Compartilhar via


Como configurar configurações criptográficas para conexões VPN IKEv2

Em conexões VPN IKEv2, a configuração padrão para configurações criptográficas IKEv2 é:

  • Algoritmo de criptografia: DES3
  • Integridade, Algoritmo de Hash: SHA1
  • Grupo Diffie Hellman (tamanho da chave): DH2

Essas configurações não são seguras para trocas IKE.

Para proteger as conexões, atualize a configuração de clientes e servidores VPN executando cmdlets VPN.

Servidor VPN

Para servidores VPN que executam o Windows Server 2012 R2 ou posterior, você precisa executar Set-VpnServerConfiguration para configurar o tipo de túnel. Essas configurações são eficazes para todas as conexões VPN IKEv2.

Set-VpnServerConfiguration -TunnelType IKEv2 -CustomPolicy

Em uma versão anterior do Windows Server, execute Set-VpnServerIPsecConfiguration. Como Set-VpnServerIPsecConfiguration não tem -TunnelType, a configuração se aplica a todos os tipos de túnel no servidor.

Set-VpnServerIPsecConfiguration -CustomPolicy

Cliente VPN

Para o cliente VPN, você precisa configurar cada conexão VPN. Por exemplo, execute Set-VpnConnectionIPsecConfiguration (versão 4.0) e especifique o nome da conexão:

Set-VpnConnectionIPsecConfiguration -ConnectionName <String>

Exemplo de configurações de criptografia IKEv2

Os seguintes comandos configuram as configurações criptográficas IKEv2 para:

  • Algoritmo de criptografia: AES128
  • Integridade, Algoritmo de Hash: SHA256
  • Grupo Diffie Hellman (Tamanho da chave): DH14

Servidor VPN IKEv2

Set-VpnServerConfiguration -TunnelType IKEv2 -CustomPolicy -AuthenticationTransformConstants SHA256128 -CipherTransformConstants AES128 -DHGroup Group14 -EncryptionMethod AES128 -IntegrityCheckMethod SHA256 -PFSgroup PFS2048 -SALifeTimeSeconds 28800 -MMSALifeTimeSeconds 86400 -SADataSizeForRenegotiationKilobytes 1024000
restart-service RemoteAccess -PassThru

Se você precisar alternar de volta para as configurações padrão IKEv2, use este comando:

Set-VpnServerConfiguration -TunnelType IKEv2 -RevertToDefault
restart-service RemoteAccess -PassThru

Cliente VPN IKEv2

Set-VpnConnectionIPsecConfiguration -ConnectionName <String - your VPN connection name> -AuthenticationTransformConstants SHA256128 -CipherTransformConstants AES128 -DHGroup Group14 -EncryptionMethod AES128 -IntegrityCheckMethod SHA256 -PfsGroup PFS2048 -Force

Se você precisar alternar de volta para as configurações padrão IKEv2, use este comando:

Set-VpnConnectionIPsecConfiguration -ConnectionName <String - your VPN connection name> -RevertToDefault -Force

Dica

Se você estiver configurando uma conexão VPN de todos os usuários ou um Túnel de Dispositivo, deverá usar o -AllUserConnection parâmetro no Set-VpnConnectionIPsecConfiguration comando.