Rimozione delle esenzioni predefinite per IPSec in Windows Server 2003

La funzionalit� di protezione IP (IPsec, Internet Protocol Security) disponibile in Windows Server 2003 non � stata progettata come un firewall basato su host completo, bens� in modo da fornire filtri di blocco e autorizzazione di base che utilizzano le informazioni relative agli indirizzi, ai protocolli e alle porte contenute nei pacchetti di rete. La funzionalit� IPsec � stata inoltre progettata come strumento di amministrazione in grado di ottimizzare la protezione delle comunicazioni in modo trasparente per i programmi. Per questo motivo, fornisce i filtri di traffico necessari per negoziare la protezione per la modalit� di trasporto IPsec o la modalit� tunnel IPsec, soprattutto per ambienti di rete Intranet in cui i trust dei computer risultano disponibili dal servizio Kerberos o per percorsi Internet specifici in cui � possibile utilizzare certificati digitali dell'infrastruttura a chiave pubblica (PKI, Public Key Infrastructure).

Le esenzioni predefinite per i filtri dei criteri IPsec sono documentate nelle Guide in linea di Microsoft Windows 2000 e Microsoft Windows XP. Questi filtri consentono il funzionamento di IKE (Internet Key Exchange) e Kerberos, nonch� la segnalazione tramite RSVP della qualit� del servizio (QoS) della rete, in caso di protezione del traffico di dati tramite IPsec, e il traffico che non pu� essere protetto da IPsec, come il traffico multicast e broadcast.

Per ulteriori informazioni su questi filtri, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

AVVISO: l'errato utilizzo dell'editor del Registro di sistema pu� causare seri problemi che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non � in grado di garantire la risoluzione di problemi causati dall'errato utilizzo dell'editor del Registro di sistema. L'utilizzo dell'editor del Registro di sistema � a rischio e pericolo dell'utente. Nonostante IPsec venga sempre pi� spesso utilizzato per il filtraggio di pacchetti firewall host di base, in particolare in scenari con esposizione in Internet, l'impatto di queste esenzioni predefinite non � stato interamente compreso. Per questo motivo, � possibile che criteri IPsec, ritenuti sicuri dagli amministratori di IPsec che li hanno creati, si rivelino invece vulnerabili nei confronti di attacchi in ingresso che sfruttano le esenzioni predefinite.

Di conseguenza, in Windows Server 2003 � stata rimossa la maggior parte delle esenzioni predefinite. In Windows Server 2003 pu� quindi essere necessario modificare i criteri IPsec per gli scenari di distribuzione di IPsec in cui si utilizza IKE per negoziare la protezione e la protezione IPsec per il traffico di protocolli di livello superiore.

Rimozione delle esenzioni predefinite in Windows.

Per impostazione predefinita, in Windows Server 2003 vengono rimosse tutte le esenzioni predefinite, tranne l'esenzione di IKE. Prima di utilizzare i criteri in Windows Server 2003 pu� rivelarsi necessario apportare modifiche alla progettazione dei criteri IPsec esistente.

� opportuno che la pianificazione di tali modifiche venga avviata dagli amministratori per tutte le distribuzioni di IPsec nuove ed esistenti utilizzando

NoDefaultExempt=1

sui computer basati su Windows 2000 e su Windows XP. La chiave del Registro di sistema

NoDefaultExempt=1

supportata in Windows Server 2003 consente agli amministratori di ripristinare il precedente comportamento delle esenzioni predefinite per garantire la compatibilit� con versioni precedenti della progettazione dei criteri IPsec e tra i programmi. Durante l'aggiornamento a Windows Server 2003 il valore dell'impostazione esistente della chiave del Registro di sistema

NoDefaultExempt=1

viene mantenuto.

Per ulteriori informazioni sulle esenzioni predefinite per i computer basati su Windows 2000 e Windows XP, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito: NOTA: leggere l'articolo 811832 prima di utilizzare la chiave del Registro di sistema per riattivare le esenzioni predefinite.

Per ulteriori informazioni, fare riferimento inoltre alla sezione relativa alla specifica delle esenzioni predefinite per i filtri IPSec nel kit di distribuzione di Windows Server 2003 per la funzionalit� IPsec. Per ottenere il kit di distribuzione di Microsoft Windows 2003 Server, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):Per modificare il comportamento di filtro predefinito per la funzionalit� IPSec di Windows Server 2003 � possibile utilizzare il comando Netsh IPSec oppure modificare il Registro di sistema.

Per modificare il comportamento di filtro predefinito mediante il comando Netsh IPSec:

1. Fare clic su Start, quindi scegliere Esegui.
2. Digitare cmd, quindi scegliere OK.
3. Al prompt dei comandi digitare netsh ipsec dynamic set config ipsecexempt value={ 0 | 1 | 2 | 3}e premere INVIO.

Mediante { 0 | 1 | 2 | 3}, in questo comando, vengono rappresentate tutte le opzioni disponibili per il comando. � possibile utilizzare un solo valore. A seconda delle esenzioni che si desidera utilizzare, specificare il valore in base a quanto indicato di seguito.

