Aggiornamento per migliorare la protezione e la gestione delle credenziali
Data di pubblicazione: 13 maggio 2014 | Data di aggiornamento: 14 ottobre 2014
Versione: 4.0
Informazioni generali
Riepilogo
Microsoft annuncia la disponibilità di aggiornamenti per le edizioni supportate di Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1 che migliorano la protezione delle credenziali e i controlli di autenticazione del dominio per ridurre il furto di credenziali.
Aggiornamenti relativi a questo advisory
Raccomandazione. Microsoft consiglia di applicare immediatamente questi aggiornamenti utilizzando il software di gestione degli aggiornamenti o verificando la disponibilità degli aggiornamenti tramite il servizio Microsoft Update. Questi aggiornamenti possono essere installati in qualunque ordine.
Il 13 maggio 2014, Microsoft ha rilasciato l'aggiornamento 2871997 per le edizioni supportate di Windows 8, Windows RT, Windows Server 2012, Windows 7 e Windows Server 2008 R2, che migliora la protezione delle credenziali e i controlli di autenticazione del dominio per ridurre i furti di credenziali. Questo aggiornamento fornisce una protezione aggiuntiva per LSA (Local Security Authority), aggiunge una modalità amministrativa con restrizioni per CredSSP (Credential Security Support Provider), introduce il supporto per una categoria di utenti protetti di un dominio con restrizioni di account e applica criteri di autenticazione più rigidi per macchine Windows 7, Windows Server 2008 R2, Windows 8 e Windows Server 2012 utilizzate come client. Per ulteriori informazioni su questo aggiornamento, inclusi i collegamenti di download, vedere l'articolo della Microsoft Knowledge Base 2871997.
| Nota: |
|----------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| Nota Le edizioni supportate di Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1 contengono già queste funzioni e non necessitano dell'aggiornamento 2871997. |
In data 8 luglio 2014, Microsoft ha rilasciato l'aggiornamento 2973351 per le edizioni supportate di Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 e Windows RT e per tutte le edizioni supportate di Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1 su cui è installato l'aggiornamento 2919355 (Windows 8.1 Update). Microsoft ha rilasciato l'aggiornamento 2975625 per le edizioni supportate di Windows 8.1 e Windows Server 2012 R2 su cui non è installato l'aggiornamento 2919355 (Windows 8.1 Update). L'aggiornamento fornisce impostazioni configurabili del Registro di sistema per la gestione della modalità amministrativa con restrizioni per CredSSP (Credential Security Support Provider). Per ulteriori informazioni su questo aggiornamento, inclusi i collegamenti per il download, vedere l'articolo della Microsoft Knowledge Base 2973351 e della Microsoft Knowledge Base 2975625.
| Nota: |
|------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| Nota. L'aggiornamento modifica la funzionalità predefinita della modalità amministrativa con restrizioni per Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1. Vedere la sezione Domande frequenti sull'advisory per ulteriori dettagli. |
In data 9 settembre 2014, Microsoft ha rilasciato l'aggiornamento 2982378 per le edizioni supportate di Windows 7 e Windows Server 2008 R2. L'aggiornamento aggiunge ulteriore protezione per le credenziali degli utenti quando si collegano a un sistema Windows 7 o Windows Server 2008 R2, assicurando che le credenziali vengano eliminate immediatamente anziché attendere l'ottenimento di un ticket di concessione (TGT, Ticket-Granting-Ticket) Kerberos. Per ulteriori informazioni su questo aggiornamento, inclusi i collegamenti di download, vedere l'articolo della Microsoft Knowledge Base 2982378.
In data 14 ottobre 2014, Microsoft ha rilasciato i seguenti aggiornamenti. Gli aggiornamenti applicabili aggiungono una modalità amministrativa con restrizioni per la connessione Desktop remoto e per Remote Desktop Protocol:
2984972 per tutte le edizioni supportate di Windows 7 e Windows Server 2008 R2
2984976 per tutte le edizioni supportate di Windows 7 e Windows Server 2008 R2 sulle quali è installato l'aggiornamento 2592687 (aggiornamento Remote Desktop Protocol (RDP) 8.0). I clienti che installano l'aggiornamento 2984976 devono anche installare l'aggiornamento 2984972.
2984981 per le edizioni supportate di Windows 7 e Windows Server 2008 R2 sulle quali è installato l'aggiornamento 2830477 (aggiornamento client Remote Desktop Protocol (RDC) 8.1). I clienti che installano l'aggiornamento 2984981 devono anche installare l'aggiornamento 2984972.
2973501 per tutte le edizioni supportate di Windows 8, Windows Server 2012 e Windows RT.
Nota:
Nota Le edizioni supportate di Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1 contengono già questa funzione e non necessitano di questo aggiornamento.
