Panoramica sull’autenticazione di Windows

Gen 15, 2022
admin
  • 10/12/2016
  • 5 minuti per leggere
    • J
    • e
    • j
    • D
    • j
    • +3

Si applica a: Windows Server (Canale semestrale), Windows Server 2016

Questo argomento di navigazione per il professionista IT elenca le risorse di documentazione per le tecnologie di autenticazione e accesso a Windows che includono la valutazione del prodotto, le guide per iniziare, le procedure, le guide alla progettazione e alla distribuzione, i riferimenti tecnici e i riferimenti ai comandi.

Descrizione della caratteristica

L’autenticazione è un processo per verificare l’identità di un oggetto, servizio o persona. Quando si autentica un oggetto, l’obiettivo è verificare che l’oggetto sia autentico. Quando si autentica un servizio o una persona, l’obiettivo è verificare che le credenziali presentate siano autentiche.

In un contesto di rete, l’autenticazione è l’atto di provare l’identità ad un’applicazione o risorsa di rete. Tipicamente, l’identità è provata da un’operazione crittografica che usa una chiave che solo l’utente conosce – come nella crittografia a chiave pubblica – o una chiave condivisa. Il lato server dello scambio di autenticazione confronta i dati firmati con una chiave crittografica conosciuta per convalidare il tentativo di autenticazione.

Memorizzare le chiavi crittografiche in una posizione centrale sicura rende il processo di autenticazione scalabile e mantenibile. Active Directory Domain Services è la tecnologia raccomandata e predefinita per memorizzare le informazioni sull’identità (comprese le chiavi crittografiche che sono le credenziali dell’utente). Active Directory è richiesto per le implementazioni predefinite di NTLM e Kerberos.

Le tecniche di autenticazione vanno da un semplice logon, che identifica gli utenti sulla base di qualcosa che solo l’utente conosce, come una password, a meccanismi di sicurezza più potenti che utilizzano qualcosa che l’utente ha, come token, certificati a chiave pubblica e biometria. In un ambiente aziendale, i servizi o gli utenti potrebbero accedere a più applicazioni o risorse su molti tipi di server all’interno di una singola sede o in più sedi. Per queste ragioni, l’autenticazione deve supportare ambienti per altre piattaforme e per altri sistemi operativi Windows.

Il sistema operativo Windows implementa un set predefinito di protocolli di autenticazione, inclusi Kerberos, NTLM, Transport Layer Security/Secure Sockets Layer (TLS/SSL) e Digest, come parte di un’architettura estensibile. Inoltre, alcuni protocolli sono combinati in pacchetti di autenticazione come Negotiate e il Credential Security Support Provider. Questi protocolli e pacchetti permettono l’autenticazione di utenti, computer e servizi; il processo di autenticazione, a sua volta, permette agli utenti e ai servizi autorizzati di accedere alle risorse in modo sicuro.

Per maggiori informazioni sull’autenticazione di Windows, incluso

  • Concetti di autenticazione di Windows

  • Scenari di accesso di Windows

  • Architettura di autenticazione di Windows

  • Security Support Provider Interface Architecture

  • Processi di credenziali nell’autenticazione di Windows

  • Impostazioni dei criteri di gruppo usati nell’autenticazione di Windows

vedi la panoramica tecnica di autenticazione di Windows.

Applicazioni pratiche

L’autenticazione di Windows è usata per verificare che le informazioni provengano da una fonte affidabile, sia da una persona che da un oggetto informatico, come un altro computer. Windows fornisce molti metodi diversi per raggiungere questo obiettivo, come descritto di seguito.

Per… Caratteristica Descrizione
Autenticare all’interno di un dominio Active Directory Kerberos I sistemi operativi Microsoft Windows Server implementano il protocollo di autenticazione Kerberos versione 5 e le estensioni per l’autenticazione a chiave pubblica. Il client di autenticazione Kerberos è implementato come un provider di supporto alla sicurezza (SSP) e vi si può accedere attraverso la Security Support Provider Interface (SSPI). L’autenticazione iniziale dell’utente è integrata con l’architettura Winlogon single sign-on. Il Kerberos Key Distribution Center (KDC) è integrato con altri servizi di sicurezza di Windows Server in esecuzione sul controller di dominio. Il KDC usa il database del servizio di directory Active Directory del dominio come database degli account di sicurezza. Active Directory è richiesto per le implementazioni Kerberos predefinite.

Per ulteriori risorse, vedi Panoramica sull’autenticazione Kerberos.

