Advisory Microsoft sulla sicurezza (973811)

Scopo dell'advisory: Il presente advisory è stato rilasciato per comunicare ai clienti il rilascio di un aggiornamento non correlato alla protezione contenente una nuova funzionalità, la protezione estesa per l'autenticazione, sulla piattaforma di Windows.

Stato dell'advisory: Pubblicazione dell'advisory.

Raccomandazione: consultare le azioni consigliate ed eseguire le configurazioni necessarie.

Il presente advisory comunica il rilascio di questa funzionalità per le piattaforme seguenti.

Qual è lo scopo di questo advisory?
Microsoft ha rilasciato questo advisory per annunciare il rilascio di una nuova funzionalità, la protezione estesa per l'autenticazione, in qualità di aggiornamento a Windows SSPI per favorire l'inoltro delle credenziali indirizzo.

Il problema descritto è una vulnerabilità a livello di sicurezza che richiede la pubblicazione di un aggiornamento Microsoft?
No, non si tratta di una vulnerabilità a livello di sicurezza che richiede la pubblicazione di un aggiornamento Microsoft. Questa funzione richiede una configurazione facoltativa che alcuni utenti possono decidere di implementare, ma che potrebbe non essere appropriata per tutti i clienti. Per ulteriori informazioni su questa funzione e sulle corrette modalità di configurazione, vedere l'articolo della Microsoft Knowledge Base 973811. Questa funzione è già compresa in Windows 7 e Windows Server 2008 R2.

Che cos'è la protezione estesa per l'autenticazione di Windows?
L'aggiornamento contenuto nell'articolo della Microsoft Knowledge Base 968389 modifica l'interfaccia SSPI per migliorare il funzionamento dell'autenticazione Windows, in modo che le credenziali non vengano inoltrate facilmente quando l'Autenticazione integrata di Windows (IWA) è attivata.

Quando l'Autenticazione Windows integrata è attivata, le richieste di autenticazione sono associate sia ai nomi principali del servizio (SPN) del server a cui il client cerca di collegarsi, sia al canale TLS (Transport Layer Security) esterno in cui avviene l'Autenticazione Windows integrata. Questo è un aggiornamento di base che consente alle applicazioni di fornire il consenso esplicito alla nuova funzionalità.

I futuri aggiornamenti modificheranno singoli componenti di sistema che eseguono l'Autenticazione Windows integrata, in modo che si avvalgano del meccanismo di protezione. I clienti devono installare sia l'aggiornamento dell'articolo della Microsoft Knowledge Base 968389 sia i relativi aggiornamenti per la protezione per le applicazioni client e i server su cui è necessario attivare la protezione estesa per l'autenticazione. Al momento dell'installazione, la protezione estesa per l'autenticazione è controllata dal client tramite chiavi del registro di sistema. Sul server, la configurazione è specifica per l'applicazione.

Quali altre misure sta adottando Microsoft per implementare questa funzionalità?

È necessario apportare modifiche ai server e alle applicazioni client specifiche che utilizzano l'Autenticazione Windows integrata, per assicurare che si avvalgano della nuova tecnologia di protezione.

Gli aggiornamenti rilasciati da Microsoft l'11 agosto 2009 sono i seguenti:

• L'articolo della Microsoft Knowledge Base 968389 implementa la protezione estesa per l'autenticazione nell'Interfaccia SSPI di Windows. Questo aggiornamento consente alle applicazioni di avvalersi della protezione estesa per l'autenticazione.
• Il Bollettino Microsoft sulla sicurezza MS09-042 contiene un sistema di difesa non correlato alla protezione che abilita il client e il server Telnet in modo che si avvalgano della protezione estesa per l'autenticazione.

L'aggiornamento rilasciato da Microsoft il 13 ottobre 2009 è:

• Il Bollettino Microsoft sulla sicurezza MS09-054 contiene un sistema di difesa non correlato alla protezione che abilita WinINET in modo che si avvalga della protezione estesa per l'autenticazione.

Gli aggiornamenti rilasciati da Microsoft l'8 dicembre 2009 sono i seguenti:

• L'articolo della Microsoft Knowledge Base 971737 contiene un aggiornamento non correlato alla protezione che abilita l'API di Windows HTTP Services (WinHTTP) in modo che si avvalga della protezione estesa per l'autenticazione.
• L'articolo della Microsoft Knowledge Base 970430 contiene un aggiornamento non correlato alla protezione che abilita lo Stack del protocollo HTTP (http.sys) in modo che si avvalga della protezione estesa per l'autenticazione.
• L'articolo della Microsoft Knowledge Base 973917 contiene un aggiornamento non correlato alla protezione che abilita Internet Information Services (IIS) in modo che si avvalga della protezione estesa per l'autenticazione. Questo aggiornamento era stato rilasciato di nuovo il 9 marzo 2010. Per ulteriori informazioni, vedere la sezione Problemi noti nell'articolo della Microsoft Knowledge Base 973917.