Software applicabile
In questo advisory vengono presi in esame i seguenti prodotti software.
Sistema operativo
Windows 7 per sistemi a 32 bit Service Pack 1
Windows 7 per sistemi x64 Service Pack 1
Windows Server 2008 R2 per sistemi x64 Service Pack 1
Windows Server 2008 R2 per sistemi Itanium Service Pack 1
Windows 8 per sistemi a 32 bit
Windows 8 per sistemi x64
Windows 8.1 per sistemi a 32 bit
Windows 8.1 per sistemi x64
Windows Server 2012
Windows Server 2012 R2
Windows RT
Windows RT 8.1
Opzione di installazione Server Core
Windows Server 2008 R2 per sistemi x64 Service Pack 1 (installazione Server Core)
Windows Server 2012 (installazione Server Core)
Windows Server 2012 R2 (installazione Server Core)
Domande frequenti sull'advisory
-------------------------------
**Qual è lo scopo di questo advisory?**
Lo scopo di questo advisory è informare i clienti che sono disponibili aggiornamenti per Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1 che forniscono ulteriore protezione e gestione per le credenziali.
**Quali sono i sistemi principalmente interessati dal furto di credenziali?**
Gli ambienti aziendali in cui sono distribuiti domini Windows sono principalmente a rischio. I server possono essere maggiormente a rischio se gli amministratori consentono agli utenti di accedere ai server ed eseguire programmi. Tuttavia, le procedure consigliate scoraggiano fortemente questa attribuzione di privilegi.
**Gli aggiornamenti 2973351 e 2975625 includono modifiche di funzionalità?
**Sì. Il comportamento predefinito della modalità amministrativa con restrizioni è stato modificato in Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1. La modalità amministrativa con restrizioni è ora disattivata per impostazione predefinita; se si desidera utilizzare questa funzionalità, è necessario riattivarla dopo l'installazione dell'aggiornamento 2973351 o 2975625. Precedentemente, la modalità amministrativa con restrizioni era attivata per impostazione predefinita. Per informazioni su come attivare la modalità amministrativa con restrizioni, vedere [l'articolo della Microsoft Knowledge Base 2973351](https://support.microsoft.com/kb/2973351) o della [Microsoft Knowledge Base 2975625](https://support.microsoft.com/kb/2975625).
L'aggiornamento 2973351 non modifica il comportamento predefinito nelle edizioni supportate di Windows 7, Windows Server 2008 R2, Windows 8, Windows 2012 o Windows RT. La modalità amministrativa con restrizioni è disattivata per impostazione predefinita per questi sistemi operativi.
**Gli aggiornamenti 2973351 o 2975625 sostituiscono l'aggiornamento 2871997?
**No. L'aggiornamento 2871997 è necessario per installare l'aggiornamento 2973351 o 2975625. Questi aggiornamenti forniscono impostazioni configurabili del Registro di sistema per la modalità amministrativa con restrizioni, che è stata aggiunta al momento dell'installazione dell'aggiornamento 2871997.
**Sono disponibili più aggiornamenti per Windows 8.1 e Windows Server 2012 R2. È necessario installare tutti gli aggiornamenti?
**No. A seconda della configurazione del sistema per la ricezione degli aggiornamenti, solo uno degli aggiornamenti per Windows 8.1 o Windows Server 2012 R2 è applicabile.
Per i sistemi che eseguono Windows 8.1 o Windows Server 2012 R2:
L'aggiornamento 2973351 è destinato ai sistemi sui quali è già installato l'aggiornamento 2919355 (Windows 8.1 Update).
L'aggiornamento 2975625 è destinato ai sistemi sui quali non è installato l'aggiornamento 2919355. L'aggiornamento 2975625 è disponibile solo per i clienti che gestiscono gli aggiornamenti mediante Windows Server Update Services (WSUS), Windows Intune o System Center Configuration Manager.
**In Windows 8.1, Windows Server 2012 R2 o Windows RT 8.1, esistono dei prerequisiti per l'aggiornamento 2973351?
**Sì. I clienti che eseguono Windows 8.1, Windows Server 2012 R2 o Windows RT 8.1 devono installare l'aggiornamento 2919355 (Windows 8.1 Update) rilasciato ad aprile 2014 prima di installare l'aggiornamento 2973351. Per ulteriori informazioni su questo aggiornamento necessario come prerequisito, consultare l'[articolo della Microsoft Knowledge Base 2919355](https://support.microsoft.com/kb/2919355).
**È necessario installare tutti gli aggiornamenti per la protezione che sono stati rilasciati per questo advisory?
**Sì. Si consiglia agli utenti di installare tutti gli aggiornamenti offerti per il software installato sul sistema in uso per ottenere tutte le funzionalità di protezione delle credenziali.
