Specificare le impostazioni IPsec sul computer

Specificare esattamente le stesse impostazioni per le impostazioni IPsec SA sul computer come specificate dal livello di sicurezza della macchina. I metodi di impostazione differiscono in base al sistema operativo del computer. L'esempio di procedura mostrato qui di seguito utilizza Windows XP quando è selezionato il livello d'autenticazione e il livello basso di sicurezza di crittografia.

Dal menu [Start], fare clic su [Pannello di controllo], [Prestazioni e manutenzione], quindi fare clic su [Strumenti per l'amministrazione].
Fare clic su [Criteri di sicurezza locale].
Fare clic su [Criteri IP di sicurezza sul computer locale].
Nel menu "Azione", fare clic su [Crea criteri di sicurezza IP].
Viene visualizzata la procedura guidata dei criteri di sicurezza IP.
Fare clic su [Avanti].
Inserire il nome dei criteri di sicurezza in "Nome", quindi fare clic su [Avanti].
Deselezionare la casella di controllo "Attiva la regola predefinita di risposta", quindi fare clic su [Avanti].
Selezionare "Modifica proprietà", e quindi fare clic su [Fine].
Fare clic su [Avanzate] sulla scheda "Generale".
In "Autenticare e generare un nuovo codice dopo ogni" inserire lo stesso periodo di validità (in minuti) specificato sulla macchina nelle impostazioni di scambio automatico del codice di crittografia Fase 1, poi fare clic su [Metodi].
Verificare che la combinazione dell'algoritmo hash (in Windows XP, "Integrità"), l'algoritmo di crittografia (in Windows XP, "Crittografia"), e le impostazioni del gruppo Diffie-Hellman in "Ordine di preferenza per il metodo di sicurezza" corrisponda alle impostazioni specificate sulla macchina in Impostazioni di scambio automatico del codice di crittografia Fase 1.
Se le impostazioni non sono visualizzate, fare clic su [Aggiungi].
Premere due volte [OK].
Fare clic su [Aggiungi] nella scheda "Regole".
Appare la procedura guidata Regola di sicurezza.
Fare clic su [Avanti].
Selezionare "Questa regola non specifica un tunnel", quindi fare clic su [Avanti].
Selezionare il tipo di rete per IPsec, quindi fare clic su [Avanti].
Selezionare il "metodo di autenticazione iniziale", quindi fare clic su [Avanti].
Se si seleziona "Certificato" quale metodo di autenticazione nelle impostazioni di scambio automatico del codice di crittografia sulla macchina, specificare il certificato del dispositivo. Se si seleziona PSK, inserire lo stesso testo PSK specificato sulla macchina con il codice pre-condiviso.
Fare clic su [Aggiungi] nell'elenco dei filtri IP.
In [Nome], inserire un nome di filtro IP, quindi fare clic su [Aggiungi].
Appare la procedura guidata per il filtro IP.
Fare clic su [Avanti].
Selezionare "Il mio indirizzo" in "Indirizzo sorgente", quindi fare clic su [Avanti].
Selezionare "Un determinato indirizzo IP" in "Indirizzo di destinazione", inserire l'indirizzo IP della macchina, quindi fare clic su [Avanti].
Selezionare il tipo di protocollo per IPsec, quindi fare clic su [Avanti].
Fare clic su [Fine].
Fare clic su [OK].
Scegliere il filtro IP che è stato appena creato, quindi fare clic su [Avanti].
Scegliere il filtro di sicurezza IPsec, quindi fare clic su [Modifica].
Fare clic su [Aggiungi], selezionare la casella di controllo "Personalizzato" quindi fare clic su [Impostazioni].
In "Algoritmo d'integrità", selezionare l'algoritmo d'autenticazione che è stato specificato sulla macchina in impostazioni di scambio automatico del codice di crittografia Fase 2.
In "Algoritmo di crittografia", selezionare l'algoritmo di crittografia che è stato specificato sulla macchina in Impostazioni di scambio automatico del codice di crittografia Fase 2.
Nelle impostazioni Codice sessione, selezionare "Genera un nuovo codice ogni", ed inserire il periodo di validità (in secondi) che è stato specificato sulla macchina in Impostazioni di scambio automatico del codice di crittografia Fase 2.
Fare clic tre volte su [OK].
Fare clic su [Avanti].
Fare clic su [Fine].
Fare clic su [OK].
Fare clic su [Chiudi].
I nuovi criteri di sicurezza IP (impostazioni IPsec) sono specificati.
Selezionare i criteri di sicurezza che sono stati appena creati, fare clic con il tasto destro del mouse e poi fare clic su [Assegna].
Le impostazioni IPsec sono attivate sul computer.

Per disabilitare le impostazioni IPsec del computer, selezionare i criteri di sicurezza, fare clic con il tasto destro e poi fare clic su [Disassegna].
Se si specifica il livello di sicurezza "Autenticazione e alto livello di crittografia" in impostazioni di scambio automatico del codice di crittografia, selezionare anche la casella di controllo "Codice master di perfetto inoltro segreto (PFS)" sulla schermata Proprietà dei filtri di sicurezza (che appare al passaggio 29). Se si utilizzano PFS in Windows XP, il numero del gruppo PFS utilizzato nella Fase 2 è automaticamente negoziato in Fase 1 dal numero del gruppo Diffie-Hellman (impostato al passaggio 11). Di conseguenza, se si cambiano le impostazioni automatiche del livello di sicurezza specificato sulla macchina ed appare "Impostazione utente", si deve impostare sulla macchina lo stesso numero del gruppo di "Gruppo Diffie-Hellman Fase 1" e "PFS Fase 2" per stabilire la trasmissione IPSec.