Processi di credenziali in Autenticazione di WindowsCredentials Processes in Windows Authentication

Si applica a: Windows Server (canale semestrale), Windows Server 2016Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

Questo argomento di riferimento per i professionisti IT descrive le modalità di elaborazione delle credenziali di autenticazione di Windows.This reference topic for the IT professional describes how Windows authentication processes credentials.

Gestione delle credenziali di Windows è il processo mediante il quale il sistema operativo riceve le credenziali dal servizio o utente e consente di proteggere tali informazioni per la presentazione del futuro di destinazione che esegue l'autenticazione.Windows credentials management is the process by which the operating system receives the credentials from the service or user and secures that information for future presentation to the authenticating target. Nel caso di un computer aggiunto al dominio, la destinazione che esegue l'autenticazione è il controller di dominio.In the case of a domain-joined computer, the authenticating target is the domain controller. Le credenziali utilizzate nell'autenticazione sono documenti digitali che consentono di associare l'identità dell'utente in una forma di verifica dell'autenticità, ad esempio un certificato, una password o un PIN.The credentials used in authentication are digital documents that associate the user's identity to some form of proof of authenticity, such as a certificate, a password, or a PIN.

Per impostazione predefinita, le credenziali di Windows vengono convalidate sul database di gestione di account di sicurezza (SAM) nel computer locale o in Active Directory in un computer aggiunto al dominio, tramite il servizio Winlogon.By default, Windows credentials are validated against the Security Accounts Manager (SAM) database on the local computer, or against Active Directory on a domain-joined computer, through the Winlogon service. Le credenziali vengono raccolte tramite input dell'utente nell'interfaccia utente di accesso o a livello di codice tramite l'interfaccia di programmazione dell'applicazione (API) devono essere presentati nella destinazione che esegue l'autenticazione.Credentials are collected through user input on the logon user interface or programmatically via the application programming interface (API) to be presented to the authenticating target.

Informazioni di sicurezza locali vengono archiviate nel Registro di sistema HKEY_LOCAL_MACHINE\SECURITY.Local security information is stored in the registry under HKEY_LOCAL_MACHINE\SECURITY. Le informazioni archiviate includono impostazioni dei criteri, i valori di sicurezza predefiniti e informazioni sull'account, ad esempio le credenziali di accesso memorizzato nella cache.Stored information includes policy settings, default security values, and account information, such as cached logon credentials. Una copia del database SAM anche viene archiviata in questo caso, sebbene sia protetto da scrittura.A copy of the SAM database is also stored here, although it is write-protected.

Il diagramma seguente mostra i componenti necessari e i percorsi che richiedere le credenziali tramite il sistema per autenticare l'utente o il processo per un accesso corretto.The following diagram shows the components that are required and the paths that credentials take through the system to authenticate the user or process for a successful logon.

Diagramma che mostra i componenti necessari e i percorsi che richiedere le credenziali tramite il sistema per autenticare l'utente o il processo per un accesso corretto.

La tabella seguente descrive ogni componente che gestisce le credenziali nel processo di autenticazione nel punto di accesso.The following table describes each component that manages credentials in the authentication process at the point of logon.

Componenti di autenticazione per tutti i sistemiAuthentication components for all systems

ComponentComponent DescrizioneDescription
Accesso dell'utenteUser logon Winlogon.exe è il file eseguibile responsabile della gestione delle interazioni dell'utente protetta.Winlogon.exe is the executable file responsible for managing secure user interactions. Il servizio Winlogon avvia il processo di accesso per i sistemi operativi Windows, passando le credenziali raccolte dall'azione dell'utente sul desktop sicuro (interfaccia utente di accesso) per la sicurezza autorità locale (LSA) tramite Secur32.dll.The Winlogon service initiates the logon process for Windows operating systems by passing the credentials collected by user action on the secure desktop (Logon UI) to the Local Security Authority (LSA) through Secur32.dll.
Accesso all'applicazioneApplication logon L'applicazione o gli accessi di servizio che non richiedono l'accesso interattivo.Application or service logons that do not require interactive logon. Eseguire la maggior parte dei processi avviati dall'utente in modalità utente con Secur32.dll mentre i processi avviati all'avvio, ad esempio servizi, eseguito in modalità kernel usando Ksecdd.sys.Most processes initiated by the user run in user mode by using Secur32.dll whereas processes initiated at startup, such as services, run in kernel mode by using Ksecdd.sys.

Per altre informazioni sulla modalità utente e kernel, vedere le applicazioni e modalità utente o servizi e in modalità Kernel in questo argomento.For more information about user mode and kernel mode, see Applications and User Mode or Services and Kernel Mode in this topic.
Secur32.dllSecur32.dll I provider di autenticazione più che costituiscono la base del processo di autenticazione.The multiple authentication providers that form the foundation of the authentication process.
Lsasrv.dllLsasrv.dll Il servizio Server LSA, che consente di applicare i criteri di sicurezza e funge da Gestione pacchetto di sicurezza per LSA.The LSA Server service, which both enforces security policies and acts as the security package manager for the LSA. LSA contiene la funzione Negotiate, che consente di selezionare il protocollo NTLM o Kerberos dopo aver determinato quale protocollo deve essere corretta.The LSA contains the Negotiate function, which selects either the NTLM or Kerberos protocol after determining which protocol is to be successful.
Security Support ProviderSecurity Support Providers Un set di provider che può richiamare singolarmente uno o più protocolli di autenticazione.A set of providers that can individually invoke one or more authentication protocols. Il set predefinito di provider è possibile modificare con ogni versione del sistema operativo Windows e i provider personalizzati possono essere scritti.The default set of providers can change with each version of the Windows operating system, and custom providers can be written.
Netlogon.dllNetlogon.dll I servizi che esegue il servizio Accesso rete sono come segue:The services that the Net Logon service performs are as follows:

-Mantiene canale sicuro del computer (non deve essere confuso con Schannel) a un controller di dominio.- Maintains the computer's secure channel (not to be confused with Schannel) to a domain controller.
-Passa le credenziali dell'utente tramite un canale sicuro per il controller di dominio e restituisce il dominio SID (security Identifier) e i diritti utente per l'utente.- Passes the user's credentials through a secure channel to the domain controller and returns the domain security identifiers (SIDs) and user rights for the user.
-Pubblica i record di risorse del servizio nel sistema DNS (Domain Name) e Usa DNS per risolvere i nomi per gli indirizzi IP (Internet Protocol) dei controller di dominio.- Publishes service resource records in the Domain Name System (DNS) and uses DNS to resolve names to the Internet Protocol (IP) addresses of domain controllers.
-Implementa il protocollo di replica basato su chiamata di procedura remota (RPC) per la sincronizzazione dei controller di dominio primario (PDC) e il controller di dominio di backup (BDC).- Implements the replication protocol based on remote procedure call (RPC) for synchronizing primary domain controllers (PDCs) and backup domain controllers (BDCs).
Samsrv.dllSamsrv.dll Il Security Account Manager (SAM), che archivia gli account di sicurezza locali, applica i criteri archiviati localmente e supporta le API.The Security Accounts Manager (SAM), which stores local security accounts, enforces locally stored policies and supports APIs.
Registro di sistemaRegistry Il Registro di sistema contiene una copia del database SAM, impostazioni di criteri di sicurezza locali, i valori di sicurezza predefiniti e informazioni sull'account accessibile solo al sistema.The Registry contains a copy of the SAM database, local security policy settings, default security values, and account information that is only accessible to the system.

Questo argomento è suddiviso nelle sezioni seguenti:This topic contains the following sections:

Input di credenziali per l'accesso utenteCredential input for user logon

In Windows Server 2008 e Windows Vista, l'architettura Graphical Identification and Authentication (GINA) è stato sostituito con un modello di provider di credenziali, che è stato possibile enumerare i diversi tipi di accesso tramite l'uso di riquadri di accesso.In Windows Server 2008 and Windows Vista, the Graphical Identification and Authentication (GINA) architecture was replaced with a credential provider model, which made it possible to enumerate different logon types through the use of logon tiles. Di seguito vengono descritti entrambi i modelli.Both models are described below.

Architettura con interfaccia grafica identificazione e autenticazioneGraphical Identification and Authentication architecture

L'architettura Graphical Identification and Authentication (GINA) si applica ai sistemi operativi Windows Server 2003, Microsoft Windows 2000 Server, Windows XP e Windows 2000 Professional.The Graphical Identification and Authentication (GINA) architecture applies to the Windows Server 2003, Microsoft Windows 2000 Server, Windows XP, and Windows 2000 Professional operating systems. In questi sistemi, ogni sessione di accesso interattivo consente di creare un'istanza separata del servizio Winlogon.In these systems, every interactive logon session creates a separate instance of the Winlogon service. L'architettura di GINA viene caricato nello spazio di processo usato da Winlogon, riceve ed elabora le credenziali ed effettua le chiamate alle interfacce di autenticazione tramite LSALogonUser.The GINA architecture is loaded into the process space used by Winlogon, receives and processes the credentials, and makes the calls to the authentication interfaces through LSALogonUser.

Le istanze di Winlogon per un accesso interattivo vengono eseguite nella sessione 0.The instances of Winlogon for an interactive logon run in Session 0. Servizi di sistema di host sessione 0 e gli altri processi critici, incluso il processo dell'autorità di protezione locale (LSA).Session 0 hosts system services and other critical processes, including the Local Security Authority (LSA) process.

Il diagramma seguente illustra il processo di credenziali per Windows Server 2003, Microsoft Windows 2000 Server, Windows XP e Microsoft Windows 2000 Professional.The following diagram shows the credential process for Windows Server 2003, Microsoft Windows 2000 Server, Windows XP, and Microsoft Windows 2000 Professional.

Diagramma che illustra il processo di credenziali per Windows Server 2003, Microsoft Windows 2000 Server, Windows XP e Microsoft Windows 2000 Professional

Architettura del provider di credenzialiCredential provider architecture

Si applica l'architettura di provider di credenziali per le versioni indicate nel si applica a elenco all'inizio di questo argomento.The credential provider architecture applies to those versions designated in the Applies To list at the beginning of this topic. In questi sistemi, l'architettura di input per le credenziali modificato in una progettazione estensibile tramite i provider di credenziali.In these systems, the credentials input architecture changed to an extensible design by using credential providers. Questi provider sono rappresentati dai riquadri di accesso diverso sul desktop sicuro che consentono a qualsiasi numero di scenari di accesso - account diversi per lo stesso utente e i metodi di autenticazione diversi, ad esempio password, smart card e biometria.These providers are represented by the different logon tiles on the secure desktop that permit any number of logon scenarios - different accounts for the same user and different authentication methods, such as password, smart card, and biometrics.

Con l'architettura di provider di credenziali, Winlogon avvia sempre dell'interfaccia utente di accesso dopo la ricezione di un evento di sequenza attenzione sicura.With the credential provider architecture, Winlogon always starts Logon UI after it receives a secure attention sequence event. Interfaccia utente di accesso esegue una query ogni provider di credenziali per il numero di diversi tipi di credenziali che è configurato il provider per enumerare.Logon UI queries each credential provider for the number of different credential types the provider is configured to enumerate. I provider di credenziali hanno la possibilità di specificare uno di questi riquadri come impostazione predefinita.Credential providers have the option of specifying one of these tiles as the default. Dopo che tutti i provider sono enumerati i riquadri, interfaccia utente di accesso li visualizza all'utente.After all providers have enumerated their tiles, Logon UI displays them to the user. L'utente interagisce con un riquadro per fornire le proprie credenziali.The user interacts with a tile to supply their credentials. Interfaccia utente di accesso invia le credenziali per l'autenticazione.Logon UI submits these credentials for authentication.

I provider di credenziali non sono meccanismi di imposizione.Credential providers are not enforcement mechanisms. Vengono utilizzati per raccogliere e la serializzazione delle credenziali.They are used to gather and serialize credentials. I pacchetti di autorità di sicurezza locale e l'autenticazione di applicano la sicurezza.The Local Security Authority and authentication packages enforce security.

I provider di credenziali sono registrati nel computer e sono responsabili per gli elementi seguenti:Credential providers are registered on the computer and are responsible for the following:

  • Che descrive le informazioni sulle credenziali necessarie per l'autenticazione.Describing the credential information required for authentication.

  • Gestione delle comunicazioni e per la logica con le autorità di autenticazione esterni.Handling communication and logic with external authentication authorities.

  • Le credenziali di creazione di pacchetti per interattiva e accesso alla rete.Packaging credentials for interactive and network logon.

Le credenziali di creazione di pacchetti per interattiva e accesso alla rete include il processo di serializzazione.Packaging credentials for interactive and network logon includes the process of serialization. Per la serializzazione delle credenziali più riquadri di accesso possono essere visualizzati nell'account di accesso dell'interfaccia utente.By serializing credentials multiple logon tiles can be displayed on the logon UI. Di conseguenza, l'organizzazione può controllare la visualizzazione di accesso, ad esempio gli utenti, i sistemi di destinazione per l'accesso, pre-logon accesso di rete e la workstation Blocca/Sblocca i criteri - tramite l'uso di provider di credenziali personalizzate.Therefore, your organization can control the logon display such as users, target systems for logon, pre-logon access to the network and workstation lock/unlock policies - through the use of customized credential providers. Più provider di credenziali possono coesistere nello stesso computer.Multiple credential providers can co-exist on the same computer.

Single sign-on (SSO) i provider possono essere sviluppati come un provider di credenziali standard o come un Provider di Pre-Logon-Access.Single sign-on (SSO) providers can be developed as a standard credential provider or as a Pre-Logon-Access Provider.

Ogni versione di Windows contiene il provider di credenziali di un valore predefinito e un valore predefinito Pre-Logon-Access Provider (PLAP), noto anche come il provider SSO.Each version of Windows contains one default credential provider and one default Pre-Logon-Access Provider (PLAP), also known as the SSO provider. Il provider SSO consente agli utenti di effettuare una connessione a una rete prima dell'accesso al computer locale.The SSO provider permits users to make a connection to a network before logging on to the local computer. Quando questo provider viene implementato, il provider non enumera i riquadri nell'interfaccia utente di accesso.When this provider is implemented, the provider does not enumerate tiles on Logon UI.

Un provider SSO dovrà essere utilizzato negli scenari seguenti:A SSO provider is intended to be used in the following scenarios:

  • Accesso alla rete computer e di autenticazione vengono gestite dai provider di credenziali diverso.Network authentication and computer logon are handled by different credential providers. Le variazioni a questo scenario includono:Variations to this scenario include:

    • Un utente ha la possibilità di connettersi a una rete, ad esempio la connessione a una rete privata virtuale (VPN), prima di accedere al computer ma non è necessario stabilire una connessione.A user has the option of connecting to a network, such as connecting to a virtual private network (VPN), before logging on to the computer but is not required to make this connection.

    • L'autenticazione di rete è necessario per recuperare le informazioni utilizzate durante l'autenticazione interattiva nel computer locale.Network authentication is required to retrieve information used during interactive authentication on the local computer.

    • Più autenticazioni di rete sono seguite da uno degli altri scenari.Multiple network authentications are followed by one of the other scenarios. Ad esempio, un utente esegue l'autenticazione a un provider di servizi Internet (ISP), esegue l'autenticazione in una rete privata virtuale e quindi utilizza le credenziali dell'account utente per l'accesso in locale.For example, a user authenticates to an Internet service provider (ISP), authenticates to a VPN, and then uses their user account credentials to log on locally.

