Windows中基于RAS的IPSec VPN客户端似乎不遵守Windows防火墙(托管IPSec驱动程序)中的IPSec默认设置,但坚持使用SHA1完整性的3DES加密进行密钥交换(也称为IPSec主模式)。这两个都是现在的传统算法。
因此,采用哪种加密方式的数据传输(快速模式)都没有关系,RAS支持AES-256-CBC加密,整个链接的弱度只有3DES / SHA1。
另一方面,Windows防火墙中的IPSec驱动程序可以处理SHA-384,AES-GCM和ECDH P-384,因此,是否可以将VPN客户端配置为使用这些驱动程序,或者仅遵循Windows防火墙中的默认设置?
Answers:
IPSec / IKE有类似问题。似乎RasMan服务完全不尊重通过Windows防火墙配置的IPSec策略。而我能够想到的最好的方法是通过注册表修改的AES-SHA1-DH2048。我将其存储为.reg文件,这里有注释,因此事情应该很清楚。
REGEDIT4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\IKEv2]
"CustomParams"=dword:00000001
"CustomProposalsCount"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\IKEv2\Proposals]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\IKEv2\Proposals\0]
; for "Quick Mode", all keys optional
; DES, 3DES, AES_128, AES_256
"esp_encr"="AES_128"
; MD5, SHA1
"esp_auth"="SHA1"
; MD5, SHA1
;"AH"="SHA1"
; NONE, 1, 2, 2048, ECP_256, ECP_384, MM
;"PFS"="MM"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]
"AllowL2TPWeakCrypto"=dword:00000000
"AllowPPTPWeakCrypto"=dword:00000000
; for "Main Mode"
; 0 - disable, 1 - enable, 2 - force /// WARNING! "force" disables stronger DH groups!
"NegotiateDH2048_AES256"=dword:00000001