Gestione e protezione delle credenziali
Si applica a: Windows Server 2012 R2
Questo argomento per professionisti IT illustra i metodi e le funzionalità introdotti in Windows Server 2012 R2 e Windows 8.1 per la protezione delle credenziali e per i controlli di autenticazione di dominio che consentono di impedire il furto delle credenziali.
Modalità di amministrazione limitata per Connessione Desktop remoto
La modalità di amministrazione limitata offre un metodo per la registrazione interattiva in un server host remoto senza trasmissione delle credenziali al server. Ciò impedisce l'intercettazione delle credenziali durante il processo iniziale di connessione in caso di compromissione del server.
Se si usa questa modalità con credenziali di amministratore, il client di Desktop remoto tenta di eseguire l'accesso in modo interattivo a un host che supporta a sua volta questa modalità senza la trasmissione di credenziali. Quando l'host verifica che l'account utente in fase di connessione dispone di diritti di amministratore e supporta la modalità di amministrazione limitata, la connessione ha esito positivo. In caso contrario, il tentativo di connessione non riesce. La modalità di amministrazione limitata non invia mai a computer remoti le credenziali in testo normale o in altri formati riutilizzabili.
Per altre informazioni, vedere Novità di Servizi Desktop remoto in Windows Server.
Protezione LSA
LSA (Local Security Authority), che si trova nel processo del servizio server dell'autorità di sicurezza locale (LSASS, Local Security Authority Security Service), convalida gli utenti per gli accessi locali e remoti e impone i criteri di sicurezza locali. Il sistema operativo Windows 8.1 offre una protezione aggiuntiva per LSA per impedire operazioni di code injection da processi non protetti. In questo modo le credenziali archiviate e gestite in LSA sono più sicure. L'impostazione del processo protetto per LSA può essere configurata in Windows 8.1, ma è attivata per impostazione predefinita Windows RT 8.1 e non può essere modificata.
Per informazioni sulla configurazione della protezione per LSA, vedere Configurazione di protezione LSA aggiuntiva.
Gruppo di sicurezza Utenti protetti
Questo nuovo gruppo globale di dominio attiva una nuova protezione non configurabile in dispositivi e computer host che eseguono Windows Server 2012 R2 e Windows 8.1. Il gruppo degli utenti protetti abilita protezioni aggiuntive per i controller di dominio e per i domini nei domini di Windows Server 2012 R2. In questo modo si riduce notevolmente il numero di tipi di credenziali disponibili quando gli utenti accedono ai computer in rete da un computer non compromesso.
Ai membri del gruppo Utenti protetti sono applicate limitazioni aggiuntive tramite i metodi di autenticazione seguenti:
Un membro del gruppo Utenti protetti può accedere usando solo il protocollo Kerberos. L'account non può eseguire l'autenticazione usando NTLM, Autenticazione del digest o CredSSP. In un dispositivo che esegue Windows 8.1 le password non vengono memorizzate nella cache, quindi un dispositivo che usa uno dei seguenti Security Support Provider (SSP) non riuscirà ad autenticarsi in un dominio se l'account è membro del gruppo degli utenti protetti.
Il protocollo Kerberos non usa i tipi di crittografia più vulnerabili DES o RC4 nel processo di preautenticazione. Ciò significa che il dominio deve essere configurato per supportare almeno il pacchetto di crittografia AES.
L'account utente non può usare la delega Kerberos vincolata o non vincolata. Ciò significa che le connessioni precedenti ad altri sistemi possono non riuscire se l'utente è membro del gruppo Utenti protetti.
L'impostazione della durata predefinita TGT (Kerberos Ticket Granting Tickets), pari a quattro ore, può essere configurata con Criteri di autenticazione e silo, accessibili dal Centro di amministrazione di Active Directory. Ciò significa che, dopo che sono trascorse le quattro ore predefinite, l'utente deve ripetere l'autenticazione.
Avviso
Gli account per i servizi e i computer non devono essere membri del gruppo Utenti protetti. Questo gruppo non fornisce protezione locale perché la password o il certificato è sempre disponibile sull'host. L'autenticazione avrà esito negativo con l'errore "Nome utente o password non corretta" per qualsiasi servizio o computer aggiunto al gruppo Utenti protetti.
Per altre informazioni su questo gruppo, vedere Gruppo di sicurezza Utenti protetti.
Criteri di autenticazione e silo di criteri di autenticazione
Sono stati introdotti i criteri Active Directory basati su foresta, che possono essere applicati ad account in un dominio con un livello di funzionalità del dominio di Windows Server 2012 R2. Questi criteri di autenticazione possono controllare quali host possono essere usati da un utente per l'accesso. Vengono usati insieme al gruppo di sicurezza Utenti protetti e gli amministratori possono applicare condizioni di controllo di accesso per l'autenticazione negli account. Grazie a questi criteri di autenticazione è possibile isolare account correlati per limitare l'ambito di una rete.
La nuova classe di oggetti Active Directory, Criteri di autenticazione, consente di applicare la configurazione di autenticazione alle classi di account in domini con un livello di funzionalità del dominio di Windows Server 2012 R2. I criteri di autenticazione sono applicati durante lo scambio Kerberos AS o TGS. Di seguito sono riportate le classi di account Active Directory:
Utente
Computer
Account del servizio gestito
Account del servizio gestito del gruppo
Per altre informazioni, vedere Criteri di autenticazione e silo di criteri di autenticazione.
Per altre informazioni su come configurare gli account protetti, vedere Come configurare gli account protetti.
Vedere anche
Per altre informazioni su LSA e LSASS, vedere Panoramica tecnica dell'accesso e dell'autenticazione di Windows.
Per altre informazioni sulle modalità di gestione delle credenziali di Windows, vedere Panoramica tecnica delle credenziali memorizzate nella cache e archiviate.