IPSec è un'infrastruttura di standard aperti che assicurano comunicazioni private sicure su reti IP tramite servizi di sicurezza con crittografia. L'implementazione di IPSec di Microsoft Windows si basa su standard sviluppati dal gruppo di lavoro su IPSec della Internet Engineering Task Force (IETF).

IPSec stabilisce attendibilità e sicurezza tra un indirizzo IP di origine e un indirizzo IP di destinazione. Gli unici computer che devono essere consapevoli del traffico che viene protetto sono il computer che invia i dati e quello che li riceve. Ogni computer gestisce la sicurezza nel proprio lato basandosi sul presupposto che il supporto utilizzato per la comunicazione non sia sicuro. Per i computer che eseguono solo il routing dei dati dall'origine alla destinazione non è richiesto il supporto di IPSec, a meno che tra i due computer non vengano applicati filtri dei pacchetti di tipo firewall o non venga eseguita la conversione degli indirizzi di rete (NAT, Network Address Translation).

Lo snap-in Criteri di sicurezza IP consente di creare, modificare e assegnare i criteri IPSec nel computer locale e nei computer remoti.

Nota

Con la presente documentazione si intende offrire le informazioni necessarie alla comprensione e all'utilizzo dello snap-in Criteri di sicurezza IP. Non verranno invece fornite informazioni sulla progettazione e sulla distribuzione dei criteri.

Informazioni sui criteri IPSec

I criteri IPSec vengono utilizzati per configurare i servizi di sicurezza IPSec. Tali criteri offrono livelli di protezione diversi per la maggior parte dei tipi di traffico in quasi tutte le reti esistenti. È possibile configurare i criteri IPSec in modo da soddisfare i requisiti di sicurezza di un singolo computer, un'unità organizzativa (OU, Organizational Unit), un dominio, un sito o un'intera organizzazione. Lo snap-in Criteri di sicurezza IP disponibile in questa versione di Windows può essere utilizzato per definire i criteri IPSec per i computer tramite oggetti Criteri di gruppo (per i membri di un dominio) o nel computer locale oppure per i computer remoti.

Importante

Lo snap-in Criteri di sicurezza IP consente la creazione di criteri IPSec che possono essere applicati a computer che eseguono Microsoft Windows Vista e versioni successive di Windows, ma non utilizza i nuovi algoritmi di sicurezza e altre nuove funzionalità disponibili in Microsoft Windows Vista e nelle versioni successive di Windows. Per creare criteri IPsec per questi computer, utilizzare lo snap-in Windows Firewall con sicurezza avanzata. I criteri creati con lo snap-in Windows Firewall con sicurezza avanzata non possono essere applicati alle versioni precedenti di Windows.

Un criterio IPSec è costituito da impostazioni generali e regole. Le impostazioni generali dei criteri IPSec vengono applicate indipendentemente dalle regole configurate e determinano il nome del criterio, la relativa descrizione ai fini amministrativi, le impostazioni e i metodi di scambio chiave. Una o più regole IPSec determinano i tipi di traffico che devono essere controllati da IPSec, il modo in cui viene considerato il traffico, la modalità di autenticazione di un peer IPSec e altre impostazioni.

Dopo che i criteri sono stati creati, è possibile applicarli a livello locale e a livello di dominio, sito e unità organizzativa. In un computer può essere attivo un solo criterio alla volta. I criteri distribuiti e applicati tramite oggetti Criteri di gruppo hanno priorità sui criteri locali.

Attività relative allo snap-in IPSec

In questa sezione vengono illustrate alcune delle attività più comuni che è possibile eseguire con lo snap-in Criteri di sicurezza IP.

Creare un criterio

A meno che non si stiano creando criteri su un solo computer e sul relativo peer IPSec, sarà in genere necessario creare un set di criteri IPSec adatti al proprio ambiente IT. La complessità della progettazione, della creazione e della distribuzione dei criteri dipende dalle dimensioni del dominio, dall'omogeneità dei computer del dominio e da altri fattori.

