ISAKMP 允许弱 IPsec 加密设置（PCI 合规性）

您可以通过转到提供 VPN 隧道的设备或服务器并“[修改] ISAKMP 设置以仅允许协商安全加密算法”来解决此问题。它可能允许使用较弱的加密选项来提供旧版支持，因此您将其关闭。老实说，这听起来真的开始让您觉得您对这个客户端已经完全不了解了。

我并不是想让你觉得我太过自负或重复问题信息，但这真的很简单，只需更改 VPN 隧道上的设置以强制使用更强大的加密（更现代的算法和/或更长的密钥长度）。这甚至可能像禁用对 DES 的支持一样简单，DES 是多年前的通用标准，现在非常不安全。

这似乎不会在您的 SBS/Exchange 服务器上发现（尽管我见过更奇怪的事情），我建议首先查看路由设备，特别是可能用作 VPN 用户连接点的任何防火墙或边缘设备，VPN 隧道将在那里协商。

尝试禁用 isakmp 激进模式。激进模式比主模式更快，但安全性较差，因为它仅传递 3 个身份验证数据包。通常建议使用主模式而不是激进模式。如果出于性能问题必须使用激进模式，例如，请使用公钥加密身份验证。

禁用 DES 和 MD5​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​