Specificare le impostazioni IPsec del computer
Precedente
Configurare le impostazioni SA IPsec del computer, in modo che corrispondano esattamente al livello di sicurezza della macchina. I metodi di impostazione differiscono in base al sistema operativo del computer. L'esempio di procedura illustrato di seguito utilizza Windows 7 quando è selezionato il livello di sicurezza "Autenticazione e crittografia livello basso".
Dal menu [Start], fare clic su [Pannello di controllo], [Sistema e sicurezza], quindi fare clic su [Strumenti per l'amministrazione].
Con Windows 8, muovere il puntatore del mouse sull'angolo in alto o in basso a destra dello schermo, quindi fare clic su [Impostazioni], [Pannello di controllo], [Sistema e sicurezza] e infine [Strumenti di amministrazione].
Fare doppio clic su [Criteri di protezione locali].
Se appare la finestra di dialogo "Controllo account utente", fare clic su [Sì].
Fare doppio clic su [Criteri di protezione IP su Computer Locale].
Nel menu "Azione", fare clic su [Crea criterio di protezione IP].
Appare la procedura guidata dei criteri di sicurezza IP.
Fare clic su [Avanti].
Inserire il nome dei criteri di sicurezza in "Nome", quindi fare clic su [Avanti].
Deselezionare la casella di controllo "Attiva la regola di risposta predefinita", quindi fare clic su [Avanti].
Selezionare "Modifica proprietà", quindi fare clic su [Fine].
Fare clic su [Impostazioni] nella scheda "Generale".
In "Autenticare e generare un nuovo codice ogni" inserire lo stesso periodo di validità (in minuti) specificato sulla macchina "Impostazioni cambio automatico codice crittografia Fase 1", quindi fare clic su [Metodi].
Verificare che le impostazioni dell'algoritomo hash ("Integrità"), dell'algoritmo di crittografia ("Crittografia") e del "Gruppo Diffie-Hellman" nell'"Ordine preferenza metodo di sicurezza" corrispondano alle impostazioni della macchina in "Impostazioni cambio automatico codice crittografia Fase 1".
Se le impostazioni non sono visualizzate, fare clic su [Aggiungi].
Premere due volte [OK].
Fare clic su [Aggiungi] nella scheda "Regole".
Appare la procedura guidata Regola di sicurezza.
Fare clic su [Avanti].
Selezionare "Questa regola non specifica un tunnel", quindi fare clic su [Avanti].
Selezionare il tipo di rete per IPsec, quindi fare clic su [Avanti].
Fare clic su [Aggiungi] nell'elenco dei filtri IP.
In [Nome], inserire un nome di filtro IP, quindi fare clic su [Aggiungi].
Appare la procedura guidata per il filtro IP.
Fare clic su [Avanti].
Se necessario, digitare una descrizione del filtro IP, quindi fare clic su [Avanti].
Selezionare "Indirizzo IP" in "Indirizzo sorgente", quindi fare clic su [Avanti].
Selezionare "Indirizzo IP specifico o sottorete" in "Indirizzo di destinazione", digitare l'indirizzo IP della macchina e fare clic su [Avanti].
Selezionare il tipo di protocollo per IPsec, quindi fare clic su [Avanti].
Se si utilizza IPsec con IPv6, selezionare "58" come numero di protocollo per il tipo di protocollo di destinazione "Altro".
Se si seleziona "TCP" o "UDP", specificare le porte di origine e destinazione, quindi fare clic su [Avanti].
Fare clic su [Fine].
Fare clic su [OK].
Scegliere il filtro IP che è stato appena creato, quindi fare clic su [Avanti].
Fare clic su [Aggiungi].
Appare la procedura guidata filtra azione.
Fare clic su [Avanti].
In [Nome], digitare un nome di filtro IP, quindi fare clic su [Avanti].
Selezionare "Negozia sicurezza", quindi fare clic su [Avanti].
Selezionare "Permetti comunicazione non sicura se non è possibile stabilire una connessione sicura.", quindi fare clic su [Avanti].
Selezionare "Personalizzato" e fare clic su [Impostazioni].
In "Algoritmo d'integrità", selezionare l'algoritmo d'autenticazione che è stato specificato sulla macchina in "Impostazioni cambio automatico codice crittografia Fase 2".
In "Algoritmo di crittografia", selezionare l'algoritmo di crittografia che è stato specificato sulla macchina in "Impostazioni cambio automatico codice crittografia Fase 2".
Nelle impostazioni del codice sessione selezionare "Genera un nuovo codice ogni", ed inserire il periodo di validità (in secondi) che è stato specificato sulla macchina in "Impostazioni cambio automatico codice crittografia Fase 2".
Fare clic su [OK].
Fare clic su [Avanti].
Fare clic su [Fine].
Selezionare il filtro appena creato, quindi fare clic su [Avanti].
Se "Impostazioni cambio automatico codice crittografia" è impostato su "Autenticazione e crittografia livello alto", selezionare l'azione del filtro IP appena creato, fare clic su [Modifica], quindi selezionare "Usa chiave di sessione perfect forward secrecy (PFS)" nella finestra di dialogo delle proprietà dell'azione del filtro. Se si utilizza PFS in Windows, il numero di gruppo PFS utilizzato nella fase 2 viene automaticamente negoziato nella fase 1 dal numero di gruppo Diffie-Hellman (impostato al punto 11). Pertanto, se si modificano le impostazioni automatiche specificate per il livello di sicurezza sulla macchina e viene visualizzato “Impostazioni utente”, per stabilire la comunicazione IPsec occorre impostare sulla macchina lo stesso numero di gruppo per "Fase 1","Gruppo Diffie-Hellman" e "Fase 2" "PFS".
Selezionare il metodo di autenticazione e fare clic su [Avanti].
Se viene selezionato "Certificato" come metodo di autenticazione in "Impostazioni cambio automatico codice crittografia" sulla macchina, specificare il certificato dispositivo. Se si seleziona "PSK", inserire lo stesso testo PSK specificato sulla macchina con il codice pre-condiviso.
Fare clic su [Fine].
Fare clic su [OK].
I nuovi criteri di sicurezza IP (impostazioni IPsec) sono specificati.
Selezionare i criteri di sicurezza che sono stati appena creati, fare clic con il tasto destro del mouse e poi fare clic su [Assegna].
Le impostazioni IPsec del computer sono abilitate.
Per disabilitare le impostazioni IPsec del computer, selezionare i criteri di sicurezza, fare clic con il tasto destro e poi fare clic su [Annulla assegnazione].
