Autenticazione di utenti finali MED-V
Aggiornamento: novembre 2013
Si applica a: Microsoft Enterprise Desktop Virtualization 2.0
L'autenticazione degli utenti finali Microsoft Enterprise Desktop Virtualization (MED-V) 2.0 costituisce un problema di sicurezza molto importante. In questo contesto, con il termine autenticazione si intende la verifica dell'identità dell'utente finale di MED-V.
Nella sezione seguente vengono fornite informazioni e istruzioni sull'autenticazione degli utenti finali in MED-V.
Autenticazione utente in MED-V
L'autenticazione in MED-V avviene in genere a due livelli: quando un utente accede per prima volta a MED-V e ogni volta che cambia la password.
In base alla configurazione delle impostazioni di MED-V per l'autenticazione, a un certo punto all'utente finale viene in genere chiesto di immettere la password, al primo avvio di MED-V o al primo tentativo di aprire un'applicazione pubblicata.
È possibile controllare diversi aspetti dell'autenticazione degli utenti finali, inclusi i seguenti:
Se le credenziali immesse dall'utente finale devono essere archiviate in Gestione credenziali
In quale modo all'utente finale viene data la possibilità di immettere e salvare la password
In base al processo preferito dalla società per gestire l'autenticazione degli utenti finali, è possibile specificare se per una particolare Area di lavoro MED-V le credenziali devono essere memorizzate nella cache. La memorizzazione nella cache delle credenziali di un utente finale è utile perché in questo modo la password viene richiesta solo una volta. Se all'utente finale non è consentito salvare la password o se l'utente finale decide di non farlo, la password dovrà essere immessa nuovamente a ogni avvio di una nuova sessione di MED-V. Se, ad esempio, MED-V è configurato per l'avvio quando l'utente finale accede all'host, ma l'autenticazione è disabilitata, la password viene richiesta all'utente finale una sola volta durante l'accesso. In questo caso, le credenziali sono valide fino a quando l'utente finale si disconnette dall'host.
Se necessario, è possibile utilizzare Gestione credenziali per rimuovere le eventuali credenziali dell'utente finale archiviate.
Per impostazione predefinita, l'archiviazione delle credenziali è disabilitata, ma è possibile modificare questa impostazione tramite uno dei metodi seguenti:
Durante la creazione del pacchetto Area di lavoro MED-V. Per ulteriori informazioni, vedere Creazione di un pacchetto area di lavoro MED-V.
Dopo la distribuzione dell'Area di lavoro MED-V. Modificare il parametro cmdlet di MED-V UxCredentialCacheEnabled per impostare la chiave del Registro di sistema di Servizi terminal. Per ulteriori informazioni, vedere la Guida di Windows PowerShell.
Dopo la distribuzione dell'Area di lavoro MED-V, è possibile impostare la preferenza per l'autenticazione degli utenti finali modificando il criterio di Servizi terminal denominato DisablePasswordSaving. DisablePasswordSaving controlla se nella finestra di dialogo del client RDP deve venire visualizzata la casella di controllo per il salvataggio della password e se deve venire visualizzata la richiesta di credenziali di MED-V.
Di seguito è riportato il percorso del criterio di Servizi terminal denominato DisablePasswordSaving.
Regedit:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Virtual Machine\Policies\DisablePasswordSaving
Nota
Le modifiche apportate a DisablePasswordSaving hanno effetto solo sulla richiesta RDP a una macchina virtuale.
Nella tabella seguente sono elencati i diversi modi in cui è possibile configurare le impostazioni per l'archiviazione delle credenziali e gli effetti delle diverse configurazioni:
| Valore | Configurazione | Risultato | ||
|---|---|---|---|---|
DisablePasswordSaving |
Disattivato |
Viene visualizzata la richiesta di MED-V ed è disponibile una casella di controllo deselezionata per l'accettazione. Se l'utente finale seleziona la casella di controllo, le credenziali vengono memorizzate nella cache per un utilizzo successivo. L'utente finale ha inoltre il vantaggio di dover specificare la password solo alla scadenza. |
||
Se l'utente finale non seleziona la casella di controllo, invece della richiesta di MED-V viene presentata quella del client Connessione Desktop remoto e la casella di controllo per l'accettazione è deselezionata. Se l'utente finale seleziona la casella di controllo, le credenziali del client Connessione Desktop remoto vengono archiviate per un utilizzo successivo. Importante Connessione Desktop remoto non convalida le credenziali quando l'utente finale le immette. Se l'utente finale memorizza nella cache le credenziali tramite la richiesta di Connessione Desktop remoto, esiste il rischio che possano venire archiviate credenziali non corrette. In questo caso, le credenziali non corrette devono essere eliminate in Gestione credenziali di Windows. |
||||
DisablePasswordSaving |
Attivato |
|
.gif "note")
NotaPer impostazione predefinita, durante l'installazione di MED-V viene impostata una chiave del Registro di sistema nel guest per eliminare la richiesta relativa alla scadenza della password. All'utente finale viene richiesto solo di modificare la password nell'host. Le credenziale aggiornate nell'host vengono passate al guest.
Avviso
Se nell'ambiente in uso si utilizza Criteri di gruppo, tenere presente che è possibile che la chiave del Registro di sistema venga sostituita e che vengano nuovamente visualizzate le richieste di password dal guest.
Problemi di sicurezza con l'autenticazione
Anche se la memorizzazione nella cache delle credenziali dell'utente finale assicura un'esperienza utente ottimale, è necessario essere consapevoli dei rischi che può comportare.
Quando la memorizzazione nella cache delle credenziali è abilitata, le credenziali di dominio dell'utente finale vengono memorizzate in un formato reversibile in Gestione credenziali di Windows. Come risultato, l'autore di un attacco potrebbe creare uno strumento per l'esecuzione di un processo a livello di sistema o di un processo utente finale e per il recupero delle credenziali dell'utente finale. È possibile ridurre questo rischio solo impostando DisablePasswordSaving su Attivato.
Il medesimo problema si presenta quando l'autenticazione di MED-V è disabilitata, ma è abilitata l'impostazione dei criteri di Servizi terminal.
Vedere anche
Concetti
Procedure consigliate relative alla sicurezza per operazioni MED-V
Le informazioni sono state utili? Inviare suggerimenti e commenti sulla documentazione relativa a MED-V a medvdocs@microsoft.com.