Utilizzare queste impostazioni per specificare il modo in cui il computer peer viene autenticato. Il primo metodo di autenticazione viene eseguito durante la fase in modalità principale delle negoziazioni Internet Protocol Security (IPsec).

È possibile specificare più metodi da utilizzare per la prima autenticazione. I metodi verranno tentati nell'ordine specificato e verrà utilizzato il primo metodo con esito positivo.

Per ulteriori informazioni sui metodi di autenticazione disponibili in questa finestra di dialogo, vedere la pagina relativa agli algoritmi IPsec e ai metodi supportati in Windows all'indirizzo https://go.microsoft.com/fwlink/?linkid=129230.

Per accedere a questa finestra di dialogo

  • Quando si modificano le impostazioni predefinite a livello di sistema:

    1. Nello snap-in MMC Windows Firewall con sicurezza avanzata in Panoramica fare clic su Proprietà Windows Firewall.

    2. Fare clic sulla scheda Impostazioni IPsec e quindi fare clic su Personalizza in Impostazioni predefinite IPSec.

    3. In Metodo di autenticazione fare clic su Avanzate e quindi su Personalizza.

    4. In Prima autenticazione selezionare un metodo e quindi fare clic su Modifica o Aggiungi.

  • Quando si crea una nuova regola di sicurezza della connessione:

    1. Nello snap-in MMC Windows Firewall con sicurezza avanzata fare clic con il pulsante destro del mouse su Regole di sicurezza delle connessioni e quindi scegliere Nuova regola.

    2. Nella pagina Tipo di regola selezionare qualsiasi tipo ad eccezione di Esenzione da autenticazione.

    3. Nella pagina Metodo di autenticazione fare clic su Avanzate e quindi su Personalizza.

    4. In Prima autenticazione selezionare un metodo e quindi fare clic su Modifica o Aggiungi.

  • Quando si modifica una regola di sicurezza della connessione esistente:

    1. Nello snap-in MMC Windows Firewall con sicurezza avanzata fare clic su Regole di sicurezza delle connessioni.

    2. Fare doppio clic sulla regola di sicurezza della connessione che si desidera modificare.

    3. Fare clic sulla scheda Autenticazione.

    4. In Metodo fare clic su Avanzate e quindi su Personalizza.

    5. In Prima autenticazione selezionare un metodo e quindi fare clic su Modifica o Aggiungi.

Computer (Kerberos V5)

È possibile utilizzare questo metodo per autenticare i computer peer che presentano account computer nello stesso dominio o in domini distinti tra cui esiste una relazione di trust.

Computer (NTLMv2)

NTLMv2 è un'alternativa per l'autenticazione di computer peer che presentano account computer nello stesso dominio o in domini distinti tra cui esiste una relazione di trust.

Certificato computer dalla seguente autorità di certificazione (CA)

Utilizzare un certificato di chiave pubblica nei casi in cui sono incluse comunicazioni tra partner aziendali esterne o computer su cui non è in esecuzione il protocollo di autenticazione Kerberos versione 5. Questa opzione richiede che almeno un'autorità CA radice attendibile sia configurata nella rete o accessibile tramite la rete e che i computer client dispongano di un certificato computer associato.

Algoritmo di firma

Specificare l'algoritmo di firma utilizzato per proteggere con crittografia il certificato.

RSA (impostazione predefinita)

Selezionare questa opzione se il certificato è firmato utilizzando l'algoritmo di crittografia di chiave pubblica RSA.

ECDSA-P256

Selezionare questa opzione se il certificato è firmato mediante Elliptic Curve Digital Signature Algorithm (ECDSA) con forza della chiave a 256 bit.

ECDSA-P384

Selezionare questa opzione se il certificato è firmato mediante ECDSA con forza della chiave a 384 bit.

Tipo dell'archivio certificati

Specificare il tipo di certificato identificando l'archivio in cui il certificato è contenuto.

CA radice (impostazione predefinita)

Selezionare questa opzione se il certificato è stato emesso da una CA radice ed è archiviato nell'archivio certificati Autorità di certificazione radice attendibili.

CA intermedia

Selezionare questa opzione se il certificato è stato emesso da una CA intermedia ed è archiviato nell'archivio certificati Autorità di certificazione intermedie.

