou none.

HashAlg
Especifica a função de hash. HashAlg pode ser MD5 (Message Digest 5) ou SHA1 (Secure Hash Algorithm 1).

k
Especifica a vida útil da chave da sessão em quilobytes. Depois que um número especificado de quilobytes de dados for transferido, uma nova chave de sessão para a autoridade de segurança de modo rápido é gerada. O valor padrão é 100.000 quilobytes.

s
Especifica a vida útil da chave da sessão em segundos. O valor padrão é 3600 segundos.

Comentários
  • Se você especificar um novo nome para a ação de filtro, não use o nome all. Se você fizer isso, criará um conflito com a opção netsh ipsec para selecionar todas as ações de filtro IPSec (por exemplo, delete filteraction all).

  • Se action=permit ouaction=block for especificado, não defina qmpfs=yes, inpass=yes ou soft=yes.

  • A regeneração da chave da sessão terá início com base em qualquer intervalo, seja em segundos ou quilobytes, que for atingido primeiro. Se você não configurar novos intervalos, serão usados os intervalos padrão.

  • Se qmsecmethods= (métodos de segurança de modo rápido) não forem especificados anteriormente para esta ação de filtro, os seguintes valores padrão serão usados:

    • ESP [3DES, SHA1]:100000s/3600k

    • ESP [3DES, MD5]:100000s/3600k

  • A ordem de preferência de cada método de segurança de modo rápido é determinada pela ordem na qual foi especificado no comando.

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

set filterlist

Modifica uma lista de filtro.

Sintaxe

set filterlist name= [newname=] [description=]

Parâmetros
name= Seqüência
Necessário. Especifica o nome da lista de filtros a ser modificada.

[ newname=Seqüência]
Especifica o novo nome da lista de filtro.

[ description=Seqüência]
Fornece informações sobre a lista de filtros.

Comentários
  • Se você especificar um novo nome para a lista de filtro, não use o nome all. Se você fizer isso, criará um conflito com a opção netsh ipsec para selecionar todas as listas de filtros IPSec (por exemplo, delete filterlist all).

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

set policy

Modifica uma diretiva IPSec.

Sintaxe

set policy name= newname= [description=][mmpfs=][qmpermm=] [mmlifetime=][activatedefaultrule=][pollinginterval=][assign=][gponame=][mmsecmethods=]

Parâmetros
name= Seqüência| guid=guid
Necessário. Especifica o nome ou o GUID da diretiva IPSec a ser modificada.

newname= Seqüência
Necessário. Especifica o novo nome da diretiva IPSec.

[ description=Seqüência]
Fornece informações sobre a diretiva IPSec.

[ mmpfs={yes | no}]
Especifica se o sigilo total na transferência (PFS) de chave mestre deverá ou não ser habilitado. Se yes for especificado, as autoridades de segurança de modo principal são autenticadas novamente e o novo material de chave da chave mestra é negociado toda vez que o material da chave de sessão de uma autoridade de segurança de modo principal for necessária.

[ qmpermm=Inteiro]
Especifica quantas vezes o material de chave mestre poderá ser usado para originar a chave da sessão.

[ mmlifetime=Inteiro]
Especifica depois de quantos minutos será gerada uma nova chave mestre.

[ activatedefaultrule={yes | no}]
Especifica se a regra de resposta padrão deverá ser ativada para essa diretiva IPSec.

[ pollinginterval=Inteiro]
Especifica com que freqüência a IPSec verifica se há necessidade de alterações nessa diretiva. O valor padrão é 180 minutos.

[ assign={yes | no}]
Especifica se esta diretiva IPSec será atribuída.

[ gponame=Seqüência]
Especifica o nome do objeto de Diretiva de Grupo ao qual a diretiva IPSec ativa está atribuída. Este parâmetro é aplicável somente se você estiver configurando uma diretiva para um computador que seja membro do domínio do Active Directory.

[ mmsecmethods="SecMeth1SecMeth2"]
Especifica um ou mais métodos de segurança de troca de chaves, separados por espaços e definidos pelo seguinte formato: ConfAlg-HashAlg-GroupNumb, onde:

ConfAlg
Especifica o algoritmo de criptografia. ConfAlg pode ser DES (padrão de criptografia de dados) ou 3DES.

HashAlg
Especifica a função de hash. HashAlg pode ser MD5 (Message Digest 5) ou SHA1 (Secure Hash Algorithm 1).

GroupNum
Especifica o grupo Diffie-Hellman a ser usado para o material de chave básico GroupNumb pode ser: 1 (baixo, protege com 768 bits de material de chave), 2 (médio, protege com 1.024 bits) e 3 (alto, protege como 2.048 bits).

Comentários
  • Se especificar um novo nome para a diretiva, não use o nome all. Se você fizer isso, criará um conflito com a opção netsh ipsec para selecionar todas as diretivas IPSec (por exemplo, delete policy all).

  • Se set store=domain for especificado (quando a diretiva IPSec for armazenada no Active Directory), assign não tem efeito.

  • Se mmpfs=yes for especificado (o PFS de chave mestre será habilitado), por padrão qmperm será definido como 1 e não poderá ser configurado, porque cada nova sessão fará com que o material de chave mestre seja renegociado.

  • Os computadores IPSec deverão ter, pelo menos, um método de segurança de troca de chaves em comum (um método que utilize as mesmas configurações), caso contrário as negociações não terão êxito.

  • Você só poderá especificar o nome de um objeto de Diretiva de Grupo se set store=domain.

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

set rule

Modifica uma regra em uma diretiva IPSec.

Sintaxe

set rule name= | ID=policy= [newname=][description=][filterlist=] [filteraction=] [tunnel=][conntype=] [activate=][kerberos=][psk=][rootca=]

Parâmetros
name= Seqüência| ID=Integer
Necessário. Especifica o nome ou a identificação (o número que identifica a posição da regra na lista de regras de diretiva) da regra a ser modificada.

policy= Seqüência
Necessário. Especifica o nome da diretiva IPSec que contém esta regra.

[ newname=Seqüência]
Especifica o novo nome da regra.

[ description=Seqüência]
Fornece informações sobre a regra.

[ filterlist=Seqüência
Especifica o nome da lista de filtros IP desta regra.

[ filteraction=Seqüência
Especifica o nome da ação de filtro desta regra.

[ tunnel={Endereço_IP | Nome_DNS}]
Especifica o endereço IP ou o nome DNS da extremidade do encapsulamento referente ao modo de encapsulamento.

[ conntype={lan | dialup | all}]
Especifica se a regra se aplica somente a conexões dial-up ou de acesso remoto, a conexões de rede local (LAN) ou a todas as conexões.

[ activate={yes | no}]
Especifica se esta regra deve ser ativada para a diretiva IPSec especificada.

[ kerberos={yes | no}]
Especifica se o protocolo Kerberos V5 deve ser usado como método de autenticação.

[ psk=Seqüência]
Especifica a seqüência a ser usada na chave pré-compartilhada, caso uma chave pré-compartilhada seja usada como método de autenticação.

[ rootca="Seqüênciacertmap:{ yes| no} excludecaname:{ yes| no} "]
Especifica as opções de autenticação de certificado, onde:

Seqüência
Especifica o nome distinto do certificado, caso um certificado seja usado como método de autenticação.

certmap:{ yes|no}
Especifica se o mapeamento de certificado para conta deve ser habilitado. Você pode habilitar o mapeamento certificado para conta para verificar se o certificado está sendo usado por um computador confiável.

excludecaname:{ yes|no}
Especifica se deverá ser excluída da solicitação de certificado a lista de nomes de autoridades de certificação raiz confiáveis com base nos quais um certificado é aceito.

Comentários
  • Você só poderá usar a autenticação por meio do protocolo Kerberos V5 ou o mapeamento de certificado para conta para os computadores que participarem de um domínio do Active Directory.

  • Embora só possa usar uma chave pré-compartilhada para autenticação, você poderá usar vários certificados especificando o parâmetro rootca uma vez, para cada certificado que deseja usar.

  • Todos os parâmetros de autenticação de certificado devem ser colocados entre aspas. As aspas internas devem ser substituídas por uma barra invertida antecedidas de um apóstrofo (\').

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

  • A ordem de precedência de cada método de autenticação é determinada pela ordem especificada no comando.

  • Se nenhum método de autenticação for especificado, serão usados métodos padrão dinâmicos. Por padrão, as diretivas IPSec usam a autenticação Kerberos V5. Se o computador tiver um certificado de computador, qualquer autoridade de certificação raiz ao qual o certificado de computador esteja encadeado também é usada para autenticação.

  • Se excludecaname:yes for especificado, a lista de autoridades de certificação raiz confiáveis não será enviada como parte da solicitação de certificado, o que impedirá a possível revelação de informações confidenciais sobre as relações de confiança de um computador. Para aprimorar a segurança referente a computadores conectados à Internet, especifique esta opção.

  • O uso da autenticação de chave pré-compartilhada não é recomendável porque é um método de autenticação relativamente fraco. Além disso, as chaves pré-compartilhadas são armazenadas em texto sem formatação.

  • Os computadores IPSec devem ter, pelo menos, um método de autenticação em comum; caso contrário, a comunicação não será bem-sucedida.

  • A modificação dos métodos de autenticação substituirá todos os métodos de autenticação anteriores, mesmo se esse métodos forem diferentes. Por exemplo, se kerberos=yes e psk=yes tiverem sido especificados anteriormente e você especificar kerberos=no, o parâmetro psk=yes também será substituído e a autenticação de chave pré-compartilhada não será mais usada.

set store

Define o local de armazenamento da diretiva IPSec atual.

Sintaxe

set store location= [domain=]

Parâmetros
location={local | persistent | domain}
Necessário. Especifica o local de armazenamento da diretiva IPSec.

[ domain=]
Especifica o nome do domínio no qual a diretiva IPSec é armazenada, se a diretiva for armazenada no Active Directory (quando location=domain for especificado).

Comentários
  • O comando set store funciona somente do ambiente do netsh, ou seja:

    • Se você executa este comando do prompt de comando para o contexto netsh ipsec).

    • Se você executa um arquivo em lotes usando o comando netsh.exe.

  • O armazenamento persistente contém diretivas IPSec que podem ser atribuídas para proteger o computador na inicialização, antes que a diretiva local ou a diretiva baseada em domínio seja aplicada. Uma diretiva IPSec persistente fornece segurança no caso de falha porque ela permanece em efeito independentemente da diretiva local ou da diretiva baseada em domínio ser aplicada ou não (por exemplo, uma diretiva IPSec pode não ser aplicada se for corrompida). Para segurança aprimorada, é recomendável que você crie e atribua uma diretiva persistente.

