Table of contents
TOC
Comprimi il sommario
Espandi il sommario

Criteri di autenticazione e silo di criteri di autenticazione

Corey Plett|Ultimo aggiornamento: 06/12/2016
|
1 Collaboratore

Si applica a: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

In questo argomento per professionisti IT sono descritti i silo di criteri di autenticazione e i criteri che possono limitare gli account in tali silo. È illustrato anche il modo in cui è possibile usare i criteri di autenticazione per limitare l'ambito degli account.

I silo di criteri di autenticazione e i criteri corrispondenti offrono un modo per includere credenziali con privilegi elevati per sistemi pertinenti solo per utenti, computer o servizi selezionati. Contenitori possono essere definiti e gestiti in servizi di dominio Active Directory (Active Directory) tramite il centro di amministrazione di Active Directory e i cmdlet di Active Directory Windows PowerShell.

I silo di criteri di autenticazione sono contenitori a cui gli amministratori possono assegnare account utente, account computer e account del servizio. Gli insiemi di account possono essere quindi gestiti tramite i criteri di autenticazione applicati al contenitore specifico. Ciò riduce la necessità di verifica dell'accesso alle risorse da parte dell'amministratore per i singoli account e aiuta a impedire agli utenti malintenzionati di accedere ad altre risorse tramite il furto di credenziali.

Funzionalità introdotte in Windows Server 2012 R2, consentono di creare autenticazione contenitori di criteri, cui ospitano un insieme di utenti privilegi di livello elevato. È quindi possibile assegnare criteri di autenticazione per questo contenitore, in modo da limitare la posizione in cui gli account con privilegi possono essere usati nel dominio. Quando gli account si trovano nel gruppo di sicurezza Utenti protetti, sono applicati controlli aggiuntivi, ad esempio l'uso esclusivo del protocollo Kerberos.

Queste capacità permettono di limitare l'uso di account di valore elevato a host di valore elevato. Ad esempio, è possibile creare un nuovo silo per gli amministratori di foresta, contenente amministratori di azienda, schema e dominio. È quindi possibile configurare il silo con un criterio di autenticazione, in modo che la l'autenticazione basata su password e smart card da sistemi diversi dai controller di dominio e dalle console degli amministratori di dominio abbia esito negativo.

Per informazioni sulla configurazione di silo di criteri di autenticazione e di criteri di autenticazione, vedere Come configurare gli account protetti.

Informazioni sui silo di criteri di autenticazione

Un silo di criteri di autenticazione controlla gli account che possono essere limitati dal silo e definisce i criteri di autenticazione da applicare ai membri. È possibile creare il silo in base ai requisiti specifici dell'organizzazione. I silo sono oggetti di Active Directory per utenti, computer e servizi, come definito dallo schema nella tabella seguente.

Schema di Active Directory per silo di criteri di autenticazione

Nome visualizzatoDescrizione
Authentication Policy SiloUn'istanza di questa classe definisce i criteri di autenticazione e i comportamenti correlati per gli utenti, i computer e i servizi assegnati.
Authentication Policy SilosUn contenitore di questa classe può includere oggetti di silo di criteri di autenticazione.
Authentication Policy Silo EnforcedSpecifica se il silo di criteri di autenticazione è applicato.

Se non è applicato, per impostazione predefinita il criterio si trova in modalità di controllo. Sono generati eventi che indicano operazioni potenzialmente riuscite e non riuscite, ma al sistema non è applicata alcuna protezione.
Assigned Authentication Policy Silo BacklinkQuesto attributo è il back link per msDS-AssignedAuthNPolicySilo.
Authentication Policy Silo MembersSpecifica quali entità sono assegnate ad AuthNPolicySilo.
Authentication Policy Silo Members BacklinkQuesto attributo è il back link per msDS-AuthNPolicySiloMembers.

I silo di criteri di autenticazione possono essere configurati usando la console di amministrazione di Active Directory o Windows PowerShell. Per altre informazioni, vedere Come configurare gli account protetti.

Informazioni sui criteri di autenticazione

Un criterio di autenticazione definisce le proprietà relative alla durata del ticket TGT (Ticket-Granting Ticket) del protocollo Kerberos e le condizioni di controllo di accesso di autenticazione per un tipo di account. I criteri si basa su e controlla il contenitore di Active Directory noto come silo criteri l'autenticazione.