Viene in genere adottata la procedura seguente:

  1. Creazione di elenchi di filtri IP corrispondenti ai computer, alle subnet e alle condizioni dell'ambiente.

  2. Creazione di operazioni filtro corrispondenti al modo in cui si desidera autenticare le connessioni, applicare l'integrità dei dati e crittografare i dati. L'operazione filtro può anche essere Blocco o Autorizza, indipendentemente da altri criteri. L'operazione Blocco ha priorità su altre operazioni.

  3. Creazione di un set di criteri corrispondenti ai requisiti di filtro e operazioni filtro (sicurezza) desiderati.

  4. Distribuzione dei criteri che utilizzano le operazioni filtro Autorizza e Blocco, quindi monitoraggio dell'ambiente IPSec per individuare eventuali problemi che potrebbero richiedere la modifica di tali criteri.

  5. Distribuzione dei criteri tramite l'operazione filtro Negozia sicurezza, con la possibilità di utilizzare le comunicazioni non crittografate, in modo da consentire la verifica del funzionamento di IPSec nell'ambiente senza interrompere le comunicazioni.

  6. Dopo avere apportato le eventuali modifiche ai criteri, rimozione del consenso alle comunicazioni non crittografate, dove appropriato. In tal modo non sarà possibile creare una connessione senza autenticazione e sicurezza.

  7. Monitoraggio dell'ambiente per individuare l'eventuale assenza di comunicazioni, che potrebbero essere indicate da un aumento inaspettato delle statistiche delle negoziazioni non riuscite in modalità principale.

Per creare un nuovo criterio IPSec
  1. Fare clic con il pulsante destro del mouse sul nodo Criteri di sicurezza IP e quindi scegliere Crea criterio di sicurezza IP.

  2. Nella Creazione guidata criteri di sicurezza IP fare clic su Avanti.

  3. Digitare il nome e l'eventuale descrizione del criterio e quindi fare clic su Avanti.

  4. Scegliere se selezionare o meno la casella di controllo Attiva la regola di risposta predefinita e quindi fare clic su Avanti.

    Nota

    La regola di risposta predefinita può essere utilizzata solo per i criteri applicati a Windows XP e a Windows Server 2003 e versioni precedenti. Nelle versioni successive di Windows non è possibile utilizzare la regola di risposta predefinita.

  5. Se si utilizza la regola di risposta predefinita, selezionare un metodo di autenticazione e quindi fare clic su Avanti.

    Per ulteriori informazioni sulla regola di risposta predefinita, vedere Regole IPSec.

  6. Lasciare selezionata la casella di controllo Modifica proprietà e quindi fare clic su Avanti. È inoltre possibile aggiungere le regole desiderate al criterio, in base alle necessità.

Aggiungere o modificare una regola in un criterio

Per aggiungere una regola a un criterio
  1. Fare clic con il pulsante destro del mouse sulla regola IPSec e quindi scegliere Proprietà.

  2. Se si desidera creare la regola nella finestra di dialogo delle proprietà, deselezionare la casella di controllo Utilizza Aggiunta guidata. Per utilizzare la procedura guidata, lasciare la casella di controllo selezionata. Fare clic su Aggiungi. Nelle istruzioni seguenti viene indicato come creare una regola utilizzando la finestra di dialogo.

  3. Nella scheda Elenco filtri IP della finestra di dialogo Proprietà nuova regola selezionare l'elenco di filtri appropriato o fare clic su Aggiungi per aggiungerne uno nuovo. Se sono già stati creati elenchi di filtri, questi verranno visualizzati in Elenchi filtri IP. Per ulteriori informazioni sulla creazione e l'utilizzo degli elenchi di filtri, vedere Elenchi di filtri.

    Nota

    È possibile utilizzare un solo elenco di filtri per regola.

  4. Nella scheda Operazione filtro selezionare l'operazione filtro appropriata o fare clic su Aggiungi per aggiungerne una nuova. Per ulteriori informazioni sulla creazione e l'utilizzo delle operazioni filtro, vedere Operazioni filtro.