Gli aggiornamenti rilasciati da Microsoft l'8 giugno 2010 sono i seguenti:

• L'articolo della Microsoft Knowledge Base 982532 contiene un aggiornamento non correlato alla protezione che consente a .NET Framework 2.0 Service Pack 2 in Windows Vista Service Pack 1 di avvalersi della protezione estesa per l'autenticazione.
• L'articolo della Microsoft Knowledge Base 982533 contiene un aggiornamento non correlato alla protezione che consente a .NET Framework 2.0 Service Pack 2 in Windows Vista Service Pack 2 di avvalersi della protezione estesa per l'autenticazione.
• L'articolo della Microsoft Knowledge Base 982535 contiene un aggiornamento non correlato alla protezione che consente a .NET Framework 2.0 Service Pack 2 + 3.0 Service Pack 2 in Windows Vista Service Pack 1 di avvalersi della protezione estesa per l'autenticazione.
• L'articolo della Microsoft Knowledge Base 982536 contiene un aggiornamento non correlato alla protezione che consente a .NET Framework 2.0 Service Pack 2 + 3.0 Service Pack 2 in Windows Vista Service Pack 2 di avvalersi della protezione estesa per l'autenticazione.
• L'articolo della Microsoft Knowledge Base 982167 contiene un aggiornamento non correlato alla protezione che consente a .NET Framework 2.0 Service Pack 2 in Windows XP e Windows Server 2003 di avvalersi della protezione estesa per l'autenticazione.
• L'articolo della Microsoft Knowledge Base 982168 contiene un aggiornamento non correlato alla protezione che consente a .NET Framework 2.0 Service Pack 2 + 3.0 Service Pack 2 in Windows XP e Windows Server 2003 di avvalersi della protezione estesa per l'autenticazione.

L'aggiornamento rilasciato da Microsoft il 14 settembre 2010 è:

• L'articolo della Microsoft Knowledge Base 2141007 contiene un aggiornamento non correlato alla protezione che consente ad Outlook Express e a Windows Mail di avvalersi della protezione estesa per l'autenticazione.

L'aggiornamento rilasciato da Microsoft il 12 ottobre 2010 è:

• L'articolo della Microsoft Knowledge Base 2345886 contiene un aggiornamento non correlato alla protezione che consente al protocollo Server Message Block (SMB) di Windows di avvalersi della protezione estesa per l'autenticazione.

L'aggiornamento rilasciato da Microsoft il 29 dicembre 2010 è:

• Una nuova versione di Microsoft Office Live Meeting Service Portal che consente di supportare la protezione estesa per l'autenticazione.

L'aggiornamento rilasciato da Microsoft il 12 aprile 2011 è:

• L'articolo della Microsoft Knowledge Base 2509470 contiene un aggiornamento non correlato alla protezione che consente a Microsoft Outlook di avvalersi della protezione estesa per l'autenticazione.

Le soluzioni Microsoft Fix it rilasciate da Microsoft l'8 gennaio 2013 sono:

• L'articolo della Microsoft Knowledge Base 2793313 contiene le soluzioni Microsoft Fix it che consentono di impostare i sistemi Windows XP e Windows Server 2003 per il supporto esclusivo di NTLMv2. L'applicazione delle soluzioni Microsoft Fix it consente di attivare le impostazioni NTLMv2 necessarie agli utenti dei sistemi Windows XP e Windows Server 2003 per avvalersi della protezione estesa per l'autenticazione.

Microsoft ha in programma di estendere la copertura rilasciando aggiornamenti futuri che applicheranno i nuovi meccanismi di protezione ad applicazioni server e client Microsoft aggiuntive. Il presente advisory sulla sicurezza verrà revisionato e includerà informazioni aggiornate quando verranno resi disponibili tali aggiornamenti.

In che modo gli sviluppatori possono incorporare questa tecnologia di protezione nelle proprie applicazioni?

Ulteriori informazioni per gli sviluppatori su come utilizzare la tecnologia di protezione estesa per l'autenticazione sono disponibili nel seguente articolo MSDN, Autenticazione integrata di Windows con la protezione estesa.

Come si attiva questa funzionalità?

Sul client, i clienti devono implementare le seguenti impostazioni delle chiavi del registro di sistema.

