Condividi tramite


Concetti su Autenticazione di Windows

Questo argomento di panoramica di riferimento descrive i concetti su cui si basa autenticazione di Windows.

L'autenticazione è un processo che consente di verificare l'identità di un oggetto o di una persona. Quando si autentica un oggetto, lo scopo è verificare che tale oggetto sia autentico. Quando si autentica una persona, lo scopo è verificare che non sia un impostore.

In un contesto di rete, l'autorizzazione consiste nel dimostrare l'identità a un'applicazione o risorsa di rete. In genere, l'identità viene dimostrata tramite un'operazione di crittografia che usa una chiave nota solo all'utente (come nella crittografia a chiave pubblica) oppure una chiave condivisa. Il lato server dello scambio di autenticazione confronta i dati firmati con una chiave crittografica nota per convalidare il tentativo di autenticazione.

L'archiviazione delle chiavi crittografiche in una posizione centralizzata sicura rende l'autenticazione un processo scalabile e gestibile. Active Directory è la tecnologia consigliata e predefinita per l'archiviazione delle informazioni relative all'identità, che include le chiavi crittografiche che rappresentano le credenziali dell'utente. Active Directory è necessario per le implementazioni NTLM e Kerberos predefinite.

Le tecniche di autenticazione variano da un semplice accesso a un sistema operativo o a un'applicazione o a un servizio, che identifica gli utenti in base a qualcosa che solo l'utente conosce, ad esempio una password, a meccanismi di sicurezza più potenti che usano qualcosa che l'utente ha come token, certificati di chiave pubblica, immagini o attributi biologici. In un ambiente aziendale, gli utenti possono accedere a più applicazioni su numerosi tipi di server nell'ambito di un solo percorso o su più percorsi. Per tali motivi, l'autenticazione deve supportare ambienti per altre piattaforme e per altri sistemi operativi Windows.

Autenticazione e autorizzazione: analogia del viaggio

L'analogia del viaggio può aiutare a spiegare il funzionamento dell'autenticazione. Di solito, sono necessarie alcune attività preliminari per iniziare il viaggio. Il viaggiatore deve dimostrare la sua vera identità alle autorità ospitanti. Questa prova può essere sotto forma di prova di cittadinanza, luogo di nascita, un voucher personale, fotografie o qualsiasi cosa sia richiesta dalla legge del Paese ospitante. L'identità del viaggiatore viene convalidata dal rilascio di un passaporto, che è analogo a un account di sistema emesso e amministrato da un'organizzazione, ovvero l'entità di sicurezza. Il passaporto e la destinazione prevista si basano su una serie di regole e regolamenti emessi dall'autorità governativa.

Il viaggio

Quando il viaggiatore arriva al confine internazionale, una guardia di confine gli chiede le credenziali e il viaggiatore presenta il passaporto. Si tratta di un duplice processo:

  • La guardia autentica il passaporto verificando che sia stato emesso da un'autorità di sicurezza che il governo locale considera attendibile (almeno per rilasciare passaporti) e che non sia stato modificato.

  • La guardia autentica il viaggiatore verificando che il viso corrisponda al volto della persona raffigurata sul passaporto e che altre credenziali necessarie siano in ordine.

Se il passaporto dimostra di essere valido e il viaggiatore dimostra di essere il suo proprietario, l'autenticazione ha esito positivo e il viaggiatore può essere autorizzato a passare il confine.

La fiducia transitiva tra le autorità di sicurezza è la base dell'autenticazione; il tipo di autenticazione che avviene in un confine internazionale si basa sull'attendibilità. Il governo locale non conosce il viaggiatore, ma si fida del fatto che il governo ospitante lo conosca. Quando il governo ospitante ha emesso il passaporto, non conosceva il viaggiatore. Ha ritenuto attendibile l'agenzia che ha emesso il certificato di nascita o altra documentazione. L'agenzia che ha rilasciato il certificato di nascita, a sua volta, ha reputato attendibile il medico che ha firmato il certificato. Il medico ha assistito alla nascita del viaggiatore e ha stampato il certificato con prova diretta dell'identità, in questo caso, con impronta del neonato. La fiducia che viene trasferita in questo modo, attraverso intermediari attendibili, è transitiva.

L'attendibilità transitiva è la base per la sicurezza di rete nell'architettura client/server di Windows. Una relazione di trust scorre in un set di domini, ad esempio un albero di dominio, e forma una relazione tra un dominio e tutti i domini che considerano attendibile tale dominio. Ad esempio, se il dominio A ha un trust transitivo con dominio B e se il dominio B considera attendibile il dominio C, il dominio A considera attendibile il dominio C.

Vi è differenza tra autenticazione e autorizzazione. Con l'autenticazione, il sistema dimostra che sei chi dici di essere. Con l'autorizzazione, il sistema verifica di disporre dei diritti necessari per eseguire le operazioni da eseguire. Per proseguire con l'analogia del passaggio di confine, assicurarsi che il viaggiatore è il proprietario di un passaporto valido non autorizza necessariamente il viaggiatore a entrare in un determinato Paese. I residenti di un determinato Paese possono entrare in un altro Paese semplicemente presentando un passaporto solo nelle situazioni in cui il Paese in cui si entra concede l'autorizzazione illimitata a entrare a tutti i cittadini di quel particolare Paese.

Analogamente, è possibile concedere a tutti gli utenti di un determinato dominio le autorizzazioni per accedere a una risorsa. Qualsiasi utente che appartiene a tale dominio ha accesso alla risorsa, proprio come il Canada consente di entrare ai cittadini degli Stati Uniti. Tuttavia, i cittadini statunitensi che tentano di entrare in Brasile o in India si renderanno conto che non è possibile entrare in quei Paesi semplicemente presentando un passaporto perché quei Paesi richiedono ai cittadini statunitensi in visita di avere un visto valido. Pertanto, l'autenticazione non garantisce l'accesso alle risorse o all'autorizzazione per l'uso delle risorse.

Credenziali

Attenzione

Quando un utente esegue un accesso locale, le credenziali vengono verificate localmente rispetto a una copia memorizzata nella cache prima di essere autenticate con un provider di identità in rete. Se la verifica della cache ha esito positivo, l'utente ottiene l'accesso al desktop anche se il dispositivo è offline. Tuttavia, se l'utente modifica la password nel cloud, la verifica nella cache non viene aggiornata, il che significa che potrà ancora accedere al computer locale usando la vecchia password.

Un passaporto o i visti associati sono le credenziali accettate di un viaggiatore. Tuttavia, queste credenziali potrebbero non consentire a un viaggiatore di immettere o accedere a tutte le risorse all'interno di un Paese. Ad esempio, sono necessarie credenziali aggiuntive per partecipare a una conferenza. In Windows, le credenziali possono essere gestite per consentire ai titolari di account di accedere alle risorse in rete senza dover specificare ripetutamente le credenziali. Questo tipo di accesso consente agli utenti di essere autenticati una tantum dal sistema per accedere a tutte le applicazioni e alle origini dati che sono autorizzati a usare senza dover immettere un altro identificatore di account o password. La piattaforma Windows capitalizza la possibilità di usare una singola identità utente (gestita da Active Directory) nella rete memorizzando nella cache locale le credenziali utente nell'autorità di sicurezza locale del sistema operativo. Quando un utente accede al dominio, i pacchetti di autenticazione Windows usano in modo trasparente le credenziali per fornire l'accesso Single Sign-On durante l'autenticazione delle credenziali per le risorse di rete. Per maggiori informazioni sulle credenziali, consultare la sezione Processi di credenziali nell'autenticazione di Windows.

Una forma di autenticazione a più fattori per il viaggiatore potrebbe essere il requisito di portare e presentare più documenti per autenticare la propria identità, ad esempio, un passaporto e informazioni di registrazione conferenze. Windows implementa questo modulo o autenticazione tramite smart card, smart card virtuali e tecnologie biometriche.

Entità di sicurezza e account

In Windows, qualsiasi utente, servizio, gruppo o computer che può avviare un'azione è un'entità di sicurezza. Le entità di sicurezza dispongono di account, che possono essere locali di un computer o basate su dominio. Ad esempio, i computer client Windows aggiunti a un dominio possono partecipare a un dominio di rete comunicando con un controller di dominio, anche quando nessun utente umano ha eseguito l'accesso. Per avviare le comunicazioni, il computer deve avere un account attivo nel dominio. Prima di accettare comunicazioni dal computer, l'autorità di sicurezza locale nel controller di dominio autentica l'identità del computer e quindi definisce il contesto di sicurezza del computer come farebbe per l'entità di sicurezza di un utente umano. Questo contesto di sicurezza definisce l'identità e le capacità di un utente o di un servizio in un computer specifico oppure di un utente, un servizio, un gruppo o un computer in una rete. Definisce, ad esempio, le risorse, come una condivisione file o una stampante, a cui è possibile accedere e le azioni, come lettura, scrittura o modifica, che possono essere eseguite da un utente, un servizio o un computer sulla risorsa. Per maggiori informazioni, consultare la sezione Entità di sicurezza.

Un account è un mezzo per identificare un richiedente, ovvero l'utente umano o il servizio che richiede l'accesso o le risorse. Il viaggiatore che possiede il passaporto autentico possiede un account con il Paese ospitante. Gli utenti, i gruppi di utenti, oggetti e servizi possono avere tutti singoli account o condividere account. Gli account possono essere membri di gruppi e possono essere assegnati diritti e autorizzazioni specifici. Gli account possono essere limitati al computer locale, al gruppo di lavoro, alla rete o all'appartenenza a un dominio.

Gli account predefiniti e i gruppi di sicurezza, di cui sono membri, vengono definiti in ogni versione di Windows. Usando i gruppi di sicurezza, è possibile assegnare le stesse autorizzazioni di sicurezza a molti utenti autenticati correttamente, semplificando l'amministrazione dell'accesso. Le regole per il rilascio dei passaporti potrebbero richiedere che il viaggiatore venga assegnato a determinati gruppi, ad esempio affari, turisti o enti pubblici. Questo processo garantisce autorizzazioni di sicurezza coerenti per tutti i membri di un gruppo. Usando i gruppi di sicurezza per assegnare le autorizzazioni, il controllo di accesso delle risorse rimane costante e facile da gestire e controllare. Aggiungendo e rimuovendo gli utenti che richiedono l'accesso dai gruppi di sicurezza appropriati in base alle esigenze, è possibile ridurre al minimo la frequenza delle modifiche apportate agli elenchi di controllo di accesso (ACL).

Gli account del servizio gestiti autonomi e gli account virtuali sono stati introdotti in Windows Server 2008 R2 e Windows 7 per fornire alle applicazioni necessarie, ad esempio Microsoft Exchange Server e Internet Information Services (IIS), l'isolamento dei propri account di dominio, eliminando al contempo la necessità per un amministratore di amministrare manualmente il nome dell'entità servizio (SPN) e le credenziali per questi account. Gli account del servizio gestiti di gruppo sono stati introdotti in Windows Server 2012 e presenta le stesse funzionalità all'interno del dominio ma estende tali funzionalità su più server. Durante la connessione a un servizio ospitato in una server farm, ad esempio Bilanciamento carico di rete, i protocolli di autenticazione che supportano l'autenticazione reciproca richiedono che tutte le istanze dei servizi utilizzino la stessa entità.

Per maggiori informazioni sugli account, vedere:

Autenticazione delegata

Per utilizzare l'analogia del viaggio, i Paesi potrebbero concedere lo stesso accesso a tutti i membri di una delegazione governativa ufficiale, purché i delegati siano ben noti. Questa delega consente a un membro di agire sull'autorità di un altro membro. In Windows, l'autenticazione delegata si verifica quando un servizio di rete accetta una richiesta di autenticazione da un utente e presuppone l'identità di tale utente per avviare una nuova connessione a un secondo servizio di rete. Per supportare l'autenticazione delegata, è necessario stabilire server front-end o di primo livello, ad esempio server Web, responsabili della gestione delle richieste di autenticazione client e dei server back-end o a più livelli, ad esempio database di grandi dimensioni, responsabili dell'archiviazione delle informazioni. È possibile delegare il diritto di configurare l'autenticazione delegata agli utenti dell'organizzazione per ridurre il carico amministrativo sugli amministratori.

Stabilendo un servizio o un computer come attendibile per la delega, è possibile consentire al servizio o al computer di completare l'autenticazione delegata, ricevere un ticket per l'utente che effettua la richiesta e quindi accedere alle informazioni per tale utente. Questo modello limita l'accesso ai dati nei server back-end solo per gli utenti o i servizi che presentano le credenziali con i token di controllo di accesso corretti. Consente inoltre di controllare l'accesso di tali risorse back-end. Richiedendo l'accesso a tutti i dati tramite credenziali delegate al server per conto del client, assicurarsi che il server non possa essere compromesso e che sia possibile accedere alle informazioni riservate archiviate in altri server. L'autenticazione delegata è utile per le applicazioni a più livelli progettate per l'uso delle funzionalità di Single Sign-On in più computer.

Autenticazione nelle relazioni di trust tra domini

La maggior parte delle organizzazioni che hanno più di un dominio ha una necessità legittima per gli utenti di accedere alle risorse condivise che si trovano in un dominio diverso, proprio come il viaggiatore è autorizzato a viaggiare in aree diverse nel paese. Il controllo di questo accesso richiede che gli utenti in un dominio possano anche essere autenticati e autorizzati a usare le risorse in un altro dominio. Per fornire funzionalità di autenticazione e autorizzazione tra client e server in domini diversi, deve esistere un trust tra i due domini. I trust sono la tecnologia sottostante con cui si verificano comunicazioni Active Directory protette e sono un componente di sicurezza integrale dell'architettura di rete di Windows Server.

Quando esiste un trust tra due domini, i meccanismi di autenticazione per ogni dominio considerano attendibili le autenticazioni provenienti dall'altro dominio. I trust consentono l'accesso controllato alle risorse condivise in un dominio di risorse (il dominio trusting) verificando che le richieste di autenticazione in ingresso provengano da un'autorità attendibile (il dominio attendibile). In questo modo, i trust fungono da ponti che consentono solo alle richieste di autenticazione convalidate di spostarsi tra i domini.

Il modo in cui un determinato trust supera le richieste di autenticazione dipende dalla relativa configurazione. Le relazioni di trust possono essere unidirezionale, fornendo l'accesso dal dominio attendibile alle risorse nel dominio attendibile o bidirezionale, fornendo l'accesso da ogni dominio alle risorse nell'altro dominio. I trust sono anche non transitivi, nel qual caso, esiste una relazione di trust solo tra i due domini partner di trust o transitiva, nel qual caso il trust si estende automaticamente a qualsiasi altro dominio che uno dei partner considera attendibili.

Per informazioni sul funzionamento di un trust, consultare la sezione Funzionamento dei trust tra domini e foreste.

Conversione del protocollo

La conversione del protocollo consente alle applicazioni di supportare meccanismi di autenticazione diversi a livello di autenticazione utente e passando al protocollo Kerberos per le funzionalità di sicurezza, ad esempio l'autenticazione reciproca e la delega vincolata, nei livelli di applicazione successivi.

Per maggiori informazioni sulla conversione del protocollo, consultare la sezione Transizione del protocollo Kerberos e delega vincolata.

Delega vincolata

La delega vincolata offre agli amministratori di servizi la possibilità di specificare e applicare limiti di trust per le applicazioni, limitando l'ambito di azione dei servizi applicativi per conto di un utente. È possibile stabilire servizi specifici da cui un computer attendibile per la delega può richiedere risorse. La flessibilità di vincolare i diritti di autorizzazione per i servizi consente di migliorare la progettazione della sicurezza delle applicazioni riducendo le opportunità di compromissione da parte di servizi non attendibili.

Per maggiori informazioni sulla delega vincolata, consultare la sezione Cenni preliminari sulla delega vincolata Kerberos.

Riferimenti aggiuntivi

Panoramica tecnica dell'accesso e dell'autenticazione di Windows