**Quali sono gli scenari di distribuzione previsti? **
Questi cambiamenti migliorano la protezione delle credenziali su tutti i sistemi, tuttavia sono particolarmente utili in un ambiente aziendale in cui sono distribuiti domini Windows. Alcune di queste modifiche dipendono dalle funzionalità disponibili in un dominio basato su Windows Server 2012 R2, mentre altre modifiche sono utili in tutti gli ambienti aziendali.
**Che cos'è LSASS (Local Security Authority Subsystem Service)? **
LSASS (Local Security Authority Subsystem Service) fornisce un'interfaccia per la gestione della protezione locale, dell'autenticazione di dominio e dei processi Active Directory. Gestisce l'autenticazione per il client e il server. Inoltre, contiene funzionalità utilizzate per supportare utilità Active Directory.
**Che cos'è LSA (Local Security Authority)?**
LSA (Local Security Authority), che risiede all'interno del processo LSASS (Local Security Authority Security Service), convalida gli utenti per l'accesso locale e remoto e applica i criteri di protezione locali.
**Come agisce questo aggiornamento?**
Questo aggiornamento migliora la protezione delle credenziali e i controlli di autenticazione del dominio per ridurre il furto di credenziali, apportando miglioramenti in quattro aree:
- **Modalità amministrativa con restrizioni per CredSSP (Credential Security Support Provider) **
È possibile scrivere applicazioni per utilizzare questa modifica per la connessione a un server remoto senza trasmettere le credenziali al server host. Questo previene la raccolta di credenziali durante il processo di connessione iniziale se il server è stato compromesso.
Quando l'host verifica che l'account utente in fase di connessione dispone di diritti di amministratore e supporta la modalità amministrativa con restrizioni, la connessione ha esito positivo. In caso contrario, il tentativo di connessione non riesce. La modalità amministrativa con restrizioni non invia mai testo normale o altre forme riutilizzabili di credenziali a computer remoti.
Per gestire la modalità amministrativa con restrizioni, è possibile configurare due impostazioni delle chiavi del Registro di sistema. La chiave DisableRestrictedAdmin è utilizzata per attivare o disattivare la modalità amministrativa con restrizioni. Se la modalità amministrativa con restrizioni è attivata, la chiave DisableRestrictedAdminOutboundCreds viene utilizzata per attivare o disattivare la possibilità di eseguire automaticamente l'autenticazione a risorse remote utilizzando l'account del computer locale per un utente collegato al sistema mediante Desktop remoto con modalità amministrativa con restrizioni.
- **Pulizia delle credenziali in LSA**
Questa funzione riduce la superficie di attacco di credenziali di dominio in LSA. Le modifiche a questa funzione includono: impedire l'accesso alla rete e l'accesso remoto interattivo alla macchina collegata al dominio utilizzando account locali, limitare la memorizzazione nella cache delle credenziali di accesso alla durata dell'accesso, limitare la memorizzazione nella cache delle credenziali fornite da Kerberos/NTLM/Digest/CredSSP, limitare la memorizzazione nella cache Kerberos di password in testo normale, non memorizzare le credenziali di accesso in CredSSP a meno che non sia consentito dai criteri di delega di credenziali e limitare l'utilizzo di credenziali di accesso per Digest.
- **Gruppo di protezione Utenti protetti **
Questa funzione aggiunge il supporto per il gruppo di protezione Utenti protetti introdotto in Windows 8.1 e Windows Server 2012 R2. Questo supporto è applicabile alle macchine che appartengono al dominio in un dominio basato su Windows Server 2012 R2.
I membri del gruppo Utenti protetti sono limitati ulteriormente dai seguenti metodi di autenticazione:
- Un membro del gruppo Utenti protetti può effettuare l'accesso solo mediante il protocollo Kerberos. L'account non può eseguire l'autenticazione utilizzando NTLM, autenticazione del digest o CredSSP. Su un dispositivo che esegue Windows 8, le password non vengono memorizzate nella cache, quindi il dispositivo che utilizza uno di questi SSP (Security Support Provider) non sarà in grado di eseguire l'autenticazione a un dominio quando l'account è membro del gruppo Utenti protetti.
- Il protocollo Kerberos non utilizzerà i tipi di crittografia DES o RC4 più deboli nel processo di pre-autenticazione. Ciò significa che il dominio deve essere configurato per supportare almeno la suite di crittografia AES.
- L'account utente non può essere delegato con delega Kerberos vincolata o non vincolata. Ciò significa che le connessioni precedenti ad altri sistemi potrebbero non riuscire se l'utente è membro del gruppo Utenti protetti.
