Esporta (0) Stampa
Espandi tutto

Windows Firewall con protezione avanzata

Aggiornamento: gennaio 2008

Si applica a: Windows Server 2008

A partire da Windows Vista® e Windows Server® 2008, la configurazione di Windows® Firewall e quella di IPsec vengono eseguite mediante un singolo strumento, ovvero lo snap-in MMC (Microsoft Management Console) Windows Firewall con protezione avanzata.

Lo snap-in MMC Windows Firewall con protezione avanzata sostituisce gli snap-in IPsec precedenti, ovvero Criteri di protezione IP e Monitor di protezione IP, per la configurazione dei computer che eseguono Microsoft Windows Vista e Windows Server 2008. Gli snap-in IPsec precedenti sono ancora inclusi in Windows per consentire la gestione di client che eseguono Windows Server® 2003, Windows XP o Microsoft® Windows 2000. È inoltre possibile configurare e monitorare i computer che eseguono Microsoft Windows Vista e Windows Server 2008 utilizzando gli snap-in IPsec precedenti. Non è tuttavia possibile utilizzare gli strumenti precedenti per configurare le numerose funzionalità e le molte opzioni di protezione introdotte ex novo in Microsoft Windows Vista e Windows Server 2008. Per sfruttare al meglio le nuove funzionalità, è necessario configurare le impostazioni mediante lo snap-in Windows Firewall con protezione avanzata oppure tramite i comandi del contesto advfirewall dello strumento Netsh.

Finalità di Windows Firewall con protezione avanzata

Windows Firewall con protezione avanzata offre diverse funzioni per i computer che eseguono Microsoft Windows Vista o Windows Server 2008:

  • Consente di applicare filtri a tutto il traffico IPv4 (IP versione 4) e IPv6 (IP versione 6) in ingresso e in uscita nel computer. Per impostazione predefinita, tutto il traffico in ingresso viene bloccato a meno che non si tratti di una risposta a una precedente richiesta in uscita dal computer (traffico su richiesta) oppure esso non sia specificamente consentito tramite un'apposita regola creata dall'utente. Per impostazione predefinita, tutto il traffico in uscita è consentito, ad eccezione di quello bloccato da regole di protezione avanzata le quali impediscono ai servizi standard di comunicare in modi imprevisti. È possibile scegliere di consentire il traffico in base ai numeri di porta, agli indirizzi IPv4 e IPv6, al percorso e al nome di un'applicazione o al nome di un servizio in esecuzione nel computer oppure in base ad altri criteri.

  • Consente di proteggere il traffico di rete in ingresso e in uscita nel computer utilizzando il protocollo IPsec per verificare l'integrità del traffico stesso, per autenticare l'identità dei computer o degli utenti di origine e di destinazione ed eventualmente per crittografare il traffico in modo da preservare la riservatezza dei dati.

Utenti interessati a questa funzionalità

A partire da Windows XP Service Pack 2, Windows Firewall è attivato per impostazione predefinita nei sistemi operativi client di Microsoft. Windows Server 2008 è il primo sistema operativo server Microsoft in cui Windows Firewall è attivato per impostazione predefinita. Pertanto, ogni amministratore di un server che esegue Windows Server 2008 deve conoscere tale funzionalità e apprendere come configurare il firewall per consentire il traffico di rete necessario.

È possibile configurare Windows Firewall con protezione avanzata in modo completo mediante lo snap-in MMC Windows Firewall con protezione avanzata oppure i comandi disponibili nel contesto advfirewall dello strumento da riga di comando Netsh. L'interfaccia grafica e lo strumento da riga di comando supportano entrambi la gestione di Windows Firewall con protezione avanzata nel computer locale o in un computer remoto che esegue Windows Server 2008 o Microsoft Windows Vista nella rete. Le impostazioni create mediante tali strumenti possono essere distribuite ai computer collegati alla rete mediante Criteri di gruppo.