I criteri di autenticazione controllano gli elementi seguenti:

  • La durata TGT per l'account, che è impostato su non rinnovabile.

  • I criteri che gli account di dispositivo devono soddisfare per effettuare l'accesso con una password o un certificato.

  • I criteri che utenti e dispositivi devono soddisfare per l'autenticazione a servizi in esecuzione come parte dell'account.

Il tipo di account di Active Directory determina il ruolo del chiamante come una delle operazioni seguenti:

  • Utente

    Gli utenti devono essere sempre membri del gruppo di sicurezza Utenti protetti, che rifiuta per impostazione predefinita i tentativi di autenticazione tramite NTLM.

    Possono essere configurati per impostare la durata di un account utente TGT su un valore più breve o limitare i dispositivi a cui può accedere un account utente. Le espressioni Rich possono essere configurate nei criteri di autenticazione per controllare i criteri che gli utenti e i dispositivi devono soddisfare per autenticare il servizio.

    Per altre informazioni, vedere Gruppo di sicurezza Utenti protetti.

  • Servizio

    Sono usati account del servizio gestiti autonomi, account del servizio gestiti del gruppo oppure un oggetto account personalizzato derivato da questi due tipi di account del servizio. Criteri possono impostare le condizioni di controllo, che vengono usate per limitare le credenziali dell'account del servizio gestito di dispositivi specifici con un'identità di Active Directory l'accesso del dispositivo. I servizi non devono essere mai membri del gruppo di sicurezza Utenti protetti, poiché tutte le autenticazioni in ingresso avranno esito negativo.

  • Computer

    Viene usato l'oggetto account del computer o l'oggetto account personalizzato derivato dall'oggetto account del computer. Mediante i criteri è possibile impostare le condizioni di controllo di accesso necessarie per permettere l'autenticazione all'account in base alle proprietà di utente e dispositivo. I computer non devono essere mai membri del gruppo di sicurezza Utenti protetti, poiché tutte le autenticazioni in ingresso avranno esito negativo. Per impostazione predefinita, i tentativi di usare l'autenticazione NTLM sono respinti. È consigliabile non configurare alcuna durata TGT per account del computer.

Nota

È possibile impostare un criterio di autenticazione in un insieme di account senza associare i criteri a un silo di criteri di autenticazione. Questa strategia può essere usata quando si deve proteggere un singolo account.

Schema di Active Directory per criteri di autenticazione

I criteri per gli oggetti di Active Directory per utenti, computer e servizi, sono definiti dallo schema nella tabella seguente.

TipoNome visualizzatoDescrizione
CriterioAuthentication PolicyUn'istanza di questa classe definisce i comportamenti dei criteri di autenticazione per le entità di sicurezza assegnate.
CriterioAuthentication PoliciesUn contenitore di questa classe può includere oggetti di criteri di autenticazione.
CriterioAuthentication Policy EnforcedSpecifica se i criteri di autenticazione sono applicati.