    • Credenziali memorizzate nella cache sono disabilitate ed è necessaria una connessione di servizi di accesso remoto tramite VPN prima dell'accesso locale per autenticare l'utente.Cached credentials are disabled, and a Remote Access Services connection through VPN is required before local logon to authenticate the user.

    • Un utente di dominio non è un account locale impostare in un computer aggiunto al dominio e deve essere stabilita una connessione di servizi di accesso remoto tramite la connessione VPN prima di completare l'accesso interattivo.A domain user does not have a local account set up on a domain-joined computer and must establish a Remote Access Services connection through VPN connection before completing interactive logon.

  • Accesso alla rete computer e di autenticazione vengono gestite dallo stesso provider di credenziali.Network authentication and computer logon are handled by the same credential provider. In questo scenario, l'utente è obbligatorio per la connessione alla rete prima di accedere al computer.In this scenario, the user is required to connect to the network before logging on to the computer.

Enumerazione riquadro di accessoLogon tile enumeration

Il provider di credenziali enumera i riquadri di accesso nei casi seguenti:The credential provider enumerates logon tiles in the following instances:

  • Per tali sistemi operativi indicati nel si applica a elenco all'inizio di questo argomento.For those operating systems designated in the Applies to list at the beginning of this topic.

  • Il provider di credenziali enumera i riquadri per l'accesso a una workstation.The credential provider enumerates the tiles for workstation logon. Il provider di credenziali è in genere serializza le credenziali per l'autenticazione all'autorità di sicurezza locale.The credential provider typically serializes credentials for authentication to the local security authority. Questo processo consente di visualizzare i riquadri specifici per ogni utente e i sistemi di destinazione di ogni utente.This process displays tiles specific for each user and specific to each user's target systems.

  • L'architettura di accesso e autenticazione consente a un utente di usare i riquadri enumerati tramite il provider di credenziali per sbloccare una workstation.The logon and authentication architecture lets a user use tiles enumerated by the credential provider to unlock a workstation. In genere, l'utente attualmente connesso è il riquadro predefinito, ma se più di un utente è connesso, vengono visualizzati i riquadri diversi.Typically, the currently logged-on user is the default tile, but if more than one user is logged on, numerous tiles are displayed.

  • Il provider di credenziali enumera i riquadri in risposta a una richiesta dell'utente per modificare la password o altre informazioni private, ad esempio un PIN.The credential provider enumerates tiles in response to a user request to change their password or other private information, such as a PIN. In genere, l'utente attualmente connesso è il riquadro predefinito; Tuttavia, se più di un utente è connesso, vengono visualizzati numerosi riquadri.Typically, the currently logged-on user is the default tile; however, if more than one user is logged on, numerous tiles are displayed.

  • Il provider di credenziali enumera i riquadri basati su quelle serializzati da utilizzare per l'autenticazione nei computer remoti.The credential provider enumerates tiles based on the serialized credentials to be used for authentication on remote computers. Le credenziali dell'interfaccia utente non usano la stessa istanza del provider come l'interfaccia utente di accesso, le Workstation sbloccare o modificare la Password.Credential UI does not use the same instance of the provider as the Logon UI, Unlock Workstation, or Change Password. Di conseguenza, le informazioni sullo stato non è possibile gestire nel provider tra le istanze dell'interfaccia utente delle credenziali.Therefore, state information cannot be maintained in the provider between instances of Credential UI. Questa struttura comporta un riquadro per ogni accesso al computer remoto, presupponendo che le credenziali sono state serializzate in modo corretto.This structure results in one tile for each remote computer logon, assuming the credentials have been correctly serialized. Questo scenario viene usato anche in controllo Account utente (UAC), che possono aiutare a evitare modifiche non autorizzate a un computer da cui viene richiesto all'utente l'autorizzazione o una password di amministratore prima di consentire le azioni che potrebbero influire sul funzionamento del computer o che è stato possibile modificare le impostazioni che influiscono su altri utenti del computer.This scenario is also used in User Account Control (UAC), which can help prevent unauthorized changes to a computer by prompting the user for permission or an administrator password before permitting actions that could potentially affect the computer's operation or that could change settings that affect other users of the computer.

Il diagramma seguente illustra il processo di credenziali per i sistemi operativi indicati nel si applica a elenco all'inizio di questo argomento.The following diagram shows the credential process for the operating systems designated in the Applies To list at the beginning of this topic.

Diagramma che illustra il processo di credenziali per i sistemi operativi indicati nella * * si applica a * * elenco all'inizio di questo argomento

Input di credenziali per l'accesso al servizio e dell'applicazioneCredential input for application and service logon

L'autenticazione di Windows è progettato per gestire le credenziali per le applicazioni o servizi che non richiedono l'interazione dell'utente.Windows authentication is designed to manage credentials for applications or services that do not require user interaction. Le applicazioni in modalità utente sono limitate a quali risorse di sistema potranno accedervi, mentre i servizi possono avere accesso illimitato per la memoria di sistema e dispositivi esterni.Applications in user mode are limited in terms of what system resources they have access to, while services can have unrestricted access to the system memory and external devices.

Servizi di sistema e le applicazioni a livello di trasporto accedono un Security Support Provider (SSP) tramite sicurezza Support Provider Interface (SSPI) in Windows, che fornisce funzioni per l'enumerazione dei pacchetti di sicurezza disponibili in un sistema, la selezione di un pacchetto e utilizzo di tale pacchetto per ottenere una connessione autenticata.System services and transport-level applications access an Security Support Provider (SSP) through the Security Support Provider Interface (SSPI) in Windows, which provides functions for enumerating the security packages available on a system, selecting a package, and using that package to obtain an authenticated connection.

Quando una connessione client/server viene autenticata:When a client/server connection is authenticated:

  • L'applicazione sul lato client della connessione invia le credenziali al server tramite la funzione SSPI InitializeSecurityContext (General).The application on the client side of the connection sends credentials to the server by using the SSPI function InitializeSecurityContext (General).

  • L'applicazione sul lato server della connessione risponde con la funzione SSPI AcceptSecurityContext (General).The application on the server side of the connection responds with the SSPI function AcceptSecurityContext (General).

  • Le funzioni SSPI InitializeSecurityContext (General) e AcceptSecurityContext (General) vengono ripetuti fino a quando non sono stati scambiati tutti i messaggi di autenticazione necessarie per l'esito positivo o negativo di autenticazione.The SSPI functions InitializeSecurityContext (General) and AcceptSecurityContext (General) are repeated until all the necessary authentication messages have been exchanged to either succeed or fail authentication.

  • Dopo la connessione è stata autenticata, LSA sul server usa le informazioni dal client per creare il contesto di sicurezza, che contiene un token di accesso.After the connection has been authenticated, the LSA on the server uses information from the client to build the security context, which contains an access token.

  • Il server può quindi chiamare la funzione SSPI ImpersonateSecurityContext per associare il token di accesso a un thread di rappresentazione per il servizio.The server can then call the SSPI function ImpersonateSecurityContext to attach the access token to an impersonation thread for the service.

Le applicazioni e modalità utenteApplications and user mode

Modalità utente in Windows è costituita da due sistemi in grado di passare le richieste dei / o il driver in modalità kernel appropriato: il sistema di ambiente, che esegue le applicazioni scritte per molti tipi diversi di sistemi operativi, e il sistema integrale, che opera funzioni specifiche del sistema per conto del sistema di ambiente.User mode in Windows is composed of two systems capable of passing I/O requests to the appropriate kernel-mode drivers: the environment system, which runs applications written for many different types of operating systems, and the integral system, which operates system-specific functions on behalf of the environment system.