Istruzioni dettagliate su come abilitare questa chiave del registro di sistema sono disponibili nell'articolo della Microsoft Knowledge Base 968389.

• Impostare la chiave HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\SuppressExtendedProtection su 0 per attivare la tecnologia di protezione. Per impostazione predefinita, questa chiave è impostata su 1 all'installazione e la protezione è disattivata.
• Impostare la chiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel su 3. Questa non è l'impostazione predefinita in Windows XP e Windows Server 2003. Questa è una chiave esistente che attiva l'autenticazione NTLMv2. La protezione estesa per l'autenticazione Windows si applica soltanto ai protocolli di autenticazione NTLMv2 e Kerberos e non a NTLMv1.
  
  Ulteriori informazioni su come attivare l'autenticazione NTLMv2 e su questa chiave sono disponibili nell'articolo della Microsoft Knowledge Base 239869.

Sul server, è necessario attivare la protezione estesa per l'autenticazione per ciascun servizio. La panoramica seguente mostra come attivare la protezione estesa per l'autenticazione sui protocolli comuni per cui è attualmente disponibile:

Telnet (KB960859)

Per Telnet, la protezione estesa per l'autenticazione può essere attivata sul server creando la chiave del registro di sistema DWORD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\ExtendedProtection. Il valore predefinito della chiave è Legacy. Impostare la chiave su uno dei valori seguenti:

• Legacy: impostando il valore di DWORD su 0, la protezione estesa per l'autenticazione verrà disattivata sul server e nessuna connessione, comprese quelle dei client aggiornati e correttamente configurati, sarà protetta da attacchi relativi alla trasmissione delle credenziali.
• Consentire la protezione estesa: impostando il valore di DWORD su 1, il server proteggerà i computer client che sono stati configurati per utilizzare il meccanismo di protezione estesa per l'autenticazione contro attacchi relativi alla trasmissione delle credenziali. I client che non sono stati aggiornati e configurati correttamente non saranno protetti.
• Richiedere la protezione estesa: impostando il valore di DWORD su 2, il server richiederà ai client di supportare la protezione estesa per l'autenticazione, in caso contrario rifiuterà l'autenticazione. I client per i quali la protezione estesa non è abilitata non saranno in grado di eseguire l'autenticazione sul server.

Istruzioni dettagliate su come creare questa chiave del registro di sistema sono disponibili nell'articolo della Microsoft Knowledge Base 960859.

Internet Information Services (KB973917)

Per Internet Information Services, la protezione estesa per l'autenticazione può essere attivata sul server tramite Gestione configurazione IIS o modificando direttamente il file di configurazione ApplicationHost.Config. Per ulteriori informazioni su come configurare IIS, vedere l'articolo della Microsoft Knowledge Base 973917.

Cosa occorre tenere presente quando si distribuisce la protezione estesa per l'autenticazione?

I clienti devono installare l'aggiornamento contenuto nell'articolo della Microsoft Knowledge Base 968389, installare i rispettivi aggiornamenti per l'applicazione sui computer client e server e configurare correttamente entrambi i computer per utilizzare il meccanismo di protezione ed essere protetti da attacchi legati all'inoltro dell'autenticazione.

Quando la protezione estesa per l'autenticazione è attivata sul lato client, è attivata per tutte le applicazioni che utilizzano l'Autenticazione Windows integrata. Tuttavia, sul server è necessario attivarla per ciascuna applicazione.

Perché questo aggiornamento per la protezione non è annunciato in un bollettino sulla sicurezza? 
Il presente aggiornamento implementa una nuova funzionalità che potrebbe non essere appropriata per tutti i clienti. Esso fornisce una funzione di protezione aggiuntiva che clienti possono decidere di distribuire in base al proprio scenario specifico.

Questo è un advisory sulla sicurezza su un aggiornamento non correlato alla protezione. Non è una contraddizione? 
Gli advisory sulla sicurezza riguardano modifiche relative alla sicurezza che potrebbero non richiedere uno specifico bollettino, ma che potrebbero influire sulla sicurezza complessiva del cliente. Per Microsoft, gli advisory sulla sicurezza rappresentano un mezzo per comunicare informazioni sulla sicurezza ai clienti relative a problemi che potrebbero non essere classificati come vulnerabilità e richiedere un apposito bollettino oppure relative a problemi per i quali non è stato rilasciato alcun bollettino. In tal caso, comunichiamo la disponibilità di un aggiornamento che non risolve una vulnerabilità specifica a livello di sicurezza ma che riguarda invece la protezione complessiva.

