Panoramica di Autenticazione di Windows
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
Questo argomento, destinato ai professionisti IT, include l'elenco delle risorse della documentazione relative alle tecnologie di autenticazione e accesso di Windows che includono la valutazione del prodotto, le guide introduttive, le procedure, le guide alla progettazione e alla distribuzione, i riferimenti tecnici e i riferimenti per i comandi.
Descrizione delle funzionalità
L'autenticazione è un processo che consente di verificare l'identità di un oggetto, di un servizio o di una persona. Quando si autentica un oggetto, lo scopo è verificare che tale oggetto sia autentico. Quando si autentica un servizio o una persona, l'obiettivo è quello di verificare che le credenziali presentate siano autentiche.
In un contesto di rete, l'autorizzazione consiste nel dimostrare l'identità a un'applicazione o risorsa di rete. In genere, l'identità viene dimostrata tramite un'operazione di crittografia che usa una chiave nota solo all'utente (come nella crittografia a chiave pubblica) oppure una chiave condivisa. Il lato server dello scambio di autenticazione confronta i dati firmati con una chiave crittografica nota per convalidare il tentativo di autenticazione.
L'archiviazione delle chiavi crittografiche in una posizione centralizzata sicura rende l'autenticazione un processo scalabile e gestibile. Servizi di dominio di Active Directory è la tecnologia consigliata e predefinita per l'archiviazione delle informazioni relative all'identità, incluse le chiavi crittografiche che rappresentano le credenziali dell'utente. Active Directory è necessario per le implementazioni NTLM e Kerberos predefinite.
Le tecniche di autenticazione variano dal semplice accesso, che identifica l'utente in base a informazioni note solo all'utente, ad esempio una password, fino a meccanismi di sicurezza più potenti che utilizzano informazioni possedute dall'utente, ad esempio token, certificati di chiave pubblica e dati biometrici. In un ambiente aziendale, i servizi o gli utenti possono accedere a più applicazioni o risorse su molti tipi di server nell'ambito di un solo percorso o di più percorsi. Per tali motivi, l'autenticazione deve supportare ambienti per altre piattaforme e per altri sistemi operativi Windows.
Nel sistema operativo Windows è implementato un insieme predefinito di protocolli di autenticazione, tra cui Kerberos, NTLM, Transport Layer Security/Secure Sockets Layer (TLS/SSL) e Digest, come parte di un'architettura estensibile. Alcuni protocolli sono inoltre combinati in pacchetti di autenticazione, ad esempio Negotiate e CredSSP (Credential Security Support Provider). Questi protocolli e pacchetti consentono l'autenticazione di utenti, computer e servizi. Il processo di autenticazione, a sua volta, consente agli utenti e ai servizi autorizzati di accedere alle risorse in modo sicuro.
Per altre informazioni sull'autenticazione di Windows, tra cui
Architettura dell'interfaccia del provider supporto Sicurezza
Impostazioni dei criteri di gruppo usate in Autenticazione di Windows
Panoramica tecnica di autenticazione di Windows.
Applicazioni pratiche
L'autenticazione di Windows viene utilizzata per verificare che le informazioni provengano da un'origine attendibile, indipendentemente che si tratti di una persona o di un oggetto computer, ad esempio un altro computer. In Windows sono disponibili diversi metodi per raggiungere questo obiettivo, come descritto di seguito.