È consigliabile esaminare questa sezione relativa a Windows Firewall con protezione avanzata se si fa parte delle tipologie di utenti indicate di seguito:

  • Addetti alla pianificazione e analisti IT che valutano il prodotto dal punto di vista tecnico

  • Addetti alla pianificazione e progettisti IT aziendali

  • Professionisti IT che distribuiscono o gestiscono soluzioni di protezione della rete nell'organizzazione

Nuova funzionalità introdotta

Windows Firewall con protezione avanzata combina due funzioni che nelle versioni precedenti di Windows vengono gestite separatamente. Le funzionalità di base dei componenti firewall e IPsec di Windows Firewall con protezione avanzata sono state inoltre notevolmente migliorate in Microsoft Windows Vista e Windows Server 2008.

Windows Firewall è attivato per impostazione predefinita

Windows Firewall è attivato per impostazione predefinita nei sistemi operativi client a partire da Windows XP Service Pack 2, tuttavia Windows Server 2008 è la prima versione server di Windows in cui Windows Firewall è attivato per impostazione predefinita. Occorre pertanto tenere presente questo aspetto ogni volta che si installa un'applicazione o un servizio a cui è necessario consentire la ricezione di traffico di rete in ingresso non richiesto. Numerose applicazioni meno recenti non sono progettate per funzionare con firewall basati su host e potrebbero presentare problemi se non vengono definite regole che consentano loro di accettare traffico di rete in ingresso non su richiesta. Quando si installa una funzionalità o un ruolo server disponibile in Windows Server 2008, durante l'esecuzione del programma di installazione vengono automaticamente create regole firewall che ne garantiscono il funzionamento corretto. Per stabilire quali impostazioni del firewall debbano essere configurate per un'applicazione, contattare il fornitore di quest'ultima. Le impostazioni necessarie sono spesso pubblicate nel sito Web del supporto tecnico del fornitore.

noteNota
Nei computer con Windows Server 2003 che vengono aggiornati a Windows Server 2008 viene mantenuto il medesimo stato del firewall attivo prima dell'aggiornamento. Se il firewall era disattivato, rimarrà tale anche dopo l'aggiornamento. È consigliabile attivare il firewall non appena si è verificato che le applicazioni presenti nel server sono in grado di funzionare con la configurazione corrente del firewall oppure immediatamente dopo aver configurato apposite regole per le applicazioni in esecuzione nel computer.

La gestione dei criteri IPsec è stata semplificata

Nelle versioni precedenti di Windows, le implementazioni dell'isolamento di dominio e server richiedono talvolta la creazione di numerose regole IPsec in grado di garantire l'adeguata protezione del traffico di rete consentendo allo stesso tempo il traffico di rete necessario che non può essere protetto con IPsec.

La necessità di definire un insieme ampio e complesso di regole IPsec risulta ridotta grazie a un nuovo comportamento predefinito della negoziazione IPsec che prevede la richiesta della protezione IPsec senza tuttavia imporla come obbligatoria. Se si utilizza questa impostazione, viene tentata la negoziazione IPsec con il computer di destinazione al quale vengono allo stesso tempo inviati anche pacchetti non crittografati. Se il computer di destinazione risponde al tentativo di negoziazione e completa quest'ultima correttamente, la comunicazione non crittografata viene interrotta e le comunicazioni successive verranno protette mediante IPsec. Se invece il computer di destinazione non risponde alla negoziazione IPsec verrà consentita la comunicazione non crittografata. Nelle versioni precedenti di Windows è prevista un'attesa di tre secondi dopo il tentativo di negoziazione IPsec prima che venga tentata la comunicazione non crittografata. Ciò determina una sensibile riduzione delle prestazioni relativamente al traffico che non è possibile proteggere e che deve pertanto essere ritentato senza crittografia. Per evitare questo problema, gli amministratore devono creare più regole IPsec in grado di soddisfare i diversi requisiti dei vari tipi di traffico di rete.

Il nuovo comportamento consente di richiedere la protezione IPsec senza imporla come obbligatoria in modo da ottenere prestazioni soddisfacenti anche per il traffico non protetto, poiché non è più necessario il ritardo di 3 secondi. Ciò consente di proteggere il traffico quando è necessario senza dover creare numerose regole che prevedano in modo esplicito le diverse eccezioni possibili. In questo modo è possibile ottenere un ambiente più sicuro, meno complesso e nel quale è possibile risolvere eventuali problemi in modo più rapido.

