Al momento sei offline in attesa che la connessione Internet venga ristabilita

Il tuo browser non è supportato

Devi aggiornare il browser per usare il sito.

Esegui l'aggiornamento all'ultima versione di Internet Explorer

Rimozione delle esenzioni predefinite per IPSec in Windows Server 2003

Il supporto per Windows Server 2003 è terminato il 14 luglio 2015.

Microsoft ha sospeso il supporto per Windows Server 2003 in data 14 luglio 2015. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

Informazioni beta
Nel presente articolo viene illustrata una versione beta di un prodotto Microsoft. Le informazioni contenute in questo articolo vengono fornite "nello stato in cui si trovano" e sono soggette a modifiche senza preavviso.

Per questo prodotto beta Microsoft non fornisce alcun tipo di supporto formale. Per informazioni su come ottenere supporto per una versione beta, consultare la documentazione fornita con i file del prodotto beta oppure visitare il sito Web da cui la versione del prodotto è stata scaricata.
IMPORTANTE: in questo articolo sono contenute informazioni su come modificare il Registro di sistema. Prima di modificare il Registro di sistema, eseguire una copia di backup e assicurarsi di essere in grado di ripristinarlo in caso di problemi. Per ulteriori informazioni su come eseguire il backup, il ripristino e la modifica del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
256986 Description of the Microsoft Windows Registry
Sommario
La funzionalità di protezione IP (IPsec, Internet Protocol Security) disponibile in Windows Server 2003 non è stata progettata come un firewall basato su host completo, bensì in modo da fornire filtri di blocco e autorizzazione di base che utilizzano le informazioni relative agli indirizzi, ai protocolli e alle porte contenute nei pacchetti di rete. La funzionalità IPsec è stata inoltre progettata come strumento di amministrazione in grado di ottimizzare la protezione delle comunicazioni in modo trasparente per i programmi. Per questo motivo, fornisce i filtri di traffico necessari per negoziare la protezione per la modalità di trasporto IPsec o la modalità tunnel IPsec, soprattutto per ambienti di rete Intranet in cui i trust dei computer risultano disponibili dal servizio Kerberos o per percorsi Internet specifici in cui è possibile utilizzare certificati digitali dell'infrastruttura a chiave pubblica (PKI, Public Key Infrastructure).

Le esenzioni predefinite per i filtri dei criteri IPsec sono documentate nelle Guide in linea di Microsoft Windows 2000 e Microsoft Windows XP. Questi filtri consentono il funzionamento di IKE (Internet Key Exchange) e Kerberos, nonché la segnalazione tramite RSVP della qualità del servizio (QoS) della rete, in caso di protezione del traffico di dati tramite IPsec, e il traffico che non può essere protetto da IPsec, come il traffico multicast e broadcast.

Per ulteriori informazioni su questi filtri, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
253169 Traffic That Can--and Cannot--Be Secured by IPSec
Informazioni
AVVISO: l'errato utilizzo dell'editor del Registro di sistema può causare seri problemi che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non è in grado di garantire la risoluzione di problemi causati dall'errato utilizzo dell'editor del Registro di sistema. L'utilizzo dell'editor del Registro di sistema è a rischio e pericolo dell'utente. Nonostante IPsec venga sempre più spesso utilizzato per il filtraggio di pacchetti firewall host di base, in particolare in scenari con esposizione in Internet, l'impatto di queste esenzioni predefinite non è stato interamente compreso. Per questo motivo, è possibile che criteri IPsec, ritenuti sicuri dagli amministratori di IPsec che li hanno creati, si rivelino invece vulnerabili nei confronti di attacchi in ingresso che sfruttano le esenzioni predefinite.

Di conseguenza, in Windows Server 2003 è stata rimossa la maggior parte delle esenzioni predefinite. In Windows Server 2003 può quindi essere necessario modificare i criteri IPsec per gli scenari di distribuzione di IPsec in cui si utilizza IKE per negoziare la protezione e la protezione IPsec per il traffico di protocolli di livello superiore.

Rimozione delle esenzioni predefinite inWindows.

Per impostazione predefinita, in Windows Server 2003 vengono rimosse tutte le esenzioni predefinite, tranne l'esenzione di IKE. Prima di utilizzare i criteri in Windows Server 2003 può rivelarsi necessario apportare modifiche alla progettazione dei criteri IPsec esistente.

