Utilizzare queste impostazioni per specificare il modo in cui viene autenticato l'account utente sul computer peer. È inoltre possibile specificare se si desidera che il computer disponga di un certificato di integrità. Il secondo metodo di autenticazione è eseguito da Authenticated IP (AuthIP) in una modalità estesa della fase in modalità principale delle negoziazioni Internet Protocol Security (IPsec).
È possibile specificare più metodi da utilizzare per questa autenticazione. I metodi verranno tentati nell'ordine specificato e verrà utilizzato il primo metodo con esito positivo.
Per ulteriori informazioni sui metodi di autenticazione disponibili in questa finestra di dialogo, vedere
 | Per accedere a questa finestra di dialogo |
Quando si modificano le impostazioni predefinite a livello di sistema:
- Nel riquadro di spostamento dello snap-in MMC Windows Firewall con sicurezza avanzata fare clic su Windows Firewall con sicurezza avanzata e quindi in Panoramica fare clic su Proprietà Windows Firewall.
- Fare clic sulla scheda Impostazioni IPsec e quindi fare clic su Personalizza in Impostazioni predefinite IPSec.
- In Metodo di autenticazione fare clic su Avanzate e quindi su Personalizza.
- In Seconda autenticazione selezionare un metodo e quindi fare clic su Modifica o Aggiungi.
- Nel riquadro di spostamento dello snap-in MMC Windows Firewall con sicurezza avanzata fare clic su Windows Firewall con sicurezza avanzata e quindi in Panoramica fare clic su Proprietà Windows Firewall.
Quando si crea una nuova regola di sicurezza della connessione:
- Nel riquadro di spostamento dello snap-in MMC Windows Firewall con sicurezza avanzata fare clic con il pulsante destro del mouse su Regole di sicurezza delle connessioni e quindi scegliere Nuova regola.
- Nella pagina Tipo di regola selezionare qualsiasi tipo ad eccezione di Esenzione da autenticazione.
- Nella pagina Metodo di autenticazione fare clic su Avanzate e quindi su Personalizza.
- In Seconda autenticazione selezionare un metodo e quindi fare clic su Modifica o Aggiungi.
- Nel riquadro di spostamento dello snap-in MMC Windows Firewall con sicurezza avanzata fare clic con il pulsante destro del mouse su Regole di sicurezza delle connessioni e quindi scegliere Nuova regola.
Quando si modifica una regola di sicurezza esistente:
- Nel riquadro di spostamento dello snap-in MMC Windows Firewall con sicurezza avanzata fare clic su Regole di sicurezza delle connessioni.
- Fare doppio clic sulla regola di sicurezza della connessione che si desidera modificare.
- Fare clic sulla scheda Autenticazione.
- In Metodo fare clic su Avanzate e quindi su Personalizza.
- In Seconda autenticazione selezionare un metodo e quindi fare clic su Modifica o Aggiungi.
- Nel riquadro di spostamento dello snap-in MMC Windows Firewall con sicurezza avanzata fare clic su Regole di sicurezza delle connessioni.
Utente (Kerberos V5)
È possibile utilizzare questo metodo per autenticare un utente connesso a un computer remoto appartenente allo stesso dominio o presente in un dominio separato con cui esiste una relazione di trust. L'utente connesso deve disporre di un account di dominio e il computer deve essere un membro di un dominio nella stessa foresta.
Utente (NTLMv2)
NTLMv2 costituisce un'alternativa per l'autenticazione di un utente connesso a un computer remoto che fa parte dello stesso dominio o di un dominio che presenta una relazione di trust con il dominio del computer locale. L'account utente e il computer devono essere membri di domini che fanno parte della stessa foresta.
Certificato utente
Utilizzare un certificato di chiave pubblica nei casi in cui sono incluse comunicazioni tra partner aziendali esterne o computer su cui non è in esecuzione il protocollo di autenticazione Kerberos versione 5. Questa opzione richiede che almeno un'autorità di certificazione (CA, Certification Authority) radice attendibile sia configurata nella rete o accessibile tramite la rete e che i computer client dispongano di un certificato computer associato. Questo metodo è utile se gli utenti non fanno parte dello stesso dominio o fanno parte di domini distinti senza una relazione di trust bidirezionale e non è possibile utilizzare Kerberos versione 5.
Algoritmo di firma
Specificare l'algoritmo di firma utilizzato per proteggere con crittografia il certificato.
RSA (impostazione predefinita)
Selezionare questa opzione se il certificato è firmato utilizzando l'algoritmo di crittografia di chiave pubblica RSA.
ECDSA-P256
Selezionare questa opzione se il certificato è firmato mediante Elliptic Curve Digital Signature Algorithm (ECDSA) con forza della chiave a 256 bit.
ECDSA-P384
Selezionare questa opzione se il certificato è firmato mediante ECDSA con forza della chiave a 256 bit.
Tipo dell'archivio certificati
Specificare il tipo di certificato identificando l'archivio in cui il certificato è contenuto.
CA radice (impostazione predefinita)
Selezionare questa opzione se il certificato è stato emesso da una CA radice ed è archiviato nell'archivio certificati Autorità di certificazione radice attendibili.
CA intermedia
Selezionare questa opzione se il certificato è stato emesso da una CA intermedia ed è archiviato nell'archivio certificati Autorità di certificazione intermedie.
