Accesso interattivo: richiedi autenticazione controller di dominio per sbloccare la workstation
Si applica a
- Windows 11
- Windows 10
Vengono descritte le procedure consigliate, la posizione, i valori, la gestione dei criteri e le considerazioni sulla sicurezza per l'accesso interattivo: Richiedere l'autenticazione del controller di dominio per sbloccare l'impostazione dei criteri di sicurezza della workstation.
Riferimento
Lo sblocco di un dispositivo bloccato richiede informazioni di accesso. Per gli account di dominio, l'impostazione dei criteri Accesso interattivo: Richiedi autenticazione controller di dominio per sbloccare la workstation determina se è necessario contattare un controller di dominio per sbloccare un dispositivo. L'abilitazione di questa impostazione di criterio richiede un controller di dominio per autenticare l'account di dominio usato per sbloccare il dispositivo. La disabilitazione di questa impostazione di criterio consente a un utente di sbloccare il dispositivo senza che il computer verifichi le informazioni di accesso con un controller di dominio. Tuttavia, se l'accesso interattivo: numero di accessi precedenti da memorizzare nella cache (nel caso in cui il controller di dominio non sia disponibile) è impostato su un valore maggiore di zero, le credenziali memorizzate nella cache dell'utente verranno usate per sbloccare il sistema.
Il dispositivo memorizza nella cache (localmente in memoria) le credenziali di tutti gli utenti autenticati. Il dispositivo usa queste credenziali memorizzate nella cache per autenticare chiunque tenti di sbloccare la console.
Quando si usano le credenziali memorizzate nella cache, le modifiche apportate di recente all'account ,ad esempio le assegnazioni di diritti utente, il blocco dell'account o l'account disabilitato, non vengono considerate o applicate dopo questo processo di autenticazione. Questo risultato significa non solo che i diritti utente non vengono aggiornati, ma soprattutto che gli account disabilitati sono ancora in grado di sbloccare la console del sistema.
È consigliabile impostare Accesso interattivo: Richiedere l'autenticazione del controller di dominio per sbloccare la workstation su Abilitato e impostare Accesso interattivo: numero di accessi precedenti da memorizzare nella cache (nel caso in cui il controller di dominio non sia disponibile) su 0. Quando la console di un dispositivo è bloccata da un utente o automaticamente da un timeout dello screen saver, la console può essere sbloccata solo se l'utente è in grado di autenticare nuovamente il controller di dominio. Se non è disponibile alcun controller di dominio, gli utenti non possono sbloccare i propri dispositivi.
Valori possibili
- Abilitato
- Disabilitato
- Non definito
Procedure consigliate
- Impostare Accesso interattivo: Richiedi autenticazione controller di dominio per sbloccare la workstation su Abilitato e impostare Accesso interattivo: numero di accessi precedenti nella cache (nel caso in cui il controller di dominio non sia disponibile) su 0. Quando la console di un dispositivo è bloccata da un utente o automaticamente da un timeout dello screen saver, la console può essere sbloccata solo se l'utente è in grado di autenticare nuovamente il controller di dominio. Se non è disponibile alcun controller di dominio, gli utenti non possono sbloccare i propri dispositivi.
Location
Configurazione computer\Impostazioni Windows\Impostazioni sicurezza\Criteri locali\Opzioni di sicurezza
Valori predefiniti
Nella tabella seguente sono elencati i valori predefiniti effettivi ed effettivi per questo criterio. I valori predefiniti sono elencati anche nella pagina delle proprietà del criterio.
| Tipo di server o oggetto Criteri di gruppo | Valore predefinito |
|---|---|
| Criteri di dominio predefiniti | Non definito |
| Criteri controller di dominio predefiniti | Non definito |
| Impostazioni predefinite del server Stand-Alone | Disabilitato |
| Impostazioni predefinite valide del controller di dominio | Disabilitato |
| Impostazioni predefinite valide per il server membro | Disabilitato |
| Impostazioni predefinite valide per il computer client | Disabilitato |
Gestione dei criteri
Questa sezione descrive le funzionalità e gli strumenti disponibili per semplificare la gestione di questo criterio.
Richiesta di riavvio
Nessuna. Le modifiche a questo criterio diventano effettive senza un riavvio del dispositivo quando vengono salvate in locale o distribuite tramite Criteri di gruppo.
Considerazioni sui conflitti di criteri
Nessuno
Criteri di gruppo
Questa impostazione di criterio può essere configurata usando Criteri di gruppo Console gestione criteri di gruppo da distribuire tramite oggetti Criteri di gruppo (oggetti Criteri di gruppo). Se questo criterio non è contenuto in un oggetto Criteri di gruppo distribuito, questo criterio può essere configurato nel computer locale usando lo snap-in Criteri di sicurezza locali.
Considerazioni sulla sicurezza
Questa sezione descrive come un autore di un attacco può approfittare di una funzionalità o di una configurazione, come implementare contromisure e le possibili conseguenze negative dell'implementazione di contromisure.
Vulnerabilità
Per impostazione predefinita, il dispositivo memorizza nella cache in locale le credenziali di tutti gli utenti autenticati. Il dispositivo usa queste credenziali memorizzate nella cache per autenticare chiunque tenti di sbloccare la console. Quando si usano le credenziali memorizzate nella cache, le modifiche apportate di recente all'account, ad esempio le assegnazioni di diritti utente, il blocco dell'account o l'account disabilitato, non vengono considerate o applicate dopo l'autenticazione dell'account. I privilegi utente non vengono aggiornati e gli account disabilitati sono ancora in grado di sbloccare la console del dispositivo
Contromisura
Configurare l'impostazione Accesso interattivo: Richiedere l'autenticazione del controller di dominio per sbloccare l'impostazione della workstation su Abilitato e configurare l'impostazione Accesso interattivo: numero di accessi precedenti nella cache (nel caso in cui il controller di dominio non sia disponibile) su 0.
Impatto potenziale
Quando la console in un dispositivo è bloccata da un utente o automaticamente da un timeout dello screen saver, la console può essere sbloccata solo se l'utente può autenticarsi nuovamente al controller di dominio. Se non è disponibile alcun controller di dominio, gli utenti non possono sbloccare le workstation. Se si configura l'impostazione Accesso interattivo: numero di accessi precedenti da memorizzare nella cache (nel caso in cui il controller di dominio non sia disponibile) su 0, gli utenti i cui controller di dominio non sono disponibili (ad esempio utenti mobili o remoti) non possono accedere.