È opportuno che la pianificazione di tali modifiche venga avviata dagli amministratori per tutte le distribuzioni di IPsec nuove ed esistenti utilizzando
NoDefaultExempt=1
sui computer basati su Windows 2000 e su Windows XP. La chiave del Registro di sistema
NoDefaultExempt=1
supportata in Windows Server 2003 consente agli amministratori di ripristinare il precedente comportamento delle esenzioni predefinite per garantire la compatibilità con versioni precedenti della progettazione dei criteri IPsec e tra i programmi. Durante l'aggiornamento a Windows Server 2003 il valore dell'impostazione esistente della chiave del Registro di sistema
NoDefaultExempt=1
viene mantenuto.

Per ulteriori informazioni sulle esenzioni predefinite per i computer basati su Windows 2000 e Windows XP, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
811832 IPSec Default Exemptions Can Be Used to Bypass IPsec Protection in Some Scenarios
NOTA: leggere l'articolo 811832 prima di utilizzare la chiave del Registro di sistema per riattivare le esenzioni predefinite.

Per ulteriori informazioni, fare riferimento inoltre alla sezione relativa alla specifica delle esenzioni predefinite per i filtri IPSec nel kit di distribuzione di Windows Server 2003 per la funzionalità IPsec. Per ottenere il kit di distribuzione di Microsoft Windows 2003 Server, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):Per modificare il comportamento di filtro predefinito per la funzionalità IPSec di Windows Server 2003 è possibile utilizzare il comando Netsh IPSec oppure modificare il Registro di sistema.

Per modificare il comportamento di filtro predefinito mediante il comando Netsh IPSec:
  1. Fare clic su Start, quindi scegliere Esegui.
  2. Digitare cmd, quindi scegliere OK.
  3. Al prompt dei comandi digitare netsh ipsec dynamic set config ipsecexempt value={ 0 | 1 | 2 | 3}e premere INVIO.
Mediante { 0 | 1 | 2 | 3}, in questo comando, vengono rappresentate tutte le opzioni disponibili per il comando. È possibile utilizzare un solo valore. A seconda delle esenzioni che si desidera utilizzare, specificare il valore in base a quanto indicato di seguito.
  • Un valore 0 indica che il traffico multicast, broadcast, RSVP, Kerberos e ISAKMP è esente dai filtri IPSec. Rappresenta il comportamento di filtro predefinito per Windows 2000 e Windows XP. Utilizzare questa impostazione solo se necessario per garantire la compatibilità con un criterio IPsec esistente o con il comportamento di Windows 2000 e Windows XP.
  • Un valore 1 indica che il traffico Kerberos e RSVP non è esente dai filtri IPSec, mentre il traffico multicast, broadcast e ISAKMP ne è esente.
  • Un valore 2 indica che il traffico multicast e broadcast non è esente dai filtri IPSec, mentre il traffico RSVP, Kerberos e ISAKMP ne è esente.
  • Un valore 3 indica che solo il traffico ISAKMP è esente dai filtri IPSec. Rappresenta il comportamento di filtro predefinito per Windows Server 2003.
Se si modifica il valore di questa impostazione, per rendere effettivo il nuovo valore è necessario riavviare il computer. Per modificare il comportamento di filtro predefinito mediante il Registro di sistema:
  1. Fare clic su Start, quindi scegliere Esegui.
  2. Digitare Regedit, quindi scegliere OK.
  3. Fare clic sulla seguente chiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
  4. Fare clic con il pulsante destro del mouse su IPSEC, scegliere Nuovo, quindi Valore DWORD.
  5. Denominare la nuova voce NoDefaultExempt.
  6. Assegnare alla voce un valore da 0 a 3.
  7. Riavviare il computer.
I comportamenti di filtro per ciascun valore sono equivalenti a quelli riportati per il comando netsh ipsec dynamic set config ipsecexempt value=x.

Impatto dell'esenzione di IKE

L'esenzione di IKE produce lo stesso impatto per Windows 2000 e Windows XP. In Windows Server 2003; tuttavia, viene fornita una migliore protezione nei confronti di attacchi di negazione del servizio (DoS) tramite flooding.

Per ulteriori informazioni sull'esenzione di IKE in Windows 2000 e Windows XP, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
811832 IPSec Default Exemptions Can Be Used to Bypass IPsec Protection in Some Scenarios

Impatto dell'esenzione di Kerberos

Se la voce
NoDefaultExempt
viene impostata su 0 o 2 per ripristinare l'esenzione, le esenzioni del traffico broadcast e multicast produrranno lo stesso impatto descritto per Windows 2000 e Windows XP.

Per ulteriori informazioni sulle esenzioni del traffico broadcast e multicast in Windows 2000 e Windows XP, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
811832 IPSec Default Exemptions Can Be Used to Bypass IPsec Protection in Some Scenarios

Impatto dell'esenzione di RSVP

Se la voce
NoDefaultExempt
viene impostata su 0 o 2 per ripristinare l'esenzione, i rischi dell'esenzione di RSVP saranno limitati alle implementazioni di RSVP di terzi eventualmente installate. Per impostazione predefinita, in Windows Server 2003 non è incluso il servizio QoS RSVP. L'opzione â€"R è stata rimossa dall'utilità Pathping, che pertanto non supporta il protocollo RSVP.

Impatto delle esenzioni del traffico broadcast e multicast

Se la voce
NoDefaultExempt
viene impostata su 0 o 1 per ripristinare l'esenzione, le esenzioni del traffico broadcast e multicast produrranno lo stesso impatto descritto per Windows 2000 e Windows XP. La funzionalità IPsec di Windows Server 2003, tuttavia, non supporta il filtraggio del traffico broadcast e multicast. Nella progettazione di un criterio IPsec possono essere inclusi filtri gestiti dal traffico broadcast o multicast in uscita come filtri con l'indirizzo di origine "Indirizzo IP" e un indirizzo di destinazione corrispondente a "Qualsiasi indirizzo IP". È opportuno sottoporre i criteri IPsec a test in laboratorio e nell'ambiente di produzione per verificare l'impatto della progettazione di un criterio esistente su questo traffico. Il traffico broadcast e multicast può essere bloccato in modo limitato utilizzando un filtro IPsec con indirizzo di origine e di destinazione corrispondente a “Qualsiasi indirizzo IP”. Per ulteriori informazioni, vedere il Resource Kit di Microsoft Windows Server 2003.

Programmi in grado di ricevere traffico broadcast

Windows Server 2003 supporta un'opzione di socket per i programmi allo scopo di disattivare in modo esplicito la ricezione di traffico broadcast. Non viene tuttavia apportata alcuna modifica al comportamento predefinito che prevede la ricezione di traffico broadcast da parte dei programmi in ascolto sulle porte UDP.

Programmi in grado di ricevere traffico multicast

In Windows Server 2003, per consentire la ricezione di tipi di traffico multicast in ingresso, è necessaria la registrazione dei programmi con lo stack TCP/IP. In caso di annullamento della registrazione del gruppo multicast, inoltre, è possibile che il traffico venga interrotto.

Utilizzo di IPsec con Firewall connessione Internet (ICF, Internet Connection Firewall)

Così come in Windows XP, le funzionalità di filtro di ICF e IPsec possono essere combinate in modo da creare comportamenti di filtro avanzati. Questa possibilità si rivela particolarmente utile nei casi in cui IPsec deve consentire in modo statico determinati tipi di traffico in uscita per Internet, ad esempio HTTP, DNS o SMTP. In questo modo, ICF è in grado di fornire filtri stato per il traffico in uscita consentito da IPsec.
Riferimenti
Per ulteriori informazioni sull'impatto delle esenzioni predefinite per la protezione IP, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
811832 IPsec Default Exemptions Can Be Used to Bypass IPsec Protection in Some Scenarios for Windows 2000 and Windows XP
Per ulteriori informazioni e istruzioni sulla distribuzione e i filtri per IPsec in Windows Server 2003, consultare il capitolo relativo alla distribuzione di IPsec nel kit di distribuzione di Microsoft Windows 2003 Server. A tale scopo visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
Proprietà

ID articolo: 810207 - Ultima revisione: 11/08/2006 08:30:00 - Revisione: 2.2

  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition per workstation
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • kbinfo KB810207
Feedback
TagName('head')[0].appendChild(m);" onload="var m=document.createElement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?">