Il sistema integrale gestisce alcune funzioni system'specific operative per conto del sistema di ambiente e costituito da un processo di sistema di sicurezza (LSA), un servizio workstation e un servizio del server.The integral system manages operating system'specific functions on behalf of the environment system and consists of a security system process (the LSA), a workstation service, and a server service. Il processo di sistema di sicurezza riguarda i token di sicurezza, concede o Nega le autorizzazioni per accedere agli account utente in base alle autorizzazioni di risorse, gestisce le richieste di accesso e avvia l'autenticazione di accesso e determina quali risorse di sistema del sistema operativo è necessario controllare.The security system process deals with security tokens, grants or denies permissions to access user accounts based on resource permissions, handles logon requests and initiates logon authentication, and determines which system resources the operating system needs to audit.

Le applicazioni eseguibili in modalità utente, in cui eseguire l'applicazione, in quanto le entità incluse nel contesto di sicurezza di sistema locale (SYSTEM).Applications can run in user mode where the application can run as any principal, including in the security context of Local System (SYSTEM). Le applicazioni possono anche eseguire in modalità kernel in cui l'applicazione può essere eseguita nel contesto di sicurezza di sistema locale (SYSTEM).Applications can also run in kernel mode where the application can run in the security context of Local System (SYSTEM).

SSPI è disponibile tramite il modulo Secur32.dll, che è un'API utilizzata per ottenere i servizi di sicurezza integrata per l'autenticazione, l'integrità e riservatezza dei messaggi.SSPI is available through the Secur32.dll module, which is an API used for obtaining integrated security services for authentication, message integrity, and message privacy. Fornisce un livello di astrazione tra i protocolli a livello di applicazione e i protocolli di sicurezza.It provides an abstraction layer between application-level protocols and security protocols. Poiché applicazioni diverse richiedono diverse modalità di identificazione o autenticazione di utenti e crittografia dei dati durante il trasferimento in una rete in diversi modi, SSPI fornisce un modo per accedere alle librerie a collegamento dinamico (DLL) che contengono l'autenticazione diversa e funzioni di crittografia.Because different applications require different ways of identifying or authenticating users and different ways of encrypting data as it travels across a network, SSPI provides a way to access dynamic-link libraries (DLLs) that contain different authentication and cryptographic functions. Queste DLL sono chiamate Security Support Provider (SSP).These DLLs are called Security Support Providers (SSPs).

Account del servizio gestiti e account virtuali sono state introdotte in Windows Server 2008 R2 e Windows 7 per offrire ad applicazioni importanti, ad esempio Microsoft SQL Server e Internet Information Services (IIS), l'isolamento dei relativi account di dominio, mentre eliminando la necessità di un amministratore amministri manualmente il nome dell'entità servizio (SPN) e le credenziali per questi account.Managed service accounts and virtual accounts were introduced in Windows Server 2008 R2 and Windows 7 to provide crucial applications, such as Microsoft SQL Server and Internet Information Services (IIS), with the isolation of their own domain accounts, while eliminating the need for an administrator to manually administer the service principal name (SPN) and credentials for these accounts. Per altre informazioni su queste funzionalità e il loro ruolo con l'autenticazione, vedere Managed Service account documentazione per Windows 7 e Windows Server 2008 R2 e panoramica degli account del servizio gestito gruppo.For more information about these features and their role in authentication, see Managed Service Accounts Documentation for Windows 7 and Windows Server 2008 R2 and Group Managed Service Accounts Overview.

Modalità kernel e serviziServices and kernel mode

Anche se la maggior parte delle applicazioni di Windows vengono eseguiti nel contesto di sicurezza dell'utente che avvia, ciò non vale per i servizi.Even though most Windows applications run in the security context of the user who starts them, this is not true of services. Molti servizi di Windows, ad esempio rete e servizi di stampa, vengono avviati dal controller di servizio quando l'utente avvia il computer.Many Windows services, such as network and printing services, are started by the service controller when the user starts the computer. Questi servizi potrebbe essere eseguito come servizio locale o sistema locale e possono rimanere in esecuzione dopo l'ultimo utente si disconnette.These services might run as Local Service or Local System and might continue to run after the last human user logs off.

Nota

Servizi in genere eseguiti in contesti di sicurezza noti come sistema locale (SYSTEM), servizio di rete o servizio locale.Services normally run in security contexts known as Local System (SYSTEM), Network Service, or Local Service. Windows Server 2008 R2 ha introdotto servizi eseguiti con un account del servizio gestito, che sono entità di dominio.Windows Server 2008 R2 introduced services that run under a managed service account, which are domain principals.

Prima di avviare un servizio, il controller del servizio esegue l'accesso usando l'account che è designato per il servizio e quindi presenta le credenziali del servizio di autenticazione tramite autorità di protezione locale.Before starting a service, the service controller logs on by using the account that is designated for the service, and then presents the service's credentials for authentication by the LSA. Il servizio Windows implementa un'interfaccia programmatica che è possibile usare Gestione controllo servizi per controllare il servizio.The Windows service implements a programmatic interface that the service controller manager can use to control the service. Un servizio di Windows può essere avviato automaticamente quando viene avviato il sistema o manualmente tramite un programma di controllo del servizio.A Windows service can be started automatically when the system is started or manually with a service control program. Ad esempio, quando un computer client Windows viene aggiunto a un dominio, il servizio messenger sul computer si connette a un controller di dominio e viene aperto un canale sicuro a esso.For example, when a Windows client computer joins a domain, the messenger service on the computer connects to a domain controller and opens a secure channel to it. Per ottenere una connessione autenticata, il servizio deve disporre delle credenziali che considera attendibile l'autorità di sicurezza locale (LSA del computer remoto).To obtain an authenticated connection, the service must have credentials that the remote computer's Local Security Authority (LSA) trusts. Quando si comunica con altri computer nella rete, LSA utilizza le credenziali per l'account di dominio del computer locale, come tutti gli altri servizi in esecuzione nel contesto di sicurezza del sistema locale e del servizio di rete.When communicating with other computers in the network, LSA uses the credentials for the local computer's domain account, as do all other services running in the security context of the Local System and Network Service. Servizi nel computer locale eseguito come sistema in modo che le credenziali non devono essere presenti per LSA.Services on the local computer run as SYSTEM so credentials do not need to be presented to the LSA.

Il file Ksecdd.sys gestisce e consente di crittografare le credenziali e Usa una chiamata di procedura locale in LSA.The file Ksecdd.sys manages and encrypts these credentials and uses a local procedure call into the LSA. Il tipo di file è DRV (driver) ed è noto come Security Support Provider (SSP) la modalità kernel e, in tali versioni indicate nel si applica a elencati all'inizio di questo argomento, è compatibile con FIPS 140-2 livello 1-conforme.The file type is DRV (driver) and is known as the kernel-mode Security Support Provider (SSP) and, in those versions designated in the Applies To list at the beginning of this topic, is FIPS 140-2 Level 1-compliant.

Modalità kernel ha accesso completo alle risorse hardware e del sistema del computer.Kernel mode has full access to the hardware and system resources of the computer. La modalità kernel arresta i servizi in modalità utente e le applicazioni potranno accedere alle sezioni critiche del sistema operativo che non si dovrebbero avere accesso a.The kernel mode stops user-mode services and applications from accessing critical areas of the operating system that they should not have access to.

Autorità di sicurezza localeLocal Security Authority

L'autorità di sicurezza locale (LSA) è un processo di sistema protetto che autentica e registra gli utenti al computer locale.The Local Security Authority (LSA) is a protected system process that authenticates and logs users on to the local computer. Inoltre, LSA gestisce le informazioni su tutti gli aspetti di sicurezza locale in un computer (questi aspetti sono noti collettivamente come criterio di protezione locale) e offre diversi servizi per la conversione tra i nomi e ID di sicurezza (SID).In addition, LSA maintains information about all aspects of local security on a computer (these aspects are collectively known as the local security policy), and it provides various services for translation between names and security identifiers (SIDs). Il processo di sistema di sicurezza, protezione Server servizio LSASS (Local Authority), tiene traccia dei criteri di sicurezza e gli account che sono in effetti in un computer.The security system process, Local Security Authority Server Service (LSASS), keeps track of the security policies and the accounts that are in effect on a computer system.

LSA convalida un'identità dell'utente in base a quale delle due seguenti entità rilasciata l'account dell'utente:The LSA validates a user's identity based on which of the following two entities issued the user's account:

  • Autorità di sicurezza locale.Local Security Authority. LSA possibile convalidare le informazioni utente dal controllo del database di gestione di account di sicurezza (SAM) che si trova nello stesso computer.The LSA can validate user information by checking the Security Accounts Manager (SAM) database located on the same computer. Qualsiasi workstation o server membro possono archiviare informazioni sui gruppi locali e account utente locali.Any workstation or member server can store local user accounts and information about local groups. Tuttavia, questi account sono utilizzabile per l'accesso solo tale workstation o computer.However, these accounts can be used for accessing only that workstation or computer.

  • Autorità di sicurezza per il dominio locale o per un dominio trusted.Security authority for the local domain or for a trusted domain. LSA contatta l'entità che ha emesso l'account e richiede di verificare che l'account sia valido e che ha avuto origine la richiesta dal titolare dell'account.The LSA contacts the entity that issued the account and requests verification that the account is valid and that the request originated from the account holder.

Il servizio LSASS (Local Security Authority Subsystem Service) permette di archiviare credenziali in memoria per conto di utenti con sessioni attive di Windows.The Local Security Authority Subsystem Service (LSASS) stores credentials in memory on behalf of users with active Windows sessions. Le credenziali archiviate consentono agli utenti di accedere facilmente alle risorse di rete, ad esempio condivisioni file, cassette postali di Exchange Server e siti di SharePoint, senza dover immettere nuovamente le proprie credenziali per ogni servizio remoto.The stored credentials let users seamlessly access network resources, such as file shares, Exchange Server mailboxes, and SharePoint sites, without re-entering their credentials for each remote service.

Il servizio LSASS permette di archiviare credenziali in più formati, inclusi i seguenti:LSASS can store credentials in multiple forms, including:

  • Testo normale crittografato in modo reversibileReversibly encrypted plaintext

  • Ticket Kerberos (ticket-granting ticket (TGT), ticket di servizio)Kerberos tickets (ticket-granting tickets (TGTs), service tickets)

  • Hash NTNT hash

  • Hash di LAN Manager (LM)LAN Manager (LM) hash

Se l'utente accede a Windows usando una smart card, LSASS non archivia una password non crittografata, ma archivia il valore hash NT corrispondente per l'account e il testo non crittografato PIN della smart card.If the user logs on to Windows by using a smart card, LSASS does not store a plaintext password, but it stores the corresponding NT hash value for the account and the plaintext PIN for the smart card. Se l'attributo dell'account è abilitato per una smart card necessaria per l'accesso interattivo, un valore di hash NT casuale viene generato automaticamente per l'account invece dell'hash della password originale.If the account attribute is enabled for a smart card that is required for interactive logon, a random NT hash value is automatically generated for the account instead of the original password hash. L'hash di password generato automaticamente quando si imposta l'attributo non viene modificato.The password hash that is automatically generated when the attribute is set does not change.

Se un utente accede a un computer basato su Windows con una password che è compatibile con gli hash di LAN Manager (LM), questo autenticatore è presente in memoria.If a user logs on to a Windows-based computer with a password that is compatible with LAN Manager (LM) hashes, this authenticator is present in memory.

L'archiviazione di credenziali in testo non crittografato in memoria non può essere disabilitata, anche se i provider di credenziali che le richiedono sono disabilitati.The storage of plaintext credentials in memory cannot be disabled, even if the credential providers that require them are disabled.

Le credenziali archiviate sono associate direttamente le sessioni di accesso LSASS Local Security Authority Subsystem Service () che sono state avviate dopo l'ultimo riavvio e non sono stati chiusi.The stored credentials are directly associated with the Local Security Authority Subsystem Service (LSASS) logon sessions that have been started after the last restart and have not been closed. Ad esempio, sessioni LSA con credenziali LSA archiviate vengono create quando un utente esegue una delle operazioni seguenti:For example, LSA sessions with stored LSA credentials are created when a user does any of the following:

  • Accede a una sessione locale o Remote Desktop Protocol (RDP) nel computerLogs on to a local session or Remote Desktop Protocol (RDP) session on the computer

  • Esecuzione di un task con l'opzione RunAsRuns a task by using the RunAs option

  • Esecuzione di un servizio di Windows attivo nel computerRuns an active Windows service on the computer

  • Esecuzione di un'attività o un processo batch pianificatoRuns a scheduled task or batch job

  • Esecuzione di un'attività nel computer locale tramite uno strumento di amministrazione remotaRuns a task on the local computer by using a remote administration tool

In alcuni casi, i segreti LSA, che sono segrete porzioni di dati che sono accessibili solo ai processi di account di sistema, vengono archiviati nell'unità disco rigido.In some circumstances, the LSA secrets, which are secret pieces of data that are accessible only to SYSTEM account processes, are stored on the hard disk drive. Alcuni di questi segreti sono credenziali che devono essere mantenute dopo un riavvio e sono archiviate in formato crittografato nell'unità disco rigido.Some of these secrets are credentials that must persist after reboot, and they are stored in encrypted form on the hard disk drive. Le credenziali archiviate come segreti LSA possono includere:Credentials stored as LSA secrets might include:

  • Password dell'account per l'account del computer Active Directory Domain Services (AD DS)Account password for the computer's Active Directory Domain Services (AD DS) account

  • Password di account per servizi di Windows configurati nel computerAccount passwords for Windows services that are configured on the computer

  • Password di account per le attività pianificate configurateAccount passwords for configured scheduled tasks

  • Password di account per pool di applicazioni IIS e siti WebAccount passwords for IIS application pools and websites

  • Password degli account MicrosoftPasswords for Microsoft accounts

Introdotta in Windows 8.1, il sistema operativo client offre protezione aggiuntiva per LSA per impedire la lettura e inserimento di codice da processi non protetti.Introduced in Windows 8.1, the client operating system provides additional protection for the LSA to prevent reading memory and code injection by non-protected processes. Questa protezione aumenta la protezione per le credenziali che archivia e gestisce di LSA.This protection increases security for the credentials that the LSA stores and manages.

Per altre informazioni su queste protezioni aggiuntive, vedere Configuring Additional LSA Protection.For more information about these additional protections, see Configuring Additional LSA Protection.

Convalida e credenziali memorizzate nella cacheCached credentials and validation

Meccanismi di convalida si basano sulla presentazione preparata e delle credenziali al momento dell'accesso.Validation mechanisms rely on the presentation of credentials at the time of logon. Tuttavia, quando il computer è disconnesso da un controller di dominio e l'utente sta presentando le credenziali di dominio, Windows Usa il processo di credenziali memorizzate nella cache del meccanismo di convalida.However, when the computer is disconnected from a domain controller, and the user is presenting domain credentials, Windows uses the process of cached credentials in the validation mechanism.

Ogni volta che un utente accede a un dominio Windows memorizza nella cache le credenziali fornite e li archivia nell'oggetto hive di sicurezza nel Registro di sistema del sistema operativo.Each time a user logs on to a domain, Windows caches the credentials supplied and stores them in the security hive in the registry of the operation system.