Se non sono applicati, per impostazione predefinita il criterio sarà in modalità di controllo e saranno generati eventi che indicano operazioni potenzialmente riuscite e non riuscite, ma al sistema non sarà applicata alcuna protezione.
CriterioAssigned Authentication Policy BacklinkQuesto attributo è il back link per msDS-AssignedAuthNPolicy.
CriterioAssigned Authentication PolicySpecifica quale AuthNPolicy deve essere applicato a questa entità di sicurezza.
UtenteUser Authentication PolicySpecifica quale AuthNPolicy deve essere applicato a utenti a cui è assegnato questo oggetto silo.
UtenteUser Authentication Policy BacklinkQuesto attributo è il back link per msDS-UserAuthNPolicy.
Utentems-DS-User-Allowed-To-Authenticate-ToQuesto attributo è usato per determinare l'insieme di entità di sicurezza a cui è permesso effettuare l'autenticazione a un servizio in esecuzione con l'account utente.
Utentems-DS-User-Allowed-To-Authenticate-FromQuesto attributo permette di determinare l'insieme di dispositivi a cui un account utente è autorizzato ad accedere.
UtenteUser TGT LifetimeSpecifica la durata massima di un ticket TGT Kerberos emesso a un utente (espressa in secondi). I TGT risultanti non sono rinnovabili.
ComputerComputer Authentication PolicySpecifica quale AuthNPolicy deve essere applicato a computer a cui è assegnato questo oggetto silo.
ComputerComputer Authentication Policy BacklinkQuesto attributo è il back link per msDS-ComputerAuthNPolicy.
Computerms-DS-Computer-Allowed-To-Authenticate-ToQuesto attributo è usato per determinare l'insieme di entità di sicurezza a cui è permesso effettuare l'autenticazione a un servizio in esecuzione con l'account computer.
ComputerComputer TGT LifetimeSpecifica la durata massima di un ticket TGT Kerberos emesso a un computer (espressa in secondi). La modifica di questa impostazione non è consigliata.
ServizioService Authentication PolicySpecifica quale AuthNPolicy deve essere applicato a servizi a cui è assegnato questo oggetto silo.
ServizioService Authentication Policy BacklinkQuesto attributo è il back link per msDS-ServiceAuthNPolicy.
Servizioms-DS-Service-Allowed-To-Authenticate-ToQuesto attributo è usato per determinare l'insieme di entità di sicurezza a cui è permesso effettuare l'autenticazione a un servizio in esecuzione con l'account del servizio.
Servizioms-DS-Service-Allowed-To-Authenticate-FromQuesto attributo permette di determinare l'insieme di dispositivi a cui un account del servizio è autorizzato ad accedere.
ServizioService TGT LifetimeSpecifica la durata massima di un ticket TGT Kerberos emesso a un servizio (espressa in secondi).

I silo di criteri di autenticazione possono essere configurati per ogni silo usando la console di amministrazione di Active Directory o Windows PowerShell. Per altre informazioni, vedere Come configurare gli account protetti.

Come funziona

In questa sezione è illustrato il funzionamento dei silo di criteri di autenticazione e dei criteri di autenticazione insieme al gruppo di sicurezza Utenti protetti e all'implementazione del protocollo Kerberos in Windows.

Account protetti

Gruppo di sicurezza agli utenti protetta Attiva protezione non configurabili su dispositivi e computer host che eseguono Windows Server 2012 R2 e Windows 8.1 e controller di dominio domini con un controller di dominio primario in esecuzione Windows Server 2012 R2. A seconda del livello di funzionalità del dominio dell'account, i membri del gruppo di sicurezza Utenti protetti dispongono di un'ulteriore protezione grazie alle modifiche del comportamento nei metodi di autenticazione supportati in Windows.

  • Il membro del gruppo di sicurezza Utenti protetti non può autenticarsi con NTLM, l'autenticazione del digest o la delega predefinita delle credenziali CredSSP. In un dispositivo che esegue Windows 8.1 che usa uno qualsiasi di questi sicurezza supporto provider di autenticazione a un dominio avrà esito negativo quando l'account è un membro del gruppo di sicurezza agli utenti protetta.

  • Il protocollo Kerberos non usa i tipi di crittografia più vulnerabili DES o RC4 nel processo di preautenticazione. Ciò significa che il dominio deve essere configurato per supportare almeno il tipo di crittografia AES.

  • L'account dell'utente non può essere delegato con Kerberos vincolato o non vincolato delega. Ciò significa che le connessioni precedenti ad altri sistemi possono non riuscire se l'utente è membro del gruppo di sicurezza Utenti protetti.

  • L'impostazione della durata predefinita TGT (Ticket Granting Tickets), pari a quattro ore, può essere configurata con Criteri di autenticazione e silo, accessibili dal Centro di amministrazione di Active Directory. Ciò significa che, dopo che sono trascorse le quattro ore predefinite, l'utente deve ripetere l'autenticazione.

Per altre informazioni su questo gruppo di sicurezza, vedere Come funziona il gruppo Utenti protetti.

