对话框:自定义高级密钥交换设置

应用到: Windows 7, Windows Server 2008 R2

使用此对话框可以添加、编辑、更改优先级或删除主模式协商期间可用于进行密钥交换的算法组合。可以指定多个算法组合,且可以指定尝试组合的顺序。将使用列表中与两台对等机都兼容的第一个组合。

note注意
最佳做法是按照从顶部最高安全性到底部最低安全性的顺序列出算法组合。按照这种方式,在两台协商计算机之间使用的是通用最安全算法。安全性较低的算法可用于向后兼容。

如何打开此对话框
  1. 在高级安全 Windows 防火墙 MMC 管理单元页的“概述”中,单击“Windows 防火墙属性”

  2. 单击“IPsec 设置”选项卡。

  3. “IPsec 默认值”下,单击“自定义”

  4. “密钥交换(主模式)”下,选择“高级”,然后单击“自定义”

安全措施

安全方法是完整性算法和保护密钥交换的加密算法的组合。可以根据需要使用任意数量的组合,而且可以按列表中的首选顺序进行排列。按照其显示的顺序尝试组合。使用两台对等计算机都承认的第一个集合。如果对等计算机无法使用定义的任何组合,则组合尝试失败。

某些算法仅受运行此版本 Windows 的计算机支持。有关详细信息,请参阅 Windows 支持的 IPsec 算法和协议 (http://go.microsoft.com/fwlink/?LinkID=129230)(可能为英文网页)。

若要将组合添加到列表,请单击“添加”使用“添加或编辑安全方法”对话框。

若要对列表进行重新排序,请选择某个组合,然后单击向上或向下箭头。

note注意
作为最佳做法,按照从列表顶部最高安全性到底部最低安全性的顺序排列组合。这样可确保使用两台对等计算机都支持的最安全的措施。

密钥生存期

生存期设置决定何时生成新密钥。在指定的时间间隔后或使用当前密钥保护指定数量的会话后,使用密钥生存期,可以强制生成新密钥。使用多个密钥确保某个攻击者是否对获取一个密钥的访问权限进行管理,新密钥生成之前仅显示少量信息,网络流量会再次受到保护。可以指定两种形式的生存期:以分钟为单位和以会话数量为单位。使用首先达到的阈值并重新生成密钥。

note注意
此密钥重新生成仅适用于主模式密钥交换。这些设置不影响快速模式数据保护的密钥生存期设置。

分钟

使用此设置可以配置在主模式安全关联中使用密钥的持续时间(以分钟为单位)。此时间间隔过后,会生成新密钥。后续主模式会话使用新密钥。

最长生存期为 2,879 分钟(48 小时)。最短生存期为 1 分钟。建议您按照风险分析要求的频率重新生成密钥。过度频繁地重新生成密钥可能会影响性能。

会话

会话是受快速模式 SA 保护的独特消息或消息集。此设置指定使用同一主模式密钥信息可以保护的快速模式密钥生成会话的数量。达到此阈值后,会重置计数器,并生成新密钥。随后的通信将使用新密钥。最大值为 2,147,483,647 个会话。最小值为 0 个会话。

会话限制为零 (0) 将导致只由“密钥生存期(以分钟为单位)”设置来确定新密钥的生成。

为主模式密钥和快速模式密钥设置不同的密钥生存期时,请小心操作。例如,将主模式密钥生存期设置为 8 小时,而将快速模式密钥生存期设置为 2 小时,可能会使快速模式 SA 在主模式 SA 已经到期之后保持将近 2 小时的有效期。在主模式 SA 到期之前不久生成快速模式 SA 时,就会出现上述情况。

Important重要
每个主模式密钥所允许的会话数量越多,主模式密钥被发现的机会就越大。如果希望限制重新使用出现的次数,则可以指定快速模式密钥限制。

security安全 注意
若要配置主密钥完全向前保密 (PFS),请将“以会话为单位的密钥寿命期”设置为 1。虽然此配置提供重要的其他保护,但它也会使重要的计算和网络性能降低。每个新的快速模式会话都会重新生成主模式密钥材料,从而会依次导致两台计算机重新进行身份验证。建议您仅在 IPsec 流量可能暴露给老练的攻击者(可能尝试危及由 IPsec 提供的强加密保护)的环境中启用 PFS。

密钥交换选项

将 Diffie-Hellman 用于增强的安全性

除了支持 Internet 密钥交换 (IKE) 建立其中已协商其余 IPsec 参数的初始安全连接,Windows Vista 和更新版本 Windows 还支持已验证 IP (AuthIP)。IKE 仅使用 Diffie-Hellman 交换。使用 AuthIP 时,不需要使用 Diffie-Hellman 密钥交换协议。而请求 Kerberos 版本 5 身份验证时,使用 Kerberos 版本 5 服务票证机密替换 Diffie-Hellman 值。请求证书身份验证或 NTLM 身份验证时,会建立传输层安全 (TLS) 会话,且使用其机密替换 Diffie-Hellman 值。

如果选中此复选框,则会进行 Diffie-Hellman 交换,而与所选的身份验证类型无关,且 Diffie-Hellman 机密用于保护其余 IPsec 协商的安全。法规要求指定必须使用 Diffie-Hellman 交换时使用此选项。

请参阅

社区附加资源

添加
显示: