Configurare radici attendibili e certificati non consentiti in Windows

  • Articolo

Si applica a: Windows Server (tutte le versioni supportate), client Windows, Azure Stack HCI.

Reindirizzare l'URL di aggiornamento automatico Microsoft a un file o a un server Web che ospita elenchi di attendibilità dei certificati (CTL), elenchi di certificati non attendibili o un subset dei file CTL attendibili in un ambiente disconnesso.

Per altre informazioni sul funzionamento del Programma di certificati radice Microsoft per distribuire automaticamente i certificati radice attendibili nei sistemi operativi Windows, vedere Certificati e attendibilità.

Suggerimento

Non è necessario reindirizzare l'URL di aggiornamento automatico Microsoft per gli ambienti in cui i computer possono connettersi direttamente al sito di Windows Update. I computer che possono connettersi al sito di Windows Update sono in grado di ricevere elenchi di controllo degli elenchi di controllo aggiornati su base giornaliera.

Prerequisiti

Prima di poter configurare l'ambiente disconnesso per usare i file CTL ospitati in un file o in un server Web, è necessario completare i prerequisiti seguenti.

Prerequisiti client

  • Almeno un computer in grado di connettersi a Internet per scaricare elenchi di certificati consentiti da Microsoft. Per il computer sono necessari l'accesso HTTP (porta TCP 80) e la capacità della risoluzione dei nomi (porta TCP e UDP 53) di contattare ctldl.windowsupdate.com. Il computer può essere membro di un dominio o di un gruppo di lavoro. Tutti i file scaricati richiedono attualmente circa 1,5 MB di spazio.
  • I computer client devono essere connessi a un dominio del servizio di dominio di Active Directory.
  • Devi essere un membro del gruppo Administrators locale.

Prerequisiti del server

  • File server o server Web per l'hosting dei file CTL.
  • Criteri di gruppo di Active Directory o soluzione MDM per distribuire le impostazioni di configurazione nel client.
  • Un account membro del gruppo Amministratori di dominio o a cui sono state delegate le autorizzazioni necessarie

Metodi di configurazione

Un amministratore può configurare un file o un server Web per scaricare i file seguenti usando il meccanismo di aggiornamento automatico:

  • authrootstl.cab contiene un CTL non Microsoft.

  • disallowedcertstl.cab contiene un elenco di certificati CTL con certificati non attendibili.

  • disallowedcert.sst contiene un archivio certificati serializzato, inclusi i certificati non attendibili.

  • <thumbprint>.crt contiene i certificati radice non Microsoft.

La procedura per eseguire questa configurazione è descritta nella sezione Configure a file or web server to download the CTL files di questo documento.

Esistono diversi metodi per configurare l'ambiente per l'uso di file CTL locali o di un subset di elenchi di scopi consentiti attendibili. Sono disponibili i metodi seguenti.

  • Configurare i computer membri del dominio di Servizi di dominio Active Directory in modo che utilizzino il meccanismo di aggiornamento automatico per gli elenchi di scopi consentiti attendibili e non attendibili senza accedere al sito Windows Update. Questa configurazione è descritta nella sezione Reindirizzare l'URL dell'aggiornamento automatico Microsoft di questo documento.

  • Configurare i computer membri del dominio di Servizi di dominio Active Directory in modo che acconsentano esplicitamente in modo indipendente agli aggiornamenti automatici degli elenchi di scopi consentiti attendibile e non attendibile. Questa configurazione è descritta nella sezione Reindirizzare l'URL dell'aggiornamento automatico Microsoft di questo documento.

  • Esaminare l'insieme di certificati radice nel programma Windows Root Certificate. L'analisi del set di certificati radice consente agli amministratori di selezionare un subset di certificati da distribuire usando un oggetto Criteri di gruppo. Questa configurazione è descritta nella sezione Utilizzare un sottoinsieme degli elenchi di scopi consentiti attendibili di questo documento.

Importante

  • Le impostazioni descritte in questo documento vengono implementate mediante oggetti Criteri di gruppo. Se gli oggetti Criteri di gruppo vengono scollegati o rimossi dal dominio di Servizi di dominio Active Directory, queste impostazioni non vengono rimosse automaticamente. Dopo l'implementazione, queste impostazioni possono essere modificate solo mediante un oggetto Criteri di gruppo o modificando il Registro di sistema dei computer interessati.

  • I concetti illustrati in questo documento sono indipendenti da Windows Server Update Services (WSUS).

Configurare un file o un server Web per scaricare i file dell'elenco di scopi consentiti

Per semplificare la distribuzione di certificati attendibili o non attendibili per un ambiente disconnesso, è innanzitutto necessario configurare un file o un server Web per scaricare i file dell'elenco di scopi consentiti dal meccanismo di aggiornamento automatico.

Recuperare i file CTL da Windows Update

  1. Creare una cartella condivisa in un file server o in un server Web che sia in grado di eseguire la sincronizzazione mediante il meccanismo di aggiornamento automatico e che si desidera utilizzare per archiviare i file dell'elenco di scopi consentiti.

    Suggerimento

    Prima di iniziare, potrebbe essere necessario modificare le autorizzazioni della cartella condivisa e della cartella NTFS per consentire l'accesso dell'account appropriato, specialmente se si sta utilizzando un'attività pianificata con un account di servizio. Per altre informazioni sulla modifica delle autorizzazioni, vedere Gestire le autorizzazioni per le cartelle condivise.

  2. Da un prompt di PowerShell con privilegi elevati eseguire il comando seguente:

    Certutil -syncWithWU \\<server>\<share>

    Sostituire il nome effettivo del server per <server> e il nome della cartella condivisa per <share> Ad esempio per un server denominato Server1 con una cartella condivisa denominata CTL, eseguire il comando:

    Certutil -syncWithWU \\Server1\CTL

  3. Scaricare i file dell'elenco di scopi consentiti in un server a cui i computer di un ambiente disconnesso possano accedere in rete mediante un percorso FILE (ad esempio, FILE://\\Server1\CTL) o un percorso HTTP (ad esempio, http://Server1/CTL).

Nota

  • Se il server che sincronizza gli elenchi di scopi consentiti non è accessibile per i computer dell'ambiente disconnesso, è necessario utilizzare un altro metodo per trasferire le informazioni. Ad esempio, è possibile consentire a uno dei computer membri del dominio di connettersi al server e quindi pianificare un'altra attività nel computer membro del dominio per effettuare il pull delle informazioni in una cartella condivisa di un server Web interno. Se non è disponibile alcuna connessione di rete, potrebbe essere necessario utilizzare un processo manuale per trasferire i file, ad esempio un dispositivo di archiviazione rimovibile.

  • Se si intende utilizzare un server Web, è consigliabile creare una nuova directory virtuale per i file dell'elenco di scopi consentiti. I passaggi necessari per creare una directory virtuale mediante Internet Information Services (IIS) sono quasi gli stessi per tutti i sistemi operativi supportati di cui si parla in questo documento. Per altre informazioni, vedere Creare una directory virtuale (IIS 7).

  • Alcune cartelle di sistema e di applicazione in Windows è applicata una protezione speciale. Ad esempio, poiché per accedere alla cartella inetpub sono necessarie autorizzazioni di accesso, è difficile creare una cartella condivisa da utilizzare durante un'attività pianificata per trasferire file. Un amministratore può creare un percorso di cartella nella radice di un sistema di unità logiche da usare per i trasferimenti di file.

Reindirizzare l'URL dell'aggiornamento automatico Microsoft

I computer nella rete potrebbero essere configurati in un ambiente disconnesso e pertanto non è in grado di usare il meccanismo di aggiornamento automatico o scaricare elenchi di controllo degli elenchi di controllo di accesso. È possibile implementare un oggetto Criteri di gruppo in Servizi di dominio Active Directory per configurare questi computer per ottenere gli aggiornamenti CTL da un percorso alternativo.

Per procedere alla configurazione illustrata in questa sezione, è necessario aver già eseguito i passaggi descritti in Configure a file or web server to download the CTL files.

Per configurare un modello amministrativo personalizzato per un oggetto Criteri di gruppo

  1. In un controller di dominio creare un nuovo modello amministrativo. Aprire un file di testo nel Blocco note e quindi modificare l'estensione del nome file in .adm. Il contenuto del file deve essere il seguente:

    CLASS MACHINE
CATEGORY !!SystemCertificates
    KEYNAME "Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate"
    POLICY !!RootDirURL
       EXPLAIN !!RootDirURL_help
       PART !!RootDirURL EDITTEXT
             VALUENAME "RootDirURL"
       END PART
    END POLICY
END CATEGORY
[strings]
RootDirURL="URL address to be used instead of default ctldl.windowsupdate.com"
RootDirURL_help="Enter a FILE or HTTP URL to use as the download location of the CTL files."
SystemCertificates="Windows AutoUpdate Settings"

  2. Utilizzare un nome descrittivo per salvare il file, ad esempio RootDirURL.adm.

    • Assicurarsi che l'estensione del nome del file sia .adm e non .txt.

    • Se la visualizzazione dell'estensione del nome dei file non è ancora stata abilitata, vedere la procedura per visualizzare le estensioni dei nomi di file

    • Se si salva il file nella cartella %windir%\inf, è più facile individuarlo nei passaggi seguenti.

  3. Aprire Editor Gestione Criteri di gruppo. Selezionare Avvia > Esegui, digitare GPMC.msc, quindi premere INVIO.

    Avviso

    È possibile collegare l'oggetto Criteri di gruppo al dominio oppure a un'unità organizzativa qualsiasi. Le modifiche dell'oggetto Criteri di gruppo implementate in questo documento cambiano le impostazioni del Registro di sistema del computer interessato. Tali impostazioni non possono essere annullate eliminando o scollegando l'oggetto Criteri di gruppo, ma solo invertendole nelle impostazioni dell'oggetto Criteri di gruppo oppure modificando il Registro di sistema mediante un'altra tecnica.

  4. Espandere l'oggetto Foresta, l'oggetto Domini e quindi il dominio specifico che contiene gli account del computer che si desidera modificare. Per modificare un'unità organizzativa specifica, passare al percorso corrispondente.

  5. Fare clic con il pulsante destro del mouse e quindi selezionare Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento per creare un nuovo oggetto Criteri di gruppo.

  6. Nel riquadro di spostamento in Configurazione computerespandere Criteri.

  7. Fare clic con il pulsante destro del mouse su Modelli amministrativi e quindi scegliere Aggiungi/Rimuovi modelli.

  8. In Aggiungi/Rimuovi modelli selezionare Aggiungi.

  9. Nella finestra di dialogo Modelli criteri selezionare il modello .adm con estensione adm salvato in precedenza. Selezionare Apri e quindi Chiudi.

  10. Nel riquadro di spostamento espandere Modelli amministrativie quindi Modelli amministrativi classici (ADM).

  11. Selezionare l'opzione per le impostazioni degli aggiornamenti automatici di Windows e nel riquadro dei dettagli fare doppio clic sull'opzione per specificare l'indirizzo URL da usare al posto di ctldl.windowsupdate.com.

  12. Selezionare Enabled. Nella sezione Opzioni immettere l'URL del file server o del server Web contenente i file dell'elenco di scopi consentiti. Ad esempio, http://server1/CTL o file://\\server1\CTL.

  13. Selezionare OK.

  14. Chiudere Editor Gestione Criteri di gruppo.

Il criterio ha validità immediata, ma i computer client devono essere riavviati per ricevere le nuove impostazioni. In alternativa, è possibile digitare gpupdate /force da un prompt dei comandi con privilegi elevati oppure da Windows PowerShell.

Importante

Poiché gli elenchi di scopi consentiti possono essere aggiornati quotidianamente, è consigliabile tenere i file sincronizzati mediante un'attività pianificata o un altro metodo (ad esempio, uno script che gestisca le condizioni di errore) per aggiornare la cartella condivisa o la directory virtuale Web. Per altre informazioni sulla creazione di un'attività pianificata con PowerShell, vedere New-ScheduledTask. Se si prevede di scrivere uno script per eseguire aggiornamenti giornalieri, vedere le informazioni di riferimento sui comandi di certutil Windows.

Reindirizzare l'URL dell'aggiornamento automatico Microsoft solo per gli elenchi di scopi consentiti non attendibili

In alcune organizzazioni potrebbe essere necessario aggiornare automaticamente solo gli elenchi di scopi consentiti non attendibili e non gli elenchi di scopi consentiti attendibili. Per aggiornare automaticamente solo gli elenchi di scopi consentiti non attendibili, creare due modelli .adm da aggiungere a Criteri di gruppo.

In un ambiente disconnesso è possibile eseguire la procedura seguente insieme alla procedura descritta sopra, ovvero quella per reindirizzare l'URL dell'aggiornamento automatico Microsoft per gli elenchi di scopi consentiti attendibili e non attendibili. Questa procedura illustra come disabilitare selettivamente l'aggiornamento automatico degli elenchi di scopi consentiti attendibili.

Questa procedura può essere inoltre utilizzata in un ambiente connesso in isolamento per disabilitare selettivamente l'aggiornamento automatico degli elenchi di scopi consentiti attendibili.

Per reindirizzare selettivamente solo gli elenchi di scopi consentiti non attendibili

  1. In un controller di dominio creare il primo nuovo modello amministrativo iniziando da un file di testo e quindi sostituendo l'estensione del nome di file con .adm. Il contenuto del file deve essere il seguente:

    CLASS MACHINE
CATEGORY !!SystemCertificates
    KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"
    POLICY !!DisableRootAutoUpdate
       EXPLAIN !!Certificates_config
       VALUENAME "DisableRootAutoUpdate"
       VALUEON NUMERIC 0
          VALUEOFF NUMERIC 1

    END POLICY
END CATEGORY
[strings]
DisableRootAutoUpdate="Auto Root Update"
Certificates_config="By default automatic updating of the trusted CTL is enabled. To disable the automatic updating trusted CTLe, select Disabled."
SystemCertificates="Windows AutoUpdate Settings"

  2. Utilizzare un nome descrittivo per salvare il file, ad esempio DisableAllowedCTLUpdate.adm.

  3. Creare un secondo nuovo modello amministrativo. Il contenuto del file deve essere il seguente:

    CLASS MACHINE
CATEGORY !!SystemCertificates
    KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"
    POLICY !!EnableDisallowedCertAutoUpdate
       EXPLAIN !!Certificates_config
       VALUENAME "EnableDisallowedCertAutoUpdate"
       VALUEON NUMERIC 1
          VALUEOFF NUMERIC 0

    END POLICY
END CATEGORY
[strings]
EnableDisallowedCertAutoUpdate="Untrusted CTL Automatic Update"
Certificates_config="By default untrusted CTL automatic update is enabled. To disable trusted CTL update, select Disabled."
SystemCertificates="Windows AutoUpdate Settings"

  4. Utilizzare un nome descrittivo per salvare il file, ad esempio EnableUntrustedCTLUpdate.adm.

    • Assicurarsi che l'estensione dei nomi di questi file sia .adm e non .txt.

    • Se si salva il file nella cartella %windir%\inf, è più facile individuarlo nei passaggi seguenti.

  5. Aprire Editor Gestione Criteri di gruppo.

  6. Espandere l'oggetto Foresta, l'oggetto Domini e quindi il dominio specifico che contiene gli account del computer che si desidera modificare. Per modificare un'unità organizzativa specifica, passare al percorso corrispondente.

  7. Nel riquadro di spostamento in Configurazione computerespandere Criteri.

  8. Fare clic con il pulsante destro del mouse su Modelli amministrativi e quindi scegliere Aggiungi/Rimuovi modelli.

  9. In Aggiungi/Rimuovi modelli selezionare Aggiungi.

  10. Nella finestra di dialogo Modelli criteri selezionare il modello .adm con estensione adm salvato in precedenza. Selezionare Apri e quindi Chiudi.

