Panoramica di Autenticazione di Windows
Si applica a: Windows 8.1, Windows Server 2012 R2, Windows Server 2012
Questo argomento, destinato ai professionisti IT, include l'elenco delle risorse della documentazione relative alle tecnologie di autenticazione e accesso di Windows che includono la valutazione del prodotto, le guide introduttive, le procedure, le guide alla progettazione e alla distribuzione, i riferimenti tecnici e i riferimenti per i comandi.
Descrizione delle funzionalità
L'autenticazione è un processo che consente di verificare l'identità di un oggetto, di un servizio o di una persona. Quando si autentica un oggetto, lo scopo è verificare che tale oggetto sia autentico. Quando si autentica un servizio o una persona, l'obiettivo è quello di verificare che le credenziali presentate siano autentiche.
In un contesto di rete, l'autorizzazione consiste nel dimostrare l'identità a un'applicazione o risorsa di rete. In genere, l'identità viene dimostrata tramite un'operazione di crittografia che usa una chiave nota solo all'utente, come nella crittografia a chiave pubblica, oppure una chiave condivisa. Il lato server dello scambio di autenticazione confronta i dati firmati con una chiave crittografica nota per convalidare il tentativo di autenticazione.
L'archiviazione delle chiavi crittografiche in una posizione centralizzata sicura rende l'autenticazione un processo scalabile e gestibile. Servizi di dominio Active Directory è la tecnologia consigliata e predefinita per l'archiviazione delle informazioni relative all'identità, incluse le chiavi crittografiche che rappresentano le credenziali dell'utente. Active Directory è necessario per le implementazioni NTLM e Kerberos predefinite.
Le tecniche di autenticazione variano dal semplice accesso, che identifica l'utente in base a informazioni note solo all'utente, ad esempio una password, fino a meccanismi di sicurezza più potenti che utilizzano informazioni possedute dall'utente, ad esempio token, certificati di chiave pubblica e dati biometrici. In un ambiente aziendale, i servizi o gli utenti possono accedere a più applicazioni o risorse su molti tipi di server nell'ambito di un solo percorso o di più percorsi. Per tali motivi, l'autenticazione deve supportare ambienti per altre piattaforme e per altri sistemi operativi Windows.
Nel sistema operativo Windows è implementato un insieme predefinito di protocolli di autenticazione, tra cui Kerberos, NTLM, Transport Layer Security/Secure Sockets Layer (TLS/SSL) e Digest, come parte di un'architettura estensibile. Alcuni protocolli sono inoltre combinati in pacchetti di autenticazione, ad esempio Negotiate e CredSSP (Credential Security Support Provider). Questi protocolli e pacchetti consentono l'autenticazione di utenti, computer e servizi. Il processo di autenticazione, a sua volta, consente agli utenti e ai servizi autorizzati di accedere alle risorse in modo sicuro.
Per altre informazioni sull'autenticazione di Windows, tra cui
Differenze nell'autenticazione di Windows tra sistemi operativi Windows
Architettura dell'interfaccia del provider supporto Sicurezza
Impostazioni di criteri di gruppo utilizzate nell'autenticazione di Windows
vedere Panoramica tecnica di autenticazione di Windows.
Applicazioni pratiche
L'autenticazione di Windows viene utilizzata per verificare che le informazioni provengano da un'origine attendibile, indipendentemente che si tratti di una persona o di un oggetto computer, ad esempio un altro computer. In Windows sono disponibili diversi metodi per raggiungere questo obiettivo, come descritto di seguito.
