บังคับให้ Windows IPSec / L2TP VPN ใช้ AES ในโหมดหลักของ IPSec

ไคลเอนต์ IPSec VPN ที่ใช้ RAS ใน Windows ดูเหมือนจะไม่เคารพค่าเริ่มต้นของ IPSec ใน Windows Firewall (ซึ่งโฮสต์ไดรเวอร์ IPSec) แต่ยืนยันที่จะใช้การเข้ารหัส 3DES ด้วยความสมบูรณ์ของ SHA1 สำหรับการแลกเปลี่ยนคีย์ (โหมดหลักของ IPSec) ทั้งสองอย่างนี้เป็นอัลกอริธึมดั้งเดิม

ดังนั้นจึงไม่สำคัญว่าจะใช้การเข้ารหัสแบบใดในการถ่ายโอนข้อมูล (โหมดรวดเร็ว) ซึ่ง RAS รองรับได้ถึง AES-256-CBC ลิงก์ทั้งหมดจะอ่อนกว่า 3DES / SHA1

ในทางกลับกันไดรเวอร์ IPSec ใน Windows Firewall สามารถรองรับ SHA-384, AES-GCM และ ECDH P-384 ดังนั้นจึงมีวิธีกำหนดค่าไคลเอนต์ VPN ให้ใช้สิ่งเหล่านี้หรือเพียงแค่เคารพค่าเริ่มต้นที่ตั้งไว้ใน Windows Firewall?

มีปัญหาที่คล้ายกันกับ IPSec / IKE ดูเหมือนว่าบริการ RasMan จะไม่เคารพนโยบาย IPSec ที่กำหนดค่าผ่านไฟร์วอลล์ Windows อย่างสมบูรณ์ และที่ดีที่สุดที่ฉันสามารถทำได้คือ AES-SHA1-DH2048 ผ่านการลงทะเบียนรีจิสทรี ฉันเก็บไว้เป็นไฟล์. reg มีความคิดเห็นดังนั้นควรมีสิ่งที่ชัดเจน

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\IKEv2]
"CustomParams"=dword:00000001
"CustomProposalsCount"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\IKEv2\Proposals]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\IKEv2\Proposals\0]
; for "Quick Mode", all keys optional
; DES, 3DES, AES_128, AES_256
"esp_encr"="AES_128"
; MD5, SHA1
"esp_auth"="SHA1"
; MD5, SHA1
;"AH"="SHA1"
; NONE, 1, 2, 2048, ECP_256, ECP_384, MM
;"PFS"="MM"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]
"AllowL2TPWeakCrypto"=dword:00000000
"AllowPPTPWeakCrypto"=dword:00000000
; for "Main Mode"
; 0 - disable, 1 - enable, 2 - force /// WARNING! "force" disables stronger DH groups!
"NegotiateDH2048_AES256"=dword:00000001