lorderich
Goto Top

Windows 2012 R2 IPSEC over GPO nur MD5 und SHA1?

Hallo zusammen,

ich möchte über die IPSEC Funktionalität den Netzwerktraffic zwischen den Workstations und den Servern innerhalb unserer Domain verschlüsseln.

Klingt soweit eigentlich ganz einfach.

Jedoch ist mir aufgefallen, dass ich über die GPO´s auf unserem Windows 2012R2 Server bei IPSEC für den Bereich Integrity Algorithm nur MD5 oder SHA 1 auswählen kann. Wenn ich allerdings direkt über die Firewall Eigenschaften gehe, dann habe ich dort auch SHA-384 zur Auswahl.

Was muss ich machen, damit ich in den GPO Einstellungen für IPSEC auch SHA-384 auswählen kann um die Integrität von Daten sicherzustellen?

Danke und Grüße

René

Content-Key: 370498

Url: https://administrator.de/contentid/370498

Ausgedruckt am: 29.03.2024 um 05:03 Uhr

Mitglied: 135799
135799 08.04.2018 aktualisiert um 12:04:51 Uhr
Goto Top
Wenn ich allerdings direkt über die Firewall Eigenschaften gehe, dann habe ich dort auch SHA-384 zur Auswahl.
Du schaust an der falschen Stelle! Das sind die unter secpol.msc => IP-Sicherheitsrichtlinien auf lokaler Computer und dort kannst du auch nur MD5 und SHA1 wählen, also alles im Lot ...

screenshot

Gruß Schnuffi
Mitglied: Dani
Dani 08.04.2018 um 11:26:30 Uhr
Goto Top
Hallo Rene,
könnte es auch jeweiligen ADMX-Template liegen. Denn dort werden die möglichen Werte schließlich definiert. Falls du die Möglichkeit hast, schau mal unter Windows Server 2016 nach.


Gruß,
Dani
Mitglied: agowa338
agowa338 08.04.2018 aktualisiert um 14:07:12 Uhr
Goto Top
1. was @135799 Sagt ist nicht mehr aktuell. Das ist das Legacy interface. IP-Sec tunnel werden ab windows Vista über die Windows Firewall als "Connection security rule" eingerichtet.
2. Weil das Legacy ist sind dort auch nur die entsprechend älteren Protokolle.
3. Du musst die IP-Sec Einstellung mittels GPO als Firewall Konfiguration pushen.

Links:
- https://docs.microsoft.com/en-us/windows/security/identity-protection/wi ...
- https://docs.microsoft.com/en-us/windows/security/identity-protection/wi ...
- https://it.cornell.edu/managed-servers/secure-windows-traffic-ipsec
Mitglied: 135799
135799 08.04.2018 aktualisiert um 14:51:09 Uhr
Goto Top
Zitat von @agowa338:

1. was @135799 Sagt ist nicht mehr aktuell. Das ist das Legacy interface. IP-Sec tunnel werden ab windows Vista über die Windows Firewall als "Connection security rule" eingerichtet.
Eben, deswegen der mein Hinweis das er an der falschen Stelle in den GPOs schaut face-smile.