Regole di protezione per Windows Firewall e per connessioni basate su IPsec in Windows Vista e in Windows Server 2008

Traduzione articoli Traduzione articoli
Identificativo articolo: 942957 - Visualizza i prodotti a cui si riferisce l?articolo.
Informazioni beta
Nel presente articolo viene illustrata una versione beta di un prodotto Microsoft. Le informazioni contenute in questo articolo vengono fornite "nello stato in cui si trovano" e sono soggette a modifiche senza preavviso.

Per questo prodotto beta Microsoft non fornisce alcun tipo di supporto standard. Per informazioni su come ottenere supporto per una versione beta, consultare la documentazione fornita con i file del prodotto beta oppure visitare il sito Web dal quale Ŕ stata scaricata la versione del prodotto.
Espandi tutto | Chiudi tutto

In questa pagina

INTRODUZIONE

In questo articolo vengono illustrati i seguenti argomenti:
  • Regole di protezione per Windows Firewall in Windows Vista
  • Regole di protezione per le connessioni basate su IPsec in Windows Vista e in Windows Server 2008
  • Come stabilire una connessione crittografata tra Windows Vista e Windows XP o tra Windows Vista e Windows Server 2003

Informazioni

In Windows Vista le nuove regole di protezione per Windows Firewall e per le connessioni basate su IPsec sono completamente integrate in Criteri di gruppo. Per questo motivo le impostazioni di supporto sono unite e il comportamento viene delegato allo stesso modo delle altre impostazioni di Criteri di gruppo.

Regole di protezione per Windows Firewall in Windows Vista

Lo snap-in Microsoft Management Console (MMC) "Windows Firewall con protezione avanzata" supporta i seguenti tipi di regole di protezione.

Nota L'elenco delle regole di protezione di Windows Firewall e quello delle regole di protezione delle connessioni vengono uniti utilizzando tutte le impostazioni di Criteri di gruppo applicabili. Queste regole di protezione vengono quindi elaborate nell'ordine seguente, che viene sempre applicato indipendentemente dall'origine delle regole di protezione.
  • Regola Protezione avanzata servizi di Windows
    La regola Protezione avanzata servizi di Windows limita i servizi impedendo che stabiliscano connessioni. Le limitazioni dei servizi sono configurate in modo tale da impedire ai servizi di Windows di comunicare in un modo specifico. Ad esempio, Ŕ possibile limitare il traffico attraverso una porta specifica, tuttavia finchÚ non si crea una regola firewall, il traffico non Ŕ consentito.
  • Regola di protezione delle connessioni
    La regola di protezione delle connessioni definisce la modalitÓ e i tempi di autenticazione dei computer utilizzando la funzionalitÓ IPsec. Le regole di protezione delle connessioni vengono utilizzate per stabilire l'isolamento del server e del dominio, oltre che per applicare il criterio Protezione accesso alla rete.
  • Regola di eccezione con autenticazione
    La regola di eccezione con autenticazione consente la connessione di determinati computer se il traffico Ŕ protetto dalla funzionalitÓ IPsec, indipendentemente da altre regole in ingresso. I computer specificati possono ignorare le regole in ingresso che bloccano il traffico. Ad esempio, Ŕ possibile attivare l'amministrazione remota del firewall da determinati computer mediante la creazione di regole di eccezione con autenticazione per tali computer. In alternativa Ŕ possibile attivare il supporto per l'assistenza remota chiamando il supporto tecnico.
  • Regola di blocco
    La regola di blocco consente di bloccare in modo esplicito un determinato tipo di traffico in ingresso o in uscita.
  • Regola di autorizzazione
    La regola di autorizzazione consente in modo esplicito determinati tipi di traffico in ingresso o in uscita.
  • Regola predefinita
    La regola predefinita viene configurata in modo tale che la regola predefinita in ingresso blocchi le connessioni e la regola predefinita in uscita le consenta.

