ISAKMP 允許弱 IPsec 加密設置（PCI 合規性）

我正在研究客戶的 PCI 合規性。失敗的項目之一是：

3.1.5。ISAKMP 允許弱 IPsec 加密設置 (ipsecweakencryptionsettings)

給出的解決方案是：“修改 ISAKMP 設置以僅允許協商安全加密算法。”

有人可以就我如何解決這個問題提供一些更詳細的資訊嗎？

作業系統是 SBS2011，帶有 Exchange 2010、IIS 7.5

您可以通過訪問為您的 VPN 隧道提供服務的設備或伺服器來解決此問題，然後“

$$ modifying $$ISAKMP 設置僅允許協商安全加密算法。”它可能允許將較弱的加密選項用於舊版支持，因此您將其關閉。聽起來您真的開始對這個客戶端的深度不夠了， 誠實地。 並不是說我想讓你聽起來像太多的雞巴或鸚鵡學舌，但它實際上就像更改 VPN 隧道上的設置以強制執行更強大的加密（更現代的算法和/或更長的密鑰長度）一樣簡單。這甚至可能就像禁用對 DES 的支持一樣簡單，這是多年前的通用標準，現在非常不安全。

似乎不會在您的 SBS/Exchange 伺服器上找到它（儘管我見過奇怪的東西），我建議首先查看路由設備，特別是任何可能存在的防火牆或邊緣設備用作 VPN 使用者的連接點，將在此處協商 VPN 隧道。

引用自：https://serverfault.com/questions/412682