  • O armazenamento local contém diretivas IPSec que podem ser atribuídas para proteger este computador. Se uma diretiva de domínio estiver disponível, ela é aplicada em vez da diretiva local.

  • O armazenamento de domínio contém diretivas IPSec que podem ser atribuídas a grupos protegidos de computador em um domínio.

  • É recomendável que a diretiva persistente seja a mais restritita de todas as diretivas. As diretivas de domínio e locais devem complementar as diretivas persistentes.

  • Use o comando set machine para configurar um computador remoto.

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

show all

Exclui informações sobre configuração para todas as diretivas IPSec, regras, listas de filtros e ações de filtro.

Sintaxe

show all [format=] [wide=]

Parâmetros
[ format={list | table}]
Especifica se as informações sobre configuração de IPSec deverão ser exibidas no formato de tela ou delimitado por tabulações. O valor padrão é list, indicando que a saída será exibida no formato de tela.

[ wide={yes | no}]
Especifica se será permitido que as informações sobre configuração de IPSec ultrapassem a largura da tela de 80 caracteres. O valor padrão é no, indicando que a exibição das informações sobre configuração está limitada ao tamanho da tela.

Comentários
  • Como o comando show all poderá gerar uma saída longa, de rolagem rápida, é aconselhável salvar a saída em um arquivo de texto, a menos que você só necessite ver partes limitadas dela.

    Para salvar a saída em um arquivo de texto referente ao comando show all, siga um destes procedimentos:

    Se você estiver no ambiente de netsh (netsh>)

    1. No prompt netsh, digite:

      set file open Nome_do_Arquivo.txt

    2. Em seguida, digite:

      ipsec static show all

    3. Para interromper o envio da saída e fechar o arquivo, digite:

      set file close

    Se não estiver no ambiente de netsh

    • No prompt de comando, digite:

      netsh ipsec static show all >Nome_do_Arquivo.txt

  • Para interromper a saída das informações sobre configuração de IPSec, você deverá sair do programa Netsh seguindo um destes procedimentos:

    • Feche a janela do programa Netsh clicando no ícone X no canto superior direito da janela.

    • Use o Gerenciador de Tarefas para finalizar o programa Netsh.

show filteraction

Exibe informações sobre a configuração de uma ou mais ações de filtro.

Sintaxe

show filteraction name= | rule= | all [level=][format=] [wide=]

Parâmetros
name= Seqüência| rule=Seqüência| all
Necessário. Especifica uma ou mais açõe de filtro para as quais as informações sobre configuração devem ser exibidas. Sename for especificado, a ação de filtro com o nome especificado é exibida. Serule for especificado, todas as ações de filtro associadas à regra especificada são exibidas. Se all for especificado, todas as ações de filtro são exibidas.

[ level={verbose | normal}]
Especifica o nível de informações a ser exibido. Se verbose for especificado, as informações sobre os métodos de segurança, o local do armazenamento de diretivas e a indicação de que o sigilo total na transferência de chave está habilitado são exibidos, além das informações básicas sobre a ação de filtro. O valor padrão é normal.

[ format={list | table}]
Especifica se as informações sobre configuração de IPSec deverão ser exibidas no formato de tela ou delimitado por tabulações. O valor padrão é list, indicando que a saída será exibida no formato de tela.

[ wide={yes | no}]
Especifica se será permitido que as informações sobre configuração de IPSec ultrapassem a largura da tela de 80 caracteres. O valor padrão é no, indicando que a exibição das informações sobre configuração está limitada ao tamanho da tela.

Comentários
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

  • Como o comando show filteraction poderá gerar uma saída longa, de rolagem rápida, é aconselhável salvar a saída em um arquivo de texto, a menos que você só necessite ver partes limitadas dela.

    Para salvar a saída em um arquivo de texto referente ao comando show filteraction, siga um destes procedimentos:

    Se você estiver no ambiente de netsh (netsh>)

    1. No prompt netsh, digite:

      set file open Nome_do_Arquivo.txt

    2. Em seguida, digite:

      ipsec static show filteractionNome | Regra | all [level=verbose | normal]

    3. Para interromper o envio da saída e fechar o arquivo, digite:

      set file close

    Se não estiver no ambiente de netsh

    • No prompt de comando, digite:

      netsh ipsec static show filteractionNome | Regra | all [level=verbose | normal] >Nome_do_Arquivo.txt

  • Para interromper a saída das informações sobre configuração de IPSec, você deverá sair do programa Netsh seguindo um destes procedimentos:

    • Feche a janela do programa Netsh clicando no ícone X no canto superior direito da janela.

    • Use o Gerenciador de Tarefas para finalizar o programa Netsh.

show filterlist

Exibe informações sobre a configuração de uma ou mais listas de filtro.

Sintaxe

show filterlist name= | rule= | all [level=][format=][resolvedns=] [wide=]

Parâmetros
name= Seqüência| rule=Seqüência| all
Necessário. Especifica uma ou mais listas de filtro a serem exibidas. Sename for especificado, a lista de filtro com o nome especificado é exibida. Serule for especificado, todas as listas de filtro associadas à regra especificada são exibidas. Se all for especificado, todas as listas de filtro são exibidas.

[ level={verbose | normal}]
Especifica o nível de informações a ser exibido. Se verbose for especificado, a origem, o destino e o tipo de tráfego IP definido por cada filtro serão exibidos, além das informações básicas sobre a lista de filtros. O valor padrão é normal.

[ format={list | table}]
Especifica se as informações sobre configuração de IPSec deverão ser exibidas no formato de tela ou delimitado por tabulações. O valor padrão é list, indicando que a saída será exibida no formato de tela.

[ resolvedns={yes | no}]
Especifica se o nome do sistema de nomes de domínios (DNS) ou o nome NETBIOS do computador será resolvido com um endereço IP quando forem exibidas origens ou destinos. Se for especificado yes, level também deverá ser definido como verbose, caso contrário os nomes DNS não serão exibidos. O valor padrão é no.

[ wide={yes | no}]
Especifica se será permitido que as informações sobre configuração de IPSec ultrapassem a largura da tela de 80 caracteres. O valor padrão é no, indicando que a exibição das informações sobre configuração está limitada ao tamanho da tela.

Comentários
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

  • Como o comando show filterlist poderá gerar uma saída longa, de rolagem rápida, é aconselhável salvar a saída em um arquivo de texto, a menos que você só necessite ver partes limitadas dela.

    Para salvar a saída em um arquivo de texto referente ao comando show all, siga um destes procedimentos:

    Se você estiver no ambiente de netsh (netsh>)

    1. No prompt netsh, digite:

      set file open Nome_do_Arquivo.txt

    2. Em seguida, digite:

      ipsec static show filterlistNome | regra | all [level=verbose | normal][resolvedns=yes | no

    3. Para interromper o envio da saída e fechar o arquivo, digite:

      set file close

    Se não estiver no ambiente de netsh

    • No prompt de comando, digite:

      netsh ipsec static show filterlistNome | regra | all [level=verbose | normal][resolvedns=yes | no >Nome_do_Arquivo.txt

  • Para interromper a saída das informações sobre configuração de IPSec, você deverá sair do programa Netsh seguindo um destes procedimentos:

    • Feche a janela do programa Netsh clicando no ícone X no canto superior direito da janela.

    • Use o Gerenciador de Tarefas para finalizar o programa Netsh.

show gpoassignedpolicy

Exibe informações sobre configuração para a diretiva IPSec ativa atribuída ao objeto de Diretiva de Grupo especificado.

Sintaxe

show gpoassignedpolicy [name= ]

Parâmetros
[ name=Seqüência]
Especifica o nome do objeto de Diretiva de Grupo ao qual a diretiva IPSec ativa está atribuída. Se nenhum nome for especificado, a diretiva IPSec local será exibida.

Comentários
  • Você só poderá especificar o nome de um objeto de Diretiva de Grupo se set store=domain.

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

    Para salvar a saída em um arquivo de texto referente ao comando how gpossignedpolicy, siga um destes procedimentos:

    Se você estiver no ambiente de netsh (netsh>)

    1. No prompt netsh, digite:

      set file open Nome_do_Arquivo.txt

    2. Em seguida, digite:

      ipsec static show gpoassignedpolicy [Nome]

    3. Para interromper o envio da saída e fechar o arquivo, digite:

      set file close

    Se não estiver no ambiente de netsh

    • No prompt de comando, digite:

      netsh ipsec static show gpoassignedpolicy [Nome] >Nome_do_Arquivo.txt

show policy

Exibe informações sobre a configuração da diretiva IPSec especificada ou de todas as diretivas IPSec.

Sintaxe

show policy name= | all [level=] [format=] [wide=]

Parâmetros
name= Seqüência| all
Necessário. Especifica o nome da diretiva IPSec a ser exibida ou, se all for especificado, que todas as diretivas IPSec são exibidas.

[ level={verbose | normal}]
Especifica o nível de informações a ser exibido. Se verbose for especificado, os métodos de segurança e o método de autenticação são exibidos, além das informações sobre as ações e regras de filtro. O valor padrão é normal.

[ format={list | table}]
Especifica se as informações sobre configuração de IPSec deverão ser exibidas no formato de tela ou delimitado por tabulações. O valor padrão é list, indicando que a saída será exibida no formato de tela.

[ wide={yes | no}]
Especifica se será permitido que as informações sobre configuração de IPSec ultrapassem a largura da tela de 80 caracteres. O valor padrão é no, indicando que a exibição das informações sobre configuração está limitada ao tamanho da tela.

Comentários
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

  • Como o comando show policy poderá gerar uma saída longa, de rolagem rápida, é aconselhável salvar a saída em um arquivo de texto, a menos que você só necessite ver partes limitadas dela.

    Para salvar a saída em um arquivo de texto referente ao comando show policy, siga um destes procedimentos:

    Se você estiver no ambiente de netsh (netsh>)

    1. No prompt netsh, digite:

      set file open Nome_do_Arquivo.txt

    2. Em seguida, digite:

      ipsec static show policyNome | all >Nome_do_Arquivo.txt

    3. Para interromper o envio da saída e fechar o arquivo, digite:

      set file close

    Se não estiver no ambiente de netsh

    • No prompt de comando, digite:

      netsh ipsec static show policyNome | all >Nome_do_Arquivo.txt

  • Para interromper a saída das informações sobre configuração de IPSec, você deverá sair do programa Netsh seguindo um destes procedimentos:

    • Feche a janela do programa Netsh clicando no ícone X no canto superior direito da janela.

    • Use o Gerenciador de Tarefas para finalizar o programa Netsh.

show rule

Exibe informações sobre configuração para uma regra de uma diretiva especificada ou para todas as regras de uma diretiva especificada.