Autenticazione sicura sul web TLS/SSL come implementato nello Schannel Security Support Provider Il protocollo Transport Layer Security (TLS) versioni 1.0, 1.1, e 1.2, il protocollo Secure Sockets Layer (SSL), versioni 2.0 e 3.0, il protocollo Datagram Transport Layer Security versione 1.0, e il protocollo Private Communications Transport (PCT), versione 1.0, sono basati sulla crittografia a chiave pubblica. La suite di protocolli di autenticazione del provider Secure Channel (Schannel) fornisce questi protocolli. Tutti i protocolli Schannel usano un modello client e server.

Per ulteriori risorse, vedi TLS – SSL (Schannel SSP) Overview.

Autenticazione a un servizio o applicazione web Autenticazione integrata di Windows

Autenticazione Digest

Per ulteriori risorse, vedi Autenticazione integrata di Windows e autenticazione Digest e Autenticazione Digest avanzata.
Autenticazione alle applicazioni legacy NTLM NTLM è un protocollo di autenticazione in stile challenge-response.Oltre all’autenticazione, il protocollo NTLM fornisce opzionalmente la sicurezza della sessione, in particolare l’integrità e la riservatezza dei messaggi attraverso le funzioni di firma e di sigillatura in NTLM.

Per ulteriori risorse, vedere Panoramica NTLM.

Utilizza l’autenticazione a più fattori Supporto smart card

Supporto biometrico

Le smart card sono un modo portatile e resistente alle manomissioni per fornire soluzioni di sicurezza per compiti quali l’autenticazione del cliente, l’accesso ai domini, la firma del codice e la protezione della posta elettronica.

La biometria si basa sulla misurazione di una caratteristica fisica immutabile di una persona per identificarla in modo unico. Le impronte digitali sono una delle caratteristiche biometriche più frequentemente utilizzate, con milioni di dispositivi biometrici di impronte digitali che sono incorporati in personal computer e periferiche.

Per ulteriori risorse, vedi Smart Card Technical Reference.

Fornire la gestione locale, la memorizzazione e il riutilizzo delle credenziali Gestione delle credenziali

Local Security Authority

Password

La gestione delle credenziali in Windows assicura che le credenziali siano memorizzate in modo sicuro. Le credenziali sono raccolte sul Secure Desktop (per l’accesso locale o di dominio), attraverso le applicazioni o attraverso i siti web in modo che le credenziali corrette siano presentate ogni volta che si accede a una risorsa.
Estendi la protezione dell’autenticazione moderna ai sistemi legacy Protezione estesa per l’autenticazione Questa funzione migliora la protezione e la gestione delle credenziali durante l’autenticazione delle connessioni di rete utilizzando l’autenticazione Windows integrata (IWA).

Requisiti software

Windows Authentication è progettato per essere compatibile con le versioni precedenti del sistema operativo Windows. Tuttavia, i miglioramenti di ogni versione non sono necessariamente applicabili alle versioni precedenti. Fai riferimento alla documentazione sulle caratteristiche specifiche per maggiori informazioni.

Informazioni su Server Manager

Molte caratteristiche di autenticazione possono essere configurate usando Criteri di gruppo, che possono essere installati usando Server Manager. La funzione Windows Biometric Framework è installata usando Server Manager. Altri ruoli del server che dipendono dai metodi di autenticazione, come Web Server (IIS) e Active Directory Domain Services, possono anche essere installati usando Server Manager.

Tecnologie di autenticazione Risorse
Autenticazione Windows Panoramica tecnica sull’autenticazione Windows
Include argomenti che affrontano le differenze tra le versioni, concetti generali di autenticazione, scenari di logon, architetture per le versioni supportate e impostazioni applicabili.
Kerberos Panoramica sull’autenticazione Kerberos

Cerberos Constrained Delegation Overview

Kerberos Authentication Technical Reference(2003)

Kerberos forum

TLS/SSL e DTLS (Schannel security support provider) TLS – SSL (Schannel SSP) Panoramica

Riferimento tecnico di Schannel Security Support Provider

Autenticazione Digest Riferimento tecnico Digest Authentication(2003)
NTLM Panoramica NTLM
Contiene link a risorse attuali e passate
PKU2U Introduzione a PKU2U in Windows
Smart Card Riferimento tecnico Smart Card
Credenziali Credenziali Protezione e gestione
Contiene link a risorse attuali e passate

Password Overview
Contiene link a risorse attuali e passate

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.