Utilizzare questa finestra di dialogo per aggiungere, modificare, cambiare la priorità o rimuovere le combinazioni di algoritmi disponibili per lo scambio di chiavi durante le negoziazioni in modalità principale. È possibile specificare più combinazioni di algoritmi e assegnare l'ordine in cui le combinazioni vengono provate. Verrà utilizzata la prima combinazione dell'elenco compatibile con entrambi i peer.

Nota

È consigliabile elencare le combinazioni di algoritmi dalla sicurezza maggiore alla sicurezza minore. In questo modo viene utilizzato l'algoritmo più sicuro in comune tra i due computer della negoziazione. Gli algoritmi che offrono una sicurezza minore possono essere utilizzati per compatibilità con le versioni precedenti.

Come accedere a questa finestra di dialogo
  1. Nella pagina dello snap-in MMC Windows Firewall con sicurezza avanzata, in Panoramica fare clic su Proprietà Windows Firewall.

  2. Fare clic sulla scheda Impostazioni IPsec.

  3. In Impostazioni predefinite IPSec fare clic su Personalizza.

  4. In Scambio di chiavi (modalità principale) fare clic su Avanzate e quindi su Personalizza.

Metodi di sicurezza

I metodi di sicurezza sono combinazioni di algoritmi di integrità e di crittografia che proteggono lo scambio di chiavi. Possono essere presenti tutte le combinazioni necessarie ed è possibile disporle nell'elenco in base all'ordine preferito. Le combinazioni vengono provate nell'ordine in cui sono visualizzate. Viene utilizzato il primo insieme che entrambi i computer peer devono concordare. Se il computer peer non può utilizzare alcuna delle combinazioni definite, il tentativo di connessione ha esito negativo.

Alcuni algoritmi sono supportati solo dai computer su cui è in esecuzione questa versione di Windows. Per ulteriori informazioni, vedere l'argomento relativo agli algoritmi IPsec e ai protocolli supportati in Windows all'indirizzo https://go.microsoft.com/fwlink/?LinkID=129230.

Per aggiungere una combinazione all'elenco, fare clic su Aggiungi per utilizzare la finestra di dialogo Aggiungi o modifica metodo di sicurezza.

Per riordinare l'elenco, selezionare una combinazione e quindi fare clic sulla freccia su o giù.

Nota

È consigliabile ordinare le combinazioni dalla sicurezza maggiore alla sicurezza minore. In questo modo verrà utilizzato il metodo di sicurezza più restrittivo supportato da entrambi i peer.

Durata chiavi

Le impostazioni della durata delle chiavi determinano il momento in cui viene generata una nuova chiave. La durata delle chiavi consente di forzare la generazione di una nuova chiave dopo un intervallo di tempo specificato o dopo che un numero di sessioni specificato è stato protetto utilizzando la chiave corrente. L'utilizzo di più chiavi assicura che, in caso un utente non autorizzato ottenga l'accesso a una chiave, solo una piccola quantità di informazioni sia esposta prima che venga generata una nuova chiave e il traffico di rete sia nuovamente protetto. È possibile specificare la durata delle chiavi in minuti e in numero di sessioni. Non appena viene raggiunta la prima di queste soglie, la chiave viene rigenerata.

Nota

Questa rigenerazione viene eseguita unicamente per lo scambio di chiavi in modalità principale. Queste impostazioni non influiscono sulle impostazioni di durata delle chiavi per la protezione dei dati in modalità rapida.

Minuti

Utilizzare questa impostazione per configurare la durata desiderata della chiave utilizzata nell'associazione di sicurezza in modalità principale, in minuti. Dopo questo intervallo, verrà generata una nuova chiave. Le sessioni successive in modalità principale utilizzeranno la nuova chiave.

La durata massima delle chiavi è pari a 2.879 minuti, ovvero 48 ore. La durata minima è pari a 1 minuto. È consigliabile rigenerare le chiavi solo con la frequenza richiesta dall'analisi dei rischi. Una rigenerazione delle chiavi eccessivamente frequente può incidere sulle prestazioni.

Sessioni

Una sessione è un messaggio distinto o un insieme di messaggi protetto da un'associazione di sicurezza in modalità rapida. Questa impostazione specifica quante sessioni di generazione chiavi in modalità rapida possono essere protette utilizzando le stesse informazioni sulla chiave in modalità principale. Quando viene raggiunta questa soglia, il contatore viene reimpostato e viene generata una nuova chiave, pertanto nelle comunicazioni successive verrà utilizzata la nuova chiave. Il valore massimo è pari a 2.147.483.647 sessioni. Il valore minimo è pari a 0 sessioni.

Se il numero limite di sessioni è impostato su zero (0), la generazione di una nuova chiave viene determinato solo in base all'impostazione Durata chiave (in minuti).

Prestare attenzione quando si impostano durate molto diverse per le chiavi in modalità principale e quelle in modalità rapida. Se ad esempio si imposta una durata di otto ore per le chiavi in modalità principale e una durata di due ore per quelle in modalità rapida, può accadere che un'associazione di sicurezza in modalità rapida rimanga attiva per quasi due ore dopo che l'associazione di sicurezza in modalità principale è scaduta. Questo si verifica quando l'associazione di sicurezza in modalità rapida viene generata subito prima della scadenza dell'associazione di sicurezza in modalità principale.

Importante

Maggiore è il numero delle sessioni consentite per una chiave in modalità principale, maggiori sono le possibilità che tale chiave venga individuata. Se si desidera limitare il numero di volte in cui la chiave viene riutilizzata, è possibile specificare un limite per la chiave in modalità rapida.

Sicurezza Nota

Per configurare PFS (Perfect Forward Secrecy) in modalità rapida, impostare Durata chiave in sessioni su 1. Sebbene questa configurazione offra protezione aggiuntiva, comporta anche una notevole riduzione delle prestazioni di calcolo e di rete. Ogni nuova sessione in modalità rapida rigenera il materiale per le chiavi in modalità principale e, di conseguenza la riautenticazione dei due computer. È consigliabile attivare PFS sono in ambienti in cui il traffico IPSec può essere esposto ad attacchi sofisticati che potrebbero compromettere la protezione crittografica avanzata offerta da IPSec.

Opzioni di scambio chiavi

Utilizza Diffie-Hellman per una sicurezza avanzata

Microsoft Windows Vista e le versioni successive di Windows supportano Authenticated IP (AuthIP) oltre a Internet Key Exchange (IKE) per stabilire la connessione sicura iniziale in cui il resto dei parametri IPsec viene negoziato. IKE utilizza solo scambi Diffie-Hellman. Quando si utilizza AuthIP, non è richiesto alcun protocollo di scambio chiavi Diffie-Hellman. Viceversa, quando è richiesta l'autenticazione Kerberos versione 5, viene utilizzato il segreto del ticket di servizio Kerberos versione 5 anziché un valore Diffie-Hellman. Quando è richiesta l'autenticazione certificato o l'autenticazione NTLM, viene stabilita una sessione Transport Level Security (TLS) e il segreto relativo viene utilizzato in sostituzione del valore Diffie-Hellman.

Se si seleziona questa casella di controllo, viene eseguito uno scambio Diffie-Hellman indipendentemente dal tipo di autenticazione selezionato e il segreto Diffie-Hellman viene utilizzato per proteggere il resto delle negoziazioni IPSec. Utilizzare questa opzione quando i requisiti normativi impongono l'obbligo di utilizzare uno scambio Diffie-Hellman.

Vedere anche


Argomenti della Guida