Con le credenziali memorizzate nella cache, l'utente può accedere a un membro di dominio senza connettersi a un controller di dominio all'interno del dominio.With cached credentials, the user can log on to a domain member without being connected to a domain controller within that domain.

Convalida e archiviazione delle credenzialiCredential storage and validation

Non è sempre opportuno utilizzare un insieme di credenziali per l'accesso a risorse diverse.It is not always desirable to use one set of credentials for access to different resources. Ad esempio, un amministratore potrebbe desidera utilizzare Amministrazione anziché le credenziali dell'utente quando si accede a un server remoto.For example, an administrator might want to use administrative rather than user credentials when accessing a remote server. Analogamente, se un utente accede a risorse esterne, ad esempio un conto bancario, direste possono solo usare credenziali diverse rispetto a quelle le credenziali del dominio.Similarly, if a user accesses external resources, such as a bank account, he or she can only use credentials that are different than their domain credentials. Le sezioni seguenti descrivono le differenze nella gestione delle credenziali tra le versioni correnti di sistemi operativi Windows e i sistemi operativi Windows Vista e Windows XP.The following sections describe the differences in credential management between current versions of Windows operating systems and the Windows Vista and Windows XP operating systems.

Processi di credenziali di accesso remotoRemote logon credential processes

Remote Desktop Protocol (RDP) gestisce le credenziali dell'utente che si connette a un computer remoto usando il Client Desktop remoto, introdotto in Windows 8.The Remote Desktop Protocol (RDP) manages the credentials of the user who connects to a remote computer by using the Remote Desktop Client, which was introduced in Windows 8. Le credenziali in formato non crittografato vengono inviate all'host di destinazione in cui l'host tenta di eseguire il processo di autenticazione e, se l'operazione riesce, l'utente si connette alle risorse consentite.The credentials in plaintext form are sent to the target host where the host attempts to perform the authentication process, and, if successful, connects the user to allowed resources. RDP non archivia le credenziali sul client, ma le credenziali di dominio dell'utente vengono archiviate in LSASS.RDP does not store the credentials on the client, but the user's domain credentials are stored in the LSASS.

Introdotta in Windows Server 2012 R2 e Windows 8.1, modalità di amministrazione limitata offre sicurezza aggiuntiva per scenari di accesso remoto.Introduced in Windows Server 2012 R2 and Windows 8.1, Restricted Admin mode provides additional security to remote logon scenarios. Questa modalità di Desktop remoto, l'applicazione client eseguire un'accesso richiesta-risposta di rete con la funzione unidirezionale NT (NTOWF) o utilizzare un ticket di servizio Kerberos per l'autenticazione all'host remoto.This mode of Remote Desktop causes the client application to perform a network logon challenge-response with the NT one-way function (NTOWF) or use a Kerberos service ticket when authenticating to the remote host. Dopo aver autenticato l'amministratore, l'amministratore non è le credenziali dell'account corrispondente in LSASS poiché non sono stati forniti all'host remoto.After the administrator is authenticated, the administrator does not have the respective account credentials in LSASS because they were not supplied to the remote host. Al contrario, l'amministratore ha le credenziali dell'account computer per la sessione.Instead, the administrator has the computer account credentials for the session. Le credenziali di amministratore non vengono fornite all'host remoto, pertanto le azioni vengono eseguite come account del computer.Administrator credentials are not supplied to the remote host, so actions are performed as the computer account. Le risorse sono anche limitate all'account del computer e l'amministratore non può accedere alle risorse con il proprio account.Resources are also limited to the computer account, and the administrator cannot access resources with his own account.

Il riavvio automatico sign-on di elaborazione delle credenzialiAutomatic restart sign-on credential process

Quando un utente accede in un dispositivo Windows 8.1, LSA Salva le credenziali dell'utente in memoria crittografata che sono accessibili solo dal LSASS.exe.When a user signs in on a Windows 8.1 device, LSA saves the user credentials in encrypted memory that are accessible only by LSASS.exe. Quando Windows Update avvia un'operazione di riavvio automatico senza presenza utente, queste credenziali vengono usate per configurare l'accesso automatico per l'utente.When Windows Update initiates an automatic restart without user presence, these credentials are used to configure Autologon for the user.

Al riavvio, l'utente viene automaticamente effettuato l'accesso tramite il meccanismo di accesso automatico e quindi il computer viene inoltre bloccato per proteggere la sessione dell'utente.On restart, the user is automatically signed in via the Autologon mechanism, and then the computer is additionally locked to protect the user's session. Il blocco viene avviato tramite Winlogon mentre la gestione delle credenziali avviene tramite LSA.The locking is initiated through Winlogon whereas the credential management is done by LSA. Eseguendo l'accesso automaticamente e il blocco della sessione dell'utente sulla console, alle applicazioni schermata di blocco dell'utente è riavviate e disponibili.By automatically signing in and locking the user's session on the console, the user's lock screen applications is restarted and available.

Per altre informazioni sulle ARSO, vedere Winlogon automatica riavviare Sign-On (ARSO).For more information about ARSO, see Winlogon Automatic Restart Sign-On (ARSO).

Gestione nomi utente e password in Windows Vista e Windows XPStored user names and passwords in Windows Vista and Windows XP

In Windows Server 2008, Windows Server 2003, Windows Vista e Windows XP archiviati nomi utente e password nel Pannello di controllo consente di semplificare la gestione e l'uso di più insiemi di credenziali di accesso, inclusi i certificati X.509 usati con smart card e le credenziali di Windows Live (ora denominate account Microsoft).In Windows Server 2008 , Windows Server 2003, Windows Vista, and Windows XP, Stored User Names and Passwords in Control Panel simplifies the management and use of multiple sets of logon credentials, including X.509 certificates used with smart cards and Windows Live credentials (now called Microsoft account). -Parte del profilo dell'utente: le credenziali vengono archiviate fino a quando necessario.The credentials - part of the user's profile - are stored until needed. Questa azione può aumentare la sicurezza una base alle risorse, garantendo che se una password è compromesso, non comprometta tutta la sicurezza.This action can increase security on a per-resource basis by ensuring that if one password is compromised, it does not compromise all security.

Dopo che un utente accede e tenta di accedere a risorse aggiuntive protetto da password, ad esempio una condivisione in un server, e se le credenziali di accesso predefinite dell'utente non sono sufficienti per ottenere l'accesso archiviati nomi utente e password viene eseguita una query .After a user logs on and attempts to access additional password-protected resources, such as a share on a server, and if the user's default logon credentials are not sufficient to gain access, Stored User Names and Passwords is queried. Se sono state salvate credenziali alternative con le informazioni di accesso corretto nelle archiviati nomi utente e password, queste credenziali vengono usate per ottenere l'accesso.If alternate credentials with the correct logon information have been saved in Stored User Names and Passwords, these credentials are used to gain access. In caso contrario, l'utente viene richiesto di fornire nuove credenziali, che possono essere quindi salvate per il riutilizzo, in un secondo momento nella sessione di accesso o durante una sessione successiva.Otherwise, the user is prompted to supply new credentials, which can then be saved for reuse, either later in the logon session or during a subsequent session.

Si applicano le restrizioni seguenti:The following restrictions apply:

  • Se archiviati nomi utente e password contiene le credenziali non valide o non corrette per una risorsa specifica, l'accesso alla risorsa viene negata e il archiviati nomi utente e password non la finestra di dialogo vengono visualizzati.If Stored User Names and Passwords contains invalid or incorrect credentials for a specific resource, access to the resource is denied, and the Stored User Names and Passwords dialog box does not appear.