Regole di protezione per le connessioni basate su IPsec in Windows Vista e in Windows Server 2008

I seguenti due tipi di regole IPsec possono essere applicati a un computer basato su Windows Vista o su Windows Server 2008:
  • Regole IPsec
    Le regole IPsec precedenti sono attualmente distribuite in Windows 2000 e in Windows Server 2003 e sono gestite dal servizio Policyagent. Le regole IPsec sono regole IKE (Internet Key Exchange) che supportano solo l'autenticazione Kerberos basata su computer, i certificati x.509 o l'autenticazione con chiave giÓ condivisa. Queste regole IPsec vengono configurate nello snap-in MMC "Gestione criteri IPsec". Le regole Policyagent basate su IKE vengono applicate allo stesso modo in Windows 2000 e in Windows Server 2003. Sebbene sia possibile applicare pi¨ criteri a un dato computer, solo l'ultimo criterio ha esito positivo, secondo quanto definito dal metodo di "prioritÓ dell'ultimo autore". Le impostazioni del criterio IKE, inoltre, non possono essere unite.
  • Regole di protezione delle connessioni
    Le regole di protezione delle connessioni sono supportate solo in Windows Vista e in Windows Server 2008, mediante un'estensione a IKE denominata Authenticated IP (AuthIP), che aggiunge il supporto per i seguenti meccanismi di autenticazione:
    • Credenziali Kerberos utente interattivo o credenziali NTLMv2 utente interattivo
    • Certificati utente x.509
    • Certificati SSL (Secure Sockets Layer)
    • Certificati di integritÓ Protezione accesso alla rete
    • Autenticazione anonima (autenticazione facoltativa)
    ╚ possibile configurare le regole di protezione per lo snap-in "Windows Firewall con protezione avanzata" utilizzando i seguenti strumenti:
    • Criteri di gruppo basati sul dominio
    • Snap-in "Windows Firewall con protezione avanzata"

      Nota Lo snap-in "Windows Firewall con protezione avanzata" Ŕ la posizione di archiviazione predefinita per i criteri, a cui Ŕ possibile accedere utilizzando il comando wf.msc.
    • Snap-in Criteri di gruppo (Gpedit.msc) locale
    • Comando netsh advfirewall

      Nota Il comando netsh advfirewall fa riferimento allo stesso archivio del comando wf.msc.
    Come altre regole di protezione del firewall e di Criteri di gruppo, le regole di protezione delle connessioni vengono unite utilizzando tutti gli oggetti Criteri di gruppo applicabili.

    ╚ possibile configurare i criteri di protezione delle connessioni in modo da creare criteri basati su IPsec compatibili con i client basati su IKE versione 1, ad esempio Microsoft Windows 2000, Windows XP e Windows Server 2003. I criteri di protezione delle connessioni possono inoltre essere configurati in modo da creare criteri che supportino le comunicazioni solo tra computer basati su Windows Vista e computer basati su Windows Server 2008.

    L'amministratore pu˛ creare un criterio di protezione delle connessioni utilizzando i seguenti metodi:
    • L'amministratore pu˛ creare un criterio di protezione delle connessioni che supporti solo l'autenticazione Kerberos, i certificati utente x.509 o l'autenticazione computer.

      Note
      • In questo caso il servizio Mpssvc crea automaticamente i criteri AuthIP e i precedenti criteri IKE.
      • Se si specifica l'autenticazione con chiave giÓ condivisa basata su computer, le regole AuthIP non vengono create.
    • L'amministratore pu˛ creare un criterio di protezione delle connessioni che richieda l'autenticazione utente.

      Nota In questo caso viene creato solo il criterio AuthIP per le negoziazioni tra Windows Vista e Windows Vista e per le negoziazioni tra Windows Vista e Windows Server 2008, in quando IKE non supporta l'autenticazione utente.
    • L'amministratore pu˛ creare un criterio di protezione delle connessioni in cui le opzioni di autenticazione utente vengono aggiunte al criterio e, inoltre, selezionare l'opzione Seconda autenticazione facoltativa.

      Nota Il servizio Mpssvc crea sia i criteri AuthIP che i precedenti criteri IKE. L'autenticazione utente facoltativa Ŕ inclusa nel set AuthIP, mentre non Ŕ inclusa nel precedente criterio IKE.
    • L'amministratore pu˛ creare un criterio di protezione delle connessioni che richieda l'autenticazione NTLM.

      Nota In questo caso viene creato solo il criterio AuthIP per le negoziazioni tra Windows Vista e Windows Vista e per le negoziazioni tra Windows Vista e Windows Server 2008, in quanto IKE non supporta l'autenticazione NTLM.
    • L'amministratore seleziona l'algoritmo "Diffie-Hellman" nell'algoritmo globale "Main Mode Key Exchange" che non Ŕ compatibile con i client precedenti, ad esempio l'algoritmo "Elliptic Curve Diffie-Hellman P-256".