Supporto per Authenticated IP (AuthIP)

Nelle versioni precedenti di Windows, IPsec supporta solo il protocollo IKE (Internet Key Exchange) per la negoziazione delle associazioni di protezione IPsec. Microsoft Windows Vista e Windows Server 2008 supportano un'estensione del protocollo IKE nota come Authenticated IP (AuthIP). AuthIP offre funzionalità di autenticazione aggiuntive, quali:

  • Nuovi tipi di credenziali non disponibili in IKE. Le funzionalità sono le seguenti: certificati di integrità forniti da un server Autorità registrazione integrità incluso in una distribuzione di Protezione accesso alla rete; certificati basati sugli utenti; credenziali utente Kerberos e credenziali utente o computer NTLM versione 2. Questi tipi di credenziali si aggiungono a quelli supportati da IKE, ad esempio i certificati basati su computer, le credenziali Kerberos per account computer o le chiavi già condivise semplici.

  • Autenticazione mediante più credenziali. È ad esempio possibile configurare IPsec affinché sia necessario elaborare correttamente sia le credenziali utente che quelle del computer per consentire il traffico. Ciò consente di migliorare la protezione della rete riducendo la possibilità che un computer attendibile venga utilizzato da un utente inattendibile.

Protezione del membro del dominio per il traffico del controller di dominio mediante IPsec

Nelle versioni precedenti di Windows non è possibile utilizzare IPsec per proteggere il traffico tra controllo di dominio e computer membri del dominio. Microsoft Windows Vista e Windows Server 2008 supportano questo tipo di protezione mediante IPsec e consentono allo stesso tempo il collegamento di un computer non membro a un dominio mediante controller di dominio con protezione IPsec.

Supporto migliorato della crittografia

L'implementazione di IPsec in Microsoft Windows Vista e Windows Server 2008 supporta algoritmi aggiuntivi per la negoziazione in modalità principale delle associazioni di protezione:

  • Diffie-Hellman P-256 a curva ellittica, ovvero un algoritmo a curva ellittica che utilizza un gruppo di curve causali a 256 bit.

  • Diffie-Hellman P-384 a curva ellittica, ovvero un algoritmo a curva ellittica che utilizza un gruppo di curve causali a 384 bit.

Sono inoltre supportati i metodi di crittografia seguenti che utilizzano Advanced Encryption Standard (AES):

  • AES con CBC (Cipher Block Chaining) e dimensioni chiave 128 bit (AES 128).

  • AES con CBC e dimensioni chiave 192 bit (AES 192).

  • AES con CBC e dimensioni chiave 256 bit (AES 256).

Le impostazioni possono essere modificate in modo dinamico a seconda del tipo di percorso di rete

Microsoft Windows Vista e Windows Server 2008 sono in grado di inviare notifiche alle applicazioni in rete, ad esempio Windows Firewall, sulle modifiche apportate ai tipi di indirizzi di rete disponibili tramite qualsiasi scheda di rete collegata, connessione remota, rete privata virtuale (VPN) e così via. Windows supporta tre tipi di percorsi di rete utilizzabili dai programmi per applicare automaticamente l'insieme di opzioni di configurazione appropriato. Le applicazioni devono essere sviluppate appositamente per sfruttare questa funzionalità e per ricevere le notifiche relative alle modifiche dei tipi di percorso di rete. Windows Firewall con protezione avanzata in Microsoft Windows Vista e Windows Server 2008 può offrire diversi livelli di protezione in base al tipo di percorso di rete a cui il computer è collegato. I tipi di percorso di rete sono i seguenti:

  • Dominio. Questo tipo di percorso di rete viene selezionato se il computer è membro di un dominio. Windows determina che il computer è attualmente collegato alla rete che ospita il dominio. Questa opzione viene selezionata automaticamente in base all'autenticazione corretta in un controller di dominio presente nella rete.