Silo e criteri di autenticazione

I silo di criteri di autenticazione e i criteri di autenticazione si avvalgono dell'infrastruttura di autenticazione Windows esistente. L'uso del protocollo NTLM è rifiutato ed è usato il protocollo Kerberos con tipi di crittografia più recenti. I criteri di autenticazione integrano il gruppo di sicurezza Utenti protetti, offrendo un modo per applicare restrizioni configurabili agli account, oltre a offrire restrizioni per gli account per servizi e computer. I criteri di autenticazione sono applicati durante lo scambio del servizio di autenticazione del protocollo Kerberos o del ticket TGS (Ticket-Granting Service). Per altre informazioni sul modo in cui Windows usa il protocollo Kerberos e sulle modifiche apportate per supportare i silo di criteri di autenticazione e i criteri di autenticazione, vedere:

Come funziona il protocollo Kerberos insieme ai silo di criteri di autenticazione e ai criteri di autenticazione

Quando un account di dominio è collegato a un silo di criteri di autenticazione e l'utente effettua l'accesso, Gestione account di protezione aggiunge il tipo di attestazione del silo di criteri di autenticazione che include il silo come valore. L'attestazione relativa all'account offre l'accesso al silo di destinazione.

Quando un criterio di autenticazione è applicato e nel controller di dominio si riceve una richiesta del servizio di autenticazione per un account di dominio, il controller di dominio restituisce un TGT non rinnovabile con la durata configurata, a meno che la durata TGT del dominio non sia inferiore.

Nota

L'account di dominio deve avere una durata TGT configurata e deve essere collegato direttamente al criterio o collegato indirettamente tramite l'appartenenza al silo.

Quando un criterio di autenticazione è in modalità di controllo e nel controller di dominio si riceve la richiesta del servizio di autenticazione per un account di dominio, il controller di dominio verifica se l'autenticazione è consentita per il dispositivo, in modo da potere registrare un avviso in caso di errore. Un criterio di autenticazione controllato non altera il processo, quindi le richieste di autenticazione non avranno esito negativo se non soddisfano i requisiti del criterio.

Nota

L'account di dominio deve essere collegato direttamente al criterio o collegato indirettamente tramite l'appartenenza al silo.

Quando un criterio di autenticazione è applicato e il servizio di autenticazione è "blindato", la richiesta del servizio di autenticazione per un account di dominio viene ricevuta nel controller di dominio, che verifica se l'autenticazione è consentita per il dispositivo. In caso di esito negativo, il controller di dominio restituisce un messaggio di errore e registra un evento.

Nota

L'account di dominio deve essere collegato direttamente al criterio o collegato indirettamente tramite l'appartenenza al silo.

Quando un criterio di autenticazione è in modalità di controllo e viene ricevuta una richiesta di servizio ticket di concessione dal controller di dominio per un account di dominio, il controller di dominio controlla se l'autenticazione è consentito in base al ticket della richiesta dati certificato attributi privilegi (privilegi) e viene registrato un messaggio di avviso in caso contrario. Il certificato attributi privilegi include diversi tipi di dati relativi all'autorizzazione, inclusi i gruppi a cui appartiene l'utente, i diritti di cui dispone l'utente e i criteri applicabili all'utente. Queste informazioni viene usate per generare il token di accesso dell'utente. Se si tratta di un criterio di autenticazione imposto che permette di autenticazione a un utente, un dispositivo o un servizio, il controller di dominio controlla se è consentito l'autenticazione basato sulla ticket della richiesta dati certificato attributi privilegi. In caso di esito negativo, il controller di dominio restituisce un messaggio di errore e registra un evento.

Nota

L'account di dominio deve essere collegato direttamente oppure tramite l'appartenenza a un silo a un criterio di autenticazione controllato, che permette l'autenticazione a un utente, un dispositivo o un servizio.

È possibile usare un singolo criterio di autenticazione per tutti i membri di un silo oppure usare criteri distinti per utenti, computer e account del servizio gestiti.

I silo di criteri di autenticazione possono essere configurati per ogni silo usando la console di amministrazione di Active Directory o Windows PowerShell. Per altre informazioni, vedere Come configurare gli account protetti.

Come funziona l'applicazione di restrizioni all'accesso utente

Poiché questi criteri di autenticazione sono applicati a un account, sono applicabili anche agli account usati dai servizi. Questa impostazione è utile per limitare l'uso di una password per un servizio ad alcuni host specifici. Ad esempio, è possibile configurare account del servizio gestiti per un gruppo in modo che gli host siano autorizzati a recuperare la password da Servizi di dominio Active Directory. La password può essere però usata da qualsiasi host per l'autenticazione iniziale. Tramite l'applicazione di una condizione di controllo dell'accesso, è possibile ottenere un livello aggiuntivo di protezione limitando la password solo all'insieme di host in grado di recuperare la password.