Abilita mapping certificato-account
Quando si attiva il mapping certificato-account IPsec, i protocolli Internet Key Exchange (IKE) e AuthIP associano (eseguono il mapping) un certificato utente a un account utente in un dominio Active Directory o in una foresta e quindi recuperano un token di accesso che include l'elenco di gruppi di sicurezza utente. Questo processo assicura che il certificato offerto dal peer IPsec corrisponda a un account utente attivo nel dominio e che il certificato sia quello che deve essere utilizzato da tale utente.
È possibile utilizzare il mapping certificato-account esclusivamente per gli account utente che appartengono alla stessa foresta del computer che esegue il mapping. In questo modo viene offerta un'autenticazione molto più efficace rispetto alla semplice accettazione di qualsiasi catena di certificati valida. Ad esempio, è possibile utilizzare questa funzionalità per limitare l'accesso agli utenti della stessa foresta. Il mapping certificato-account non assicura tuttavia che sia consentito l'accesso IPsec a uno specifico utente trusted.
Il mapping certificato-account è particolarmente utile se i certificati provengono da un'infrastruttura a chiave pubblica (PKI) non integrata nella distribuzione Servizi di dominio Active Directory, ad esempio se partner aziendali ottengono i loro certificati da provider diversi da Microsoft. È possibile configurare il metodo di autenticazione dei criteri IPsec in modo che venga eseguito il mapping dei certificati a un account utente di dominio per una CA radice specifica. È inoltre possibile eseguire il mapping di tutti i certificati da una CA di rilascio a un account utente. In questo modo è possibile utilizzare l'autenticazione dei certificati per limitare le foreste a cui è consentito l'accesso IPsec in un ambiente in cui sono presenti molte foreste e ognuna esegue la registrazione automatica in una singola CA radice interna. Se il processo di mapping certificato-account non viene completato correttamente, l'autenticazione avrà esito negativo e le connessioni protette da IPsec verranno bloccate.
Certificato di integrità computer
Utilizzare questa opzione per specificare che solo un computer che presenta un certificato rilasciato da una CA specificata e contrassegnato come certificato di integrità Protezione accesso alla rete può eseguire l'autenticazione utilizzando questa regola di sicurezza della connessione. Protezione accesso alla rete consente di definire e applicare criteri di integrità in modo che i computer non conformi ai criteri di rete, ad esempio computer senza software antivirus o privi degli ultimi aggiornamenti del software, abbiano meno possibilità di accedere alla rete. Per implementare Protezione accesso alla rete, è necessario configurare le relative impostazioni sia sul server sia sul client. Per ulteriori informazioni, vedere la Guida dello snap-in MMC Protezione accesso alla rete. Per poter utilizzare questo metodo, è necessario aver impostato nel dominio un server Protezione accesso alla rete.
Algoritmo di firma
Specificare l'algoritmo di firma utilizzato per proteggere con crittografia il certificato.
RSA (impostazione predefinita)
Selezionare questa opzione se il certificato è firmato utilizzando l'algoritmo di crittografia di chiave pubblica RSA.
ECDSA-P256
Selezionare questa opzione se il certificato è firmato mediante Elliptic Curve Digital Signature Algorithm (ECDSA) con forza della chiave a 256 bit.
ECDSA-P384
Selezionare questa opzione se il certificato è firmato mediante ECDSA con forza della chiave a 384 bit.
Tipo dell'archivio certificati
Specificare il tipo di certificato identificando l'archivio in cui il certificato è contenuto.
CA radice (impostazione predefinita)
Selezionare questa opzione se il certificato è stato emesso da una CA radice ed è archiviato nell'archivio certificati Autorità di certificazione radice attendibili.
CA intermedia
Selezionare questa opzione se il certificato è stato emesso da una CA intermedia ed è archiviato nell'archivio certificati Autorità di certificazione intermedie.
Abilita mapping certificato-account
Quando si attiva il mapping certificato-account IPsec, i protocolli IKE e AuthIP associano (eseguono il mapping) un certificato a un account utente o computer in un dominio Active Directory o in una foresta e quindi recuperano un token di accesso che include l'elenco di gruppi di sicurezza. Questo processo assicura che il certificato offerto dal peer IPsec corrisponda a un account computer o utente attivo nel dominio e che il certificato sia quello che deve essere utilizzato da tale account.
È possibile utilizzare il mapping certificato-account esclusivamente per gli account che appartengono alla stessa foresta del computer che esegue il mapping. In questo modo viene offerta un'autenticazione molto più efficace rispetto alla semplice accettazione di qualsiasi catena di certificati valida. Ad esempio, è possibile utilizzare questa funzionalità per limitare l'accesso agli account della stessa foresta. Il mapping certificato-account non assicura tuttavia che sia consentito l'accesso IPsec a uno specifico account trusted.
Il mapping certificato-account è particolarmente utile se i certificati provengono da un'infrastruttura PKI non integrata nella distribuzione Servizi di dominio Active Directory, ad esempio se partner aziendali ottengono i loro certificati da provider di certificati diversi da Microsoft. È possibile configurare il metodo di autenticazione dei criteri IPsec in modo che venga eseguito il mapping dei certificati a un account di dominio per una CA radice specifica. È anche possibile eseguire il mapping di tutti i certificati da una CA di rilascio a un account computer o utente. In questo modo è possibile utilizzare l'autenticazione dei certificati IKE per limitare le foreste a cui è consentito l'accesso IPsec in un ambiente in cui sono presenti molte foreste e ognuna esegue la registrazione automatica in una singola CA radice interna. Se il processo di mapping certificato-account non viene completato correttamente, l'autenticazione avrà esito negativo e le connessioni protette da IPsec verranno bloccate.