Condividi tramite


Impostazioni di Criteri di gruppo e del Registro di sistema per le smart card

Questo articolo per professionisti IT e sviluppatori di smart card descrive le impostazioni di Criteri di gruppo, le impostazioni della chiave del Registro di sistema, le impostazioni dei criteri di sicurezza locali e le impostazioni dei criteri di delega delle credenziali disponibili per la configurazione delle smart card.

Le sezioni e le tabelle seguenti elencano le impostazioni di Criteri di gruppo relative alle smart card e le chiavi del Registro di sistema che possono essere impostate in base al computer. Se si usano oggetti Criteri di gruppo di dominio, è possibile modificare e applicare le impostazioni di Criteri di gruppo ai computer locali o di dominio.

Impostazioni di Criteri di gruppo principali per le smart card

Le impostazioni di Criteri di gruppo della smart card seguenti si trovano in Configurazione computer\Modelli amministrativi\Componenti di Windows\Smart Card.

Le chiavi del Registro di sistema si trovano nei percorsi seguenti:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ScPnP\EnableScPnP
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CertProp

Nota

Le informazioni del Registro di sistema del lettore di smart card si trova inHKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Calais\Readers.
Le informazioni del Registro di sistema delle smart card si trova inHKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Calais\SmartCards.

Nella tabella seguente sono elencati i valori predefiniti per queste impostazioni dell'oggetto Criteri di gruppo. Le varianti sono documentate nelle descrizioni dei criteri in questo articolo.

Tipo di server o oggetto Criteri di gruppo Valore predefinito
Criteri di dominio predefiniti Non configurato
Criterio controller di dominio predefinito Non configurato
Impostazioni predefinite del server autonomo Non configurato
Impostazioni predefinite valide per il controller di dominio Disabilitato
Impostazioni predefinite valide per il server membro Disabilitato
Impostazioni predefinite valide per il computer client Disabilitato

Consenti certificati senza attributo di certificato di utilizzo della chiave estesa

È possibile usare questa impostazione di criterio per consentire ai certificati senza un EKU (Extended Key Usage) impostato per l'accesso.

Nota

L'attributo del certificato di utilizzo della chiave estesa è noto anche come utilizzo della chiave estesa.

Nelle versioni di Windows precedenti a Windows Vista, i certificati delle smart card usati per accedere richiedono un'estensione EKU con un identificatore dell'oggetto di accesso della smart card. Questa impostazione di criterio può essere usata per modificare tale restrizione.

Quando questa impostazione di criterio è attivata, è anche possibile usare i certificati con gli attributi seguenti per accedere con una smart card:

  • Certificati senza EKU
  • Certificati con EKU per tutti gli scopi
  • Certificati con un EKU di autenticazione client

Quando questa impostazione di criterio non è attivata, è possibile usare solo i certificati che contengono l'identificatore dell'oggetto di accesso della smart card per accedere con una smart card.

Elemento Descrizione
Chiave del Registro di sistema AllowCertificatesWithNoEKU
Valori predefiniti Nessuna modifica per ogni versione del sistema operativo
Disabilitati e non configurati sono equivalenti
Gestione dei criteri Requisito di riavvio: Nessuno
Requisito di disconnessione: Nessuno
Conflitti di criteri: Nessuno

Consenti l'uso di certificati ECC per l'accesso e l'autenticazione

È possibile usare questa impostazione di criterio per controllare se è possibile usare i certificati ecc (Elliptic Curve Cryptography) in una smart card per accedere a un dominio.

Quando questa impostazione è attivata, è possibile usare i certificati ECC in una smart card per accedere a un dominio.

Quando questa impostazione non è attivata, i certificati ECC in una smart card non possono essere usati per accedere a un dominio.