  11. Nel riquadro di spostamento espandere Modelli amministrativi, quindi Modelli amministrativi classici (ADM).

  12. Selezionare l'opzione per le impostazioni degli aggiornamenti automatici di Windows, quindi nel riquadro dei dettagli fare doppio clic su Aggiornamento radice automatico.

  13. Selezionare Disabilitata, quindi OK.

  14. Nel riquadro dei dettagli fare doppio clic su Aggiornamento automatico a scopi consentiti non attendibili, quindi selezionare Abilitato e Ok.

Il criterio ha validità immediata, ma i computer client devono essere riavviati per ricevere le nuove impostazioni. In alternativa, è possibile digitare gpupdate /force da un prompt dei comandi con privilegi elevati oppure da Windows PowerShell.

Importante

Poiché gli elenchi di scopi consentiti attendibili e non attendibili possono essere aggiornati quotidianamente, è consigliabile tenere i file sincronizzati mediante un'attività pianificata o un altro metodo per aggiornare la cartella condivisa o la directory virtuale.

Utilizzare un sottoinsieme degli elenchi di scopi consentiti attendibili

In questa sezione viene illustrato come creare, verificare e filtrare gli elenchi di scopi consentiti attendibili che si desidera vengano utilizzati dai computer della propria organizzazione. Per utilizzare questa soluzione, è necessario implementare gli oggetti Criteri di gruppo descritti nelle procedure precedenti. Questa soluzione è disponibile sia per gli ambienti disconnessi che per gli ambienti connessi.

Per personalizzare gli elenchi di scopi consentiti attendibili, esistono due procedure.

  1. Creare un sottoinsieme di certificati attendibili

  2. Distribuire i certificati attendibili mediante Criteri di gruppo

Per creare un sottoinsieme di certificati attendibili

Ecco come generare file SST usando il meccanismo di aggiornamento automatico di Windows da Windows. Per altre informazioni sulla generazione di file SST, vedere le informazioni di riferimento sui comandi di Certutil Windows.

  1. Da un computer connesso a Internet aprire Windows PowerShell come amministratore oppure aprire un prompt dei comandi con privilegi elevati e digitare il comando seguente:

    Certutil -generateSSTFromWU WURoots.sst

  2. Eseguire il comando seguente in Esplora risorse per aprire WURoots.sst:

    start explorer.exe wuroots.sst

    Suggerimento

    In alternativa, è possibile utilizzare Internet Explorer per individuare il file e quindi aprirlo mediante doppio clic. In base alla posizione in cui è stato archiviato il file, potrebbe essere possibile aprirlo anche digitando wuroots.sst.

  3. Aprire Gestione certificati.

  4. Espandere il percorso del file in Certificati - Utente corrente fino a visualizzare Certificati, quindi selezionare Certificati.

  5. Nel riquadro dei dettagli sono presenti i certificati attendibili. Tenere premuto il tasto CTRL e selezionare ogni certificato che si desidera consentire. Al termine della selezione dei certificati, fare clic con il pulsante destro del mouse su uno dei certificati selezionati, selezionare Tutte le attività e quindi su Esporta.

    • Per esportare il tipo di file .sst, è necessario selezionare almeno due certificati. Se si seleziona un solo certificato, il tipo di file .sst non è disponibile e viene selezionato il tipo di file .cer.

  6. Nell'Esportazione guidata certificati selezionare Avanti.

  7. Nella pagina Formato file di esportazione fare clic su Archivio certificati serializzati Microsoft (.SST) e quindi su Avanti.

  8. Nella pagina File da esportare immettere un percorso di file e un nome appropriato per il file, ad esempio C:\AllowedCerts.sst, quindi selezionare Avanti.

  9. Selezionare Fine. Quando viene visualizzata la notifica che indica che l'esportazione è stata eseguita correttamente, selezionare OK.