Quando servizi che vengono eseguiti come sistema, servizio di rete o altre identità di servizio locale si connettono ai servizi di rete, usano account computer dell'host. Non è possibile applicare restrizioni agli account computer. Anche se il servizio usa un account computer non relativo a un host Windows , non sarà quindi possibile applicarvi restrizioni.

Limitazione dell'account utente a host specifici richiede il controller di dominio per convalidare l'identità dell'host. Quando si usa l'autenticazione Kerberos con la blindatura Kerberos (che fa parte del Controllo dinamico degli accessi), al Centro distribuzione chiavi viene fornito il TGT dell'host da cui l'utente esegue l'autenticazione. Il contenuto del TGT blindato è usato per completare una verifica dell'accesso, in modo da determinare se l'host è autorizzato.

Quando un utente accede a Windows o inserisce le credenziali per il dominio in una richiesta di credenziali per un'applicazione, per impostazione predefinita Windows invia una richiesta AS-REQ blindata al controller di dominio. Se l'utente invia la richiesta da un computer che non supporta corazzatura, ad esempio computer che eseguono Windows 7 o Windows Vista, la richiesta ha esito negativo.

Il processo è descritto nell'elenco seguente:

  • Il controller di dominio in un dominio che esegue Windows Server 2012 R2 query per l'account utente e determina se è configurato con un criterio di autenticazione che limita l'autenticazione iniziale che richiede le richieste armored.

  • La richiesta avrà esito negativo nel controller di dominio.

  • Poiché corazzatura è necessario, l'utente può tentare di accedere con un computer che esegue Windows 8.1 o Windows 8, che è abilitato per il supporto Kerberos corazzatura per ripetere la procedura di accesso.

  • Windows rileva che il dominio supporta la blindatura Kerberos e invia una richiesta AS-REQ blindata per riprovare la richiesta di accesso.

  • Il controller di dominio esegue un controllo di accesso tramite le condizioni di controllo di accesso configurato e le informazioni sull'identità del sistema operativo client nel TGT usato per armor la richiesta.

  • In caso di errore della verifica dell'accesso, il controller di dominio respinge la richiesta.

Anche se i sistemi operativi supportano la blindatura Kerberos, è possibile applicare i requisiti per il controllo di accesso, che devono essere soddisfatti prima che sia concesso l'accesso. Gli utenti accedono a Windows o immettono le credenziali del dominio in una richiesta di credenziali per un'applicazione. Per impostazione predefinita, Windows invia una richiesta AS-REQ non blindata al controller di dominio. Se l'utente invia la richiesta da un computer che supporta corazzatura, ad esempio Windows 8.1 o Windows 8, i criteri di autenticazione vengono valutati come segue:

  1. Il controller di dominio in un dominio che esegue Windows Server 2012 R2 query per l'account utente e determina se è configurato con un criterio di autenticazione che limita l'autenticazione iniziale che richiede le richieste armored.

  2. Il controller di dominio esegue un controllo di accesso tramite le condizioni di controllo di accesso configurato e le informazioni sull'identità del sistema nel TGT che viene usato per armor la richiesta. La verifica dell'accesso ha esito positivo.

    Nota

    Se sono configurate restrizioni legacy per il gruppo di lavoro, sarà necessario soddisfarle.

  3. Il controller di dominio risponde con una risposta blindata (AS-REP) e il processo di autenticazione continua.

Come funziona l'applicazione di restrizioni all'emissione di ticket di servizio

Quando non è consentito un account e un utente che ha un TGT tenta di connettersi al servizio (ad esempio aprendo un'applicazione che richiede l'autenticazione a un servizio che è identificato da nome principale servizio del servizio (SPN), si verifica la situazione seguente:

  1. In caso di tentativo di connessione a SPN1 da SPN, Windows invia una richiesta TGS-REQ al controller di dominio che richiede un ticket di servizio per SPN1.

  2. Il controller di dominio in un dominio che esegue Windows Server 2012 R2 Cerca SPN1 per trovare l'account di servizi di dominio Active Directory per il servizio e determina che l'account è configurato con un criterio di autenticazione che limita rilascio ticket di servizio.