Elemento Descrizione
Chiave del Registro di sistema EnumerateECCCerts
Valori predefiniti Nessuna modifica per ogni versione del sistema operativo
Disabilitati e non configurati sono equivalenti
Gestione dei criteri Requisito di riavvio: Nessuno
Requisito di disconnessione: Nessuno
Conflitti di criteri: Nessuno
Note e risorse Questa impostazione di criterio influisce solo sulla capacità di un utente di accedere a un dominio. I certificati ECC in una smart card usata per altre applicazioni, ad esempio la firma di documenti, non sono interessati da questa impostazione di criterio.
Se si usa una chiave ECDSA per accedere, è necessario avere anche una chiave ECDH associata per consentire l'accesso quando non si è connessi alla rete.

Consenti la visualizzazione della schermata Di sblocco integrato al momento dell'accesso

È possibile usare questa impostazione di criterio per determinare se la funzionalità di sblocco integrata è disponibile nell'interfaccia utente di accesso. La funzionalità è stata introdotta come funzionalità standard nel provider di supporto per la sicurezza delle credenziali in Windows Vista.

Quando questa impostazione è attivata, è disponibile la funzionalità di sblocco integrata.

Quando questa impostazione non è attivata, la funzionalità non è disponibile.

Elemento Descrizione
Chiave del Registro di sistema AllowIntegratedUnblock
Valori predefiniti Nessuna modifica per ogni versione del sistema operativo
Disabilitati e non configurati sono equivalenti
Gestione dei criteri Requisito di riavvio: Nessuno
Requisito di disconnessione: Nessuno
Conflitti di criteri: Nessuno
Note e risorse Per usare la funzionalità di sblocco integrata, la smart card deve supportarla. Rivolgersi al produttore dell'hardware per verificare che la smart card supporti questa funzionalità.
È possibile creare un messaggio personalizzato visualizzato dall'utente quando la smart card viene bloccata configurando l'impostazione del criterio Visualizza stringa quando la smart card è bloccata.

Consenti chiavi di firma valide per l'accesso

È possibile usare questa impostazione di criterio per consentire l'enumerazione dei certificati basati su chiave di firma e la disponibilità per l'accesso.

Quando questa impostazione è attivata, tutti i certificati disponibili nella smart card con una chiave di sola firma vengono elencati nella schermata di accesso.

Quando questa impostazione non è attivata, i certificati disponibili nella smart card con una chiave di sola firma non sono elencati nella schermata di accesso.

Elemento Descrizione
Chiave del Registro di sistema AllowSignatureOnlyKeys
Valori predefiniti Nessuna modifica per ogni versione del sistema operativo
Disabilitati e non configurati sono equivalenti
Gestione dei criteri Requisito di riavvio: Nessuno
Requisito di disconnessione: Nessuno
Conflitti di criteri: Nessuno

Tempo consentito per certificati non validi

È possibile usare questa impostazione di criterio per consentire la visualizzazione dei certificati scaduti o non ancora validi per l'accesso.

Nota

Prima di Windows Vista, i certificati dovevano contenere un'ora valida e non scadere. Affinché un certificato venga usato, deve essere accettato dal controller di dominio. Questa impostazione di criterio controlla solo i certificati visualizzati nel computer client.

Quando questa impostazione è attivata, i certificati vengono elencati nella schermata di accesso, indipendentemente dal fatto che abbiano un'ora non valida o che la validità dell'ora sia scaduta.

Quando questa impostazione di criterio non è attivata, i certificati scaduti o non ancora validi non sono elencati nella schermata di accesso.

Elemento Descrizione
Chiave del Registro di sistema AllowTimeInvalidCertificates
Valori predefiniti Nessuna modifica per ogni versione del sistema operativo
Disabilitati e non configurati sono equivalenti
Gestione dei criteri Requisito di riavvio: Nessuno
Requisito di disconnessione: Nessuno
Conflitti di criteri: Nessuno

Consenti hint per il nome utente

È possibile usare questa impostazione di criterio per determinare se un campo facoltativo viene visualizzato durante l'accesso e fornisce un processo di elevazione successivo in cui gli utenti possono immettere il nome utente o il nome utente e il dominio, che associa un certificato all'utente.