Sintaxe

show rule name= | ID= | all | defaultpolicy= [type=][level=][format=] [wide=]

Parâmetros
name={Seqüência | ID=Inteiro | all | default}
Necessário. Especifica uma ou mais regras a serem exibidas. Se o nome da regra ou a identificação da regra (o número que identifica a posição da regra na lista de regras da diretiva) for especificado, a regra correspondente é exibida. Se all for especificado, todas as regras da diretiva especificada são exibidas. Se default for especificado, a regra de resposta padrão é exibida.

policy= Seqüência
Necessário. Especifica o nome da diretiva para a qual a regra especificada, ou todas as regras, é exibida.

[ type={transport | tunnel}]
Especifica se todas as regras de transporte ou todas as regras de encapsulamento serão exibidas. O valor padrão é exibir todas as regras.

[ level={verbose | normal}]
Especifica o nível de informações a ser exibido. Se verbose for especificado, as informações sobre as ações de filtro associadas são exibidas, além das informações básicas sobre a regra. O valor padrão é normal.

[ format={list | table}]
Especifica se as informações sobre configuração de IPSec deverão ser exibidas no formato de tela ou delimitado por tabulações. O valor padrão é list, indicando que a saída será exibida no formato de tela.

[ wide={yes | no}]
Especifica se será permitido que as informações sobre configuração de IPSec ultrapassem a largura da tela de 80 caracteres. O valor padrão é no, indicando que a exibição das informações sobre configuração está limitada ao tamanho da tela.

Comentários
  • Se você usar o parâmetro type, você deve também usar o parâmetro all (você deve especificar show rule all).

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

  • Como o comando show rule poderá gerar uma saída longa, de rolagem rápida, é aconselhável salvar a saída em um arquivo de texto, a menos que você só necessite ver partes limitadas dela.

    Para salvar a saída em um arquivo de texto referente ao comando show rule, siga um destes procedimentos:

    Se você estiver no ambiente de netsh (netsh>)

    1. No prompt netsh, digite:

      set file open Nome_do_Arquivo.txt

    2. Em seguida, digite:

      ipsec static show ruleNome | ID | all | defaultDiretiva [level=verbose | normal]

    3. Para interromper o envio da saída e fechar o arquivo, digite:

      set file close

    Se não estiver no ambiente de netsh

    • No prompt de comando, digite:

      netsh ipsec static show ruleNome | ID | all | defaultDiretiva [level=verbose | normal] >Nome_do_Arquivo.txt

  • Para interromper a saída das informações sobre configuração de IPSec, você deverá sair do programa Netsh seguindo um destes procedimentos:

    • Feche a janela do programa Netsh clicando no ícone X no canto superior direito da janela.

    • Use o Gerenciador de Tarefas para finalizar o programa Netsh.

Netsh ipsec dynamic

Os comandos a seguir estão disponíveis no prompt ipsec dynamic >, com raiz no ambiente netsh.

Para exibir a sintaxe, clique em um comando:

add mmpolicy

Cria uma diretiva de modo principal do IPSec com o nome especificado e a adiciona ao banco de dados de diretivas de segurança (SPD).

Sintaxe

add mmpolicy name= [qmpermm=] [mmlifetime=][softsaexpirationtime=][mmsecmethods=]

Parâmetros
name= Seqüência
Necessário. Especifica o nome da diretiva IPSec a ser criada.

[ qmpermm=Inteiro]
Especifica quantas vezes o material de chave mestre poderá ser usado para originar a chave da sessão. O valor padrão é 0, indicando que um número ilimitado de associações de segurança de modo rápido pode ser derivado da associação de segurança de modo principal.

[ mmlifetime=Inteiro]
Especifica depois de quantos minutos será gerada uma nova chave mestre. O valor padrão é 480 minutos.

[ softsaexpirationtime=Inteiro]
Especifica depois de quantos minutos uma associação de segurança não protegida expirará. O valor padrão é 480 minutos.

[ mmsecmethods="SecMeth1SecMeth2"]
Especifica um ou mais métodos de segurança de troca de chaves, separados por espaços e definidos pelo seguinte formato: ConfAlg-HashAlg-GroupNumb, onde:

ConfAlg
Especifica o algoritmo de criptografia. ConfAlg pode ser DES ou 3DES.

HashAlg
Especifica a função de hash. HashAlg pode ser MD5 ou SHA1.

GroupNum
Especifica o grupo Diffie-Hellman a ser usado para o material de chave básico GroupNumb pode ser: 1 (baixo, protege com 768 bits de material de chave), 2 (médio, protege com 1.024 bits) e 3 (alto, protege como 2.048 bits).

Comentários
  • Não crie uma diretiva de modo principal com o nome all. Se você fizer isso, criará um conflito com a opção netsh ipsec para selecionar todas as diretivas IPSec de modo principal (por exemplo, delete mmpolicy all).

  • Se o número de negociações de modo rápido exceder o valor definido para o número de negociações de modo rápido por negociação de modo principal durante a vida útil do modo principal, um novo modo de negociação principal ocorre.

  • Se você não especificar mmsecmethods= (métodos de segurança de troca de chaves), serão usados os seguintes valores padrão:

    • 3DES-SHA1-2

    • 3DES-MD5-2

    • 3DES-SHA1-3

  • Os computadores IPSec deverão ter, pelo menos, um método de segurança de troca de chaves em comum (um método que utilize as mesmas configurações), caso contrário as negociações não terão êxito.

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

add qmpolicy

Cria uma diretiva de modo rápido IPSec com o nome especificado e a adiciona ao SPD.

Sintaxe

add qmpolicy name= [soft=][pfsgroup=][qmsecmethods=]

Parâmetros
name= Seqüência
Necessário. Especifica o nome da diretiva IPSec de modo rápido a ser criada.

[ soft={yes | no}]
Especifica se deverão ser usadas comunicações sem segurança em outros computadores que não ofereçam suporte a IPSec ou quando ocorrerem falhas nas negociações de IPSec com um computador com suporte a IPSec. O valor padrão é no.

[ pfsgroup={grp1 | grp2 | grp3 | grpmm | nopfs}]
Especifica o grupo Diffie-Hellman a ser usado para o sigilo total na transferência de chave de sessão. Se for especificado grp1, será usado Grupo 1 (baixo). Se for especificado grp2 , será usado Grupo 2 (médio). Se for especificado grp3, será usado Grupo 2048 (alto). Se for especificado grpmm, o valor do grupo será retirado das configurações de modo principal atuais. O valor padrão é nopfs, indicando que o sigilo total na transferência de chave de sessão está desabilitado.

[ qmsecmethods="Neg1Neg2"]
Especifica um ou mais métodos de segurança, separados por espaços e definidos pelo seguinte formato:

{ESP [ConfAlg,AuthAlg]:k/s | AH [HashAlg]:k/s | AH [HashAlg+ESPConfAlg,AuthAlg]:k/s}]

Onde:

ConfAlg
Especifica o algoritmo de criptografia. ConfigAlg pode ser DES (padrão de criptografia de dados), 3DES ou none.

AuthAlg
Especifica o algoritmo de integridade. AuthAlg pode ser MD5 (Message Digest 5), SHA1 (Secure Hash Algorithm 1) ou none.

HashAlg
Especifica a função de hash. HashAlg pode ser MD5 (Message Digest 5) ou SHA1 (Secure Hash Algorithm 1).

k
Especifica a vida útil da chave da sessão em quilobytes. Depois que um número especificado de quilobytes de dados for transferido, uma nova chave de sessão para a autoridade de segurança de modo rápido é gerada. O valor padrão é 100.000 quilobytes.

s
Especifica a vida útil da chave da sessão em segundos. O valor padrão é 3600 segundos.

Comentários
  • Não crie uma diretiva de modo rápido com o nome all. Se você fizer isso, criará um conflito com a opção netsh ipsec para selecionar todas as diretivas IPSec de modo rápido (por exemplo, delete qmpolicy all).

  • Se você não especificar qmsecmethods= (métodos de segurança de modo rápido), os seguintes valores padrão serão usados:

    • ESP [3DES, SHA1]100000k/3600s

    • ESP [3DES, MD5]100000k/3600s

  • ConfAlg e AuthAlg não podem ser definidos como none.

  • Os pontos IPSec devem ter o mesmo pfsgroup habilitado (isto é, os dois pontos devem usar o mesmo grupo Diffie-Hellman para PFS de chave de sessão) ou a comunicação falhará.

  • Para uma melhor segurança, não use o Grupo Diffie-Hellman 1. Para obter a segurança máxima, use o Grupo 2048 sempre que possível. Use o grupo 2 quando necessário para fins de interoperabilidade com o Windows 2000 e o Windows XP.

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

add rule

Cria uma regra IPSec com a diretiva de modo principal e a diretiva de modo rápido especificadas e a adiciona ao SPD.

Sintaxe

add rule srcaddr= dstaddr= mmpolicy=[qmpolicy=][protocol=][srcport=][dstport=][mirrored=][conntype=][actioninbound=][actionoutbound=][srcmask=][dstmask=][tunneldstaddress=][kerberos=][psk=][rootca=]

Parâmetros
srcaddr={Me | Any | Endereço_IP | Nome_DNS | Tipo_de_Servidor}
Necessário. Especifica o endereço IP de origem, o nome DNS ou o tipo de servidor do tráfego IP. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

dstaddr={Me | Any |Endereço_IP | Nome_DNS | Tipo_de_Servidor}
Necessário. Especifica o endereço IP de destino, o nome DNS ou o tipo de servidor do tráfego IP. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

mmpolicy= Seqüência
Necessário. Especifica o nome da diretiva de modo principal.

[ qmpolicy=]Seqüência
Especifica o nome da diretiva de modo rápido. Necessário se actioninbound=negotiate ou actionoutbound=negotiate for especificado.

[ protocol={ANY | ICMP |TCP| UDP | RAW | Inteiro }]
Especifica o protocolo IP se, além das informações sobre endereçamento, você desejar filtrar um protocolo IP específico. O valor padrão é ANY, indicando que todos os protocolos serão usados para o filtro.

[ srcport=Porta]
Especifica o número da porta de origem dos pacotes a serem filtrados. Essa opção somente será aplicável se você estiver filtrando pacotes TCP ou UDP. Se for especificado 0, serão filtrados os pacotes enviados de qualquer porta. O padrão é any.

[ dstport=Porta]
Especifica o número da porta de destino dos pacotes a serem filtrados. Essa opção somente será aplicável se você estiver filtrando pacotes TCP ou UDP. Se for especificado 0, serão filtrados os pacotes enviados para qualquer porta. O padrão é any.