Come viene offerto l'aggiornamento? 
Gli aggiornamenti sono disponibili nell'Area download Microsoft. I collegamenti diretti agli aggiornamenti per il software specifico sono elencati nella tabella Software interessato nella sezione Cenni preliminari. Per ulteriori informazioni sull'aggiornamento e sulle modifiche al funzionamento, vedere l'articolo della Microsoft Knowledge Base 968389.

Questo aggiornamento è distribuito come aggiornamento automatico? 
Sì. Questi aggiornamenti sono distribuiti attraverso il sistema degli Aggiornamenti automatici.

Quali sono le versioni di Windows interessate dal presente advisory? 
Questo advisory riguarda le funzionalità di tutte le piattaforme elencate nel riepilogo Software interessato. La funzionalità è presente in tutte le versioni di Windows 7 e Windows Server 2008 R2.

Microsoft dispone delle informazioni e degli strumenti specifici per difendersi dagli attacchi contro NTLMv1 (NT LAN Manager versione 1) e l'autenticazione di rete LAN Manager (LM)? 
Sì. Microsoft dispone delle informazioni e degli strumenti specifici per difendersi dagli attacchi contro NTLMv1 (NT LAN Manager versione 1) e l'autenticazione di rete LAN Manager (LM). I miglioramenti degli algoritmi software e hardware del computer hanno reso tali protocolli vulnerabili a una serie di attacchi ampiamente noti, finalizzati a reperire le password degli utenti. Le informazioni e i set di strumenti disponibili riguardano in modo specifico gli ambienti che non applicano l'autenticazione NTLMv2.

Informazioni dettagliate sulle minacce e le contromisure da adottare per Windows Network Security e il livello di autenticazione di LAN Manager sono disponibili su Microsoft TechNet nella Guida alle minacce e alle contromisure.

Microsoft incoraggia fortemente i propri clienti ad analizzare gli ambienti utilizzati e a tenere aggiornate le impostazioni di autenticazione di rete. Microsoft raccomanda di implementare NTLMv2 e di regolare le impostazioni per ridurre o eliminare l'uso dell'autenticazione di rete NTLMv1 e LM.

• Rileggere l'articolo della Microsoft Knowledge Base associato a questo advisory

  Per ottenere ulteriori informazioni su questa funzionalità, vedere l'articolo della Microsoft Knowledge Base 973811.

• Applicare ed attivare gli aggiornamenti non correlati alla protezione elencati in questo advisory sulla sicurezza

  I clienti devono controllare l'elenco di aggiornamenti correlati e non correlati alla protezione che Microsoft ha rilasciato come parte del presente aggiornamento per la protezione e, quando opportuno, devono implementare e configurare tali meccanismi. È possibile trovare l'elenco di aggiornamenti disponibili alla voce Quali altre misure sta adottando Microsoft per implementare questa funzionalità? nella sezione Domande frequenti di questo advisory.

• Applicare le soluzioni Microsoft Fix it descritte nell'articolo della Microsoft Knowledge Base 2793313

  Microsoft raccomanda che gli ambienti con Windows XP e Windows Server 2003 supportino esclusivamente NTLMv2. Questa condizione può essere ottenuta impostando l'autenticazione di LAN Manager sul livello 3 o superiore. Vedere l'articolo della Microsoft Knowledge Base 2793313 per ulteriori informazioni e utilizzare le soluzioni automatizzate Microsoft Fix it per impostare tali sistemi sul supporto esclusivo di NTLMv2. L'applicazione delle soluzioni Microsoft Fix it consente di attivare le impostazioni NTLMv2 necessarie agli utenti per avvalersi della protezione estesa per l'autenticazione.

• Protezione del PC

  Microsoft consiglia di seguire le indicazioni disponibili in Proteggi il tuo Computer per attivare un firewall, acquisire aggiornamenti software e installare software antivirus. Per ulteriori informazioni su questi passaggi, visitare il sito Proteggi il tuo computer.
  
  Per ulteriori informazioni sulla protezione in Internet, visitare il sito Web Microsoft Security Central.

• Aggiornamento regolare di Windows

  Si consiglia a tutti gli utenti di Windows di applicare gli ultimi aggiornamenti per la protezione Microsoft al fine di garantire la massima sicurezza del computer. Per verificare se il software è aggiornato, visitare Windows Update per eseguire la scansione del computer e installare eventuali aggiornamenti ad alta priorità. Se la funzionalità Aggiornamenti automatici è attivata, gli aggiornamenti vengono inviati al computer al momento del rilascio, ma è comunque necessario assicurarsi di installarli.