estrutura SOCKET_SECURITY_SETTINGS_IPSEC (mstcpip.h)

Artigo
03/13/2024

A estrutura SOCKET_SECURITY_SETTINGS_IPSEC especifica vários requisitos e configurações de segurança específicos do IPsec.

Sintaxe

typedef struct _SOCKET_SECURITY_SETTINGS_IPSEC {
  SOCKET_SECURITY_PROTOCOL SecurityProtocol;
  ULONG                    SecurityFlags;
  ULONG                    IpsecFlags;
  GUID                     AuthipMMPolicyKey;
  GUID                     AuthipQMPolicyKey;
  GUID                     Reserved;
  UINT64                   Reserved2;
  ULONG                    UserNameStringLen;
  ULONG                    DomainNameStringLen;
  ULONG                    PasswordStringLen;
  wchar_t                  AllStrings[0];
} SOCKET_SECURITY_SETTINGS_IPSEC;

Membros

SecurityProtocol

Tipo: SOCKET_SECURITY_PROTOCOL

Um valor SOCKET_SECURITY_PROTOCOL que identifica o tipo de protocolo de segurança a ser usado no soquete. Esse membro deve ser definido como SOCKET_SECURITY_PROTOCOL_IPSEC.

SecurityFlags

Tipo: ULONG

Um conjunto de sinalizadores que permitem que os aplicativos definam requisitos de segurança específicos em um soquete. Os valores possíveis são definidos no arquivo de cabeçalho Mstcpip.h .

Valor	Significado
SOCKET_SETTINGS_GUARANTEE_ENCRYPTION 0x00000001	Indica que a criptografia garantida de tráfego é necessária. Esse sinalizador deverá ser definido se a política padrão preferir métodos de proteção que não usam criptografia. Se esse sinalizador estiver definido e a criptografia não for possível por qualquer motivo, nenhum pacote será enviado e uma conexão não será estabelecida.
SOCKET_SETTINGS_ALLOW_INSECURE 0x00000002	Indica que conexões de texto não criptografado são permitidas. Se esse sinalizador for definido, alguns ou todos os pacotes enviados serão enviados em texto não criptografado, especialmente se a segurança com o par não puder ser negociada. Nota Se esse sinalizador não estiver definido, é garantido que os pacotes nunca serão enviados em texto não criptografado, mesmo que a negociação de segurança falhe.

Valor

Significado

SOCKET_SETTINGS_GUARANTEE_ENCRYPTION
0x00000001

Indica que a criptografia garantida de tráfego é necessária. Esse sinalizador deverá ser definido se a política padrão preferir métodos de proteção que não usam criptografia. Se esse sinalizador estiver definido e a criptografia não for possível por qualquer motivo, nenhum pacote será enviado e uma conexão não será estabelecida.

SOCKET_SETTINGS_ALLOW_INSECURE
0x00000002

Indica que conexões de texto não criptografado são permitidas. Se esse sinalizador for definido, alguns ou todos os pacotes enviados serão enviados em texto não criptografado, especialmente se a segurança com o par não puder ser negociada.

Nota Se esse sinalizador não estiver definido, é garantido que os pacotes nunca serão enviados em texto não criptografado, mesmo que a negociação de segurança falhe.

IpsecFlags

Tipo: ULONG

Sinalizadores para configurações de segurança IPsec. Os valores possíveis são definidos no arquivo de cabeçalho Mstcpip.h .

Valor	Significado
SOCKET_SETTINGS_IPSEC_SKIP_FILTER_INSTANTIATION 0x00000001	Quando esse sinalizador é definido, a instanciação do filtro IPsec é omitida para o soquete. Esse sinalizador deve ser definido quando um aplicativo sabe que os filtros e a política IPsec já existem para seu tráfego. Aplicativos em execução em um domínio com a política IPsec em vigor também podem definir esse sinalizador.

AuthipMMPolicyKey

Tipo: GUID

O GUID para a chave da Plataforma de Filtragem do Windows do contexto do provedor de modo de main AuthIP. Se um aplicativo quiser usar uma política de modo de main personalizada, ele deverá primeiro usar a função FwpmProviderContextAdd0 para adicionar o contexto do provedor correspondente e especificar a chave retornada nesse membro. Esse campo é ignorado para um GUID de zero.

AuthipQMPolicyKey

Tipo: GUID

A chave da Plataforma de Filtragem do Windows do contexto do provedor de modo rápido AuthIp. Se um aplicativo quiser usar uma política de modo rápido personalizado, ele deverá primeiro usar a função FwpmProviderContextAdd0 para adicionar o contexto do provedor correspondente e especificar a chave retornada nesse campo. Esse campo é ignorado para um GUID de zero.

Reserved

Tipo: GUID

Reservado para uso futuro.

Reserved2

Tipo: UINT64

Reservado para uso futuro.

UserNameStringLen

Tipo: ULONG

O comprimento, em bytes, do nome de usuário no membro AllStrings .

DomainNameStringLen

Tipo: ULONG

O comprimento, em bytes, do nome de domínio no membro AllStrings .

PasswordStringLen

Tipo: ULONG

O comprimento, em bytes, da senha no membro AllStrings .

AllStrings[0]

Tipo: wchar_t[]

Uma cadeia de caracteres que contém o nome de usuário, o nome de domínio e a senha concatenadas nesta ordem.

Comentários

A estrutura de SOCKET_SECURITY_SETTINGS_IPSEC tem suporte no Windows Vista e posterior.

A estrutura SOCKET_SECURITY_SETTINGS_IPSEC deve ser usada por um aplicativo avançado que requer mais flexibilidade e deseja personalizar a política IPSec para seu tráfego. O ponteiro para a estrutura SOCKET_SECURITY_SETTINGS_IPSEC precisa ser convertido no tipo de estrutura SOCKET_SECURITY_SETTINGS ao chamar a função WSASetSocketSecurity para habilitar e aplicar a segurança em um soquete.

O membro SecurityProtocol da estrutura SOCKET_SECURITY_SETTINGS_IPSEC deve ser definido como SOCKET_SECURITY_PROTOCOL_IPSEC, não SOCKET_SECURITY_PROTOCOL_DEFAULT.

Para simplificar a implantação do protocolo IPsec, o Windows Vista e posteriores dão suporte a uma versão aprimorada do protocolo IKE (Internet Key Exchange), conhecido como Protocolo de Internet Autenticado (AuthIP). O AuthIP fornece configuração e manutenção simplificadas da política IPsec em muitas configurações e flexibilidade adicional para autenticação de pares IPsec.

Há a possibilidade de que algumas das configurações de IPsec especificadas na estrutura SOCKET_SECURITY_SETTINGS_IPSEC possam acabar sendo diferentes das configurações reais aplicadas ao tráfego de rede em um soquete. Por exemplo, isso pode acontecer quando um aplicativo especifica o modo de main personalizado ou a política de modo rápido, mas uma política diferente com prioridade mais alta (uma política de domínio, por exemplo) especifica configurações conflitantes para o mesmo tráfego. Para estar ciente desses conflitos, um aplicativo pode usar a API da Plataforma de Filtragem do Windows para consultar a política que está sendo aplicada e assinar notificações.

Requisitos

Requisito	Valor
Cliente mínimo com suporte	Windows Vista [somente aplicativos da área de trabalho]
Servidor mínimo com suporte	Windows Server 2008 [somente aplicativos da área de trabalho]
Cabeçalho	mstcpip.h