Per... |
Funzionalità |
Descrizione |
|---|---|---|
Autenticazione nell'ambito di un dominio di Active Directory |
Kerberos |
I sistemi operativi Microsoft Windows Server implementano il protocollo e le estensioni Kerberos versione 5 per l'autenticazione con chiave pubblica. Il client di autenticazione Kerberos viene implementato come SSP (Security Support Provider) ed è accessibile tramite SSPI (Security Support Provider Interface). L'autenticazione iniziale degli utenti è integrata con l'architettura Single Sign-On di Winlogon. Il Centro distribuzione chiavi (KDC) di Kerberos è integrato con altri servizi di sicurezza di Windows Server eseguiti nel controller di dominio. Il KDC utilizza il database del servizio directory Active Directory del dominio come database degli account di sicurezza. Active Directory è necessario per le implementazioni Kerberos predefinite. Per altre risorse, vedere Panoramica dell'autenticazione Kerberos. |
Autenticazione sicura sul Web |
TLS/SSL come implementato nel provider di supporto Sicurezza Schannel. |
Il protocollo TLS (Transport Layer Security) nelle versioni 1.0, 1.1 e 1.2, il protocollo SSL (Secure Sockets Layer) nelle versioni 2.0 e 3.0, il protocollo DTLS (Datagram Transport Layer Security) nella versione 1.0 e il protocollo PCT (Private Communications Transport) nella versione 1.0 sono basati sulla crittografia a chiave pubblica. La suite di protocolli di autenticazione del provider Secure Channel (Schannel) fornisce tali protocolli. Tutti i protocolli Schannel utilizzano un modello client e server. Per altre risorse, vedere Panoramica di TLS/SSL (SSP Schannel). |
Autenticazione in un servizio Web o un'applicazione |
Autenticazione integrata di Windows Autenticazione del digest |
Per altre risorse, vedere gli argomenti su autenticazione integrata di Windows, autenticazione del digest e autenticazione avanzata del digest. |
Autenticazione in applicazioni legacy |
NTLM |
NTLM è un protocollo di autenticazione basato su una richiesta di verifica e la relativa risposta. Oltre all'autenticazione, il protocollo NTLM gestisce la sicurezza della sessione, in particolare in relazione all'integrità e la riservatezza dei messaggi tramite le funzioni di firma e sigillo in NTLM. Per altre risorse, vedere Panoramica di NTLM. |
Utilizzare l'autenticazione a più fattori |
Supporto di smart card Supporto biometria |
Le smart card rappresentano supporti portatili e resistenti alle manomissioni che consentono di offrire soluzioni di sicurezza per attività come l'autenticazione client, l'accesso ai domini, la firma di codice e la protezione della posta elettronica. La biometria si basa sulla misurazione di una caratteristica fisica non mutevole di una persona per identificarla in modo univoco. Le impronte digitali sono una delle caratteristiche biometriche utilizzate con maggiore frequenza, con milioni di dispositivi di biometria delle impronte digitali incorporati in personal computer e periferiche. Per altre risorse, vedere Panoramica delle smart card e Panoramica di Windows Biometric Framework [W8]. |
Consentire il riutilizzo, l'archiviazione e la gestione locale delle credenziali |
Gestione di credenziali Autorità di sicurezza locale Password |
La gestione delle credenziali in Windows assicura che le credenziali vengano archiviate in tutta sicurezza. Le credenziali vengono raccolte sul desktop sicuro, per l'accesso locale o di dominio, attraverso app o siti Web in modo che ogni volta che si accede a una risorsa vengano presentate le credenziali corrette. Per altre risorse, vedere Panoramica tecnica delle credenziali memorizzate nella cache e archiviate e Panoramica delle password. |
Estendere la protezione per l'autenticazione moderna ai sistemi legacy |
Protezione estesa per l'autenticazione |
Questa funzionalità consente di ottimizzare la protezione e la gestione delle credenziali durante l'autenticazione di connessioni di rete mediante Autenticazione integrata di Windows. Per altre risorse, vedere Protezione estesa per l'autenticazione. |
Requisiti software
Autenticazione di Windows è compatibile con le versioni precedenti del sistema operativo Windows. Tuttavia, alcuni miglioramenti introdotti in ogni release non sono necessariamente applicabili alle versioni precedenti. Per altre informazioni, fare riferimento alla documentazione relativa alle funzionalità specifiche.
Informazioni su Server Manager
È possibile configurare numerose funzionalità di autenticazione utilizzando la funzionalità Criteri di gruppo che può essere installata tramite Server Manager. La funzionalità Windows Biometric Framework viene installata tramite Server Manager. Tramite Server Manager è possibile installare altri ruoli server che dipendono da metodi di autenticazione, ad esempio Server Web (IIS) e Servizi di dominio Active Directory.
Risorse correlate
Tecnologie di autenticazione |
Risorse |
|---|---|
Autenticazione di Windows |
Panoramica tecnica di autenticazione di Windows |
Kerberos |
Panoramica dell'autenticazione Kerberos Panoramica della delega vincolata Kerberos Panoramica sull'autenticazione Kerberos(2003) Guida di sopravvivenza per Kerberos (Wiki TechNet) |
TLS/SSL e DTLS (Security Support Provider Schannel) |
|
Autenticazione del digest |
|
NTLM |
Panoramica di NTLM |
PKU2U |
|
Smart card |
|
Smart card virtuale |
|
Biometria |
Panoramica di Windows Biometric Framework [W8]Panoramica di Windows Biometric Framework [W8] |
Credenziali |
Gestione e protezione delle credenziali Panoramica delle password |