Condividi tramite


Panoramica di Autenticazione di Windows

 

Si applica a: Windows 8.1, Windows Server 2012 R2, Windows Server 2012

Questo argomento, destinato ai professionisti IT, include l'elenco delle risorse della documentazione relative alle tecnologie di autenticazione e accesso di Windows che includono la valutazione del prodotto, le guide introduttive, le procedure, le guide alla progettazione e alla distribuzione, i riferimenti tecnici e i riferimenti per i comandi.

Descrizione delle funzionalità

L'autenticazione è un processo che consente di verificare l'identità di un oggetto, di un servizio o di una persona. Quando si autentica un oggetto, lo scopo è verificare che tale oggetto sia autentico. Quando si autentica un servizio o una persona, l'obiettivo è quello di verificare che le credenziali presentate siano autentiche.

In un contesto di rete, l'autorizzazione consiste nel dimostrare l'identità a un'applicazione o risorsa di rete. In genere, l'identità viene dimostrata tramite un'operazione di crittografia che usa una chiave nota solo all'utente, come nella crittografia a chiave pubblica, oppure una chiave condivisa. Il lato server dello scambio di autenticazione confronta i dati firmati con una chiave crittografica nota per convalidare il tentativo di autenticazione.

L'archiviazione delle chiavi crittografiche in una posizione centralizzata sicura rende l'autenticazione un processo scalabile e gestibile. Servizi di dominio Active Directory è la tecnologia consigliata e predefinita per l'archiviazione delle informazioni relative all'identità, incluse le chiavi crittografiche che rappresentano le credenziali dell'utente. Active Directory è necessario per le implementazioni NTLM e Kerberos predefinite.

Le tecniche di autenticazione variano dal semplice accesso, che identifica l'utente in base a informazioni note solo all'utente, ad esempio una password, fino a meccanismi di sicurezza più potenti che utilizzano informazioni possedute dall'utente, ad esempio token, certificati di chiave pubblica e dati biometrici. In un ambiente aziendale, i servizi o gli utenti possono accedere a più applicazioni o risorse su molti tipi di server nell'ambito di un solo percorso o di più percorsi. Per tali motivi, l'autenticazione deve supportare ambienti per altre piattaforme e per altri sistemi operativi Windows.

Nel sistema operativo Windows è implementato un insieme predefinito di protocolli di autenticazione, tra cui Kerberos, NTLM, Transport Layer Security/Secure Sockets Layer (TLS/SSL) e Digest, come parte di un'architettura estensibile. Alcuni protocolli sono inoltre combinati in pacchetti di autenticazione, ad esempio Negotiate e CredSSP (Credential Security Support Provider). Questi protocolli e pacchetti consentono l'autenticazione di utenti, computer e servizi. Il processo di autenticazione, a sua volta, consente agli utenti e ai servizi autorizzati di accedere alle risorse in modo sicuro.

Per altre informazioni sull'autenticazione di Windows, tra cui

vedere Panoramica tecnica di autenticazione di Windows.

Applicazioni pratiche

L'autenticazione di Windows viene utilizzata per verificare che le informazioni provengano da un'origine attendibile, indipendentemente che si tratti di una persona o di un oggetto computer, ad esempio un altro computer. In Windows sono disponibili diversi metodi per raggiungere questo obiettivo, come descritto di seguito.

Per...

Funzionalità

Descrizione

Autenticazione nell'ambito di un dominio di Active Directory

Kerberos

I sistemi operativi Microsoft Windows Server implementano il protocollo e le estensioni Kerberos versione 5 per l'autenticazione con chiave pubblica. Il client di autenticazione Kerberos viene implementato come SSP (Security Support Provider) ed è accessibile tramite SSPI (Security Support Provider Interface). L'autenticazione iniziale degli utenti è integrata con l'architettura Single Sign-On di Winlogon. Il Centro distribuzione chiavi (KDC) di Kerberos è integrato con altri servizi di sicurezza di Windows Server eseguiti nel controller di dominio. Il KDC utilizza il database del servizio directory Active Directory del dominio come database degli account di sicurezza. Active Directory è necessario per le implementazioni Kerberos predefinite.

Per altre risorse, vedere Panoramica dell'autenticazione Kerberos.

Autenticazione sicura sul Web

TLS/SSL come implementato nel provider di supporto Sicurezza Schannel.

Il protocollo TLS (Transport Layer Security) nelle versioni 1.0, 1.1 e 1.2, il protocollo SSL (Secure Sockets Layer) nelle versioni 2.0 e 3.0, il protocollo DTLS (Datagram Transport Layer Security) nella versione 1.0 e il protocollo PCT (Private Communications Transport) nella versione 1.0 sono basati sulla crittografia a chiave pubblica. La suite di protocolli di autenticazione del provider Secure Channel (Schannel) fornisce tali protocolli. Tutti i protocolli Schannel utilizzano un modello client e server.