[ mirrored={yes | no}]
Especifica se um filtro espelhado deve ou não ser criado. Use yes para criar dois filtros com base nas configurações de filtro — um para o tráfego para o destino e outro para o tráfego proveniente do destino O valor padrão é yes.

[ conntype={lan | dialup | all}]
Especifica se a regra se aplica somente a conexões dial-up ou de acesso remoto, a conexões de rede local (LAN) ou a todas as conexões. O valor padrão é all.

[ actioninbound={permit | block | negotiate}]
Especifica a ação que o IPSec deve tomar para o tráfego de entrada. Se for especificado permit , o tráfego será recebido sem que a segurança IP seja negociada ou aplicada. Se block for especificado, o tráfego será bloqueado. Se negotiate for especificado, a segurança IP será usada, com a lista especificada de métodos de segurança nas diretivas de modo principal de modo rápido. O valor padrão é negotiate.

[ actionoutbound={permit | block | negotiate}]
Especifica a ação que o IPSec deve tomar para o tráfego de saída. Se for especificado permit , o tráfego será enviado sem que a segurança IP seja negociada ou aplicada. Se block for especificado, o tráfego será bloqueado. Se negotiate for especificado, a segurança IP será usada, com a lista especificada de métodos de segurança nas diretivas de modo principal de modo rápido. O valor padrão é negotiate.

[ srcmask={Máscara | Prefixo}]
Especifica a máscara de sub-rede do endereço de origem ou o prefixo dos pacotes a serem filtrados. É possível especificar um valor de prefixo de 1 a 32. O valor padrão é a máscara de 255.255.255.255.

[ dstmask= {Máscara | Prefixo}]
Especifica a máscara de sub-rede do endereço de destino ou o valor do prefixo dos pacotes a serem filtrados. É possível especificar um valor de prefixo de 1 a 32. O valor padrão é a máscara de 255.255.255.255.

[ tunneldstaddress={Endereço_IP | Nome_DNS}]
Especifica se o tráfego será encapsulado e, em caso positivo, o endereço IP ou o nome DNS do destino do encapsulamento (o computador ou o gateway no outro lado do encapsulamento).

[ kerberos={yes | no}]
Especifica se o protocolo Kerberos V5 deve ser usado como método de autenticação.

[ psk=Seqüência]
Especifica a seqüência a ser usada na chave pré-compartilhada, caso uma chave pré-compartilhada seja usada como método de autenticação.

[ rootca="Seqüênciacertmap:{ yes| no} excludecaname:{ yes| no} "]
Especifica as opções de autenticação de certificado, onde:

Seqüência
Especifica o nome distinto do certificado, caso um certificado seja usado como método de autenticação.

certmap:{ yes|no}
Especifica se o mapeamento de certificado para conta deve ser habilitado. Você pode habilitar o mapeamento certificado para conta para verificar se o certificado está sendo usado por um computador confiável.

excludecaname:{ yes| no}
Especifica se deverá ser excluída da solicitação de certificado a lista de nomes de autoridades de certificação raiz confiáveis com base nos quais um certificado é aceito.

Comentários
  • Não crie uma regra com o nome all. Se você fizer isso, criará um conflito com a opção netsh ipsec para selecionar todas as regras IPSec (por exemplo, delete rule all).

  • Se a ação de filtro para o tráfego de entrada e de saída (actioninbound e actionoutbound) for definida como Permit ou Block, não será necessário um filtro de modo rápido.

  • Se for especificada uma regra de encapsulamento, mirror deverá ser definido como no (por padrão, mirror é definido como yes). Em encapsulamentos IPSec, você deve criar duas regras -- uma regra descreve o tráfego a ser enviado pelo encapsulamento (tráfego de saída) e a outra descreve o tráfego a ser recebido pelo encapsulamento (de entrada). Depois, crie duas regras que usem as listas de filtros de entrada e de saída em sua diretiva.

  • Para filtrar quaisquer pacotes enviados de ou para o computador, você poderá usar srcaddr=Me ou dstaddr=Me.

  • Para filtrar os pacotes enviados de ou para qualquer computador, você poderá usar srcaddr=Any ou dstaddr=Any.

  • Você só poderá usar a autenticação por meio do protocolo Kerberos V5 ou o mapeamento de certificado para conta para os computadores que participarem de um domínio do Active Directory.

  • Embora só possa usar uma chave pré-compartilhada para autenticação, você poderá usar vários certificados especificando o parâmetro rootca uma vez, para cada certificado que deseja usar.

  • Todos os parâmetros de autenticação de certificado devem ser colocados entre aspas. As aspas internas devem ser substituídas por uma barra invertida antecedidas de um apóstrofo (\').

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

  • A ordem de precedência de cada método de autenticação é determinada pela ordem especificada no comando.

  • Se nenhum método de autenticação for especificado, serão usados métodos padrão dinâmicos. Por padrão, as diretivas IPSec usam a autenticação Kerberos V5. Se o computador tiver um certificado de computador, qualquer autoridade de certificação raiz ao qual o certificado de computador esteja encadeado também é usada para autenticação.

  • Se excludecaname:yes for especificado, a lista de autoridades de certificação raiz confiáveis não será enviada como parte da solicitação de certificado, o que impedirá a possível revelação de informações confidenciais sobre as relações de confiança de um computador. Para aprimorar a segurança referente a computadores conectados à Internet, especifique esta opção.

  • O uso da autenticação de chave pré-compartilhada não é recomendável porque é um método de autenticação relativamente fraco. Além disso, as chaves pré-compartilhadas são armazenadas em texto sem formatação.

  • Os computadores IPSec devem ter, pelo menos, um método de autenticação em comum; caso contrário, a comunicação não será bem-sucedida.

delete all

Exclui todas as diretivas IPSec, os filtros e os métodos de autenticação, se possível, do SPD.

Sintaxe

delete all

Parâmetros

Nenhum.

delete mmpolicy

Exclui a diretiva IPSec de modo principal especificada, ou todas as diretivas IPSec de modo principal, do SPD.

Sintaxe

delete mmpolicy name= | all

Parâmetros
name= Seqüência| all
Necessário. Especifica o nome da diretiva IPSec de modo principal a ser excluída. Se all for especificado, todas as diretivas IPSec de modo principal são excluídas.

Comentários
  • Se uma regra for associada à diretiva de modo principal, você deve excluí-la antes de excluir a diretiva.

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

delete qmpolicy

Exclui a diretiva IPSec de modo rápido especificada, ou todas as diretivas IPSec de modo rápido, do SPD.

Sintaxe

delete qmpolicy [name=] | [all]

Parâmetros
name= Seqüência| all
Necessário. Especifica o nome da diretiva IPSec de modo rápido a ser excluída. Se all for especificado, todas as diretivas IPSec de modo rápido são excluídas.

Comentários
  • Se uma regra for associada à diretiva de modo rápido, você deve excluí-la antes de excluir a diretiva.

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

delete rule

Exclui uma regra IPSec do SPD.

Sintaxe

delete rule srcaddr= dstaddr= protocol= srcport= dstport= mirrored= conntype=[srcmask=][dstmask=][tunneldstaddress=]

Parâmetros
srcaddr={Me | Any | Endereço_IP | Nome_DNS | Tipo_de_Servidor}
Necessário. Especifica o endereço IP de origem, o nome DNS ou o tipo de servidor do tráfego IP. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

dstaddr={Me | Any |Endereço_IP | Nome_DNS | Tipo_de_Servidor}
Necessário. Especifica o endereço IP de destino, o nome DNS ou o tipo de servidor do tráfego IP. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

protocol={ANY | ICMP |TCP| UDP | RAW | Inteiro }
Necessário. Especifica o protocolo IP usado para o filtro.

srcport= Porta
Necessário. Especifica o número da porta de origem dos pacotes que estão sendo filtrados. Essa opção somente será aplicável se você estiver filtrando pacotes TCP ou UDP. Um valor de 0 corresponde aos filtros definidos como uma porta de origem 0 ou any.

dstport= Porta
Necessário. Especifica o número da porta de destino dos pacotes que estão sendo filtrados. Essa opção somente será aplicável se você estiver filtrando pacotes TCP ou UDP. Um valor de 0 corresponde filtros definidos como uma porta de destino 0 ou any.

mirrored={yes | no}
Necessário. Especifica se a regra foi criada com filtros espelhados.

conntype={lan | dialup | all}
Necessário. Especifica se a regra a ser excluída se aplica somente a conexões dial-up ou de acesso remoto, a conexões de rede local (LAN) ou a todas as conexões.

[ srcmask={Máscara | Prefixo}]
Especifica a máscara de sub-rede do endereço de origem ou o prefixo dos pacotes que estão sendo filtrados. É possível especificar um valor de prefixo de 1 a 32. O valor padrão é a máscara de 255.255.255.255.

[ dstmask= {Máscara | Prefixo}]
Especifica a máscara de sub-rede do endereço de destino ou o valor do prefixo dos pacotes que estão sendo filtrados. É possível especificar um valor de prefixo de 1 a 32. O valor padrão é a máscara de 255.255.255.255.

[ tunneldstaddress={Endereço_IP | Nome_DNS}]
Especifica se o tráfego será encapsulado e, em caso positivo, o endereço IP ou o nome DNS do destino do encapsulamento (o computador ou o gateway no outro lado do encapsulamento).

Comentários
  • Para filtrar quaisquer pacotes enviados de ou para o computador, você poderá usar srcaddr=Me ou dstaddr=Me.

  • Para filtrar os pacotes enviados de ou para qualquer computador, você poderá usar srcaddr=Any ou dstaddr=Any.

set config

Cria ou modifica as seguintes configurações de IPSec: Diagnósticos de IPSec, isolamentos de tráfego padrão, verificação em alto grau da lista de certificados revogados (CRL), log de IKE (Oakley), intervalos de log, segurança de inicialização de computador e isolamentos de tráfego de inicialização de computador.

Sintaxe

set config [property=] [value=]

Parâmetros
[ property=]{ipsecdiagnostics value= | ipsecexempt value= | ipsecloginterval value= | ikelogging value= | strongcrlcheck value= | bootmode value= | bootexemptions value=}
Necessário. Especifica o nome da configuração IPSec a ser criada ou modificada e um valor para a configuração,

onde:

ipsecdiagnostics value={0 | 1 | 2 | 3 | 4 | 5 | 6 | 7}
Especifica se deseja habilitar o log de diagnóstico IPSec e, nesse caso, o nível de log a ser fornecido. O valor padrão é 0, indicando que o log está desabilitado. Se alterar o valor dessa configuração, você deverá reiniciar o computador para que o novo valor seja aplicado.