  • I nomi utente e password archiviati archivia le credenziali solo per protocollo Kerberos, NTLM, account Microsoft (precedentemente Windows Live ID) e l'autenticazione di Secure Sockets Layer (SSL).Stored User Names and Passwords stores credentials only for NTLM, Kerberos protocol, Microsoft account (formerly Windows Live ID), and Secure Sockets Layer (SSL) authentication. Alcune versioni di Internet Explorer mantengono le proprie cache per l'autenticazione di base.Some versions of Internet Explorer maintain their own cache for basic authentication.

Queste credenziali diventano una parte del profilo locale dell'utente nella directory Settings\NomeUtente\Application Data\Microsoft\Credentials \Documents and crittografata.These credentials become an encrypted part of a user's local profile in the \Documents and Settings\Username\Application Data\Microsoft\Credentials directory. Di conseguenza, queste credenziali possono effettuare il roaming con l'utente se criteri di rete dell'utente supportano i profili utente mobili.As a result, these credentials can roam with the user if the user's network policy supports Roaming User Profiles. Tuttavia, se l'utente ha copie dei archiviati nomi utente e password su due computer differenti e modifiche le credenziali che sono associate con la risorsa in uno di questi computer, la modifica non viene propagata al I nomi utente e password archiviati nel secondo computer.However, if the user has copies of Stored User Names and Passwords on two different computers and changes the credentials that are associated with the resource on one of these computers, the change is not propagated to Stored User Names and Passwords on the second computer.

Insieme di credenziali di Windows e gestione credenzialiWindows Vault and Credential Manager

Gestione credenziali è stato introdotto in Windows Server 2008 R2 e Windows 7 come funzionalità del Pannello di controllo per archiviare e gestire nomi utente e password.Credential Manager was introduced in Windows Server 2008 R2 and Windows 7 as a Control Panel feature to store and manage user names and passwords. Gestione credenziali consente agli utenti di archiviare le credenziali rilevanti per altri sistemi e siti Web nell'insieme di credenziali di Windows protetto.Credential Manager lets users store credentials relevant to other systems and websites in the secure Windows Vault. Alcune versioni di Internet Explorer usano questa funzionalità per l'autenticazione per siti Web.Some versions of Internet Explorer use this feature for authentication to websites.

La gestione delle credenziali mediante Gestione credenziali è controllata dall'utente nel computer locale.Credential management by using Credential Manager is controlled by the user on the local computer. Gli utenti possono salvare e archiviare le credenziali dai browser supportati e dalle applicazioni Windows in modo da rendere più pratico l'accesso a queste risorse.Users can save and store credentials from supported browsers and Windows applications to make it convenient when they need to sign in to these resources. Le credenziali vengono salvate in speciali cartelle crittografate nel computer nel profilo dell'utente.Credentials are saved in special encrypted folders on the computer under the user's profile. Le applicazioni che supportano questa funzionalità (utilizzando l'API di gestione credenziali), ad esempio i browser web e App, possono presentare le credenziali corrette ad altri computer e siti Web durante il processo di accesso.Applications that support this feature (through the use of the Credential Manager APIs), such as web browsers and apps, can present the correct credentials to other computers and websites during the logon process.

Quando un sito Web, un'applicazione o un altro computer richiede l'autenticazione tramite il protocollo Kerberos o NTLM, una finestra di dialogo viene visualizzata in cui si seleziona il Aggiorna credenziali predefinite o Salva Passwordcasella di controllo.When a website, an application, or another computer requests authentication through NTLM or the Kerberos protocol, a dialog box appears in which you select the Update Default Credentials or Save Password check box. Questa finestra di dialogo che consente agli utenti di salvare le credenziali in locale viene generata da un'applicazione che supporta le API di gestione credenziali.This dialog box that lets a user save credentials locally is generated by an application that supports the Credential Manager APIs. Se l'utente seleziona il Salva Password casella di controllo, Gestione credenziali tiene traccia di nome utente dell'utente, password e informazioni correlate per il servizio di autenticazione in uso.If the user selects the Save Password check box, Credential Manager keeps track of the user's user name, password, and related information for the authentication service that is in use.

La volta successiva che viene usato il servizio, Gestione credenziali fornisce automaticamente le credenziali che viene archiviata nell'insieme di credenziali di Windows.The next time the service is used, Credential Manager automatically supplies the credential that is stored in the Windows Vault. Se queste non vengono accettate, le informazioni di accesso corrette vengono richieste all'utente.If it is not accepted, the user is prompted for the correct access information. Se viene concesso l'accesso con le nuove credenziali, Gestione credenziali sovrascrivono le precedenti con quello nuovo e quindi Archivia le nuove credenziali nell'insieme di credenziali di Windows.If access is granted with the new credentials, Credential Manager overwrites the previous credential with the new one and then stores the new credential in the Windows Vault.

Database di gestione degli account di sicurezzaSecurity Accounts Manager database

La gestione di account di sicurezza (SAM) è un database che archivia i gruppi e account utente locali.The Security Accounts Manager (SAM) is a database that stores local user accounts and groups. È presente in ogni sistema operativo Windows; Tuttavia, quando un computer è unito a un dominio, Active Directory gestisce gli account di dominio nei domini Active Directory.It is present in every Windows operating system; however, when a computer is joined to a domain, Active Directory manages domain accounts in Active Directory domains.

Ad esempio, i computer client che eseguono un sistema operativo Windows partecipano a un dominio di rete mediante la comunicazione con un controller di dominio anche quando non è connesso alcun utente umano.For example, client computers running a Windows operating system participate in a network domain by communicating with a domain controller even when no human user is logged on. Per avviare le comunicazioni, il computer deve avere un account attivo del dominio.To initiate communications, the computer must have an active account in the domain. Prima di accettare le comunicazioni dal computer, LSA nel controller di dominio autentica l'identità del computer e quindi crea il contesto di sicurezza del computer esattamente come avviene per un'entità di sicurezza risorse umane.Before accepting communications from the computer, the LSA on the domain controller authenticates the computer's identity and then constructs the computer's security context just as it does for a human security principal. In questo contesto di sicurezza definisce le identità e le funzionalità di un utente o un servizio in un determinato computer o un utente, il servizio oppure computer in una rete.This security context defines the identity and capabilities of a user or service on a particular computer or a user, service, or computer on a network. Ad esempio, il token di accesso contenuto all'interno del contesto di sicurezza definisce le risorse (ad esempio una condivisione file o una stampante) che è possibile accedere e le azioni che possono essere eseguite da tale entità - un utente, computer o servizio su esso (ad esempio lettura, scrittura o modifica) risorsa.For example, the access token contained within the security context defines the resources (such as a file share or printer) that can be accessed and the actions (such as Read, Write, or Modify) that can be performed by that principal - a user, computer, or service on that resource.

Il contesto di sicurezza di un utente o computer può variare da un computer a un altro, ad esempio quando un utente accede a un workstation o un server diverso da workstation primario dell'utente.The security context of a user or computer can vary from one computer to another, such as when a user logs on to a server or a workstation other than the user's own primary workstation. Anche può variare da una sessione a altra, ad esempio quando un amministratore modifica i diritti e autorizzazioni dell'utente.It can also vary from one session to another, such as when an administrator modifies the user's rights and permissions. Inoltre, il contesto di sicurezza è in genere diverso quando un utente o computer opera in modo autonomo, in una rete o come parte di un dominio di Active Directory.In addition, the security context is usually different when a user or computer is operating on a stand-alone basis, in a network, or as part of an Active Directory domain.