- **Modalità amministrativa con restrizioni per connessione Desktop remoto**
Questa funzione aggiunge il supporto per la modalità amministrativa con restrizioni per connessione Desktop remoto e Remote Desktop Protocol in Windows 7, Windows Server 2008 R2, Windows 8 e Windows Server 2012, che è stata introdotta in Windows 8.1 e Windows Server 2012 R2.
- La modalità amministrativa con restrizioni fornisce un metodo per accedere interattivamente a un server host remoto senza trasmettere le credenziali dell'utente al server. Questo previene la raccolta di credenziali durante il processo di connessione iniziale se il server è stato compromesso.
- Utilizzando questa modalità con credenziali di amministratore, il client Desktop remoto cerca di accedere interattivamente a un host che supporta anche questa modalità senza inviare le credenziali. Quando l'host verifica che l'account utente in fase di connessione dispone di diritti di amministratore e supporta la modalità amministrativa con restrizioni, la connessione ha esito positivo. In caso contrario, il tentativo di connessione non riesce. La modalità amministrativa con restrizioni non invia mai testo normale o altre forme riutilizzabili di credenziali a computer remoti.
- Per ulteriori informazioni, vedere [Novità di Servizi Desktop remoto in Windows Server](https://technet.microsoft.com/library/dn283323.aspx).
Altre informazioni
------------------
### Microsoft Active Protections Program (MAPP)
Per migliorare il livello di protezione offerto ai clienti, Microsoft fornisce ai principali fornitori di software di protezione i dati relativi alle vulnerabilità in anticipo rispetto alla pubblicazione mensile dell'aggiornamento per la protezione. I fornitori di software di protezione possono servirsi di tali dati per fornire ai clienti delle protezioni aggiornate tramite software o dispositivi di protezione, quali antivirus, sistemi di rilevamento delle intrusioni di rete o sistemi di prevenzione delle intrusioni basati su host. Per verificare se tali protezioni attive sono state rese disponibili dai fornitori di software di protezione, visitare i siti Web relativi alle protezioni attive pubblicati dai partner del programma, che sono elencati in [Microsoft Active Protections Program (MAPP) Partners](http://go.microsoft.com/fwlink/?linkid=215201).
### Commenti e suggerimenti
- Per inviare un commento o un suggerimento, compilare il modulo di Supporto tecnico Microsoft [Servizio di assistenza - Contattaci](http://support.microsoft.com/kb/?scid=sw;en;1257&showpage=1&ws=technet&sd=tech).
### Supporto
- Per usufruire dei servizi del supporto tecnico negli Stati Uniti e in Canada, visitare il sito del [Security Support](https://consumersecuritysupport.microsoft.com/default.aspx?mkt=it-it). Per ulteriori informazioni, vedere [Supporto Tecnico Microsoft](http://support.microsoft.com/?ln=it).
- I clienti internazionali possono ottenere assistenza tecnica presso le filiali Microsoft locali. Per ulteriori informazioni, vedere [Supporto internazionale](http://support.microsoft.com/common/international.aspx).
- [Microsoft TechNet Sicurezza](http://technet.microsoft.com/it-it/security/default.aspx) fornisce ulteriori informazioni sulla protezione dei prodotti Microsoft.
### Dichiarazione di non responsabilità
Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.
### Versioni
- V1.0 (13 maggio 2014): Pubblicazione dell'advisory.
- V2.0 (8 luglio 2014): Nuovo rilascio dell'advisory per comunicare il rilascio degli aggiornamenti 2973351 e 2919355, per fornire ulteriore controllo sulle impostazioni di amministrazione con restrizioni. A seconda del software già installato sul sistema, i clienti devono applicare immediatamente l'aggiornamento 2973351 o 2919355. Vedere gli **aggiornamenti relativi a questo advisory** e le **domande frequenti sull'advisory** per ulteriori dettagli.
- V3.0 (9 settembre 2014): Nuovo rilascio dell'advisory per comunicare il rilascio dell'aggiornamento 2982378 per fornire ulteriore protezione per le credenziali degli utenti quando si collegano a un sistema Windows 7 o Windows Server 2008 R2. Vedere gli **aggiornamenti relativi a questo advisory** per ulteriori dettagli.
- V4.0 (14 ottobre 2014): Nuovo rilascio dell'advisory per comunicare il rilascio di aggiornamenti che forniscono protezione aggiuntiva per le credenziali degli utenti durante l'accesso a un server host remoto. Vedere gli **aggiornamenti relativi a questo advisory** e le **domande frequenti sull'advisory** per ulteriori dettagli.
*Pagina generata 09-10-2014 15:32Z-07:00.*
.gif)
Nota: |
|----------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| Nota Le edizioni supportate di Windows 8.1, Windows Server 2012 R2 e Windows RT 8.1 contengono già queste funzioni e non necessitano dell'aggiornamento 2871997. |