      Note
      • In questo caso l'algoritmo "Diffie-Hellman" non sarÓ supportato dai client precedenti basati su IKE versione 1. Inoltre le negoziazioni IKE avranno esito negativo.
      • Si consiglia di utilizzare l'impostazione "Diffie-Hellman Group 2", in quanto Ŕ supportata dalla pi¨ ampia gamma di client.
      • L'impostazione "Diffie-Hellman Group 14" Ŕ supportata in Windows XP Service Pack 2 (SP2) e in Windows Server 2003.
      • In questo caso la principale modifica del comportamento consiste nel fatto che l'algoritmo "Diffie-Hellman" non viene generalmente utilizzato per le negoziazioni basate su AuthIP.
      • Quando il servizio Mpssvc crea le regole AuthIP, specifica che nelle negoziazioni tra Windows Vista e Windows Vista o tra Windows Vista e Windows Server 2008 dovrÓ essere utilizzato esclusivamente l'algoritmo "Diffie-Hellman" se il metodo di autenticazione principale Ŕ impostato su Anonimo.
      • Quando il servizio Mpssvc crea le regole IKE, utilizza sempre l'algoritmo "Diffie-Hellman" specificato nell'impostazione globale di scambio chiave in modalitÓ principale.
      • Un segreto condiviso SSPI (Security Support Provider Interface) viene utilizzato per generare il materiale per le chiavi negli scambi AuthIP in cui lo scambio chiave in modalitÓ principale non prevede uno scambio Diffie-Hellman.

    Certificati utilizzati da AuthIP

    • AuthIP utilizza i certificati SSL per cui sono configurate impostazioni di autenticazione client o impostazioni di autenticazione server. I certificati SSL possono essere certificati di autenticazione client oppure possono essere sia certificati di autenticazione client che certificati di autenticazione server.
    • Se si creano criteri per l'utilizzo dell'autenticazione basata su certificati per Windows Vista, Ŕ necessario che tali certificati supportino AuthIP. Ci˛ significa che i certificati distribuiti ai client devono essere certificati SSL che utilizzano l'autenticazione client o l'autenticazione server. L'autenticazione dipende dalla scelta di utilizzare l'autenticazione unidirezionale o l'autenticazione reciproca. I certificati SSL differiscono dai certificati digitali standard utilizzati in Windows XP o in Windows Server 2003.
    • Per impostazione predefinita, i certificati SSL vengono utilizzati dalle implementazioni NAP.

Elaborazione di Criteri di gruppo per lo snap-in "Windows Firewall con protezione avanzata"

Le regole di protezione delle connessioni vengono unite utilizzando tutti gli oggetti Criteri di gruppo applicabili. ╚ tuttavia presente un gruppo di impostazioni correlate per IPsec e AuthIP che gestisce il comportamento IPsec non additivo predefinito. Questo gruppo di impostazioni include set di autenticazioni globali, impostazioni ModalitÓ rapida, impostazioni Scambio chiave ed esenzioni ICMP (Internet Control Message Protocol).

Il set predefinito di opzioni di protezione delle connessioni o di opzioni IPsec applicate dall'oggetto Criteri di gruppo (GPO) con la precedenza pi¨ elevata avrÓ esito positivo su un client basato su Windows Vista. Ad esempio, tutte le regole di protezione delle connessioni su un client basato su Windows Vista che utilizza set di autenticazione o set di crittografia predefiniti, utilizzeranno i set del GPO con la precedenza pi¨ elevata. Se si desidera una maggiore flessibilitÓ, Ŕ possibile utilizzare le seguenti opzioni:
  • Per i set di autenticazione, configurare l'autenticazione utilizzando la regola di protezione della connessione anzichÚ l'autenticazione predefinita.
  • Per i set di crittografia ModalitÓ rapida, utilizzare il comando netsh per configurare le impostazioni di crittografia in modalitÓ rapida per ogni regola di protezione delle connessioni, secondo le esigenze.
  • Per i set di crittografia ModalitÓ principale, Ŕ supportato un solo set di crittografia in modalitÓ principale per ogni criterio. Quando si ricevono pi¨ set di crittografia ModalitÓ principale, il set di crittografia in modalitÓ principale dal GPO con la precedenza pi¨ elevata verrÓ applicato a tutte le regole di protezione delle connessioni nel Criterio di gruppo. Non Ŕ tuttavia possibile personalizzare le regole per utilizzare diversi set di crittografia ModalitÓ principale.
  • Quando si configurano GPO per i criteri di protezione delle connessioni e per i criteri del firewall, Ŕ possibile disattivare l'utilizzo delle regole locali del firewall e di protezione delle connessioni. Di conseguenza, solo le impostazioni di Criteri di gruppo collegate ai GPO del sito, ai GPO del dominio o ai GPO delle unitÓ organizzative (OU) potranno controllare il comportamento di Windows Firewall.
Per scaricare il white paper contenente un'introduzione a Windows Firewall con protezione avanzata, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://www.microsoft.com/downloads/details.aspx?FamilyId=DF192E1B-A92A-4075-9F69-C12B7C54B52B&displaylang=en
Per ulteriori informazioni su AuthIP in Windows Vista, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://technet.microsoft.com/en-us/library/bb878097.aspx
Per ulteriori informazioni sul nuovo Windows Firewall in Windows Vista e in Windows Server 2008, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://technet.microsoft.com/en-us/library/bb877967.aspx

