Panoramica sull’autenticazione di Windows
- 10/12/2016
- 5 minuti per leggere
-
-
J -
e -
j -
D -
j -
+3
-
Si applica a: Windows Server (Canale semestrale), Windows Server 2016
Questo argomento di navigazione per il professionista IT elenca le risorse di documentazione per le tecnologie di autenticazione e accesso a Windows che includono la valutazione del prodotto, le guide per iniziare, le procedure, le guide alla progettazione e alla distribuzione, i riferimenti tecnici e i riferimenti ai comandi.
Descrizione della caratteristica
L’autenticazione è un processo per verificare l’identità di un oggetto, servizio o persona. Quando si autentica un oggetto, l’obiettivo è verificare che l’oggetto sia autentico. Quando si autentica un servizio o una persona, l’obiettivo è verificare che le credenziali presentate siano autentiche.
In un contesto di rete, l’autenticazione è l’atto di provare l’identità ad un’applicazione o risorsa di rete. Tipicamente, l’identità è provata da un’operazione crittografica che usa una chiave che solo l’utente conosce – come nella crittografia a chiave pubblica – o una chiave condivisa. Il lato server dello scambio di autenticazione confronta i dati firmati con una chiave crittografica conosciuta per convalidare il tentativo di autenticazione.
Memorizzare le chiavi crittografiche in una posizione centrale sicura rende il processo di autenticazione scalabile e mantenibile. Active Directory Domain Services è la tecnologia raccomandata e predefinita per memorizzare le informazioni sull’identità (comprese le chiavi crittografiche che sono le credenziali dell’utente). Active Directory è richiesto per le implementazioni predefinite di NTLM e Kerberos.
Le tecniche di autenticazione vanno da un semplice logon, che identifica gli utenti sulla base di qualcosa che solo l’utente conosce, come una password, a meccanismi di sicurezza più potenti che utilizzano qualcosa che l’utente ha, come token, certificati a chiave pubblica e biometria. In un ambiente aziendale, i servizi o gli utenti potrebbero accedere a più applicazioni o risorse su molti tipi di server all’interno di una singola sede o in più sedi. Per queste ragioni, l’autenticazione deve supportare ambienti per altre piattaforme e per altri sistemi operativi Windows.
Il sistema operativo Windows implementa un set predefinito di protocolli di autenticazione, inclusi Kerberos, NTLM, Transport Layer Security/Secure Sockets Layer (TLS/SSL) e Digest, come parte di un’architettura estensibile. Inoltre, alcuni protocolli sono combinati in pacchetti di autenticazione come Negotiate e il Credential Security Support Provider. Questi protocolli e pacchetti permettono l’autenticazione di utenti, computer e servizi; il processo di autenticazione, a sua volta, permette agli utenti e ai servizi autorizzati di accedere alle risorse in modo sicuro.
Per maggiori informazioni sull’autenticazione di Windows, incluso
-
Concetti di autenticazione di Windows
-
Scenari di accesso di Windows
-
Architettura di autenticazione di Windows
-
Security Support Provider Interface Architecture
-
Processi di credenziali nell’autenticazione di Windows
-
Impostazioni dei criteri di gruppo usati nell’autenticazione di Windows
vedi la panoramica tecnica di autenticazione di Windows.
Applicazioni pratiche
L’autenticazione di Windows è usata per verificare che le informazioni provengano da una fonte affidabile, sia da una persona che da un oggetto informatico, come un altro computer. Windows fornisce molti metodi diversi per raggiungere questo obiettivo, come descritto di seguito.
| Per… | Caratteristica | Descrizione |
|---|---|---|
| Autenticare all’interno di un dominio Active Directory | Kerberos | I sistemi operativi Microsoft Windows Server implementano il protocollo di autenticazione Kerberos versione 5 e le estensioni per l’autenticazione a chiave pubblica. Il client di autenticazione Kerberos è implementato come un provider di supporto alla sicurezza (SSP) e vi si può accedere attraverso la Security Support Provider Interface (SSPI). L’autenticazione iniziale dell’utente è integrata con l’architettura Winlogon single sign-on. Il Kerberos Key Distribution Center (KDC) è integrato con altri servizi di sicurezza di Windows Server in esecuzione sul controller di dominio. Il KDC usa il database del servizio di directory Active Directory del dominio come database degli account di sicurezza. Active Directory è richiesto per le implementazioni Kerberos predefinite.