  3. Il controller di dominio esegue un controllo di accesso tramite le condizioni di controllo di accesso configurato e le informazioni sull'identità dell'utente nel TGT. La verifica dell'accesso ha esito negativo.

  4. Il controller di dominio respinge la richiesta.

Quando è consentito un account perché l'account soddisfi le condizioni di controllo di accesso che vengono impostate con il criterio di autenticazione e un utente che ha un TGT tenta di connettersi al servizio (ad esempio aprendo un'applicazione che richiede l'autenticazione a un servizio che è identificato da SPN del servizio), si verifica la situazione seguente:

  1. In caso di tentativo di connessione a SPN1, Windows invia una richiesta TGS-REQ al controller di dominio che richiede un ticket di servizio per SPN1.

  2. Il controller di dominio in un dominio che esegue Windows Server 2012 R2 Cerca SPN1 per trovare l'account di servizi di dominio Active Directory per il servizio e determina che l'account è configurato con un criterio di autenticazione che limita rilascio ticket di servizio.

  3. Il controller di dominio esegue un controllo di accesso tramite le condizioni di controllo di accesso configurato e le informazioni sull'identità dell'utente nel TGT. La verifica dell'accesso ha esito positivo.

  4. Il controller di dominio risponde alla richiesta con una richiesta TGS (TGS-REP).

Messaggi di eventi di errore e informativi associati

Nella tabella seguente sono descritti gli eventi associati al gruppo di sicurezza Utenti protetti e i criteri di autenticazione applicati ai silo di criteri di autenticazione.

Gli eventi sono registrati nei registri relativi ad applicazioni e servizi in Microsoft\Windows\Authentication.

Per procedure di risoluzione dei problemi che usano questi eventi, vedere Risolvere i problemi relativi ai criteri di autenticazione e Risolvere i problemi degli eventi relativi a Utenti protetti.

ID e registro eventiDescrizione
101

AuthenticationPolicyFailures-DomainController
Motivo: Si verifica un errore di accesso NTLM perché è configurato il criterio di autenticazione.

Un evento viene registrato nel controller di dominio per indicare che l'autenticazione NTLM non è riuscita perché sono necessarie restrizioni per il controllo di accesso e queste restrizioni non sono applicabili a NTLM.

Mostra i nomi di account, dispositivo, criterio e silo.
105

AuthenticationPolicyFailures-DomainController
Motivo: Si verifica un errore di restrizione Kerberos perché non è consentito l'autenticazione da un determinato dispositivo.

Un evento viene registrato nel controller di dominio per indicare che un TGT Kerberos è stato rifiutato perché il dispositivo non soddisfa le restrizioni applicate per il controllo di accesso.

Mostra i nomi di account, dispositivo, criterio e silo e la durata TGT.
305

AuthenticationPolicyFailures-DomainController
Motivo: Un errore di restrizione Kerberos potenziale potrà verificarsi perché l'autenticazione da un determinato dispositivo non è consentito.

In modalità di controllo, un evento informativo viene registrato nel controller di dominio per determinare se un TGT Kerberos sarà rifiutato poiché il dispositivo non soddisfa le restrizioni applicate per il controllo di accesso.

Mostra i nomi di account, dispositivo, criterio e silo e la durata TGT.
106

AuthenticationPolicyFailures-DomainController
Motivo: Si verifica un errore di restrizione Kerberos perché l'utente o il dispositivo non è consentito per autenticare il server.

Un evento viene registrato nel controller di dominio per indicare che un ticket di servizio Kerberos è stato rifiutato perché l'utente, il dispositivo o entrambi non soddisfano le restrizioni applicate per il controllo di accesso.

Mostra i nomi di dispositivo, criterio e silo.
306

AuthenticationPolicyFailures-DomainController
Motivo: Un errore di restrizione Kerberos potrà verificarsi perché l'utente o il dispositivo non è consentito per autenticare il server.

In modalità di controllo, un evento informativo viene registrato nel controller di dominio per indicare che un ticket di servizio Kerberos sarà rifiutato poiché l'utente, il dispositivo o entrambi non soddisfano le restrizioni applicate per il controllo di accesso.

Mostra i nomi di dispositivo, criterio e silo.

Vedi anche

Come configurare gli account protetti

Gestione e protezione delle credenziali

Gruppo di sicurezza Utenti protetti

© 2017 Microsoft