| Per... | Funzionalità | Descrizione |
|---|---|---|
| Autenticazione nell'ambito di un dominio di Active Directory | Kerberos | I sistemi operativi Microsoft Windows Server implementano il protocollo e le estensioni Kerberos versione 5 per l'autenticazione con chiave pubblica. Il client di autenticazione Kerberos viene implementato come SSP (Security Support Provider) ed è accessibile tramite SSPI (Security Support Provider Interface). L'autenticazione iniziale degli utenti è integrata con l'architettura Single Sign-On di Winlogon. Il Centro distribuzione chiavi (KDC) di Kerberos è integrato con altri servizi di sicurezza di Windows Server eseguiti nel controller di dominio. Il KDC utilizza il database del servizio directory Active Directory del dominio come database degli account di sicurezza. Active Directory è necessario per le implementazioni Kerberos predefinite. Per maggiori risorse, consultare la sezione Panoramica dell'autenticazione Kerberos. |
| Autenticazione sicura sul Web | TLS/SSL come implementato nel provider di supporto Sicurezza Schannel. | Il protocollo TLS (Transport Layer Security) nelle versioni 1.0, 1.1 e 1.2, il protocollo SSL (Secure Sockets Layer) nelle versioni 2.0 e 3.0, il protocollo DTLS (Datagram Transport Layer Security) nella versione 1.0 e il protocollo PCT (Private Communications Transport) nella versione 1.0 sono basati sulla crittografia a chiave pubblica. La suite di protocolli di autenticazione del provider Secure Channel (Schannel) fornisce tali protocolli. Tutti i protocolli Schannel utilizzano un modello client e server. Per maggiori risorse, consultare la sezione PANORAMICA di TLS - SSL (SSP Schannel). |
| Autenticazione in un servizio Web o un'applicazione | Autenticazione integrata di Windows Autenticazione digest |
Per altre risorse, vedere gli argomenti su autenticazione integrata di Windows, autenticazione del digest e autenticazione avanzata del digest. |
| Autenticazione in applicazioni legacy | NTLM | NTLM è un protocollo di autenticazione basato su una richiesta di verifica e la relativa risposta. Oltre all'autenticazione, il protocollo NTLM gestisce la sicurezza della sessione, in particolare in relazione all'integrità e la riservatezza dei messaggi tramite le funzioni di firma e sigillo in NTLM. Per maggiori risorse, consultare la sezione Panoramica di NTLM. |
| Utilizzare l'autenticazione a più fattori | Supporto di smart card Supporto biometria |
Le smart card rappresentano supporti portatili e resistenti alle manomissioni che consentono di offrire soluzioni di sicurezza per attività come l'autenticazione client, l'accesso ai domini, la firma di codice e la protezione della posta elettronica. La biometria si basa sulla misurazione di una caratteristica fisica non mutevole di una persona per identificarla in modo univoco. Le impronte digitali sono una delle caratteristiche biometriche utilizzate con maggiore frequenza, con milioni di dispositivi di biometria delle impronte digitali incorporati in personal computer e periferiche. Per maggiori risorse, consultare la sezione Informazioni di riferimento tecnico sulle smart card. |
| Consentire il riutilizzo, l'archiviazione e la gestione locale delle credenziali | Gestione di credenziali Autorità di protezione locale Password |
La gestione delle credenziali in Windows assicura che le credenziali vengano archiviate in tutta sicurezza. Le credenziali vengono raccolte sul desktop sicuro, per l'accesso locale o di dominio, attraverso app o siti Web in modo che ogni volta che si accede a una risorsa vengano presentate le credenziali corrette. |
| Estendere la protezione per l'autenticazione moderna ai sistemi legacy | Protezione estesa per l'autenticazione | Questa funzionalità consente di ottimizzare la protezione e la gestione delle credenziali durante l'autenticazione di connessioni di rete mediante Autenticazione integrata di Windows. |
Requisiti software
Autenticazione di Windows è compatibile con le versioni precedenti del sistema operativo Windows. Tuttavia, alcuni miglioramenti introdotti in ogni release non sono necessariamente applicabili alle versioni precedenti. Per altre informazioni, fare riferimento alla documentazione relativa alle funzionalità specifiche.
Informazioni su Server Manager
È possibile configurare numerose funzionalità di autenticazione utilizzando la funzionalità Criteri di gruppo che può essere installata tramite Server Manager. La funzionalità Windows Biometric Framework viene installata tramite Server Manager. Tramite Server Manager è possibile installare altri ruoli server che dipendono da metodi di autenticazione, ad esempio Server Web (IIS) e Servizi di dominio Active Directory.
Risorse correlate
| Tecnologie di autenticazione | Risorse |
|---|---|
| Autenticazione di Windows | Panoramica tecnica di Autenticazione di Windows Include argomenti che illustrano le differenze tra le versioni, i concetti generali sull'autenticazione, gli scenari di accesso, le architetture per le versioni supportate e le impostazioni applicabili. |
| Kerberos | Panoramica dell'autenticazione Kerberos Panoramica della delega vincolata Kerberos |
| TLS/SSL e DTLS (Security Support Provider Schannel) | Panoramica di TLS - SSL (SSP Schannel) Documentazione tecnica su Security Support Provider Schannel |
| Autenticazione del digest | Riferimento tecnico sull'autenticazione del digest(2003) |
| NTLM | Panoramica NTLM Contiene i collegamenti a risorse recenti e precedenti. |
| PKU2U | Introduzione a PKU2U in Windows |
| Smart card | Informazioni di riferimento tecniche sulle smart card |
| Titolo | Protezione e gestione delle credenziali Contiene i collegamenti a risorse recenti e precedenti. Panoramica delle password |
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per