Microsoft Windows
[Version 6.1.7000
](C) Copyright 2009 Microsoft Corp.
C
:\Windows>netsh advfirewall set global ?
Syntax
: set global statefulftp
|statefulpptp enable
|disable
|notconfigured
set global ipsec (Parameter) (Wert)
set global mainmode (Parameter) (Wert) notconfigured
IPsec-Parameter
:
strongcrlcheck - Konfiguriert, wie die Überprüfung der
Zertifikatsperrliste erzwungen wird.
0
: Deaktiviert die Überprüfung der
Zertifikatsperrliste. (Standard)
1
: Fehler, wenn das Zertifikat gesperrt ist.
2
: Fehler bei Fehlern.
notconfigured
: Setzt den Wert auf den nicht
konfigurierten Status zurück.
saidletimemin - Konfiguriert die Leerlaufzeit der Sicherheits-
zuordnung in Minuten.
- Syntax
: 5-60
|notconfigured (Standard=5)
defaultexemptions - Konfiguriert die IPsec-Standardausnahmen.
Standardmäßig sind das IPv6-Protokoll für die
Nachbarermittlung und DHCP von IPsec ausgenommen.
- Syntax
:
none
|neighbordiscovery
|icmp
|dhcp
|notconfigured
ipsecthroughnat - Konfiguriert, wann Sicherheitszuordnungen mit einem
Computer hergestellt werden können, der sich hinter
einer Netzwerkadressübersetzung befindet.
- Syntax
: never
|serverbehindnat
|
serverandclientbehindnat
|
notconfigured(Standard=never)
authzcomputergrp - Konfiguriert die Computer, die zum Herstellen von
Tunnelmodusverbindungen autorisiert sind.
- Syntax
: none
||notconfigured
authzusergrp - Konfiguriert die Benutzer, die zum Herstellen von
Tunnelmodusverbindungen autorisiert sind.
- Syntax: none||notconfigured
Parameter für den Hauptmodus:
mmkeylifetime - Legt die Schlüsselgültigkeitsdauer für den Hauptmodus
in Minuten, Sitzungen oder beidem fest.
- Syntax: min,sess
minlifetime: <1> Minuten,
maxlifetime: <2880> Minuten
minsessions: <0> Sitzungen,
maxsessions: <2.147.483.647> Sitzungen
mmsecmethods - Konfiguriert die Vorschlagsliste für den Hauptmodus.
- Syntax
keyexch:enc-integrity,keyexch:enc-integrity[,...]|default
- keyexch=dhgroup1|dhgroup2|dhgroup14|
ecdhp256|ecdhp384
- enc=3des|des|aes128|aes192|aes256
- integrity=md5|sha1|sha256|sha384
mmforcedh - Konfiguriert die Option zur Verwendung von DH zum
Sichern des Schlüsselaustauschs.
- Syntax:
yes|no (Standard=no)
Hinweise:
- Konfiguriert globale Einstellungen, einschließlich erweiterter IPsec-
Optionen.
- Die Verwendung von DES, MD5 und DHGroup1 wird nicht empfohlen. Diese
kryptografischen Algorithmen werden nur aus Gründen der
Abwärtskompatibilität bereitgestellt.
- Durch das Schlüsselwort "default" von "mmsecmethods" wird die
Richtlinie wie folgt festgelegt:
dhgroup2-aes128-sha1,dhgroup2-3des-sha1
Beispiele:
Überprüfung der Zertifikatsperrliste deaktivieren:
netsh advfirewall set global ipsec strongcrlcheck 0
Statusbehaftete Firewall-FTP-Unterstützung auf dem Server aktivieren:
netsh advfirewall set global statefulftp enable
Globale Vorschläge für den Hauptmodus auf den Standardwert festlegen:
netsh advfirewall set global mainmode mmsecmethods default
Globale Vorschläge für den Hauptmodus auf eine Kundenliste festlegen:
netsh advfirewall set global mainmode mmsecmethods
dhgroup1:des-md5,dhgroup1:3des-sha1