  • Privato. Questo tipo di percorso di rete può essere selezionato per le reti considerate attendibili dall'utente, ad esempio una rete domestica o di un piccolo ufficio. Le impostazioni assegnate a questo tipo di percorso sono in genere più restrittive rispetto alla rete di dominio poiché non è previsto che una rete domestica richieda attività di gestione analoghe a quelle di una rete di dominio. Quando vengono rilevate reti nuove, queste ultime non vengono mai assegnate automaticamente al tipo di percorso Privato. Tale assegnazione deve essere eseguita in modo esplicito da un utente.

  • Pubblico Questo tipo di percorso di rete viene assegnato per impostazione predefinita a tutte le nuove reti rilevate. Le impostazioni assegnate a questo tipo di percorso sono in genere le più restrittive a causa dei rischi per la protezione presenti nelle reti pubbliche.

noteNota
La funzionalità relativa al tipo di percorso di rete è soprattutto utile nei computer client, in particolare quelli portatili, i quali sono più soggetti al passaggio tra una rete e un'altra. È improbabile che un server sia mobile, pertanto è consigliabile nei computer che eseguono Windows Server 2008 configurare i tre profili allo stesso modo.

Integrazione della gestione di Windows Firewall e IPsec in un'unica interfaccia utente

In Microsoft Windows Vista e Windows Server 2008, l'interfaccia utente dei componenti IPsec e firewall è disponibile nello snap-in MMC Windows Firewall con protezione avanzata e tramite i comandi del contesto advfirewall dello strumento da riga di comando Netsh. Gli strumenti utilizzati in Windows XP, Windows Server 2003 e Windows 2000, ovvero le impostazioni di Criteri di gruppo del modello amministrativo Windows Firewall, gli snap-in Criteri di protezione IP e Monitor di protezione IP, nonché i contesti ipsec e firewall del comando Netsh, sono comunque disponibili, tuttavia non supportano le nuove funzionalità introdotte in Microsoft Windows Vista e Windows Server 2008. L'icona Windows Firewall nel Pannello di controllo è disponibile, tuttavia consente di accedere a un'interfaccia per gli utenti finali mediante la quale è possibile gestire solo le funzionalità di base del firewall e non le opzioni avanzate riservate agli amministratori.

L'utilizzo di più strumenti per il firewall e IPsec nelle versioni precedenti di Windows implica il rischio di creare accidentalmente impostazioni in conflitto, ad esempio una regola IPsec che determina l'eliminazione di un tipo specifico di pacchetto di rete sebbene sia presente una regola firewall che lo consenta. Ciò può determinare scenari problematici di difficile risoluzione. La combinazione delle due funzioni consente di ridurre il rischio di regole in conflitto e assicura la gestione corretta del traffico da proteggere.

Supporto completo per la protezione del traffico di rete IPv4 e IPv6

Tutte le funzionalità IPsec e del firewall disponibili in Microsoft Windows Vista e Windows Server 2008 consentono di proteggere il traffico di rete sia IPv4 sia IPv6.

Necessità di modificare il codice

Se si crea software progettato per essere installato in Microsoft Windows Vista o Windows Server 2008, è necessario accertarsi che lo strumento di installazione configuri correttamente il firewall creando o attivando regole che consentano al traffico di rete del programma di attraversarlo. Il programma deve essere in grado di riconoscere i tipi di percorsi di rete dominio, privato e pubblico riconosciuti da Windows e di rispondere correttamente alle modifiche apportate ad essi. Tenere presente che una modifica al tipo di percorso di rete può determinare l'applicazione di una regola firewall diversa nel computer. Se ad esempio l'applicazione deve essere eseguita esclusivamente in un ambiente protetto, ad esempio una rete privata o di dominio, le regole firewall devono impedire l'invio di traffico di rete da parte dell'applicazione quando il computer si trova in una rete pubblica. Se il tipo di percorso di rete viene modificato in modo imprevisto mentre l'applicazione è in esecuzione, essa deve essere in grado di gestire la modifica in modo adeguato.

Ulteriori riferimenti

Le risorse seguenti includono informazioni aggiuntive su Windows Firewall con protezione avanzata e IPsec:

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.

Aggiunte alla community

AGGIUNGI
Mostra:
© 2014 Microsoft