Quando questa impostazione di criterio è attivata, gli utenti visualizzano un campo facoltativo in cui possono immettere il nome utente, il nome utente e il dominio.

Quando questa impostazione di criterio non è attivata, gli utenti non visualizzano questo campo facoltativo.

Elemento Descrizione
Chiave del Registro di sistema X509HintsNeeded
Valori predefiniti Nessuna modifica per ogni versione del sistema operativo
Disabilitati e non configurati sono equivalenti
Gestione dei criteri Requisito di riavvio: Nessuno
Requisito di disconnessione: Nessuno
Conflitti di criteri: Nessuno

Configurare la pulizia del certificato radice

È possibile usare questa impostazione di criterio per gestire il comportamento di pulizia dei certificati radice. I certificati vengono verificati usando una catena di trust e l'ancoraggio di trust per il certificato digitale è l'Autorità di certificazione radice (CA). Una CA può emettere più certificati con il certificato radice come certificato principale della struttura ad albero. Una chiave privata viene usata per firmare altri certificati. In questo modo viene creata un'affidabilità ereditata per tutti i certificati immediatamente sotto il certificato radice.

Quando questa impostazione di criterio è attivata, è possibile impostare le opzioni di pulizia seguenti:

  • Nessuna pulizia. Quando l'utente si disconnette o rimuove la smart card, i certificati radice usati durante la sessione vengono mantenuti nel computer.
  • Pulire i certificati durante la rimozione delle smart card. Quando la smart card viene rimossa, i certificati radice vengono rimossi.
  • Pulire i certificati alla disconnessione. Quando l'utente si disconnette da Windows, i certificati radice vengono rimossi.

Quando questa impostazione di criterio non è attivata, i certificati radice vengono rimossi automaticamente quando l'utente si disconnette da Windows.

Elemento Descrizione
Chiave del Registro di sistema RootCertificateCleanupOption
Valori predefiniti Nessuna modifica per ogni versione del sistema operativo
Disabilitati e non configurati sono equivalenti
Gestione dei criteri Requisito di riavvio: Nessuno
Requisito di disconnessione: Nessuno
Conflitti di criteri: Nessuno

Visualizzare la stringa quando la smart card è bloccata

È possibile usare questa impostazione di criterio per modificare il messaggio predefinito visualizzato da un utente se la smart card è bloccata.

Quando questa impostazione di criterio è attivata, è possibile creare e gestire il messaggio visualizzato visualizzato dall'utente quando una smart card è bloccata.

Quando questa impostazione di criterio non è attivata e la funzionalità di sblocco integrata è abilitata, l'utente visualizza il messaggio predefinito del sistema quando la smart card è bloccata.

Elemento Descrizione
Chiave del Registro di sistema IntegratedUnblockPromptString
Valori predefiniti Nessuna modifica per ogni versione del sistema operativo
Disabilitati e non configurati sono equivalenti
Gestione dei criteri Requisito di riavvio: Nessuno
Requisito di disconnessione: Nessuno
Conflitti di criteri: questa impostazione dei criteri è valida solo quando è abilitata la schermata Consenti lo sblocco integrato al momento dell'accesso .

Filtrare i certificati di accesso duplicati

È possibile usare questa impostazione di criterio per configurare quali certificati di accesso validi vengono visualizzati.

Nota

Durante il periodo di rinnovo del certificato, la smart card di un utente può avere più certificati di accesso validi emessi dallo stesso modello di certificato, il che può causare confusione sul certificato da selezionare. Questo comportamento può verificarsi quando un certificato viene rinnovato e il certificato precedente non è ancora scaduto.

Se due certificati vengono rilasciati dallo stesso modello con la stessa versione principale e sono per lo stesso utente (questo è determinato dal loro UPN), vengono determinati come uguali.

Quando questa impostazione di criterio è attivata, si verifica un filtro in modo che l'utente possa selezionare solo i certificati validi più correnti.