Você pode especificar outros valores como a seguir para habilitar diferentes níveis de log:

  • Quando 1 é especificado, os pacotes SPI inválidos (o número total de pacotes para os quais o SPI estava incorreto), as falhas de negociação IKE, as falhas no processamento de IPSec, os pacotes recebidos com sintaxe de pacote inválida e outros erros são registrados no log do sistema. Hashes não autenticados (com a exceção do evento "Limpar texto recebido quando devia estar protegido") também são registrados.

  • Quando 2 é especificado, os eventos de pacote de entrada ignorados são registrados no log do sistema.

  • Quando for especificado 3, o log de nível 1 e o de nível 2 serão executados. Além disso, eventos de texto limpos não esperados (eventos enviados ou recebidos em texto simples) também são registrados.

  • Quando 4 é especificado, os eventos de pacote de saída ignorados são registrados no log do sistema.

  • Quando for especificado 5, o log de nível 1 e o de nível 4 serão executados.

  • Quando for especificado 6, o log de nível 2 e o de nível 4 serão executados.

  • Quando 7 for especificado, todos os níveis do registro são executados.

ipsecexempt value={ 0 | 1 | 2 | 3}
Especifica se deseja modificar a isenção de tráfego de IPSec padrão (tráfego que não corresponde aos filtros IPSec, mas que é permitido). O valor padrão é 3, indicando que somente o tráfego de IKE é isento da filtragem de IPSec. Se alterar o valor dessa configuração, você deverá reiniciar o computador para que o novo valor seja aplicado.

Você pode especificar outros valores como a seguir:

  • Se 0 for especificado, o tráfego de multicast, de difusão, de RSVP, de Kerberos e de IKE são isentos da filtragem IPSec.

  • Se 1 for especificado, o tráfego de Kerberos e de RSVP não são isentos da filtragem IPSec (o tráfego de multicast, difusão e de IKE são isentos).

  • Se 2 for especificado, o tráfego de multicast e de difusão não são isentos da filtragem IPSec (o tráfego de RSVP, de Kerberos e de IKE são isentos).

ipsecloginterval value={Inteiro}
Especifica o intervalo, em segundos, depois do qual os logs de evento do IPSec são enviados para o log do sistema. Para Inteiro, os valores válidos variam de 60 a 86400. O valor padrão é 3600. Se alterar o valor dessa configuração, você deverá reiniciar o computador para que o novo valor seja aplicado.

ikelogging value={0 | 1}
Especifica se o log de IKE (Oakley) será habilitado para gerar detalhes sobre o processo de estabelecimento da autoridade de segurança. O valor padrão é 0, indicando que o log de IKE está desabilitado.

strongcrlcheck value={ 0 | 1 | 2}
Especifica o nível de verificação de CRL a ser usado. Se 0 for especificado, a verificação de CRL será desabilitada. Se 1 for especificado, a verificação de CRL padrão será usada, e a validação do certificado falhará somente se o certificado tiver que ser revogado. Se 2 for especificado, a verificação de CRL forte será usada, e a validação do certificado falhará se ocorrer algum erro na verificação de CRL. O valor padrão é 1.

bootmode value={stateful | block | permit}
Especifica a ação que o IPSec deve tomar quando o computador é iniciado. Se stateful for especificado, somente este tráfego é permitido durante a inicialização do computador: o tráfego de saída iniciado pelo computador durante a inicialização, o tráfego de entrada enviado em resposta ao tráfego de saída e o tráfego DHCP. Se block for especificado, todo o tráfego de entrada e de saída será bloqueado até que uma diretiva IPSec local ou uma diretiva IPSec baseada em domínio seja aplicada. Se permit for especificado, todo o tráfego é transmitido e recebido. O valor padrão é stateful. Se usa a filtragem monitorada ou se especificar que o tráfego deve ser bloqueado durante a reinicialização do computador, você também pode usar o parâmetro bootexemptions para especificar os tipos de tráfego que deseja desconsiderar da filtragem IPSec durante a inicialização do computador.

Se alterar o valor dessa configuração, você deverá reiniciar o computador para que o novo valor seja aplicado.

bootexemptions value=Isenção_1Isenção_2
Especifica uma ou mais isenções de tráfego de IPSec da segurança da inicialização, separadas por espaços e definidas pelo seguinte formato para o tráfego TCP e UDP: protocol:srcport:dstport:direction e o seguinte formato para tráfego não TCP/UDP: protocol:direction, onde:

protocolo={ ICMP| TCP| UDP| RAW| Inteiro }
Especifica o tipo de protocolo IP a ser desconsiderado da filtragem de IPSec durante a inicialização do computador.

srcport=Porta
Especifica o número da porta de origem dos pacotes a serem desconsiderados da filtragem de IPSec durante a inicialização do computador. Um valor 0 indica que qualquer porta de origem é desconsiderada.

dstport=Porta
Especifica o número da porta de destino dos pacotes a serem desconsiderados da filtragem de IPSec durante a inicialização do computador. Um valor 0 indica que qualquer porta de destino é desconsiderada.

direction={ inbound | outbound}
Especifica a direção do tráfego a ser desconsiderado da filtragem de IPSec durante a inicialização do computador.

Comentários
  • Use a verificação de CRL forte (definida property=strongcrlcheck value=2) se o ponto de distribuição do CRL tiver que ser alcançado na rede e os certificados só puderem ser validados se nenhum erro de verificação de CRL ocorrer.

  • A segurança IPSec pode negociar associações de segurança somente para o tráfego Kerberos se a diretiva IPSec não usar o Kerberos como o método de autenticação. Se o Kerberos for necessário para autenticação, você deve desconsiderar o tráfego de Kerberos usando o parâmetro ipsecexempt.

  • No Windows 2000 e no Windows XP, por padrão, todo o tráfego de difusão, multicast, troca de chaves na Internet (IKE), do protocolo Kerberos e do protocolo RSVP foi desconsiderado da filtragem IPSec. Na família Windows Server™ 2003, somente o tráfego de IKE é desconsiderado da filtragem de IPSec por padrão. Todos os outros tipos de tráfego serão agora comparados aos filtros IPSec e você poderá configurar ações de filtro de bloqueio ou de permissão especificamente para o tráfego de difusão e o de multicast (a IPSec não negocia associações de segurança para o tráfego de difusão e o de multicast).

    Como resultado da alteração no comportamento padrão do IPSec, você deve verificar o comportamento das diretivas IPSec criadas para o Windows 2000 ou para o Windows XP e determinar se deseja configurar filtros de permissão explícita para permitir tipos de tráfego específicos. Para restaurar o comportamento padrão do Windows 2000 and Windows XP para diretivas IPSec, edite a seguinte chave do registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec. Adicione o novo valor DWORD chamado NoDefaultExempt e atribua a ele o valor 0. Para obter mais informações sobre como adicionar valores às chaves do Registro, consulte Adicionar um valor a uma entrada da chave do Registro.

Cuidado

  • A edição incorreta do Registro pode causar danos graves ao sistema. Antes de alterar o Registro, faça backup de todos os dados importantes do computador.

  • Modificar isolamentos de tráfego IPSec a partir da segurança de inicialização (isto é, modificando o parâmetro bootexemptions=) substituirá todos os isolamentos anteriores da segurança de inicialização.

set mmpolicy

Modifica uma diretiva IPSec de modo principal e grava as alterações no SPD.

Sintaxe

set mmpolicy name= [qmperm=][mmlifetime=][softsaexpirationtime=][mmsecmethods=]

Parâmetros
name= Seqüência
Necessário. Especifica o nome da diretiva IPSec de modo principal a ser modificada.

[ qmpermm=Inteiro]
Especifica quantas vezes o material de chave mestre poderá ser usado para originar a chave da sessão. Um valor 0 indica que um número ilimitado de associações de segurança de modo rápido pode ser derivado da associação de segurança de modo principal.

[ mmlifetime=Inteiro]
Especifica depois de quantos minutos será gerada uma nova chave mestre.

[ softsaexpirationtime=Inteiro]
Especifica depois de quantos minutos uma associação de segurança não protegida expirará.

[ mmsecmethods="SecMeth1SecMeth2"]
Especifica um ou mais métodos de segurança de troca de chaves, separados por espaços e definidos pelo seguinte formato AlgConf-AlgHash-NúmGrupo, onde:

ConfAlg
Especifica o algoritmo de criptografia. ConfAlg pode ser DES ou 3DES.

HashAlg
Especifica a função de hash. HashAlg pode ser MD5 ou SHA1.

GroupNum
Especifica o grupo Diffie-Hellman a ser usado para o material de chave básico GroupNumb pode ser: 1 (baixo, protege com 768 bits de material de chave), 2 (médio, protege com 1.024 bits) e 3 (alto, protege como 2.048 bits).

Comentários
  • Os computadores IPSec deverão ter, pelo menos, um método de segurança de troca de chaves em comum (um método que utilize as mesmas configurações), caso contrário as negociações não terão êxito.

  • Se o número de negociações de modo rápido exceder o valor definido para o número de negociações de modo rápido por negociação de modo principal durante a vida útil do modo principal, um novo modo de negociação principal ocorre.

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

set qmpolicy

Modifica uma diretiva IPSec de modo rápido e grava as alterações no SPD.

Sintaxe

set qmpolicy name= [soft=][pfsgroup=][qmsecmethods=]

Parâmetros
name= Seqüência
Necessário. Especifica o nome da diretiva IPSec de modo rápido a ser modificada.

[ soft={yes | no}]
Especifica se deverão ser usadas comunicações sem segurança em outros computadores que não ofereçam suporte a IPSec ou quando ocorrerem falhas nas negociações de IPSec com um computador com suporte a IPSec.

[ pfsgroup={grp1 | grp2 | grp3 | grpmm | nopfs}]
Especifica o grupo Diffie-Hellman a ser usado para o sigilo total na transferência de chave de sessão. Se for especificado grp1, será usado Grupo 1 (baixo). Se for especificado grp2 , será usado Grupo 2 (médio). Se for especificado grp3, será usado Grupo 2048 (alto). Se for especificado grpmm, o valor do grupo será retirado das configurações de modo principal atuais. Um valor nopfs indica que o sigilo total na transferência de chave de sessão está desabilitado.

[ qmsecmethods="Neg1Neg2"]
Especifica um ou mais métodos de segurança, separados por espaços e definidos pelo seguinte formato:{ESP [ConfAlg,AuthAlg]:k/s | AH [HashAlg]:k/s | AH [HashAlg+ESPConfAlg,AuthAlg]:k/s}]

Onde:

ConfAlg
Especifica o algoritmo de criptografia. ConfigAlg pode ser DES (padrão de criptografia de dados), 3DES ou none.