    Nota

    È possibile utilizzare una sola operazione filtro per regola.

  5. Nella scheda Metodi di autenticazione selezionare il metodo appropriato o fare clic su Aggiungi per aggiungere un nuovo metodo. Per ulteriori informazioni sulla creazione e l'utilizzo dei metodi di autenticazione, vedere Autenticazione IPSec.

    Nota

    È possibile utilizzare diversi metodi per regola. Tali metodi vengono tentati nell'ordine in cui appaiono nell'elenco. Se si specifica l'utilizzo di certificati, inserirli nell'elenco nell'ordine in cui si desidera che vengano utilizzati.

  6. Nella scheda Tipo di connessione selezionare il tipo di connessione a cui si applica la regola. Per ulteriori informazioni sui tipi di connessione, vedere Tipo di connessione IPSec

  7. Se si utilizza un tunnel, specificare gli endpoint nella scheda Impostazioni tunnel. Per impostazione predefinita, non viene utilizzato alcun tunnel. Per ulteriori informazioni sull'utilizzo dei tunnel, vedere Impostazioni del tunnel IPSec. Non è possibile eseguire il mirroring delle regole di tunneling.

  8. Al termine delle impostazioni, fare clic su OK.

Per modificare una regola di un criterio
  1. Fare clic con il pulsante destro del mouse sul criterio IPsec e quindi scegliere Proprietà.

  2. Nella finestra di dialogo Proprietà criterio selezionare la regola e quindi fare clic su Modifica.

  3. Nella scheda Elenco filtri IP della finestra di dialogo Modifica proprietà regola selezionare l'elenco di filtri appropriato o fare clic su Aggiungi per aggiungerne uno nuovo. Per ulteriori informazioni sulla creazione e l'utilizzo degli elenchi di filtri, vedere Elenchi di filtri.

    Nota

    È possibile utilizzare un solo elenco di filtri per regola.

  4. Nella scheda Operazione filtro selezionare l'operazione filtro appropriata o fare clic su Aggiungi per aggiungerne una nuova. Per ulteriori informazioni sulla creazione e l'utilizzo delle operazioni filtro, vedere Operazioni filtro.

    Nota

    È possibile utilizzare una sola operazione filtro per regola.

  5. Nella scheda Metodi di autenticazione selezionare il metodo appropriato o fare clic su Aggiungi per aggiungere un nuovo metodo. Per ulteriori informazioni sulla creazione e l'utilizzo dei metodi di autenticazione, vedere Autenticazione IPSec.

    Nota

    È possibile utilizzare diversi metodi per regola. Tali metodi vengono tentati nell'ordine in cui appaiono nell'elenco.

  6. Nella scheda Tipo di connessione selezionare il tipo di connessione a cui si applica la regola. Per ulteriori informazioni sui tipi di connessione, vedere Tipo di connessione IPSec.

  7. Se si utilizza un tunnel, specificare gli endpoint nella scheda Impostazioni tunnel. Per impostazione predefinita, non viene utilizzato alcun tunnel. Per ulteriori informazioni sull'utilizzo dei tunnel, vedere Impostazioni del tunnel IPSec.

  8. Dopo aver definito tutte le impostazioni, fare clic su OK.

Assegnare un criterio

Per assegnare un criterio al computer in uso
  • Fare clic con il pulsante destro del mouse sul criterio e quindi scegliere Assegna.

    Note
    • A un computer può essere assegnato un solo criterio alla volta. L'assegnazione di un nuovo criterio comporta la sostituzione automatica del criterio corrente. I criteri di gruppo impostati nel dominio potrebbero assegnare al computer un criterio diverso che sostituirebbe quello locale.
    • Per utilizzare un criterio IPSec in una connessione da computer a computer, è necessario creare un criterio con mirroring sull'altro computer e quindi assegnare il criterio a tale computer.
    • Per assegnare questo criterio a diversi computer, utilizzare Criteri di gruppo.

Vedere anche