Se questa impostazione di criterio non è attivata, tutti i certificati vengono visualizzati all'utente.

Questa impostazione di criterio viene applicata al computer dopo l'applicazione dell'impostazione dei criteri Consenti certificati non validi .

Elemento Descrizione
Chiave del Registro di sistema FilterDuplicateCerts
Valori predefiniti Nessuna modifica per ogni versione del sistema operativo
Disabilitati e non configurati sono equivalenti
Gestione dei criteri Requisito di riavvio: Nessuno
Requisito di disconnessione: Nessuno
Conflitti di criteri: Nessuno
Note e risorse Se in una smart card sono presenti due o più certificati e questa impostazione di criterio è abilitata, viene visualizzato il certificato con l'ora di scadenza più distante.

Forzare la lettura di tutti i certificati dalla smart card

È possibile usare questa impostazione di criterio per gestire il modo in cui Windows legge tutti i certificati dalla smart card per l'accesso. Durante l'accesso, Windows legge solo il certificato predefinito dalla smart card a meno che non supporti il recupero di tutti i certificati in una singola chiamata. Questa impostazione di criterio impone a Windows di leggere tutti i certificati dalla smart card.

Quando questa impostazione di criterio è attivata, Windows tenta di leggere tutti i certificati dalla smart card, indipendentemente dal set di funzionalità CSP.

Quando questo criterio non è attivato, Windows tenta di leggere solo il certificato predefinito dalle smart card che non supportano il recupero di tutti i certificati in una singola chiamata. I certificati diversi da quelli predefiniti non sono disponibili per l'accesso.

Elemento Descrizione
Chiave del Registro di sistema ForceReadingAllCertificates
Valori predefiniti Nessuna modifica per ogni versione del sistema operativo
Disabilitati e non configurati sono equivalenti
Gestione dei criteri Requisito di riavvio: Nessuno
Requisito di disconnessione: Nessuno
Conflitti di criteri: Nessuno

Importante: l'abilitazione di questa impostazione di criterio può influire negativamente sulle prestazioni durante il processo di accesso in determinate situazioni.
Note e risorse Contattare il fornitore della smart card per determinare se la smart card e il CSP associato supportano il comportamento richiesto.

Notificare all'utente l'installazione corretta del driver smart card

È possibile usare questa impostazione di criterio per controllare se l'utente visualizza un messaggio di conferma quando viene installato un driver di dispositivo smart card.

Quando questa impostazione di criterio è attivata, l'utente visualizza un messaggio di conferma quando viene installato un driver di dispositivo smart card.

Quando questa impostazione non è attivata, l'utente non visualizza un messaggio di installazione del driver del dispositivo smart card.

-- --
Chiave del Registro di sistema ScPnPNotification
Valori predefiniti Nessuna modifica per ogni versione del sistema operativo
Disabilitati e non configurati sono equivalenti
Gestione dei criteri Requisito di riavvio: Nessuno
Requisito di disconnessione: Nessuno
Conflitti di criteri: Nessuno
Note e risorse Questa impostazione di criterio si applica solo ai driver delle smart card che hanno superato il processo di test di Windows Hardware Quality Labs (WHQL).

Impedire che i PIN in testo non crittografato vengano restituiti da Gestione credenziali

È possibile usare questa impostazione di criterio per impedire a Gestione credenziali di restituire PIN in testo non crittografato.

Nota

Gestione credenziali è controllato dall'utente nel computer locale e archivia le credenziali da browser e applicazioni Windows supportati. Le credenziali vengono salvate in cartelle crittografate speciali nel computer sotto il profilo dell'utente.

Quando questa impostazione di criterio è attivata, Gestione credenziali non restituisce un PIN non crittografato.

Quando questa impostazione non è attivata, Gestione credenziali può restituire PIN in testo non crittografato.