Per altre risorse, vedere Panoramica di TLS/SSL (SSP Schannel).

Autenticazione in un servizio Web o un'applicazione

Autenticazione integrata di Windows

Autenticazione del digest

Per altre risorse, vedere gli argomenti su autenticazione integrata di Windows, autenticazione del digest e autenticazione avanzata del digest.

Autenticazione in applicazioni legacy

NTLM

NTLM è un protocollo di autenticazione basato su una richiesta di verifica e la relativa risposta. Oltre all'autenticazione, il protocollo NTLM gestisce la sicurezza della sessione, in particolare in relazione all'integrità e la riservatezza dei messaggi tramite le funzioni di firma e sigillo in NTLM.

Per altre risorse, vedere Panoramica di NTLM.

Utilizzare l'autenticazione a più fattori

Supporto di smart card

Supporto biometria

Le smart card rappresentano supporti portatili e resistenti alle manomissioni che consentono di offrire soluzioni di sicurezza per attività come l'autenticazione client, l'accesso ai domini, la firma di codice e la protezione della posta elettronica.

La biometria si basa sulla misurazione di una caratteristica fisica non mutevole di una persona per identificarla in modo univoco. Le impronte digitali sono una delle caratteristiche biometriche utilizzate con maggiore frequenza, con milioni di dispositivi di biometria delle impronte digitali incorporati in personal computer e periferiche.

Per altre risorse, vedere Panoramica delle smart card e Panoramica di Windows Biometric Framework [W8].

Consentire il riutilizzo, l'archiviazione e la gestione locale delle credenziali

Gestione di credenziali

Autorità di sicurezza locale

Password

La gestione delle credenziali in Windows assicura che le credenziali vengano archiviate in tutta sicurezza. Le credenziali vengono raccolte sul desktop sicuro, per l'accesso locale o di dominio, attraverso app o siti Web in modo che ogni volta che si accede a una risorsa vengano presentate le credenziali corrette.

Per altre risorse, vedere Panoramica tecnica delle credenziali memorizzate nella cache e archiviate e Panoramica delle password.

Estendere la protezione per l'autenticazione moderna ai sistemi legacy

Protezione estesa per l'autenticazione

Questa funzionalità consente di ottimizzare la protezione e la gestione delle credenziali durante l'autenticazione di connessioni di rete mediante Autenticazione integrata di Windows.

Per altre risorse, vedere Protezione estesa per l'autenticazione.

Requisiti software

Autenticazione di Windows è compatibile con le versioni precedenti del sistema operativo Windows. Tuttavia, alcuni miglioramenti introdotti in ogni release non sono necessariamente applicabili alle versioni precedenti. Per altre informazioni, fare riferimento alla documentazione relativa alle funzionalità specifiche.

Informazioni su Server Manager

È possibile configurare numerose funzionalità di autenticazione utilizzando la funzionalità Criteri di gruppo che può essere installata tramite Server Manager. La funzionalità Windows Biometric Framework viene installata tramite Server Manager. Tramite Server Manager è possibile installare altri ruoli server che dipendono da metodi di autenticazione, ad esempio Server Web (IIS) e Servizi di dominio Active Directory.

Risorse correlate

Tecnologie di autenticazione

Risorse

Autenticazione di Windows

Panoramica tecnica di autenticazione di Windows
Include argomenti che illustrano le differenze tra le versioni, i concetti generali sull'autenticazione, gli scenari di accesso, le architetture per le versioni supportate e le impostazioni applicabili.

Kerberos

Panoramica dell'autenticazione Kerberos

Panoramica della delega vincolata Kerberos

Panoramica sull'autenticazione Kerberos(2003)

Guida di sopravvivenza per Kerberos (Wiki TechNet)

TLS/SSL e DTLS (Security Support Provider Schannel)

Panoramica di TLS/SSL (SSP Schannel)

Riferimento tecnico Provider supporto sicurezza Schannel

Autenticazione del digest

Riferimento tecnico sull'autenticazione del digest(2003)

NTLM

Panoramica di NTLM
Contiene i collegamenti a risorse recenti e precedenti.

PKU2U

Introduzione a PKU2U in Windows

Smart card

Panoramica delle smart card

Windows Smart Card Technical Reference

Smart card virtuale

Panoramica delle smart card virtuali

Comprensione e valutazione delle smart card

Biometria

Panoramica di Windows Biometric Framework [W8]Panoramica di Windows Biometric Framework [W8]

Credenziali

Gestione e protezione delle credenziali
Contiene i collegamenti a risorse recenti e precedenti.

Panoramica delle password
Contiene i collegamenti a risorse recenti e precedenti.