Accesso interattivo: richiedi autenticazione controller di dominio per sbloccare la workstation

Si applica a

  • Windows 11
  • Windows 10

Vengono descritte le procedure consigliate, la posizione, i valori, la gestione dei criteri e le considerazioni sulla sicurezza per l'accesso interattivo: Richiedere l'autenticazione del controller di dominio per sbloccare l'impostazione dei criteri di sicurezza della workstation.

Riferimento

Lo sblocco di un dispositivo bloccato richiede informazioni di accesso. Per gli account di dominio, l'impostazione dei criteri Accesso interattivo: Richiedi autenticazione controller di dominio per sbloccare la workstation determina se è necessario contattare un controller di dominio per sbloccare un dispositivo. L'abilitazione di questa impostazione di criterio richiede un controller di dominio per autenticare l'account di dominio usato per sbloccare il dispositivo. La disabilitazione di questa impostazione di criterio consente a un utente di sbloccare il dispositivo senza che il computer verifichi le informazioni di accesso con un controller di dominio. Tuttavia, se l'accesso interattivo: numero di accessi precedenti da memorizzare nella cache (nel caso in cui il controller di dominio non sia disponibile) è impostato su un valore maggiore di zero, le credenziali memorizzate nella cache dell'utente verranno usate per sbloccare il sistema.

Il dispositivo memorizza nella cache (localmente in memoria) le credenziali di tutti gli utenti autenticati. Il dispositivo usa queste credenziali memorizzate nella cache per autenticare chiunque tenti di sbloccare la console.

Quando si usano le credenziali memorizzate nella cache, le modifiche apportate di recente all'account ,ad esempio le assegnazioni di diritti utente, il blocco dell'account o l'account disabilitato, non vengono considerate o applicate dopo questo processo di autenticazione. Questo risultato significa non solo che i diritti utente non vengono aggiornati, ma soprattutto che gli account disabilitati sono ancora in grado di sbloccare la console del sistema.

È consigliabile impostare Accesso interattivo: Richiedere l'autenticazione del controller di dominio per sbloccare la workstation su Abilitato e impostare Accesso interattivo: numero di accessi precedenti da memorizzare nella cache (nel caso in cui il controller di dominio non sia disponibile) su 0. Quando la console di un dispositivo è bloccata da un utente o automaticamente da un timeout dello screen saver, la console può essere sbloccata solo se l'utente è in grado di autenticare nuovamente il controller di dominio. Se non è disponibile alcun controller di dominio, gli utenti non possono sbloccare i propri dispositivi.

Valori possibili

  • Abilitato
  • Disabilitato
  • Non definito

Procedure consigliate

Location

Configurazione computer\Impostazioni Windows\Impostazioni sicurezza\Criteri locali\Opzioni di sicurezza

Valori predefiniti

Nella tabella seguente sono elencati i valori predefiniti effettivi ed effettivi per questo criterio. I valori predefiniti sono elencati anche nella pagina delle proprietà del criterio.

Tipo di server o oggetto Criteri di gruppo Valore predefinito
Criteri di dominio predefiniti Non definito
Criteri controller di dominio predefiniti Non definito
Impostazioni predefinite del server Stand-Alone Disabilitato
Impostazioni predefinite valide del controller di dominio Disabilitato
Impostazioni predefinite valide per il server membro Disabilitato
Impostazioni predefinite valide per il computer client Disabilitato

Gestione dei criteri

Questa sezione descrive le funzionalità e gli strumenti disponibili per semplificare la gestione di questo criterio.

Richiesta di riavvio

Nessuna. Le modifiche a questo criterio diventano effettive senza un riavvio del dispositivo quando vengono salvate in locale o distribuite tramite Criteri di gruppo.

Considerazioni sui conflitti di criteri

Nessuno

Criteri di gruppo

Questa impostazione di criterio può essere configurata usando Criteri di gruppo Console gestione criteri di gruppo da distribuire tramite oggetti Criteri di gruppo (oggetti Criteri di gruppo). Se questo criterio non è contenuto in un oggetto Criteri di gruppo distribuito, questo criterio può essere configurato nel computer locale usando lo snap-in Criteri di sicurezza locali.

Considerazioni sulla sicurezza

Questa sezione descrive come un autore di un attacco può approfittare di una funzionalità o di una configurazione, come implementare contromisure e le possibili conseguenze negative dell'implementazione di contromisure.

Vulnerabilità

Per impostazione predefinita, il dispositivo memorizza nella cache in locale le credenziali di tutti gli utenti autenticati. Il dispositivo usa queste credenziali memorizzate nella cache per autenticare chiunque tenti di sbloccare la console. Quando si usano le credenziali memorizzate nella cache, le modifiche apportate di recente all'account, ad esempio le assegnazioni di diritti utente, il blocco dell'account o l'account disabilitato, non vengono considerate o applicate dopo l'autenticazione dell'account. I privilegi utente non vengono aggiornati e gli account disabilitati sono ancora in grado di sbloccare la console del dispositivo

Contromisura

Configurare l'impostazione Accesso interattivo: Richiedere l'autenticazione del controller di dominio per sbloccare l'impostazione della workstation su Abilitato e configurare l'impostazione Accesso interattivo: numero di accessi precedenti nella cache (nel caso in cui il controller di dominio non sia disponibile) su 0.

Impatto potenziale

Quando la console in un dispositivo è bloccata da un utente o automaticamente da un timeout dello screen saver, la console può essere sbloccata solo se l'utente può autenticarsi nuovamente al controller di dominio. Se non è disponibile alcun controller di dominio, gli utenti non possono sbloccare le workstation. Se si configura l'impostazione Accesso interattivo: numero di accessi precedenti da memorizzare nella cache (nel caso in cui il controller di dominio non sia disponibile) su 0, gli utenti i cui controller di dominio non sono disponibili (ad esempio utenti mobili o remoti) non possono accedere.