Elemento Descrizione
Chiave del Registro di sistema DisallowPlaintextPin
Valori predefiniti Nessuna modifica per ogni versione del sistema operativo
Disabilitati e non configurati sono equivalenti
Gestione dei criteri Requisito di riavvio: Nessuno
Requisito di disconnessione: Nessuno
Conflitti di criteri: Nessuno
Note e risorse Se questa impostazione di criterio è abilitata, alcune smart card potrebbero non funzionare nei computer che eseguono Windows. Consultare il produttore della smart card per determinare se questa impostazione di criterio deve essere abilitata.

Invertire il nome del soggetto archiviato in un certificato durante la visualizzazione

È possibile usare questa impostazione di criterio per controllare il modo in cui viene visualizzato il nome del soggetto durante l'accesso.

Nota

Per consentire agli utenti di distinguere un certificato da un altro, il nome dell'entità utente (UPN) e il nome comune vengono visualizzati per impostazione predefinita. Ad esempio, quando questa impostazione è abilitata, se l'oggetto del certificato è CN=User1, OU=Users, DN=example, DN=com e l'UPN è user1@example.com, User1 viene visualizzato con user1@example.com. Se l'UPN non è presente, viene visualizzato l'intero nome del soggetto. Questa impostazione controlla l'aspetto del nome del soggetto e potrebbe essere necessario modificarlo per l'organizzazione.

Quando questa impostazione di criterio è attivata, il nome del soggetto durante l'accesso viene invertito rispetto al modo in cui è archiviato nel certificato.

Quando questa impostazione di criterio non è attivata, il nome del soggetto viene visualizzato come archiviato nel certificato.

Elemento Descrizione
Chiave del Registro di sistema ReverseSubject
Valori predefiniti Nessuna modifica per ogni versione del sistema operativo
Disabilitati e non configurati sono equivalenti
Gestione dei criteri Requisito di riavvio: Nessuno
Requisito di disconnessione: Nessuno
Conflitti di criteri: Nessuno

Attivare la propagazione del certificato dalla smart card

È possibile usare questa impostazione di criterio per gestire la propagazione del certificato che si verifica quando viene inserita una smart card.

Nota

Il servizio di propagazione dei certificati si applica quando un utente connesso inserisce una smart card in un lettore collegato al computer. Questa azione fa sì che il certificato venga letto dalla smart card. I certificati vengono quindi aggiunti all'archivio personale dell'utente.

Quando questa impostazione di criterio è attivata, la propagazione del certificato si verifica quando l'utente inserisce la smart card.

Quando questa impostazione di criterio è disattivata, la propagazione dei certificati non viene eseguita e i certificati non sono disponibili per le applicazioni, ad esempio Outlook.

Elemento Descrizione
Chiave del Registro di sistema CertPropEnabled
Valori predefiniti Nessuna modifica per ogni versione del sistema operativo
Abilitati e non configurati sono equivalenti
Gestione dei criteri Requisito di riavvio: Nessuno
Requisito di disconnessione: Nessuno
Conflitti di criteri: questa impostazione di criterio deve essere abilitata per consentire il funzionamento dell'impostazione Attiva propagazione del certificato radice dalla smart card quando è abilitata.

Attivare la propagazione del certificato radice dalla smart card

È possibile usare questa impostazione di criterio per gestire la propagazione del certificato radice che si verifica quando viene inserita una smart card.

Nota

Il servizio di propagazione dei certificati si applica quando un utente connesso inserisce una smart card in un lettore collegato al computer. Questa azione fa sì che il certificato venga letto dalla smart card. I certificati vengono quindi aggiunti all'archivio personale dell'utente.

Quando questa impostazione di criterio è attivata, la propagazione del certificato radice si verifica quando l'utente inserisce la smart card.

Quando questa impostazione di criterio non è attivata, la propagazione del certificato radice non si verifica quando l'utente inserisce la smart card.