AuthAlg
Especifica o algoritmo de integridade. AuthAlg pode ser MD5 (Message Digest 5), SHA1 (Secure Hash Algorithm 1) ou none.

HashAlg
Especifica a função de hash. HashAlg pode ser MD5 ou SHA1.

k
Especifica a vida útil da chave da sessão em quilobytes. Depois que um número especificado de quilobytes de dados for transferido, uma nova chave de sessão para a autoridade de segurança de modo rápido é gerada. O valor padrão é 100.000 quilobytes.

s
Especifica a vida útil da chave da sessão em segundos. O valor padrão é 3600 segundos.

Comentários
  • A ordem de preferência de cada método de segurança de modo rápido é determinada pela ordem na qual foi especificado no comando.

  • Os pontos IPSec devem ter o mesmo pfsgroup habilitado (isto é, os dois pontos devem usar o mesmo grupo Diffie-Hellman para PFS de chave de sessão) ou a comunicação falhará.

  • Para uma melhor segurança, não use o Grupo Diffie-Hellman 1. Para obter a segurança máxima, use o Grupo 2048 sempre que possível. Use o grupo 2 quando necessário para fins de interoperabilidade com o Windows 2000 e Windows XP.

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

set rule

Modifica uma regra IPSec que define um conjunto de filtros e grava as alterações no SPD.

Sintaxe

set rule srcaddr= dstaddr= protocol= srcport= dstport= mirrored= conntype= [srcmask=][dstmask=][tunneldstaddress=][mmpolicy=][qmpolicy=][actioninbound=][actionoutbound=][kerberos=][psk=][rootca=]

Parâmetros
srcaddr={Me | Any | Endereço_IP | Nome_DNS | Tipo_de_Servidor}
Necessário. Especifica o endereço IP de origem, o nome DNS ou o tipo de servidor do tráfego IP. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

dstaddr={Me | Any |Endereço_IP | Nome_DNS | Tipo_de_Servidor}
Necessário. Especifica o endereço IP de destino, o nome DNS ou o tipo de servidor do tráfego IP. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

protocol={ANY | ICMP |TCP| UDP | RAW | Inteiro }
Necessário. Especifica o protocolo IP usado para o filtro.

srcport= Porta
Necessário. Especifica o número da porta de origem dos pacotes que estão sendo filtrados. Essa opção somente será aplicável se você estiver filtrando pacotes TCP ou UDP. Um valor de 0 corresponde aos filtros definidos como uma porta de origem 0 ou any.

dstport= Porta
Necessário. Especifica o número da porta de destino dos pacotes que estão sendo filtrados. Essa opção somente será aplicável se você estiver filtrando pacotes TCP ou UDP. Um valor de 0 corresponde filtros definidos como uma porta de destino 0 ou any.

mirrored={yes | no}
Necessário. Especifica se a regra foi criada com filtros espelhados.

conntype={lan | dialup | all}
Necessário. Especifica se a regra se aplica somente a conexões dial-up ou de acesso remoto, a conexões de rede local (LAN) ou a todas as conexões.

[ srcmask={Máscara | Prefixo}]
Especifica a máscara de sub-rede do endereço de origem ou o prefixo dos pacotes que estão sendo filtrados. É possível especificar um valor de prefixo de 1 a 32. O valor padrão é a máscara de 255.255.255.255.

[ dstmask= {Máscara | Prefixo}]
Especifica a máscara de sub-rede do endereço de destino ou o valor do prefixo dos pacotes que estão sendo filtrados. É possível especificar um valor de prefixo de 1 a 32. O valor padrão é a máscara de 255.255.255.255.

[ tunneldstaddress={Endereço_IP | Nome_DNS}]
Especifica se o tráfego será encapsulado e, em caso positivo, o endereço IP ou o nome DNS do destino do encapsulamento (o computador ou o gateway no outro lado do encapsulamento).

[ mmpolicy=Seqüência]
Especifica o nome da diretiva de modo principal.

[ qmpolicy=Seqüência]
Especifica o nome da diretiva de modo rápido.

[ actioninbound={permit | block | negotiate}]
Especifica a ação que o IPSec deve tomar para o tráfego de entrada. Se for especificado permit , o tráfego será recebido sem que a segurança IP seja negociada ou aplicada. Se block for especificado, o tráfego será bloqueado. Se negotiate for especificado, a segurança IP será usada, com a lista especificada de métodos de segurança nas diretivas de modo principal de modo rápido.

[ actionoutbound={permit | block | negotiate}]
Especifica a ação que o IPSec deve tomar para o tráfego de saída. Se for especificado permit , o tráfego será enviado sem que a segurança IP seja negociada ou aplicada. Se block for especificado, o tráfego será bloqueado. Se negotiate for especificado, a segurança IP será usada, com a lista especificada de métodos de segurança nas diretivas de modo principal de modo rápido.

[ kerberos={yes | no}]
Especifica se o protocolo Kerberos V5 deve ser usado como método de autenticação.

[ psk=Seqüência]
Especifica a seqüência a ser usada na chave pré-compartilhada, caso uma chave pré-compartilhada seja usada como método de autenticação.

[ rootca="Seqüênciacertmap:{ yes| no} excludecaname:{ yes| no} "]
Especifica as opções de autenticação de certificado, onde:

Seqüência
Especifica o nome distinto do certificado, caso um certificado seja usado como método de autenticação.

certmap:{ yes| no}
Especifica se o mapeamento de certificado para conta deve ser habilitado. Você pode habilitar o mapeamento certificado para conta para verificar se o certificado está sendo usado por um computador confiável.

excludecaname:{ yes| no}
Especifica se deverá ser excluída da solicitação de certificado a lista de nomes de autoridades de certificação raiz confiáveis com base nos quais um certificado é aceito.

Comentários
  • Você pode modificar os seguintes parâmetros. mmpolicy=, qmpolicy=, actioninbound= e actionoutbound=. Todos os outros parâmetros são usados para identificar a regra que deseja modificar e, portanto, não podem ser modificados.

  • Se a ação de filtro para o tráfego de entrada e de saída (actioninbound e actionoutbound) for definida como Permit ou Block, não será necessário um filtro de modo rápido.

  • Se for especificada uma regra de encapsulamento, mirror deverá ser definido como no (por padrão, mirror é definido como yes). Para encapsulamentos IPSec, você deverá criar duas regras: uma regra descreve o tráfego a ser enviado pelo encapsulamento (tráfego de saída) e a outra descreve o tráfego a ser recebido pelo encapsulamento (de entrada). Depois, crie duas regras que usem as listas de filtros de entrada e de saída em sua diretiva.

  • Para filtrar quaisquer pacotes enviados de ou para o computador, você poderá usar srcaddr=Me ou dstaddr=Me.

  • Para filtrar os pacotes enviados de ou para qualquer computador, você poderá usar srcaddr=Any ou dstaddr=Any.

  • Você só poderá usar a autenticação por meio do protocolo Kerberos V5 ou o mapeamento de certificado para conta para os computadores que participarem de um domínio do Active Directory.

  • Embora só possa usar uma chave pré-compartilhada para autenticação, você poderá usar vários certificados especificando o parâmetro rootca uma vez, para cada certificado que deseja usar.

  • Todos os parâmetros de autenticação de certificado devem ser colocados entre aspas. As aspas internas devem ser substituídas por uma barra invertida antecedidas de um apóstrofo (\').

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

  • A ordem de precedência de cada método de autenticação é determinada pela ordem especificada no comando.

  • Se nenhum método de autenticação for especificado, serão usados métodos padrão dinâmicos. Por padrão, as diretivas IPSec usam a autenticação Kerberos V5. Se o computador tiver um certificado de computador, qualquer autoridade de certificação raiz ao qual o certificado de computador esteja encadeado também é usada para autenticação.

  • Se excludecaname:yes for especificado, a lista de autoridades de certificação raiz confiáveis não será enviada como parte da solicitação de certificado, o que impedirá a possível revelação de informações confidenciais sobre as relações de confiança de um computador. Para aprimorar a segurança referente a computadores conectados à Internet, especifique esta opção.

  • O uso da autenticação de chave pré-compartilhada não é recomendável porque é um método de autenticação relativamente fraco. Além disso, as chaves pré-compartilhadas são armazenadas em texto sem formatação.

  • Os computadores IPSec devem ter, pelo menos, um método de autenticação em comum; caso contrário, a comunicação não será bem-sucedida.

  • A modificação dos métodos de autenticação substituirá todos os métodos de autenticação anteriores, mesmo se esse métodos forem diferentes. Por exemplo, se kerberos=yes e psk=yes tiverem sido especificados anteriormente e você especificar kerberos=no, o parâmetro psk=yes também será substituído e a autenticação de chave pré-compartilhada não será mais usada.

show all

Exibe informações sobre configuração para todas as diretivas, filtros, estatísticas e associações de segurança de IPSec no SPD.

Sintaxe

show all [resolvedns=]

Parâmetros
[ resolvedns={yes | no}]
Especifica se o nome do sistema de nomes de domínios (DNS) ou o nome NETBIOS do computador será resolvido com um endereço IP quando forem exibidas origens ou destinos.

Comentários
  • Como o comando show all poderá gerar uma saída longa, de rolagem rápida, é aconselhável salvar a saída em um arquivo de texto, a menos que você só necessite ver partes limitadas dela.

    Para salvar a saída em um arquivo de texto referente ao comando show all, siga um destes procedimentos:

    Se você estiver no ambiente de netsh (netsh>)

    1. No prompt netsh, digite:

      set file open Nome_do_Arquivo.txt

    2. Em seguida, digite:

      ipsec dynamic show all

    3. Para interromper o envio da saída e fechar o arquivo, digite:

      set file close

    Se não estiver no ambiente de netsh

    • No prompt de comando, digite:

      netsh ipsec dynamic show all >Nome_do_Arquivo.txt

  • Para interromper a saída das informações sobre configuração de IPSec, você deverá sair do programa Netsh seguindo um destes procedimentos:

    • Feche a janela do programa Netsh clicando no ícone X no canto superior direito da janela.

    • Use o Gerenciador de Tarefas para finalizar o programa Netsh.

show config

Exibe valores para as seguintes configurações de IPSec: Diagnósticos de IPSec, isolamentos de tráfego padrão, verificação em alto grau da lista de certificados revogados (CRL), log de IKE (Oakley), intervalos de log, segurança de inicialização de computador e isolamentos de tráfego de inicialização de computador.

Sintaxe

show config

Parâmetros

Nenhum.

