Utilizzare questa finestra di dialogo per configurare un'offerta di algoritmo che includa sia l'integrità che la riservatezza dei dati (crittografia) e che sia disponibile durante le negoziazioni delle associazioni di sicurezza in modalità rapida. È necessario specificare sia il protocollo sia l'algoritmo utilizzato per proteggere l'integrità dei dati nel pacchetto di rete.

Internet Protocol Security (IPsec) consente l'integrità mediante il calcolo di un hash generato dai dati nel pacchetto di rete. L'hash viene quindi firmato con firma crittografata e incorportato nel pacchetto IP. Nel computer ricevente viene utilizzato lo stesso algoritmo per calcolare l'hash e confrontarne il risultato con l'hash incorporato nel pacchetto ricevuto. In caso di corrispondenza, le informazioni ricevute sono esattamente identiche alle informazioni inviate e il pacchetto viene accettato. In caso di mancata corrispondenza, il pacchetto viene ignorato.

L'utilizzo di un hash crittografato del messaggio trasmesso non consente dal punto di vista del calcolo di modificare il messaggio senza generare una mancata corrispondenza dell'hash. Questo comportamento è fondamentale quando i dati vengono scambiati su una rete non protetta quale Internet e consente di sapere che il messaggio non è stato modificato durante il transito.

Oltre alla protezione dell'integrità, questa finestra di dialogo consente di specificare un algoritmo di crittografia che contribuisca a impedire la lettura dei dati se il pacchetto di rete viene intercettato durante il transito.

Come accedere a questa finestra di dialogo

  1. Nella pagina dello snap-in MMC Windows Firewall con sicurezza avanzata in Panoramica fare clic su Proprietà Windows Firewall.

  2. Fare clic sulla scheda Impostazioni IPsec.

  3. In Impostazioni predefinite IPSec fare clic su Personalizza.

  4. In Protezione dati (modalità rapida) scegliere Avanzate e quindi fare clic su Personalizza.

  5. In Integrità e crittografia dei dati selezionare una combinazione di algoritmi e fare clic su Modifica o Aggiungi.

Protocollo

I protocolli seguenti consentono di incorporare le informazioni di integrità e crittografia in un pacchetto IP.

ESP (scelta consigliata)

ESP (Encapsulating Security Payload) assicura anche la riservatezza, oltre all'autenticazione, all'integrità e alla protezione anti-riproduzione, per il payload IP. Nella modalità di trasporto ESP non firma l'intero pacchetto, ma viene protetto solo il payload dei dati IP e non l'intestazione IP. ESP può essere utilizzato da solo o in combinazione con AH (Authentication Header). Il calcolo dell'hash include solo l'intestazione, il trailer e il payload ESP. ESP offre servizi di riservatezza dei dati mediante la crittografia del payload ESP con uno degli algoritmi di crittografia supportati. I servizi di riproduzione dei pacchetti sono resi disponibili tramite l'inserimento di un numero di sequenza per ogni pacchetto.

ESP e AH

Questa opzione combina la sicurezza garantita dai protocolli ESP e AH. AH assicura l'autenticazione, l'integrità e la protezione anti-riproduzione dell'intero pacchetto (sia per l'intestazione IP che per il payload di dati contenuto nel pacchetto).

Importante

Il protocollo AH non è compatibile con NAT (Network Address Translation) poiché i dispositivi NAT hanno l'esigenza di modificare le informazioni contenute nelle intestazioni dei pacchetti. Per consentire il transito di traffico IPSec attraverso un dispositivo NAT, è necessario assicurare che i computer peer IPsec supportino NAT Traversal (NAT-T).

Algoritmi

Algoritmo di crittografia

Gli algoritmi di crittografia seguenti sono disponibili ai computer che eseguono questa versione di Windows. Alcuni di questi algoritmi non sono disponibili in computer su cui sono in esecuzione versioni precedenti di Windows. Se è necessario stabilire connessioni protette tramite IPsec con un computer su cui è in esecuzione una versione precedente di Windows, è necessario includere opzioni di algoritmi compatibili con la versione precedente.