Elemento Descrizione
Chiave del Registro di sistema EnableRootCertificate Propagation
Valori predefiniti Nessuna modifica per ogni versione del sistema operativo
Abilitati e non configurati sono equivalenti
Gestione dei criteri Requisito di riavvio: Nessuno
Requisito di disconnessione: Nessuno
Conflitti di criteri: per il corretto funzionamento di questa impostazione di criterio, è necessario abilitare anche l'impostazione attiva propagazione del certificato da smart card .
Note e risorse

Attivare il servizio Plug and Play smart card

È possibile usare questa impostazione di criterio per controllare se è abilitata la Plug and Play smart card.

Nota

Gli utenti possono usare smart card di fornitori che hanno pubblicato i driver tramite Windows Update senza bisogno di middleware speciale. Questi driver verranno scaricati nello stesso modo dei driver per altri dispositivi in Windows. Se non è disponibile un driver appropriato da Windows Update, per queste schede viene usato un mini driver conforme a PIV incluso in una delle versioni supportate di Windows.

Quando questa impostazione di criterio è attivata, il sistema tenta di installare un driver di dispositivo smart card la prima volta che una smart card viene inserita in un lettore di smart card.

Quando questa impostazione di criterio non è attivata, un driver di dispositivo non viene installato quando una smart card viene inserita in un lettore di smart card.

Elemento Descrizione
Chiave del Registro di sistema EnableScPnP
Valori predefiniti Nessuna modifica per ogni versione del sistema operativo
Abilitati e non configurati sono equivalenti
Gestione dei criteri Requisito di riavvio: Nessuno
Requisito di disconnessione: Nessuno
Conflitti di criteri: Nessuno
Note e risorse Questa impostazione di criterio si applica solo ai driver delle smart card che hanno superato il processo di test di Windows Hardware Quality Labs (WHQL).

Chiavi del Registro di sistema CSP e Smart Card KSP di base

Le chiavi del Registro di sistema seguenti possono essere configurate per il provider del servizio di crittografia di base (CSP) e il provider di archiviazione chiavi smart card (KSP). Le tabelle seguenti elencano le chiavi. Tutte le chiavi usano il tipo DWORD.

Le chiavi del Registro di sistema per il provider di servizi di configurazione di base si trovano nel Registro di sistema in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Base Smart Card Crypto Provider.

Le chiavi del Registro di sistema per il provider di servizi di configurazione smart card sono in HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Cryptography\Providers\Microsoft Smart Card Key Storage Provider.

Chiavi del Registro di sistema per il provider di servizi di configurazione di base e il provider KSP smart card

Chiave del Registro di sistema Descrizione
AllowPrivateExchangeKeyImport Un valore diverso da zero consente l'importazione di chiavi private di scambio RSA (ad esempio crittografia) per l'uso in scenari di archiviazione delle chiavi.
Valore predefinito: 00000000
AllowPrivateSignatureKeyImport Un valore diverso da zero consente di importare chiavi private della firma RSA per l'uso in scenari di archiviazione delle chiavi.
Valore predefinito: 00000000
DefaultPrivateKeyLenBits Definisce la lunghezza predefinita per le chiavi private, se necessario.
Valore predefinito: 00000400
Parametro di generazione della chiave predefinito: chiavi a 1024 bit
RequireOnCardPrivateKeyGen Questa chiave imposta il flag che richiede la generazione di chiavi private su scheda (impostazione predefinita). Se questo valore è impostato, una chiave generata in un host può essere importata nella smart card. Viene usato per le smart card che non supportano la generazione di chiavi su scheda o in cui è necessario il deposito della chiave.
Valore predefinito: 00000000
TransactionTimeoutMilliseconds I valori di timeout predefiniti consentono di specificare se le transazioni che richiedono un periodo di tempo eccessivo avranno esito negativo.
Valore predefinito: 000005dc
Il timeout predefinito per la memorizzazione delle transazioni nella smart card è di 1,5 secondi.