Consenti solo certificati di integrità

Questa opzione limita l'uso dei certificati computer a quelli contrassegnati come certificati di integrità. I certificati di integrità sono pubblicati da una CA in supporto di una distribuzione Protezione accesso alla rete. Protezione accesso alla rete consente di definire e applicare criteri di integrità in modo che i computer non conformi ai criteri di rete, ad esempio computer senza software antivirus o privi degli ultimi aggiornamenti del software, abbiano meno possibilità di accedere alla rete. Per implementare Protezione accesso alla rete, è necessario configurare le relative impostazioni sia sul server sia sul client. Lo snap-in di gestione del client Protezione accesso alla rete, disponibile in Microsoft Management Console (MMC), consente di configurare le impostazioni di Protezione accesso alla rete nei computer client. Per ulteriori informazioni, vedere la Guida dello snap-in MMC Protezione accesso alla rete. Per poter utilizzare questo metodo, è necessario aver impostato nel dominio un server Protezione accesso alla rete.

Abilita mapping certificato-account

Quando si attiva il mapping certificato-account IPsec, i protocolli Internet Key Exchange (IKE) e Authenticated IP (AuthIP) associano (eseguono il mapping) un certificato computer a un account computer in un dominio Active Directory o in una foresta e quindi recuperano un token di accesso che include l'elenco di gruppi di sicurezza computer. Questo processo assicura che il certificato offerto dal peer IPsec corrisponda a un account computer attivo nel dominio e che il certificato sia quello che deve essere utilizzato da tale computer.

È possibile utilizzare il mapping certificato-account esclusivamente per gli account computer che appartengono alla stessa foresta del computer che esegue il mapping. In questo modo viene offerta un'autenticazione molto più efficace rispetto alla semplice accettazione di qualsiasi catena di certificati valida. Ad esempio, è possibile utilizzare questa funzionalità per limitare l'accesso ai computer della stessa foresta. Il mapping certificato-account non assicura tuttavia che sia consentito l'accesso IPsec a uno specifico computer trusted.

Il mapping certificato-account è particolarmente utile se i certificati provengono da un'infrastruttura a chiave pubblica (PKI) non integrata nella distribuzione Servizi di dominio Active Directory, ad esempio se partner aziendali ottengono i loro certificati da provider diversi da Microsoft. È possibile configurare il metodo di autenticazione dei criteri IPsec in modo che venga eseguito il mapping dei certificati a un account computer di dominio per una CA radice specifica. È anche possibile eseguire il mapping di tutti i certificati da una CA di rilascio a un account computer. In questo modo è possibile utilizzare l'autenticazione dei certificati IKE per limitare le foreste a cui è consentito l'accesso IPsec in un ambiente in cui sono presenti molte foreste e ognuna esegue la registrazione automatica in una singola CA radice interna. Se il processo di mapping certificato-account non viene completato correttamente, l'autenticazione avrà esito negativo e le connessioni protette da IPsec verranno bloccate.

Chiave già condivisa (opzione sconsigliata)

È possibile utilizzare le chiavi già condivise per l'autenticazione. Si tratta di una chiave privata condivisa, stabilita in precedenza di comune accordo tra due utenti. Entrambe le parti devono configurare manualmente IPSec per utilizzare questa chiave già condivisa. Durante la negoziazione della sicurezza, le informazioni vengono crittografate tramite la chiave condivisa prima della trasmissione e decrittografate tramite la stessa chiave nel lato di ricezione. Se il destinatario è in grado di decrittografare le informazioni, le identità verranno considerate come autenticate.

Attenzione
  • Ai fini dell'interoperabilità e della conformità agli standard IPSec, sono disponibili metodologie per le chiavi già condivise. Le chiavi già condivise dovrebbero essere utilizzate solo a scopo di testing. L'esecuzione di frequenti autenticazioni con chiave già condivisa non è consigliabile, perché la chiave è archiviata in uno stato non protetto nei criteri IPSec.
  • Se si utilizza una chiave già condivisa per l'autenticazione in modalità principale, non sarà possibile utilizzare la seconda autenticazione.

Vedere anche

Argomenti della Guida