• Un valore 0 indica che il traffico multicast, broadcast, RSVP, Kerberos e ISAKMP � esente dai filtri IPSec. Rappresenta il comportamento di filtro predefinito per Windows 2000 e Windows XP. Utilizzare questa impostazione solo se necessario per garantire la compatibilit� con un criterio IPsec esistente o con il comportamento di Windows 2000 e Windows XP.
• Un valore 1 indica che il traffico Kerberos e RSVP non � esente dai filtri IPSec, mentre il traffico multicast, broadcast e ISAKMP ne � esente.
• Un valore 2 indica che il traffico multicast e broadcast non � esente dai filtri IPSec, mentre il traffico RSVP, Kerberos e ISAKMP ne � esente.
• Un valore 3 indica che solo il traffico ISAKMP � esente dai filtri IPSec. Rappresenta il comportamento di filtro predefinito per Windows Server 2003.

Se si modifica il valore di questa impostazione, per rendere effettivo il nuovo valore � necessario riavviare il computer. Per modificare il comportamento di filtro predefinito mediante il Registro di sistema:

1. Fare clic su Start, quindi scegliere Esegui.
2. Digitare Regedit, quindi scegliere OK.
3. Fare clic sulla seguente chiave del Registro di sistema:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
4. Fare clic con il pulsante destro del mouse su IPSEC, scegliere Nuovo, quindi Valore DWORD.
5. Denominare la nuova voce NoDefaultExempt.
6. Assegnare alla voce un valore da 0 a 3.
7. Riavviare il computer.

I comportamenti di filtro per ciascun valore sono equivalenti a quelli riportati per il comando netsh ipsec dynamic set config ipsecexempt value=x.

Impatto dell'esenzione di IKE

L'esenzione di IKE produce lo stesso impatto per Windows 2000 e Windows XP. In Windows Server 2003; tuttavia, viene fornita una migliore protezione nei confronti di attacchi di negazione del servizio (DoS) tramite flooding.

Per ulteriori informazioni sull'esenzione di IKE in Windows 2000 e Windows XP, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

Impatto dell'esenzione di Kerberos

Se la voce

NoDefaultExempt

viene impostata su 0 o 2 per ripristinare l'esenzione, le esenzioni del traffico broadcast e multicast produrranno lo stesso impatto descritto per Windows 2000 e Windows XP.

Per ulteriori informazioni sulle esenzioni del traffico broadcast e multicast in Windows 2000 e Windows XP, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

Impatto dell'esenzione di RSVP

Se la voce

NoDefaultExempt

viene impostata su 0 o 2 per ripristinare l'esenzione, i rischi dell'esenzione di RSVP saranno limitati alle implementazioni di RSVP di terzi eventualmente installate. Per impostazione predefinita, in Windows Server 2003 non � incluso il servizio QoS RSVP. L'opzione �?"R � stata rimossa dall'utilit� Pathping, che pertanto non supporta il protocollo RSVP.

Impatto delle esenzioni del traffico broadcast e multicast

Se la voce

NoDefaultExempt

viene impostata su 0 o 1 per ripristinare l'esenzione, le esenzioni del traffico broadcast e multicast produrranno lo stesso impatto descritto per Windows 2000 e Windows XP. La funzionalit� IPsec di Windows Server 2003, tuttavia, non supporta il filtraggio del traffico broadcast e multicast. Nella progettazione di un criterio IPsec possono essere inclusi filtri gestiti dal traffico broadcast o multicast in uscita come filtri con l'indirizzo di origine "Indirizzo IP" e un indirizzo di destinazione corrispondente a "Qualsiasi indirizzo IP". � opportuno sottoporre i criteri IPsec a test in laboratorio e nell'ambiente di produzione per verificare l'impatto della progettazione di un criterio esistente su questo traffico. Il traffico broadcast e multicast pu� essere bloccato in modo limitato utilizzando un filtro IPsec con indirizzo di origine e di destinazione corrispondente a �??Qualsiasi indirizzo IP�?�. Per ulteriori informazioni, vedere il Resource Kit di Microsoft Windows Server 2003.

Programmi in grado di ricevere traffico broadcast

Windows Server 2003 supporta un'opzione di socket per i programmi allo scopo di disattivare in modo esplicito la ricezione di traffico broadcast. Non viene tuttavia apportata alcuna modifica al comportamento predefinito che prevede la ricezione di traffico broadcast da parte dei programmi in ascolto sulle porte UDP.

Programmi in grado di ricevere traffico multicast

In Windows Server 2003, per consentire la ricezione di tipi di traffico multicast in ingresso, � necessaria la registrazione dei programmi con lo stack TCP/IP. In caso di annullamento della registrazione del gruppo multicast, inoltre, � possibile che il traffico venga interrotto.

Utilizzo di IPsec con Firewall connessione Internet (ICF, Internet Connection Firewall)

Cos� come in Windows XP, le funzionalit� di filtro di ICF e IPsec possono essere combinate in modo da creare comportamenti di filtro avanzati. Questa possibilit� si rivela particolarmente utile nei casi in cui IPsec deve consentire in modo statico determinati tipi di traffico in uscita per Internet, ad esempio HTTP, DNS o SMTP. In questo modo, ICF � in grado di fornire filtri stato per il traffico in uscita consentito da IPsec.

Per ulteriori informazioni sull'impatto delle esenzioni predefinite per la protezione IP, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito: Per ulteriori informazioni e istruzioni sulla distribuzione e i filtri per IPsec in Windows Server 2003, consultare il capitolo relativo alla distribuzione di IPsec nel kit di distribuzione di Microsoft Windows 2003 Server. A tale scopo visitare il seguente sito Web Microsoft (informazioni in lingua inglese):