Chiavi del Registro di sistema aggiuntive per il provider di servizi di configurazione smart card:

Chiave del Registro di sistema Descrizione
AllowPrivateECDHEKeyImport Questo valore consente di importare chiavi private Ephemeral Elliptic Curve Diffie-Hellman (ECDHE) per l'uso in scenari di archiviazione delle chiavi.
Valore predefinito: 00000000
AllowPrivateECDSAKeyImport Questo valore consente di importare chiavi private ECDSA (Elliptic Curve Digital Signature Algorithm) per l'uso in scenari di archiviazione delle chiavi.
Valore predefinito: 00000000

Controllo CRL delle chiavi del Registro di sistema

Nella tabella seguente sono elencate le chiavi e i valori corrispondenti per disattivare il controllo dell'elenco di revoche di certificati (CRL) nel Centro distribuzione chiavi (KDC) o nel client. Per gestire il controllo CRL, è necessario configurare le impostazioni sia per il KDC che per il client.

Chiave del Registro di sistema Dettagli
HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Kdc\UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors Type = DWORD
Valore = 1
HKEY_LOCAL_MACHINE\SYSTEM\CCS\Control\LSA\Kerberos\Parameters\UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors Type = DWORD
Valore = 1

Impostazioni aggiuntive Criteri di gruppo smart card e chiavi del Registro di sistema

In una distribuzione di smart card è possibile usare impostazioni di Criteri di gruppo aggiuntive per migliorare la facilità d'uso o la sicurezza. Due di queste impostazioni dei criteri che possono integrare una distribuzione di smart card sono:

  • Disattivazione della delega per i computer
  • Accesso interattivo: non richiedere CTRL+ALT+CANC (scelta non consigliata)

Le impostazioni di Criteri di gruppo relative alle smart card seguenti si trovano in Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza.

Impostazioni dei criteri di sicurezza locali

Criteri di gruppo impostazione e chiave del Registro di sistema Default Descrizione
Accesso interattivo: richiedi smart card

scforceoption
Disabilitato Questa impostazione dei criteri di sicurezza richiede agli utenti di accedere a un computer usando una smart card.

Abilitato Gli utenti possono accedere al computer solo usando una smart card.
Disabili Gli utenti possono accedere al computer usando qualsiasi metodo.

NOTA: l'account locale gestito da LAPS di Windows è esentato da questo criterio quando è abilitato.
Accesso interattivo: funzionamento rimozione smart card

scremoveoption
Questa impostazione di criterio non è definita, il che significa che il sistema lo considera come Nessuna azione. Questa impostazione determina cosa accade quando la smart card per un utente connesso viene rimossa dal lettore di smart card. Le opzioni sono:
Nessuna azione
Blocca workstation: la workstation viene bloccata quando la smart card viene rimossa, in modo che gli utenti possano uscire dall'area, portare con sé la smart card e mantenere comunque una sessione protetta.
Forza disconnessione: l'utente viene disconneso automaticamente quando la smart card viene rimossa.
Disconnettersi se una sessione di Servizi Desktop remoto: la rimozione della smart card disconnette la sessione senza disconnettere l'utente. L'utente può reinserire la smart card e riprendere la sessione in un secondo momento o in un altro computer dotato di un lettore di smart card, senza dover accedere di nuovo. Se la sessione è locale, questa impostazione dei criteri funziona in modo identico all'opzione Blocca workstation .

Dalla Editor Criteri di sicurezza locali (secpol.msc) è possibile modificare e applicare i criteri di sistema per gestire la delega delle credenziali per i computer locali o di dominio.

Le impostazioni di Criteri di gruppo correlate alle smart card seguenti si trovano in Configurazione computer\Modelli amministrativi\Sistema\Delega credenziali.

Le chiavi del Registro di sistema si trovano in HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Credssp\PolicyDefaults.

Nota

Nella tabella seguente le credenziali nuove sono quelle richieste durante l'esecuzione di un'applicazione.

Impostazioni dei criteri di delega delle credenziali

Criteri di gruppo impostazione e chiave del Registro di sistema Default Descrizione
Consenti delega di credenziali nuove

AllowFreshCredentials
Non configurato Questa impostazione di criterio si applica:
Quando l'autenticazione del server è stata eseguita tramite un certificato X509 attendibile o un protocollo Kerberos.
Alle applicazioni che usano il componente CredSSP, ad esempio Servizi Desktop remoto.