  10. Copiare il file .sst creato in un controller di dominio.

Per distribuire l'elenco di certificati attendibili mediante Criteri di gruppo

  1. Nel controller di dominio in cui è presente il file .sst personalizzato aprire Editor Gestione Criteri di gruppo.

  2. Espandere Foresta, Domini e l'oggetto di dominio specifico che si desidera modificare. Fare clic con il pulsante destro del mouse su Criterio dominio predefinito quindi scegliere Modifica.

  3. Nel riquadro di spostamento in Configurazione computerespandere Criteri, Impostazioni di Windows, Impostazioni sicurezza, quindi Criteri chiave pubblica.

  4. Fare clic con il pulsante destro del mouse su Autorità di certificazione radice attendibili, quindi scegliere Importa.

  5. Nell'Importazione guidata certificati selezionare Avanti.

  6. Immettere il nome e il percorso del file copiato nel controller di dominio oppure utilizzare il pulsante Sfoglia per individuare il file. Selezionare Avanti.

  7. Confermare che si desidera posizionare questi certificati nell'archivio Autorità di certificazione radice attendibili selezionando Avanti. Fare clic su Fine. Quando viene visualizzata la notifica che indica che l'importazione dei certificati è stata eseguita correttamente, selezionare OK.

  8. Chiudere Editor Gestione Criteri di gruppo.

Il criterio ha validità immediata, ma i computer client devono essere riavviati per ricevere le nuove impostazioni. In alternativa, è possibile digitare gpupdate /force da un prompt dei comandi con privilegi elevati oppure da Windows PowerShell.

Impostazioni del Registro di sistema modificate

Le impostazioni descritte in questo documento consentono di configurare le chiavi del Registro di sistema seguenti nei computer client. Se gli oggetti Criteri di gruppo vengono scollegati o rimossi dal dominio, queste impostazioni non vengono rimosse automaticamente. Se si desidera modificarle, è necessario riconfigurarle.

  • Abilitare o disabilitare l'aggiornamento automatico di Windows dello scopo consentito attendibile:

    • Chiave: HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate
    • Tipo: REG_DWORD
    • Nome: DisableRootAutoUpdate
    • Dati: 0 per abilitare o 1 per disabilitare.
    • Impostazione predefinita: per impostazione predefinita non è presente alcuna chiave. Senza una chiave presente, il valore predefinito è abilitato.

  • Abilitare o disabilitare l'aggiornamento automatico di Windows dello scopo consentito non attendibile:

    • Chiave: SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot
    • Tipo: REG_DWORD
    • Nome: EnableDisallowedCertAutoUpdate
    • Dati: 1 per abilitare o 0 per disabilitare.
    • Impostazione predefinita: per impostazione predefinita non è presente alcuna chiave. Senza una chiave presente, il valore predefinito è abilitato.

  • Impostare il percorso del file dello scopo consentito condiviso (HTTP o il percorso FILE):

    • Chiave: HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrl
    • Tipo: REG_SZ
    • Nome: RootDirUrl
    • Dati: immettere un URI di file o HTTP valido.
    • Impostazione predefinita: per impostazione predefinita non è presente alcuna chiave. Senza una chiave presente, il comportamento predefinito usa Windows Update.

Verificare elenchi di controllo di accesso attendibili e non attendibili

Potrebbe essere necessario per vari motivi verificare tutti gli elenchi di controllo di accesso consentiti attendibili e non attendibili da un computer client. Le opzioni Certutil seguenti possono essere usate per verificare tutti gli elenchi di controllo di accesso consentiti attendibili e non attendibili da un computer client.

certutil -verifyCTL AuthRoot
certutil -verifyCTL Disallowed

Verifica dell'ora dell'ultima sincronizzazione

Per controllare l'ora di sincronizzazione più recente nel computer locale per gli elenchi di scopi consentiti attendibili o non attendibili, eseguire il comando Certutil seguente:

certutil -verifyctl AuthRoot | findstr /i "lastsynctime"
certutil -verifyctl Disallowed | findstr /i "lastsynctime"