Per ulteriori risorse, vedi Panoramica sull’autenticazione Kerberos. |
| Autenticazione sicura sul web | TLS/SSL come implementato nello Schannel Security Support Provider | Il protocollo Transport Layer Security (TLS) versioni 1.0, 1.1, e 1.2, il protocollo Secure Sockets Layer (SSL), versioni 2.0 e 3.0, il protocollo Datagram Transport Layer Security versione 1.0, e il protocollo Private Communications Transport (PCT), versione 1.0, sono basati sulla crittografia a chiave pubblica. La suite di protocolli di autenticazione del provider Secure Channel (Schannel) fornisce questi protocolli. Tutti i protocolli Schannel usano un modello client e server.
Per ulteriori risorse, vedi TLS – SSL (Schannel SSP) Overview. |
| Autenticazione a un servizio o applicazione web | Autenticazione integrata di Windows
Autenticazione Digest |
Per ulteriori risorse, vedi Autenticazione integrata di Windows e autenticazione Digest e Autenticazione Digest avanzata. |
| Autenticazione alle applicazioni legacy | NTLM | NTLM è un protocollo di autenticazione in stile challenge-response.Oltre all’autenticazione, il protocollo NTLM fornisce opzionalmente la sicurezza della sessione, in particolare l’integrità e la riservatezza dei messaggi attraverso le funzioni di firma e di sigillatura in NTLM.
Per ulteriori risorse, vedere Panoramica NTLM. |
| Utilizza l’autenticazione a più fattori | Supporto smart card
Supporto biometrico |
Le smart card sono un modo portatile e resistente alle manomissioni per fornire soluzioni di sicurezza per compiti quali l’autenticazione del cliente, l’accesso ai domini, la firma del codice e la protezione della posta elettronica.
La biometria si basa sulla misurazione di una caratteristica fisica immutabile di una persona per identificarla in modo unico. Le impronte digitali sono una delle caratteristiche biometriche più frequentemente utilizzate, con milioni di dispositivi biometrici di impronte digitali che sono incorporati in personal computer e periferiche. Per ulteriori risorse, vedi Smart Card Technical Reference. |
| Fornire la gestione locale, la memorizzazione e il riutilizzo delle credenziali | Gestione delle credenziali
Local Security Authority Password |
La gestione delle credenziali in Windows assicura che le credenziali siano memorizzate in modo sicuro. Le credenziali sono raccolte sul Secure Desktop (per l’accesso locale o di dominio), attraverso le applicazioni o attraverso i siti web in modo che le credenziali corrette siano presentate ogni volta che si accede a una risorsa. |
| Estendi la protezione dell’autenticazione moderna ai sistemi legacy | Protezione estesa per l’autenticazione | Questa funzione migliora la protezione e la gestione delle credenziali durante l’autenticazione delle connessioni di rete utilizzando l’autenticazione Windows integrata (IWA). |
Requisiti software
Windows Authentication è progettato per essere compatibile con le versioni precedenti del sistema operativo Windows. Tuttavia, i miglioramenti di ogni versione non sono necessariamente applicabili alle versioni precedenti. Fai riferimento alla documentazione sulle caratteristiche specifiche per maggiori informazioni.
Informazioni su Server Manager
Molte caratteristiche di autenticazione possono essere configurate usando Criteri di gruppo, che possono essere installati usando Server Manager. La funzione Windows Biometric Framework è installata usando Server Manager. Altri ruoli del server che dipendono dai metodi di autenticazione, come Web Server (IIS) e Active Directory Domain Services, possono anche essere installati usando Server Manager.
| Tecnologie di autenticazione | Risorse |
|---|---|
| Autenticazione Windows | Panoramica tecnica sull’autenticazione Windows Include argomenti che affrontano le differenze tra le versioni, concetti generali di autenticazione, scenari di logon, architetture per le versioni supportate e impostazioni applicabili. |
| Kerberos | Panoramica sull’autenticazione Kerberos
Cerberos Constrained Delegation Overview Kerberos Authentication Technical Reference(2003) Kerberos forum |
| TLS/SSL e DTLS (Schannel security support provider) | TLS – SSL (Schannel SSP) Panoramica
Riferimento tecnico di Schannel Security Support Provider |
| Autenticazione Digest | Riferimento tecnico Digest Authentication(2003) |
| NTLM | Panoramica NTLM Contiene link a risorse attuali e passate |
| PKU2U | Introduzione a PKU2U in Windows |
| Smart Card | Riferimento tecnico Smart Card |
| Credenziali | Credenziali Protezione e gestione Contiene link a risorse attuali e passate Password Overview |