Come stabilire una connessione crittografata tra Windows Vista e Windows XP o tra Windows Vista e Windows Server 2003

In Windows Server 2003 e in Windows XP la configurazione del criterio IPsec consiste solitamente in un set di regole per proteggere la maggior parte del traffico sulla rete e di un altro set di regole per le esenzioni del traffico protetto. Una configurazione pu˛ includere l'isolamento del server e del dominio. Le esenzioni sono necessarie per la comunicazione non protetta con i server dell'infrastruttura di rete, quali i server DHCP (Dynamic Host Configuration Protocol), DNS (Domain Name System) e i controller di dominio. Quando si avvia un computer, questo deve essere in grado di ottenere un indirizzo IP e utilizzare DNS per individuare un controller di dominio. Inoltre il computer deve essere in grado di accedere al relativo dominio prima di iniziare a utilizzare l'autenticazione Kerberos per autenticarsi come un peer IPsec. Altre esenzioni sono necessarie per comunicare con i nodi di rete che non supportano IPsec. In alcuni casi esistono molte eccezioni che rendono pi¨ difficile la distribuzione della protezione IPsec in una rete aziendale e la gestione di tale rete nel tempo.

In Windows Vista e in Windows Server 2008, IPsec fornisce un comportamento facoltativo per la negoziazione della protezione IPsec. Si presupponga che IPsec sia attivato e che un nodo IPsec su cui Ŕ in esecuzione Windows Server 2008 o Windows Vista inizi la comunicazione con un altro nodo di rete. In questo caso il nodo IPsec tenterÓ di comunicare senza crittografia o "in chiaro". Il nodo tenterÓ di negoziare la comunicazione protetta in parallelo. Se il peer IPsec che ha iniziato la comunicazione non riceve una risposta al tentativo di negoziazione iniziale, la comunicazione continuerÓ non crittografata. Se il peer IPsec che ha iniziato la comunicazione riceve una risposta al tentativo di negoziazione iniziale, la comunicazione non crittografata continuerÓ fino al completamento della negoziazione. Una volta completata la negoziazione, le successive comunicazioni riceveranno una maggiore protezione. Il nodo IPsec che ha iniziato la comunicazione Ŕ in grado di rilevare se il nodo di rete con cui comunica pu˛ eseguire IPsec, quindi si comporterÓ di conseguenza. Questo comportamento del nodo IPsec Ŕ dovuto al comportamento facoltativo di IPsec. Inoltre questo comportamento Ŕ conseguente alla configurazione consigliata che richiede la protezione per le comunicazioni iniziate in ingresso e per le comunicazioni iniziate in uscita. Questo nuovo comportamento semplifica enormemente la configurazione dei criteri IPsec. Ad esempio, il nodo IPsec che inizia la comunicazione non deve disporre necessariamente di un set di filtri IPsec predefiniti per l'esenzione di un insieme di host che non sono in grado di proteggere il traffico di rete utilizzando IPsec. Il nodo IPsec che inizia la comunicazione tenta di utilizzare sia il traffico protetto che quello non protetto in parallelo. Se la comunicazione protetta non Ŕ possibile, il nodo IPsec che inizia la comunicazione utilizza la comunicazione non protetta.

Il nuovo comportamento di negoziazione migliora inoltre le prestazioni delle connessioni non protette verso gli host. Un nodo IPsec su cui Ŕ in esecuzione Windows Server 2003 o Windows XP Ŕ configurato per proteggere le comunicazioni, ma consente le comunicazioni non protette. Il comportamento di questo nodo IPsec Ŕ conosciuto come fallback a comunicazioni non crittografate. Il nodo IPsec invia i messaggi di negoziazione e attende una risposta. Il nodo IPsec che inizia la comunicazione attende tre secondi prima del fallback a comunicazioni non crittografate e del tentativo di utilizzare comunicazioni non protette. In Windows Server 2008 e in Windows Vista Ŕ stato eliminato il ritardo di tre secondi prima del fallback a comunicazioni non crittografate, in quanto le comunicazioni non crittografate sono giÓ in corso quando il nodo che inizia la comunicazione Ŕ in attesa di una risposta.