Comentários
  • Para salvar a saída em um arquivo de texto referente ao comando show config, siga um destes procedimentos:

    Se você estiver no ambiente de netsh (netsh>)

    1. No prompt netsh, digite:

      set file open Nome_do_Arquivo.txt

    2. Em seguida, digite:

      ipsec dynamic show config

    3. Para interromper o envio da saída e fechar o arquivo, digite:

      set file close

    Se não estiver no ambiente de netsh

    • No prompt de comando, digite:

      netsh ipsec dynamic show config >Nome_do_Arquivo.txt

show mmfilter

Exibe informações sobre a configuração do filtro IPSec de modo principal especificado, ou para todos os filtros IPSec de modo principal, no SPD.

Sintaxe

show mmfilter name= | all [type=] srcaddr=dstadd= [srcmask=][dstmask=] [resolvedns=]

Parâmetros
name= Seqüência| all
Necessário. Especifica o nome do filtro IPSec de modo principal a ser exibido. Se all for especificado, todas os filtros IPSec de modo principal são exibidos.

type={generic | specific}
Especifica se os filtros de modo principal genéricos ou específicos serão exibidos. O valor padrão é generic.

[ srcaddr={Me | Any | Endereço_IP | Nome_DNS | Tipo_de_Servidor}]
Especifica o endereço IP de origem, o nome DNS ou o tipo de servidor do tráfego IP que está sendo filtrado. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

[ dstaddr={Me | Any |Endereço_IP | Nome_DNS | Tipo_de_Servidor}]
Especifica o endereço IP de destino, o nome DNS ou o tipo de servidor do tráfego IP que está sendo filtrado. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

[ srcmask={Máscara | Prefixo}]
Especifica a máscara de sub-rede do endereço de origem ou o prefixo dos pacotes que estão sendo filtrados. É possível especificar um valor de prefixo de 1 a 32. O valor padrão é a máscara de 255.255.255.255.

[ dstmask= {Máscara | Prefixo}]
Especifica a máscara de sub-rede do endereço de destino ou o valor do prefixo dos pacotes que estão sendo filtrados. É possível especificar um valor de prefixo de 1 a 32. O valor padrão é a máscara de 255.255.255.255.

[ resolvedns={yes | no}]
Especifica se o nome do sistema de nomes de domínios (DNS) ou o nome NETBIOS do computador será resolvido com um endereço IP quando forem exibidas origens ou destinos. O valor padrão é no.

Comentários
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

  • Como o comando show mmfilter poderá gerar uma saída longa, de rolagem rápida, é aconselhável salvar a saída em um arquivo de texto, a menos que você só necessite ver partes limitadas dela.

    Para salvar a saída em um arquivo de texto referente ao comando show mmfilter, siga um destes procedimentos:

    Se você estiver no ambiente de netsh (netsh>)

    1. No prompt netsh, digite:

      set file open Nome_do_Arquivo.txt

    2. Em seguida, digite:

      ipsec dynamic show mmfilterNome | all

    3. Para interromper o envio da saída e fechar o arquivo, digite:

      set file close

    Se não estiver no ambiente de netsh

    • No prompt de comando, digite:

      ipsec dynamic show mmfilterNome | all >=Nome_do_Arquivo.txt

  • Para interromper a saída das informações sobre configuração de IPSec, você deverá sair do programa Netsh seguindo um destes procedimentos:

    • Feche a janela do programa Netsh clicando no ícone X no canto superior direito da janela.

    • Use o Gerenciador de Tarefas para finalizar o programa Netsh.

show mmpolicy

Exibe informações sobre a configuração da diretiva IPSec de modo principal especificada, ou de todas as diretivas IPSec de modo principal, no SPD.

Sintaxe

show mmpolicy name= | all

Parâmetros
name= Seqüência| all
Necessário. Especifica o nome da diretiva IPSec de modo principal a ser exibida. Se all for especificado, todas as diretivas IPSec de modo principal são exibidas.

Comentários
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

  • Como o comando show mmpolicy poderá gerar uma saída longa, de rolagem rápida, é aconselhável salvar a saída em um arquivo de texto, a menos que você só necessite ver partes limitadas dela.

    Para salvar a saída em um arquivo de texto referente ao comando show mmpolicy, siga um destes procedimentos:

    Se você estiver no ambiente de netsh (netsh>)

    1. No prompt netsh, digite:

      set file open Nome_do_Arquivo.txt

    2. Em seguida, digite:

      ipsec dynamic show mmpolicyNome | all

    3. Para interromper o envio da saída e fechar o arquivo, digite:

      set file close

    Se não estiver no ambiente de netsh

    • No prompt de comando, digite:

      ipsec dynamic show mmpolicyNome | all >Nome_do_Arquivo.txt

  • Para interromper a saída das informações sobre configuração de IPSec, você deverá sair do programa Netsh seguindo um destes procedimentos:

    • Feche a janela do programa Netsh clicando no ícone X no canto superior direito da janela.

    • Use o Gerenciador de Tarefas para finalizar o programa Netsh.

show mmsas

Exibe as associações de segurança IPSec de modo principal para os endereços de origem e de destino especificados, ou para todas as associações de segurança IPSec de modo principal, no SPD.

Sintaxe

show mmsas [all] [srcaddr=][dstaddr=][format=] [resolvedns=]

Parâmetros
[ all]
Especifica que todas as associações de segurança de modo principal serão exibidas.

[ srcaddr={Me | Any | Endereço_IP | Nome_DNS | Tipo_de_Servidor}]
Especifica o endereço IP de origem, o nome DNS ou o tipo de servidor do tráfego IP que está sendo filtrado. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

[ dstaddr={Me | Any |Endereço_IP | Nome_DNS | Tipo_de_Servidor}]
Especifica o endereço IP de destino, o nome DNS ou o tipo de servidor do tráfego IP que está sendo filtrado. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

[ format={list | table}]
Especifica se as informações sobre configuração de IPSec deverão ser exibidas no formato de tela ou delimitado por tabulações. O valor padrão é list, indicando que a saída será exibida no formato de tela.

[ resolvedns={yes | no}]
Especifica se o nome do sistema de nomes de domínios (DNS) ou o nome NETBIOS do computador será resolvido com um endereço IP quando forem exibidas origens ou destinos. O valor padrão é no.

Comentários
  • Se nenhum parâmetro for especificado, todas as associações de segurança de modo principal serão exibidas.

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

  • Como o comando show mmsas poderá gerar uma saída longa, de rolagem rápida, é aconselhável salvar a saída em um arquivo de texto, a menos que você só necessite ver partes limitadas dela.

    Para salvar a saída em um arquivo de texto referente ao comando show mmsas, siga um destes procedimentos:

    Se você estiver no ambiente de netsh (netsh>)

    1. No prompt netsh, digite:

      set file open Nome_do_Arquivo.txt

    2. Em seguida, digite:

      ipsec dynamic show mmsas

    3. Para interromper o envio da saída e fechar o arquivo, digite:

      set file close

    Se não estiver no ambiente de netsh

    • No prompt de comando, digite:

      netsh ipsec dynamic show mmsas >Nome_do_Arquivo.txt

  • Para interromper a saída das informações sobre configuração de IPSec, você deverá sair do programa Netsh seguindo um destes procedimentos:

    • Feche a janela do programa Netsh clicando no ícone X no canto superior direito da janela.

    • Use o Gerenciador de Tarefas para finalizar o programa Netsh.

show qmfilter

Exibe informações sobre configuração para o filtro de modo rápido especificado, ou para todos os filtros de modo rápido, no SPD.

Sintaxe

show qmfilter name= | all [type=] [srcaddr=][dstaddr=][srcmask=][dstmask=][protocol=][srcport=][dstport=][actioninbound=][actionoutbound=][resolvedns=]

Parâmetros
name= Seqüência| all
Necessário. Especifica o nome do filtro IPSec de modo rápido a ser exibido ou, se all for especificado, que todos os filtros IPSec de modo rápido são exibidos.

[ type={generic | specific}]
Especifica se os filtros de modo rápido genéricos ou específicos serão exibidos. O valor padrão é generic.

[ srcaddr={Me | Any | Endereço_IP | Nome_DNS | Tipo_de_Servidor}]
Especifica o endereço IP de origem, o nome DNS ou o tipo de servidor do tráfego IP que está sendo filtrado. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

[ dstaddr={Me | Any |Endereço_IP | Nome_DNS | Tipo_de_Servidor}]
Especifica o endereço IP de destino, o nome DNS ou o tipo de servidor do tráfego IP que está sendo filtrado. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

[ srcmask={Máscara | Prefixo}]
Especifica a máscara de sub-rede do endereço de origem ou o prefixo dos pacotes que estão sendo filtrados. É possível especificar um valor de prefixo de 1 a 32. O valor padrão é a máscara de 255.255.255.255.

[ dstmask= {Máscara | Prefixo}]
Especifica a máscara de sub-rede do endereço de destino ou o valor do prefixo dos pacotes que estão sendo filtrados. É possível especificar um valor de prefixo de 1 a 32. O valor padrão é a máscara de 255.255.255.255.

[ protocol={ANY | ICMP |TCP| UDP | RAW | Inteiro }]
Especifica o protocolo IP se, além de serem abordadas informações, um protocolo IP específico for filtrado. O valor padrão é ANY, indicando que todos os protocolos serão usados para o filtro.

[ srcport=Porta]
Especifica o número da porta de origem dos pacotes que estão sendo filtrados. Essa opção somente será aplicável se você estiver filtrando pacotes TCP ou UDP. Se for especificado 0, serão filtrados os pacotes enviados de qualquer porta. O padrão é any.

[ dstport=Porta]
Especifica o número da porta de destino dos pacotes que estão sendo filtrados. Essa opção somente será aplicável se você estiver filtrando pacotes TCP ou UDP. Se for especificado 0, serão filtrados os pacotes enviados para qualquer porta. O padrão é any.

[ actioninbound={permit | block | negotiate}]
Especifica a ação que o IPSec deve tomar para o tráfego de entrada. O valor padrão é negotiate.

[ actionoutbound={permit | block | negotiate}]
Especifica a ação que o IPSec deve tomar para o tráfego de saída. O valor padrão é negotiate.

[ resolvedns={yes | no}]
Especifica se o nome do sistema de nomes de domínios (DNS) ou o nome NETBIOS do computador será resolvido com um endereço IP quando forem exibidas origens ou destinos. O valor padrão é no.

Comentários
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

  • Como o comando show qmfilter poderá gerar uma saída longa, de rolagem rápida, é aconselhável salvar a saída em um arquivo de texto, a menos que você só necessite ver partes limitadas dela.

