struttura SOCKET_SECURITY_SETTINGS_IPSEC (mstcpip.h)

Articolo
02/29/2024

La struttura SOCKET_SECURITY_SETTINGS_IPSEC specifica diversi requisiti di sicurezza e impostazioni specifici di IPsec.

Sintassi

typedef struct _SOCKET_SECURITY_SETTINGS_IPSEC {
  SOCKET_SECURITY_PROTOCOL SecurityProtocol;
  ULONG                    SecurityFlags;
  ULONG                    IpsecFlags;
  GUID                     AuthipMMPolicyKey;
  GUID                     AuthipQMPolicyKey;
  GUID                     Reserved;
  UINT64                   Reserved2;
  ULONG                    UserNameStringLen;
  ULONG                    DomainNameStringLen;
  ULONG                    PasswordStringLen;
  wchar_t                  AllStrings[0];
} SOCKET_SECURITY_SETTINGS_IPSEC;

Members

SecurityProtocol

Tipo: SOCKET_SECURITY_PROTOCOL

Valore SOCKET_SECURITY_PROTOCOL che identifica il tipo di protocollo di sicurezza da utilizzare nel socket. Questo membro deve essere impostato su SOCKET_SECURITY_PROTOCOL_IPSEC.

SecurityFlags

Tipo: ULONG

Set di flag che consentono alle applicazioni di impostare requisiti di sicurezza specifici in un socket. I valori possibili sono definiti nel file di intestazione Mstcpip.h .

Valore	Significato
SOCKET_SETTINGS_GUARANTEE_ENCRYPTION 0x00000001	Indica che è necessaria la crittografia garantita del traffico. Questo flag deve essere impostato se il criterio predefinito preferisce i metodi di protezione che non usano la crittografia. Se questo flag è impostato e la crittografia non è possibile per qualsiasi motivo, non verranno inviati pacchetti e non verrà stabilita una connessione.
SOCKET_SETTINGS_ALLOW_INSECURE 0x00000002	Indica che sono consentite connessioni di testo non crittografate. Se questo flag è impostato, alcuni o tutti i pacchetti inviati verranno inviati in testo non crittografato, soprattutto se non è stato possibile negoziare la sicurezza con il peer. Nota Se questo flag non è impostato, è garantito che i pacchetti non verranno mai inviati in testo non crittografato, anche se la negoziazione di sicurezza non riesce.

Valore

Significato

SOCKET_SETTINGS_GUARANTEE_ENCRYPTION
0x00000001

Indica che è necessaria la crittografia garantita del traffico. Questo flag deve essere impostato se il criterio predefinito preferisce i metodi di protezione che non usano la crittografia. Se questo flag è impostato e la crittografia non è possibile per qualsiasi motivo, non verranno inviati pacchetti e non verrà stabilita una connessione.

SOCKET_SETTINGS_ALLOW_INSECURE
0x00000002

Indica che sono consentite connessioni di testo non crittografate. Se questo flag è impostato, alcuni o tutti i pacchetti inviati verranno inviati in testo non crittografato, soprattutto se non è stato possibile negoziare la sicurezza con il peer.

Nota Se questo flag non è impostato, è garantito che i pacchetti non verranno mai inviati in testo non crittografato, anche se la negoziazione di sicurezza non riesce.

IpsecFlags

Tipo: ULONG

Flag per le impostazioni di sicurezza IPsec. I valori possibili sono definiti nel file di intestazione Mstcpip.h .

Valore	Significato
SOCKET_SETTINGS_IPSEC_SKIP_FILTER_INSTANTIATION 0x00000001	Quando questo flag è impostato, la creazione di istanze del filtro IPsec viene omessa per il socket. Questo flag deve essere impostato quando un'applicazione sa che i filtri IPsec e i criteri esistono già per il traffico. Le applicazioni in esecuzione in un dominio con criteri IPsec sul posto possono anche impostare questo flag.

AuthipMMPolicyKey

Tipo: GUID

GUID per la chiave della piattaforma filtro Windows del contesto del provider in modalità principale AuthIP. Se un'applicazione vuole usare un criterio di modalità principale personalizzato, deve prima usare la funzione FwpmProviderContextAdd0 per aggiungere il contesto del provider corrispondente e specificare la chiave restituita in questo membro. Questo campo viene ignorato per un GUID pari a zero.

AuthipQMPolicyKey

Tipo: GUID

Chiave della piattaforma filtro Windows del contesto del provider in modalità rapida AuthIp. Se un'applicazione vuole usare un criterio in modalità rapida personalizzata, deve prima usare la funzione FwpmProviderContextAdd0 per aggiungere il contesto del provider corrispondente e specificare la chiave restituita in questo campo. Questo campo viene ignorato per un GUID pari a zero.

Reserved

Tipo: GUID

Riservato per utilizzi futuri.

Reserved2

Tipo: UINT64

Riservato per utilizzi futuri.

UserNameStringLen

Tipo: ULONG

Lunghezza, in byte, del nome utente nel membro AllStrings .

DomainNameStringLen

Tipo: ULONG

Lunghezza, in byte, del nome di dominio nel membro AllStrings .

PasswordStringLen

Tipo: ULONG

Lunghezza, in byte, della password nel membro AllStrings .

AllStrings[0]

Tipo: wchar_t[]

Stringa contenente il nome utente, il nome di dominio e la password concatenata in questo ordine.

Commenti

La struttura SOCKET_SECURITY_SETTINGS_IPSEC è supportata in Windows Vista e versioni successive.

La struttura SOCKET_SECURITY_SETTINGS_IPSEC è destinata a essere usata da un'applicazione avanzata che richiede maggiore flessibilità e vuole personalizzare i criteri IPSec per il traffico. Il puntatore alla struttura SOCKET_SECURITY_SETTINGS_IPSEC deve eseguire il cast al tipo di struttura SOCKET_SECURITY_SETTINGS quando si chiama la funzione WSASetSocketSecurity per abilitare e applicare la sicurezza in un socket.

Il membro SecurityProtocol della struttura SOCKET_SECURITY_SETTINGS_IPSEC deve essere impostato su SOCKET_SECURITY_PROTOCOL_IPSEC, non SOCKET_SECURITY_PROTOCOL_DEFAULT.

Per semplificare la distribuzione di Internet Protocol Security (IPsec), Windows Vista e versioni successive supportano una versione avanzata del protocollo IKE (Internet Key Exchange) noto come Authenticated Internet Protocol (AuthIP). AuthIP offre la configurazione e la manutenzione semplificate dei criteri IPsec in molte configurazioni e una maggiore flessibilità per l'autenticazione peer IPsec.

È possibile che alcune delle impostazioni IPsec specificate nella struttura SOCKET_SECURITY_SETTINGS_IPSEC risultino diverse dalle impostazioni effettive applicate al traffico di rete su un socket. Ad esempio, ciò può verificarsi quando un'applicazione specifica criteri personalizzati per la modalità principale o la modalità rapida, ma un criterio diverso con priorità più alta (ad esempio un criterio di dominio) specifica le impostazioni in conflitto per lo stesso traffico. Per essere consapevoli di tali conflitti, un'applicazione può usare l'API Piattaforma filtro Windows per eseguire query sui criteri applicati e sottoscrivere le notifiche.

Requisiti

Requisito	Valore
Client minimo supportato	Windows Vista [solo app desktop]
Server minimo supportato	Windows Server 2008 [solo app desktop]
Intestazione	mstcpip.h