Compartilhar via

Can a Windows VPN server enforce/accept both cryptographic protocols on clients without client configuration?

Anônima
2024-12-03T13:24:56+00:00

I'm setting up a VPN server using Windows Server (Routing and Remote Access), and I want to enforce specific security protocols for clients connecting via IKEv2. The goal is to ensure that the server dictates the following cryptographic settings during the connection handshake, so that clients don't need to run any PowerShell commands or configure these settings manually:

  • Encryption Algorithm: AES-256
  • Hash Algorithm: SHA-256
  • Diffie-Hellman Group: Group 14 (2048-bit)
  • PFS Group: PFS2048

I’ve already configured the server's registry (IKEv2CustomPolicy) and applied these settings. However, when clients attempt to connect, they default to their own settings unless explicitly configured using Set-VpnConnectionIPsecConfiguration on the client.

My questions are:

  1. Can the Windows VPN server enforce these protocols on clients so they automatically use the correct cryptographic settings during negotiation?
  2. Is there a way to achieve this without requiring any manual configuration or scripting on the client side?

For example:

  • If a user connects to the VPN with just the server address, username, and password, the server would force the client to use AES-256, SHA-256, and DH14.
  • Clients that don't support these protocols would simply fail to connect.

Any guidance or suggestions would be greatly appreciated. Thank you!

Windows para empresas | Windows Server | Rede | Outro

Pergunta bloqueada. Essa pergunta foi migrada da Comunidade de Suporte da Microsoft. É possível votar se é útil, mas não é possível adicionar comentários ou respostas ou seguir a pergunta. Para proteger a privacidade, os perfis de usuário para perguntas migradas são anônimos.

0 comentários Sem comentários
{count} votos
Resposta aceita
  1. Anônima
    2024-12-05T16:21:15+00:00

    FIXED WITH

    1. Update IPsec Policies Follow the instructions in this Clavister Knowledge Base article to modify your IPsec policies.
    2. Modify IKEv2 Settings in the Registry Open the Registry Editor by pressing Win + R, typing regedit, and pressing Enter. Navigate to: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\ Right-click PolicyAgent, select New → Key, and name it IKEv2. Inside the IKEv2 key, create a new String Value: Name: SupportedDHGroups Value: 2,14 (This enables support for both DH Group 2 and DH Group 14.)
    3. Restart the Server
    0 comentários Sem comentários

1 resposta adicional

Classificar por: Mais útil
  1. Anônima
    2024-12-05T16:03:17+00:00

    Esta resposta foi traduzida automaticamente. Como resultado, pode haver erros gramaticais ou palavras estranhas.

    Olá

    Obrigado por postar no fórum da Comunidade Microsoft.

    Com base em sua descrição, esse problema está além do escopo de nosso suporte.

    Para poder obter um tratamento rápido e eficaz do seu problema, recomendo que você reposte sua pergunta no fórum de perguntas e respostas, onde haverá um engenheiro dedicado para lhe dar uma resposta profissional e eficaz.

    Aqui está o link para o fórum de perguntas e respostas.

    Perguntas - Perguntas e respostas da Microsoft

    Clique no botão "Fazer uma pergunta" no canto superior direito para postar sua pergunta e selecionar tags relacionadas aos seus produtos.

    Espero que as informações acima sejam úteis.

    Se você tiver alguma dúvida ou preocupação, sinta-se à vontade para nos informar.

    

    Relação

    Zunhui

    0 comentários Sem comentários