    Para salvar a saída em um arquivo de texto referente ao comando show qmfilter, siga um destes procedimentos:

    Se você estiver no ambiente de netsh (netsh>)

    1. No prompt netsh, digite:

      set file open Nome_do_Arquivo.txt

    2. Em seguida, digite:

      ipsec dynamic show qmfilter Nome | all

    3. Para interromper o envio da saída e fechar o arquivo, digite:

      set file close

    Se não estiver no ambiente de netsh

    • No prompt de comando, digite:

      netsh ipsec dynamic show qmfilter Nome | all >Nome_do_Arquivo.txt

  • Para interromper a saída das informações sobre configuração de IPSec, você deverá sair do programa Netsh seguindo um destes procedimentos:

    • Feche a janela do programa Netsh clicando no ícone X no canto superior direito da janela.

    • Use o Gerenciador de Tarefas para finalizar o programa Netsh.

show qmpolicy

Exibe informações sobre a configuração da diretiva IPSec de modo rápido especificada, ou de todas as diretivas IPSec de modo rápido, no SPD.

Sintaxe

show qmpolicy name= | all

Parâmetros
name= Seqüência| all
Necessário. Especifica o nome da diretiva IPSec de modo rápido a ser exibida. Se all for especificado, todas as diretivas IPSec de modo rápido são exibidas.

Comentários
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

  • Como o comando show qmpolicy poderá gerar uma saída longa, de rolagem rápida, é aconselhável salvar a saída em um arquivo de texto, a menos que você só necessite ver partes limitadas dela.

    Para salvar a saída em um arquivo de texto referente ao comando show qmpolicy, siga um destes procedimentos:

    Se você estiver no ambiente de netsh (netsh>)

    1. No prompt netsh, digite:

      set file open Nome_do_Arquivo.txt

    2. Em seguida, digite:

      ipsec dynamic show qmpolicyNome | all

    3. Para interromper o envio da saída e fechar o arquivo, digite:

      set file close

    Se não estiver no ambiente de netsh

    • No prompt de comando, digite:

      netsh ipsec dynamic show qmpolicyNome | all >Nome_do_Arquivo.txt

  • Para interromper a saída das informações sobre configuração de IPSec, você deverá sair do programa Netsh seguindo um destes procedimentos:

    • Feche a janela do programa Netsh clicando no ícone X no canto superior direito da janela.

    • Use o Gerenciador de Tarefas para finalizar o programa Netsh.

show qmsas

Exibe as associações de segurança IPSec de modo rápido para os endereços de origem e de destino especificados, ou para todas as associações de segurança IPSec de modo rápido, no SPD.

Sintaxe

show qmsas [all][srcaddr=][dstaddr=][protocol=][format=][resolvedns=]

Parâmetros
[ all]
Especifica que todas as associações de segurança IPSec de modo rápido serão exibidas.

[ srcaddr={Me | Any | Endereço_IP | Nome_DNS | Tipo_de_Servidor}]
Especifica o endereço IP de origem, o nome DNS ou o tipo de servidor do tráfego IP que está sendo filtrado. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

[ dstaddr={Me | Any |Endereço_IP | Nome_DNS | Tipo_de_Servidor]
Especifica o endereço IP de destino, o nome DNS ou o tipo de servidor do tráfego IP que está sendo filtrado. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

[ protocol={ANY | ICMP |TCP| UDP | RAW | Inteiro }]
Especifica o protocolo IP se, além das informações sobre endereçamento, um protocolo IP específico estiver sendo usado para a asspciação de segurança. O valor padrão é ANY, indicando que todos os protocolos serão usados para a associação de segurança.

[ format={list | table}]
Especifica se as informações sobre configuração de IPSec deverão ser exibidas no formato de tela ou delimitado por tabulações. O valor padrão é list, indicando que a saída será exibida no formato de tela.

[ resolvedns={yes | no}]
Especifica se o nome do sistema de nomes de domínios (DNS) ou o nome NETBIOS do computador será resolvido com um endereço IP quando forem exibidas origens ou destinos. O valor padrão é no.

Comentários
  • Como o comando show qmsas poderá gerar uma saída longa, de rolagem rápida, é aconselhável salvar a saída em um arquivo de texto, a menos que você só necessite ver partes limitadas dela.

    Para salvar a saída em um arquivo de texto referente ao comando show qmsas, siga um destes procedimentos:

    Se você estiver no ambiente de netsh (netsh>)

    1. No prompt netsh, digite:

      set file open Nome_do_Arquivo.txt

    2. Em seguida, digite:

      ipsec dynamic show qmsas all

    3. Para interromper o envio da saída e fechar o arquivo, digite:

      set file close

    Se não estiver no ambiente de netsh

    • No prompt de comando, digite:

      netsh ipsec dynamic show qmsas all >Nome_do_Arquivo.txt

  • Para interromper a saída das informações sobre configuração de IPSec, você deverá sair do programa Netsh seguindo um destes procedimentos:

    • Feche a janela do programa Netsh clicando no ícone X no canto superior direito da janela.

    • Use o Gerenciador de Tarefas para finalizar o programa Netsh.

show rule

Exibe informações sobre a configuração de uma ou mais regras IPSec no SPD.

Sintaxe

show rule [type=][srcaddr=] [dstaddr=][srcmask=][dstmask=] [protocol=][srcport=][dstport=][actioninbound=][actionoutbound=][resolvedns=]

Parâmetros
[ type={transport | tunnel}]
Especifica se todas as regras de transporte ou todas as regras de encapsulamento serão exibidas. O valor padrão é exibir todas as regras.

[ srcaddr={Me | Any | Endereço_IP | Nome_DNS | Tipo_de_Servidor}]
Especifica o endereço IP de origem, o nome DNS ou o tipo de servidor do tráfego IP que está sendo filtrado. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

[ dstaddr={Me | Any |Endereço_IP | Nome_DNS | Tipo_de_Servidor}]
Especifica o endereço IP de destino, o nome DNS ou o tipo de servidor do tráfego IP que está sendo filtrado. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

[ srcmask={Máscara | Prefixo}]
Especifica a máscara de sub-rede do endereço de origem ou o prefixo dos pacotes que estão sendo filtrados. É possível especificar um valor de prefixo de 1 a 32. O valor padrão é a máscara de 255.255.255.255.

[ dstmask= {Máscara | Prefixo}]
Especifica a máscara de sub-rede do endereço de destino ou o valor do prefixo dos pacotes que estão sendo filtrados. É possível especificar um valor de prefixo de 1 a 32. O valor padrão é a máscara de 255.255.255.255.

[ protocol={ANY | ICMP |TCP| UDP | RAW | Inteiro }]
Especifica o protocolo IP se, além de serem abordadas informações, um protocolo IP específico for usado para a regra. O valor padrão é ANY, indicando que todos os protocolos serão usados para a regra.

[ srcport=Porta]
Especifica o número da porta de origem dos pacotes que estão sendo filtrados. Essa opção somente será aplicável se você estiver filtrando pacotes TCP ou UDP. Se for especificado 0, serão filtrados os pacotes enviados de qualquer porta. O padrão é any.

[ dstport=Porta]
Especifica o número da porta de destino dos pacotes que estão sendo filtrados. Essa opção somente será aplicável se você estiver filtrando pacotes TCP ou UDP. Se for especificado 0, serão filtrados os pacotes enviados para qualquer porta. O padrão é any.

[ actioninbound={permit | block | negotiate}]
Especifica a ação que o IPSec deve tomar para o tráfego de entrada. O valor padrão é negotiate.

[ actionoutbound={permit | block | negotiate}]
Especifica a ação que o IPSec deve tomar para o tráfego de saída. O valor padrão é negotiate.

[ resolvedns={yes | no}]
Especifica se o nome do sistema de nomes de domínios (DNS) ou o nome NETBIOS do computador será resolvido com um endereço IP quando forem exibidas origens ou destinos. O valor padrão é no.

Comentários
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

  • Como o comando show rule poderá gerar uma saída longa, de rolagem rápida, é aconselhável salvar a saída em um arquivo de texto, a menos que você só necessite ver partes limitadas dela.

    Para salvar a saída em um arquivo de texto referente ao comando show rule, siga um destes procedimentos:

    Se você estiver no ambiente de netsh (netsh>)

    1. No prompt netsh, digite:

      set file open Nome_do_Arquivo.txt

    2. Em seguida, digite:

      ipsec dynamic show rule

    3. Para interromper o envio da saída e fechar o arquivo, digite:

      set file close

    Se não estiver no ambiente de netsh

    • No prompt de comando, digite:

      netsh ipsec dynamic show rule >Nome_do_Arquivo.txt

  • Para interromper a saída das informações sobre configuração de IPSec, você deverá sair do programa Netsh seguindo um destes procedimentos:

    • Feche a janela do programa Netsh clicando no ícone X no canto superior direito da janela.

    • Use o Gerenciador de Tarefas para finalizar o programa Netsh.

show stats

Exibe as estatísticas IPSec de modo principal e modo rápido.

Sintaxe

show stats [type=]

Parâmetros
[ type=all| ike| ipsec]
Especifica as estatísticas IPSec a serem exibidas. Se all for especificado, as estatísticas IPSec de modo principal e de modo rápido são exibidas. Se ike for especificado, as estatísticas IPSec de modo principal são exibidas. Se ipsec for especificado, as estatísticas IPSec de modo rápido são exibidas.

Comentários
  • Como o comando show stats poderá gerar uma saída longa, de rolagem rápida, é aconselhável salvar a saída em um arquivo de texto, a menos que você só necessite ver partes limitadas dela.

    Para salvar a saída em um arquivo de texto referente ao comando show stats, siga um destes procedimentos:

    Se você estiver no ambiente de netsh (netsh>)

    1. No prompt netsh, digite:

      set file open Nome_do_Arquivo.txt

    2. Em seguida, digite:

      ipsec dynamic show stats

    3. Para interromper o envio da saída e fechar o arquivo, digite:

      set file close

    Se não estiver no ambiente de netsh

    • No prompt de comando, digite:

      netsh ipsec dynamic show stats >Nome_do_Arquivo.txt

  • Para interromper a saída das informações sobre configuração de IPSec, você deverá sair do programa Netsh seguindo um destes procedimentos:

    • Feche a janela do programa Netsh clicando no ícone X no canto superior direito da janela.

    • Use o Gerenciador de Tarefas para finalizar o programa Netsh.

Legenda da formatação

 

Formato Significado

Itálico

Informações que devem ser fornecidas pelo usuário

Negrito

Elementos que o usuário deve digitar exatamente como é exibido

Reticências (...)

Parâmetro que pode ser repetido várias vezes em uma linha de comando

Entre colchetes ([])

Itens opcionais

Entre chaves ({}); opções separadas por barra vertical (|). Exemplo: {even|odd}

Conjunto de opções entre as quais o usuário deve escolher apenas uma

Courier font

Saída de código ou de programa

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2014 Microsoft