Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh advfirewall consec set rule ?
Syntax: set rule
group=| name=[type=dynamic|static][profile=public|private|domain|any[,...] (Standard=any)][endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|||||][endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|||||][port1=0-65535|[,...]|any][port2=0-65535|[,...]|any][protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
new
[name=][profile=public|private|domain|any[,...]][description=][mode=transport|tunnel][endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|||||][endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|||||][action=requireinrequestout|requestinrequestout|
requireinrequireout|requireinclearout|noauthentication][enable=yes|no][type=dynamic|static][localtunnelendpoint=any||][remotetunnelendpoint=any||][port1=0-65535|[,...]|any][port2=0-65535|[,...]|any][protocol=0-255|tcp|udp|icmpv4|icmpv6|any][interfacetype=wiresless|lan|ras|any][auth1=computerkerb|computercert|computercertecdsap256|
computercertecdsap384|computerpsk|computerntlm|anonymous[,...]][auth1psk=][auth1ca="[certmapping:yes|no][excludecaname:yes|no][catype:root|intermediate (Standard=root)]| ..."][auth1healthcert=yes|no][auth1ecdsap256ca="[certmapping:yes|no][excludecaname:yes|no][catype:root|intermediate (Standard=root)]| ..."][auth1ecdsap256healthcert=yes|no (Standard=no)][auth1ecdsap384ca="[certmapping:yes|no][excludecaname:yes|no][catype:root|intermediate (Standard=root)]| ..."][auth1ecdsap384healthcert=yes|no (Standard=no)][auth2=computercert|computercertecdsap256|computercertecdsap384|
userkerb|usercert|usercertecdsap256|usercertecdsap384|userntlm|
anonymous[,...]][auth2ca="[certmapping:yes|no][catype:root|intermediate (Standard=root)]| ..."][auth2ecdsap256ca="[certmapping:yes|no][catype:root|intermediate (Standard=root)]| ..."][auth2ecdsap384ca="[certmapping:yes|no][catype:root|intermediate (Standard=root)]| ..."][qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|none][qmsecmethods=authnoencap:+[valuemin]+[valuekb]|
ah:+esp:-+[valuemin]+
[valuekb]|default][exemptipsecprotectedconnections=yes|no (Standard=no)][applyauthz=yes|no (Standard=no)]
Hinweise:
- Legt einen neuen Parameterwert für eine identifizierte Regel fest. Beim Befehl tritt ein Fehler auf,
wenn die Regel nicht vorhanden ist. Verwenden Sie zum Erstellen einer Regel den Befehl "add".
- Werte nach dem Schlüsselwert "new" werden in der Regel aktualisiert. Wenn
keine Werte vorhanden sind oder das Schlüsselwort "new" fehlt, werden keine Änderungen vorgenommen.
- Eine Gruppe von Regeln kann nur aktiviert oder deaktiviert werden.
- Wenn mehrere Regeln den Kriterien entsprechen, werden alle
Übereinstimmungsregeln aktualisiert.
- Regelnamen müssen eindeutig sein und dürfen nicht "all" lauten.
- "auth1" und "auth2" können kommagetrennte Listen von Optionen sein.
- Die Methoden "computerpsk" und "computerntlm" können nicht zusammen für
"auth1" angegeben werden.
- "computercert" kann nicht mit den Benutzeranmeldeinformationen für "auth2" angegeben werden.
- Die "certsigning"-Optionen "ecdsap256" und "ecdsap384" werden nur unter
Windows Vista SP1 und höher unterstützt.
- Bei "qmsecmethods" kann es sich um eine Liste von Vorschlägen mit dem Trennzeichen "," handeln.
- Für "qmsecmethods" wird Folgendes verwendet: "integrity=md5|sha1|sha256|aesgmac128|aesgmac192|
aesgmac256|aesgcm128|aesgcm192|aesgcm256" und
"encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256".
- Wenn "aesgcm128", "aesgcm192" oder "aesgcm256" angegeben werden, muss dies sowohl für die
ESP-Integrität als auch -Verschlüsselung verwendet werden.
- "aesgmac128", "aesgmac192", "aesgmac256", "aesgcm128", "aesgcm192", "aesgcm256" und
"sha256" werden nur unter Windows Vista SP1 und höher unterstützt.
- Wenn "qmsemethods" auf "default" festgelegt ist, wird "qmpfs" ebenfalls auf "default"
festgelegt.
- Für "qmpfs=mainmode" wird die Schlüsselaustauscheinstellung des Hauptmodus für PFS verwendet.
- Die Verwendung von DES, MD5 und DHGroup1 wird nicht empfohlen. Diese
kryptografischen Algorithmen werden nur aus Gründen der
Abwärtskompatibilität bereitgestellt.
- Das Zeichen " innerhalb eines Zertifizierungsstellennamens muss durch "\"" ersetzt werden.
- Bei "auth1ca" und "auth2ca" muss dem Zertifizierungsstellennamen "CN=" vorangestellt sein.
- "catype" kann zum Angeben des Zertifizierungsauthentifizierungstyps verwendet werden -
"catype=root/intermediate".
- "authnoencap" wird unter Windows 7 und höher unterstützt.
- "authnoencap" bedeutet, dass für die Computer nur die Authentifizierung verwendet wird
und keine Kapselungs- oder Verschlüsselungsalgorithmen pro Paket verwendet werden,
um nachfolgende Netzwerkpakete zu schützen, die als Teil dieser
Verbindung ausgetauscht werden.
- "qmpfs" und "authnoencap" können nicht zusammen für die gleiche Regel verwendet werden.
- "authnoencap" muss mindestens von einer AH- oder ESP-Integritätssammlung
begleitet werden.
- Bei "mode=tunnel" muss "action" entweder "requireinrequireout", "requireinclearout"
oder "noauthentication" sein.
- "requireinclearout" ist bei "mode=Transport" ungültig.
- "applyauthz" kann nur für Tunnelmodusregeln angegeben werden.
- "exemptipsecprotectedconnections" kann nur für Tunnelmodusregeln
angegeben werden. Durch das Festlegen dieses Flags auf "yes"
wird der ESP-Datenverkehr vom Tunnel ausgeschlossen.
Nur AH-Datenverkehr wird NICHT vom Tunnel ausgeschlossen.
- "port1", "port2" und "protocol" können nur angegeben werden, wenn "mode=transport".
- "valuemin" (wenn angegeben) für "qmsecmethod" muss zwischen 5 und 2880
Minuten liegen. "valuekb" (wenn angegeben) für "qmsecmethod" muss zwischen
20480 und 2147483647 KB liegen.
Beispiele:
"rule1" in "rule 2" umbenennen:
netsh advfirewall consec set rule name="rule1" new
name="rule2"
Die Aktion für eine Regel ändern:
netsh advfirewall consec set rule name="rule1"
endpoint1=1.2.3.4 endpoint2=4.3.2.1 new action=requestinrequestout
Eine Regel mit benutzerdefinierten Schnellmodusvorschlägen hinzufügen:
netsh advfirewall consec set rule name="Custom QM" new
endpoint1=any endpoint2=any
qmsecmethods=authnoencap:aesgmac256,ah:aesgmac256+esp:aesgmac256-none