Protezione delle identità di Windows
Altre informazioni sulle tecnologie di protezione delle identità in Windows.
Warning
Windows Hello for Business e le chiavi di sicurezza FIDO2 sono metodi moderni di autenticazione a due fattori per Windows. I clienti che usano smart card virtuali sono invitati a passare a Windows Hello for Business o FIDO2. Per le nuove installazioni di Windows, è consigliabile Windows Hello for Business o le chiavi di sicurezza FIDO2.
Accesso senza password
Nome della funzionalità | Descrizione |
---|---|
Windows Hello for Business | Windows 11 dispositivi possono proteggere le identità utente rimuovendo la necessità di usare le password dal primo giorno. È facile iniziare a usare il metodo appropriato per l'organizzazione. Potrebbe essere necessario usare una password solo una volta durante il processo di provisioning, dopo di che gli utenti usano un PIN, un viso o un'impronta digitale per sbloccare le credenziali e accedere al dispositivo. Windows Hello for Business sostituisce il nome utente e la password combinando una chiave di sicurezza o un certificato con un PIN o dati biometrici e quindi eseguendo il mapping delle credenziali a un account utente durante l'installazione. Esistono diversi modi per distribuire Windows Hello for Business, a seconda delle esigenze dell'organizzazione. Le organizzazioni che si basano sui certificati usano in genere l'infrastruttura a chiave pubblica (PKI) locale per supportare l'autenticazione tramite attendibilità dei certificati. Le organizzazioni che usano la distribuzione di trust chiave richiedono la radice dell'attendibilità fornita dai certificati nei controller di dominio. |
Rilevamento della presenza di Windows | Il rilevamento della presenza di Windows offre un altro livello di protezione della sicurezza dei dati per i lavoratori ibridi. Windows 11 dispositivi possono adattarsi in modo intelligente alla tua presenza per aiutarti a rimanere sicuro e produttivo, sia che lavori a casa, in ufficio o in un ambiente pubblico. Il rilevamento della presenza di Windows combina i sensori di rilevamento della presenza con Windows Hello riconoscimento facciale per bloccare automaticamente il dispositivo quando si esce, quindi sbloccare il dispositivo e accedere usando Windows Hello riconoscimento facciale al ritorno. Richiede hardware di supporto OEM. |
accesso con sicurezza avanzata (ESS) Windows Hello for Business | Windows Hello la biometria supporta anche una maggiore sicurezza di accesso, che usa componenti hardware e software specializzati per aumentare ulteriormente la barra di sicurezza per l'accesso biometrico. La biometria di sicurezza di accesso avanzata usa VBS e TPM per isolare i processi e i dati di autenticazione utente e proteggere il percorso con cui vengono comunicate le informazioni. Questi componenti specializzati proteggono da una classe di attacchi che includono l'iniezione di campioni biometrici, la riproduzione, la manomissione e altro ancora. Ad esempio, i lettori di impronte digitali devono implementare Secure Device Connection Protocol, che usa la negoziazione delle chiavi e un certificato emesso da Microsoft per proteggere e archiviare in modo sicuro i dati di autenticazione utente. Per il riconoscimento facciale, componenti come la tabella Secure Devices (SDEV) e l'isolamento dei processi con trustlet consentono di evitare altre classi di attacchi. |
Esperienza senza password di Windows | L'esperienza senza password di Windows è un criterio di sicurezza che mira a creare un'esperienza più intuitiva per Microsoft Entra dispositivi aggiunti eliminando la necessità di password in determinati scenari di autenticazione. Abilitando questo criterio, agli utenti non verrà data la possibilità di usare una password in questi scenari, che consente alle organizzazioni di passare dalle password nel tempo. |
Passkey | Le passkey offrono un metodo più sicuro e pratico per accedere a siti Web e applicazioni rispetto alle password. A differenza delle password, che gli utenti devono ricordare e digitare, le passkey vengono archiviate come segreti in un dispositivo e possono usare il meccanismo di sblocco di un dispositivo (ad esempio la biometria o un PIN). Le passkey possono essere usate senza la necessità di altre sfide di accesso, rendendo il processo di autenticazione più veloce, sicuro e più pratico. |
Chiave di sicurezza FIDO2 | Le specifiche CTAP e WebAuthN definite da Fast Identity Online (FIDO) stanno diventando lo standard aperto per fornire un'autenticazione avanzata non facile da usare, intuitiva e rispettosa della privacy con le implementazioni dei principali provider di piattaforme e relying party. Gli standard e le certificazioni FIDO vengono riconosciuti come standard leader per la creazione di soluzioni di autenticazione sicure in aziende, governi e mercati consumer. Windows 11 può usare chiavi di sicurezza FIDO2 esterne per l'autenticazione insieme o oltre a Windows Hello che è anche una soluzione senza password certificata FIDO2. Windows 11 può essere usato come autenticatore FIDO per molti servizi di gestione delle identità più diffusi. |