Per ulteriori informazioni sull'isolamento di server e di domini, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://technet.microsoft.com/en-us/network/bb545651.aspx

Punti principali nello stabilire una connessione crittografata tra Windows Vista e Windows XP o tra Windows Vista e Windows Server 2003

  • Se si attiva solo una connessione crittografata in Windows Vista, la negoziazione avverrÓ solo a livello IPsec con tutti gli altri client, inclusi i client basati su Windows XP.
  • Per impostazione predefinita, in Windows XP o in Windows Server 2003 la negoziazione non avviene a livello IPsec. Di conseguenza Ŕ necessario assegnare una regola IPsec in Windows XP o in Windows Server 2003 per stabilire una connessione crittografata tra Windows Vista e Windows XP o tra Windows Vista e Windows Server 2003.
  • Per impostazione predefinita, se l'opzione Consenti solo connessioni protette Ŕ selezionata, la negoziazione in Windows Vista verrÓ effettuata utilizzando i metodi di crittografia AES-128 e 3DES. Il metodo di crittografia AES-128 non Ŕ supportato in Windows XP, mentre il metodo di crittografia 3DES Ŕ supportato in Windows XP e in Windows Server 2003.
  • Per impostazione predefinita, se IPsec Ŕ attivato in Windows XP o in Windows Server 2003, la negoziazione di IPsec verrÓ effettuata utilizzando il metodo di crittografia 3DES.
Per stabilire una connessione crittografata tra un computer basato su Windows Vista e un computer basato su Windows XP utilizzando lo snap-in "Windows Firewall con protezione avanzata", attenersi alla seguente procedura.
  1. Nel computer che esegue Windows Vista fare clic sul pulsante Start
    Riduci l'immagineEspandi l'immagine
    Pulsante Start
    , digitare firewall nella casella Inizia ricerca, quindi fare clic su Windows Firewall con protezione avanzata nell'elenco Programmi.
  2. Nell'albero della console espandere Regole connessioni in entrata.
  3. Nell'elenco delle regole di connessioni in entrata fare doppio clic su Desktop remoto (TCP-In), quindi fare clic sulla scheda Generale.
  4. Nell'area Azione fare clic su Consenti solo connessioni protette, fare clic per selezionare la casella di controllo Crittografia richiesta, quindi scegliere OK.
  5. Nell'albero della console fare clic su Regole di protezione delle connessioni, quindi scegliere Nuova regola dal menu Azione.
  6. Fare clic su Isolamento, quindi scegliere Avanti.
  7. Fare clic su Autenticazione obbligatoria per le connessioni in ingresso e in uscita, quindi scegliere Avanti
  8. Fare clic su Predefinito, quindi scegliere Avanti.
  9. Fare clic per selezionare le seguenti caselle di controllo, quindi scegliere Avanti:
    • Dominio
    • Privato
    • Pubblico
  10. Digitare il nome della regola nella casella Nome, digitare la descrizione nella casella Descrizione (facoltativa), se lo si desidera, quindi scegliere Fine.
  11. Scegliere Esci dal menu File.
  12. Sul computer basato su Windows XP fare clic sul pulsante Start, scegliere Esegui, digitare secpol.msc, quindi scegliere OK.
  13. Nell'albero della console fare clic con il pulsante destro del mouse su Criteri di protezione IP su computer locale e scegliere Crea criterio di protezione IP.
  14. Scegliere Avanti, quindi seguire le istruzioni della Creazione guidata criteri di protezione IP per creare il criterio di protezione IP. Utilizzare le impostazioni predefinite per creare questo criterio.
  15. Fare clic con il pulsante destro del mouse su Nuovo criterio di protezione IP, quindi scegliere Assegna.
  16. Scegliere Esci dal menu File.

ProprietÓ

Identificativo articolo: 942957 - Ultima modifica: venerdý 18 aprile 2008 - Revisione: 1.3
Le informazioni in questo articolo si applicano a
  • Windows Vista Ultimate
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Home Premium
  • Windows Vista Home Basic
  • Windows Vista Starter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
Chiavi:á
kbexpertiseadvanced kbhowto kbinfo KB942957
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com