Abilitato: è possibile specificare i server in cui è possibile delegare le nuove credenziali dell'utente.
Non configurato: dopo l'autenticazione reciproca corretta, la delega di credenziali nuove è consentita a Servizi Desktop remoto in esecuzione in qualsiasi computer.
Disabilitato: la delega di credenziali nuove a qualsiasi computer non è consentita.

Nota: questa impostazione di criterio può essere impostata su uno o più nomi di entità servizio (SPN). L'SPN rappresenta il server di destinazione in cui è possibile delegare le credenziali utente. Quando si specifica il nome SPN, è consentito un singolo carattere jolly, ad esempio:
Usare *TERMSRV/** per Host sessione Desktop remoto (Host sessione Desktop remoto) in esecuzione in qualsiasi computer.
Usare TERMSRV/host.humanresources.fabrikam.com per Host sessione Desktop remoto in esecuzione nel computer host.humanresources.fabrikam.com.
Usare TERMSRV/*.humanresources.fabrikam.com per l'host sessione Desktop remoto in esecuzione in tutti i computer in .humanresources.fabrikam.com
Consenti delega di credenziali aggiornate con l'autenticazione server solo NTLM

AllowFreshCredentialsWhenNTLMOnly
Non configurato Questa impostazione di criterio si applica:
Quando l'autenticazione del server è stata eseguita usando NTLM.
Alle applicazioni che usano il componente CredSSP, ad esempio Desktop remoto.

Abilitato: è possibile specificare i server in cui è possibile delegare le nuove credenziali dell'utente.
Non configurato: dopo l'autenticazione reciproca appropriata, la delega di credenziali nuove è consentita all'host sessione Desktop remoto in esecuzione in qualsiasi computer (TERMSRV/*).
Disabilitato: la delega di credenziali nuove non è consentita a nessun computer.

Nota: questa impostazione di criterio può essere impostata su uno o più nomi SPN. L'SPN rappresenta il server di destinazione in cui è possibile delegare le credenziali utente. Quando si specifica il nome SPN, è consentito un singolo carattere jolly (*) .
Per esempi, vedere la descrizione dell'impostazione dei criteri Consenti delega di credenziali fresche .
Nega delega di credenziali nuove

DenyFreshCredentials
Non configurato Questa impostazione di criterio si applica alle applicazioni che usano il componente CredSSP, ad esempio Desktop remoto.

Abilitato: è possibile specificare i server in cui non è possibile delegare le nuove credenziali dell'utente.
Disabilitato o Non configurato: non è specificato un server.

Nota: questa impostazione di criterio può essere impostata su uno o più nomi SPN. Il nome SPN rappresenta il server di destinazione in cui non è possibile delegare le credenziali utente. Quando si specifica il nome SPN, è consentito un singolo carattere jolly (*) .
Per esempi, vedere l'impostazione dei criteri "Consenti la delega di credenziali nuove".

Se si usano Servizi Desktop remoto con l'accesso alle smart card, non è possibile delegare le credenziali predefinite e salvate. Le chiavi del Registro di sistema nella tabella seguente, che si trovano in HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Credssp\PolicyDefaults, e le impostazioni di Criteri di gruppo corrispondenti vengono ignorate.

Chiave del Registro di sistema Impostazione Criteri di gruppo corrispondente
AllowDefaultCredentials Consenti delega delle credenziali predefinite
AllowDefaultCredentialsWhenNTLMOnly Consenti delega delle credenziali predefinite con l'autenticazione server solo NTLM
AllowSavedCredentials Consenti delega delle credenziali salvate
AllowSavedCredentialsWhenNTLMOnly Consenti delega delle credenziali salvate con l'autenticazione server solo NTLM

Vedere anche

Informazioni di riferimento tecniche sulle smart card