I domini locali e dei domini trustedLocal domains and trusted domains

Quando esiste una relazione di trust tra due domini, i meccanismi di autenticazione per ogni dominio si basano sulla validità dell'autenticazione di provenienti da altro dominio.When a trust exists between two domains, the authentication mechanisms for each domain rely on the validity of the authentications coming from the other domain. Considera attendibile la Guida per fornire accesso controllato alle risorse condivise in un dominio di risorsa (il dominio trusting) verificando che l'autenticazione in ingresso richieste provenienza da un'autorità attendibile (il dominio trusted).Trusts help to provide controlled access to shared resources in a resource domain (the trusting domain) by verifying that incoming authentication requests come from a trusted authority (the trusted domain). In questo modo, i trust agiscono come bridge che consentano solo convalidata viaggio di richieste di autenticazione tra domini.In this way, trusts act as bridges that let only validated authentication requests travel between domains.

La modalità con cui una relazione di trust specifico passa le richieste di autenticazione dipende dal modo in cui è configurato.How a specific trust passes authentication requests depends on how it is configured. Relazioni di trust possono essere unidirezionale, consentendo l'accesso dal dominio trusted alle risorse nel dominio trusting o bidirezionale, fornendo l'accesso da ogni dominio alle risorse in altro dominio.Trust relationships can be one-way, by providing access from the trusted domain to resources in the trusting domain, or two-way, by providing access from each domain to resources in the other domain. Relazioni di trust sono inoltre non, nel qual caso non esiste una relazione di trust solo tra i domini di due trust partner, transitive o transitive, nel qual caso una relazione di trust esteso automaticamente ad altri domini trusting di entrambi i partner.Trusts are also either nontransitive, in which case a trust exists only between the two trust partner domains, or transitive, in which case a trust automatically extends to any other domains that either of the partners trusts.

Per informazioni sulle relazioni di trust tra domini e foreste relative all'autenticazione, vedere relazioni di Trust e dell'autenticazione delegata.For information about domain and forest trust relationships regarding authentication, see Delegated Authentication and Trust Relationships.

Certificati di autenticazione basata su WindowsCertificates in Windows authentication

Un'infrastruttura a chiave pubblica (PKI) è la combinazione di software, le tecnologie di crittografia, processi e servizi che consentono alle organizzazioni di proteggere le comunicazioni e le transazioni aziendali.A public key infrastructure (PKI) is the combination of software, encryption technologies, processes, and services that enable an organization to secure its communications and business transactions. La capacità di un'infrastruttura a chiave pubblica per proteggere le comunicazioni e le transazioni aziendali si basa sullo scambio di certificati digitali tra gli utenti autenticati e alle risorse attendibili.The ability of a PKI to secure communications and business transactions is based on the exchange of digital certificates between authenticated users and trusted resources.

Un certificato digitale è un documento elettronico contenente informazioni sull'entità che a cui appartiene l'entità da che sia stato emesso, un numero di serie univoco o alcuni altri identificazione univoca, rilascio e date di scadenza e un'impronta digitale.A digital certificate is an electronic document that contains information about the entity it belongs to, the entity it was issued by, a unique serial number or some other unique identification, issuance and expiration dates, and a digital fingerprint.

L'autenticazione è il processo volto a determinare se un host remoto può essere considerato attendibile.Authentication is the process of determining if a remote host can be trusted. Per stabilire la sua affidabilità, l'host remoto deve fornire un certificato di autenticazione accettabile.To establish its trustworthiness, the remote host must provide an acceptable authentication certificate.

Host remoti stabilire loro attendibilità ottenendo un certificato da un'autorità di certificazione (CA).Remote hosts establish their trustworthiness by obtaining a certificate from a certification authority (CA). L'autorità di certificazione possono, a sua volta, hanno la certificazione da un'autorità maggiore, che crea una catena di trust.The CA can, in turn, have certification from a higher authority, which creates a chain of trust. Per determinare se un certificato è attendibile, un'applicazione deve determinare l'identità della CA radice e quindi determinare se è attendibile.To determine whether a certificate is trustworthy, an application must determine the identity of the root CA, and then determine if it is trustworthy.

Analogamente, il computer locale o un host remoto deve determinare se il certificato presentato dall'utente o dell'applicazione è autentico.Similarly, the remote host or local computer must determine if the certificate presented by the user or application is authentic. Il certificato presentato dall'utente tramite la LSA e SSPI viene valutato l'autenticità del computer locale per l'accesso locale, nella rete o nel dominio tramite gli archivi certificati in Active Directory.The certificate presented by the user through the LSA and SSPI is evaluated for authenticity on the local computer for local logon, on the network, or on the domain through the certificate stores in Active Directory.

Per generare un certificato, i dati di autenticazione passa attraverso gli algoritmi di hash, ad esempio Secure Hash Algorithm 1 (SHA1), per produrre un digest del messaggio.To produce a certificate, authentication data passes through hash algorithms, such as Secure Hash Algorithm 1 (SHA1), to produce a message digest. Quindi il digest del messaggio sono firmati digitalmente con chiave privata del mittente per dimostrare che il digest del messaggio è stato generato dal mittente.The message digest is then digitally signed by using the sender's private key to prove that the message digest was produced by the sender.

Nota

SHA1 è l'impostazione predefinita in Windows 7 e Windows Vista, ma è stato modificato in SHA-2 in Windows 8.SHA1 is the default in Windows 7 and Windows Vista, but was changed to SHA2 in Windows 8.

Autenticazione con smart cardSmart card authentication

Tecnologia delle smart card è un esempio dell'autenticazione basata su certificato.Smart card technology is an example of certificate-based authentication. L'accesso a una rete con una smart card rappresenta un tipo di autenticazione sicuro perché Usa basati su crittografia identificazione e la prova di possesso durante l'autenticazione di un utente a un dominio.Logging on to a network with a smart card provides a strong form of authentication because it uses cryptography-based identification and proof of possession when authenticating a user to a domain. Servizi certificati Active Directory (AD CS) fornisce l'identificazione di crittografia basate su attraverso il rilascio di un certificato di accesso per ogni smart card.Active Directory Certificate Services (AD CS) provides the cryptographic-based identification through the issuance of a logon certificate for each smart card.

Per informazioni sull'autenticazione con smart card, vedere la tecnica delle Smart Card Windows.For information about smart card authentication, see the Windows Smart Card Technical Reference.

La tecnologia smart card virtuale è stata introdotta in Windows 8.Virtual smart card technology was introduced in Windows 8. Archivia il certificato della smart card nel PC e quindi lo protegge con chip di sicurezza del dispositivo prova di manomissione modulo TPM (Trusted Platform).It stores the smart card's certificate in the PC, and then protects it by using the device's tamper-proof Trusted Platform Module (TPM) security chip. In questo modo, il PC diventa di fatto la smart card che devono ricevere il PIN dell'utente per poter essere autenticato.In this way, the PC actually becomes the smart card which must receive the user's PIN in order to be authenticated.

Autenticazione remota e wirelessRemote and wireless authentication

L'autenticazione di rete wireless e remoto è un'altra tecnologia che usa i certificati per l'autenticazione.Remote and wireless network authentication is another technology that uses certificates for authentication. Il Servizio autenticazione Internet (IAS) e i server di rete privata virtuale utilizzano Extensible Authentication Protocol-Transport Level Security (EAP-TLS), PEAP Protected Extensible Authentication Protocol () o Internet Protocol security (IPsec) per eseguire l'autenticazione basata su certificati per molti tipi di accesso alla rete, inclusi la rete privata virtuale (VPN) e le connessioni wireless.The Internet Authentication Service (IAS) and virtual private network servers use Extensible Authentication Protocol-Transport Level Security (EAP-TLS), Protected Extensible Authentication Protocol (PEAP), or Internet Protocol security (IPsec) to perform certificate-based authentication for many types of network access, including virtual private network (VPN) and wireless connections.

Per informazioni sull'autenticazione basata su certificati in rete, vedere certificati e autenticazione di accesso di rete.For information about certificate-based authentication in networking, see Network access authentication and certificates.

Vedere ancheSee also

Concetti di autenticazione di WindowsWindows Authentication Concepts