Per ulteriori informazioni, vedere l'argomento relativo agli algoritmi IPsec e ai metodi supportati in Windows all'indirizzo https://go.microsoft.com/fwlink/?LinkID=129230.

  • AES-GCM 256

  • AES-GCM 192

  • AES-GCM 128

  • AES-CBC 256

  • AES-CBC 192

  • AES-CBC 128

  • 3DES

  • DES

Sicurezza Nota

Non è consigliabile utilizzare DES. È disponibile esclusivamente per compatibilità con le versioni precedenti.

Nota

Se si specifica un algoritmo AES-GCM per la crittografia, è necessario specificare lo stesso algoritmo per l'integrità.

Algoritmo di integrità

Gli algoritmi di integrità seguenti sono disponibili ai computer su cui è in esecuzione questa versione di Windows. Alcuni di questi algoritmi non sono disponibili su computer su cui sono in esecuzione altre versioni di Windows. Se è necessario stabilire connessioni protette tramite IPsec con un computer su cui è in esecuzione una versione precedente di Windows, è necessario includere opzioni di algoritmi compatibili con la versione precedente.

Per ulteriori informazioni, vedere l'argomento relativo agli algoritmi IPsec e ai metodi supportati in Windows all'indirizzo https://go.microsoft.com/fwlink/?LinkID=129230.

  • AES-GCM 256

  • AES-GCM 192

  • AES-GCM 128

  • AES-GMAC 256

  • AES-GMAC 192

  • AES-GMAC 128

  • SHA-1

  • MD5

Sicurezza Nota

Non è consigliabile utilizzare MD5. È disponibile esclusivamente per compatibilità con le versioni precedenti.

Nota

Se si specifica un algoritmo AES-GCM per l'integrità, è necessario specificare lo stesso algoritmo per la crittografia.

Durata chiavi

Le impostazioni di durata delle chiavi determinano il momento in cui viene generata una nuova chiave. La durata delle chiavi consente di forzare la generazione di una nuova chiave dopo un intervallo di tempo specifico o dopo la trasmissione di una determinata quantità di dati. Se ad esempio la comunicazione dura 100 minuti e si specifica una durata pari a 10 minuti, nel corso dello scambio di dati verranno generate 10 chiavi, una ogni 10 minuti. L'utilizzo di più chiavi garantisce che, qualora l'autore di un attacco riesca a ottenere la chiave di una parte della comunicazione, ciò non comprometta l'intera comunicazione.

Nota

Questa rigenerazione delle chiavi è relativa all'integrità e alla crittografia dei dati in modalità rapida e non incide sulle impostazioni di durata delle chiavi per lo scambio di chiavi in modalità principale.

Minuti

Utilizzare questa impostazione per configurare la durata desiderata della chiave nell'associazione di sicurezza in modalità rapida, in minuti. Trascorso l'intervallo specificato, la chiave verrà rigenerata e nelle comunicazioni successive verrà utilizzata la nuova chiave.

La durata massima è pari a 2.879 minuti, ovvero 48 ore. La durata minima è pari a 5 minuti. È consigliabile rigenerare le chiavi solo con la frequenza richiesta dall'analisi dei rischi. Una rigenerazione delle chiavi eccessivamente frequente può incidere sulle prestazioni.

KB

Utilizzare questa impostazione per configurare la quantità di dati, in kilobyte (KB), che è possibile inviare utilizzando la chiave. Quando viene raggiunta questa soglia, il contatore viene reimpostato e la chiave viene rigenerata, pertanto nelle comunicazioni successive verrà utilizzata la nuova chiave.

La durata massima è pari a 2.147.483.647 KB. La durata minima è pari a 20.480 KB. È consigliabile rigenerare le chiavi solo con la frequenza richiesta dall'analisi dei rischi. Una rigenerazione delle chiavi eccessivamente frequente può incidere sulle prestazioni.

Vedere anche

Argomenti della Guida