Smart card per il servizio Windows | Le organizzazioni hanno anche la possibilità di usare le smart card, un metodo di autenticazione che pre-data l'accesso biometrico. Le smart card sono dispositivi di archiviazione portatili e resistenti alle manomissioni che possono migliorare la sicurezza di Windows durante l'autenticazione dei client, la firma del codice, la protezione della posta elettronica e l'accesso con gli account di dominio Windows. Le smart card possono essere usate solo per accedere agli account di dominio, non agli account locali. Quando si usa una password per accedere a un account di dominio, Windows usa il protocollo Kerberos versione 5 (v5) per l'autenticazione. Se si usa una smart card, il sistema operativo usa l'autenticazione Kerberos v5 con certificati X.509 v3. |
Protezione avanzata delle credenziali
Nome della funzionalità | Descrizione |
---|---|
Accesso Web | L'accesso Web è un provider di credenziali inizialmente introdotto in Windows 10 con il supporto solo per il pass di accesso temporaneo (TAP). Con il rilascio di Windows 11, gli scenari e le funzionalità supportate dell'accesso Web sono stati espansi. Ad esempio, gli utenti possono accedere a Windows usando l'app Microsoft Authenticator o con un'identità federata. |
Accesso federato | Windows 11 Education edizioni supportano l'accesso federato con provider di identità non Microsoft. L'accesso federato consente l'accesso sicuro tramite metodi come codici a matrice o immagini. |
Windows LAPS | Windows Local Administrator Password Solution (Windows LAPS) è una funzionalità di Windows che gestisce e esegue automaticamente il backup della password di un account amministratore locale nei dispositivi Microsoft Entra aggiunti o aggiunti Windows Server Active Directory. È anche possibile usare Windows LAPS per gestire ed eseguire automaticamente il backup della password dell'account della modalità ripristino servizi directory (DSRM) nei controller di dominio Windows Server Active Directory. Un amministratore autorizzato può recuperare la password DSRM e usarla. |
Criteri di blocco dell'account | Le impostazioni dei criteri di blocco dell'account controllano la soglia di risposta per i tentativi di accesso non riusciti e le azioni da eseguire dopo il raggiungimento della soglia. |
Protezione avanzata dal phishing con SmartScreen | Gli utenti che usano ancora le password possono trarre vantaggio da una protezione avanzata delle credenziali. Microsoft Defender SmartScreen include una protezione avanzata dal phishing per rilevare automaticamente quando un utente immette la password Microsoft in qualsiasi app o sito Web. Windows identifica quindi se l'app o il sito esegue l'autenticazione sicura con Microsoft e avvisa se le credenziali sono a rischio. Poiché gli utenti vengono avvisati al momento del potenziale furto di credenziali, possono intraprendere un'azione preventiva prima che la password venga usata contro di loro o la loro organizzazione. |
Controllo di accesso (ACL/SACL) | Il controllo di accesso in Windows garantisce che le risorse condivise siano disponibili per utenti e gruppi diversi dal proprietario della risorsa e siano protette da un uso non autorizzato. Gli amministratori IT possono gestire l'accesso di utenti, gruppi e computer a oggetti e asset in una rete o in un computer. Dopo l'autenticazione di un utente, il sistema operativo Windows implementa la seconda fase di protezione delle risorse usando le tecnologie predefinite di autorizzazione e controllo di accesso per determinare se un utente autenticato dispone delle autorizzazioni corrette. Controllo di accesso Elenchi (ACL) descrivono le autorizzazioni per un oggetto specifico e possono contenere anche system Controllo di accesso Elenchi (SACL). Le SCL consentono di controllare eventi specifici a livello di sistema, ad esempio quando un utente tenta di accedere agli oggetti del file system. Questi eventi sono essenziali per tenere traccia dell'attività per gli oggetti sensibili o preziosi e che richiedono un monitoraggio aggiuntivo. La possibilità di controllare quando una risorsa tenta di leggere o scrivere parte del sistema operativo è fondamentale per comprendere un potenziale attacco. |
Credential Guard | Abilitato per impostazione predefinita in Windows 11 Enterprise, Credential Guard usa la sicurezza basata su hardware e basata su virtualizzazione (VBS) per proteggersi dal furto di credenziali. Con Credential Guard, l'autorità di sicurezza locale archivia e protegge i segreti in un ambiente isolato non accessibile al resto del sistema operativo. Per comunicare con il processo LSA isolato, l'autorità di protezione locale usa RPC (Remote Procedure Call). Proteggendo il processo LSA con la sicurezza basata su virtualizzazione, Credential Guard protegge i sistemi dalle tecniche di attacco di furto delle credenziali, ad esempio pass-the-hash o pass-the-ticket. Consente inoltre di impedire al malware di accedere ai segreti di sistema anche se il processo è in esecuzione con privilegi di amministratore. |
Remote Credential Guard | Remote Credential Guard consente di proteggere le credenziali tramite una connessione Desktop remoto reindirizzando le richieste Kerberos al dispositivo che richiede la connessione. Offre anche esperienze di accesso Single Sign-On per le sessioni di Desktop remoto. Le credenziali di amministratore hanno privilegi elevati e devono essere protette. Quando si usa Remote Credential Guard per connettersi durante le sessioni di Desktop remoto, le credenziali e i derivati delle credenziali non vengono mai passati attraverso la rete al dispositivo di destinazione. Se il dispositivo di destinazione è compromesso, le credenziali non vengono esposte. |