Processi di credenziali in Autenticazione di WindowsCredentials Processes in Windows Authentication

Si applica a: Windows Server (Canale semestrale), Windows Server 2016Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

Questo argomento di riferimento per i professionisti IT descrive il modo in cui l'autenticazione di Windows elabora le credenziali.This reference topic for the IT professional describes how Windows authentication processes credentials.

Gestione delle credenziali di Windows è il processo mediante il quale il sistema operativo riceve le credenziali dal servizio o dall'utente e protegge tali informazioni per una presentazione futura alla destinazione di autenticazione.Windows credentials management is the process by which the operating system receives the credentials from the service or user and secures that information for future presentation to the authenticating target. Nel caso di un computer aggiunto al dominio, la destinazione di autenticazione è il controller di dominio.In the case of a domain-joined computer, the authenticating target is the domain controller. Le credenziali utilizzate per l'autenticazione sono documenti digitali che associano l'identità dell'utente a una forma di verifica dell'autenticità, ad esempio un certificato, una password o un PIN.The credentials used in authentication are digital documents that associate the user's identity to some form of proof of authenticity, such as a certificate, a password, or a PIN.

Per impostazione predefinita, le credenziali di Windows vengono convalidate in base al database di gestione degli account di sicurezza (SAM) nel computer locale o a Active Directory in un computer appartenente a un dominio tramite il servizio Winlogon.By default, Windows credentials are validated against the Security Accounts Manager (SAM) database on the local computer, or against Active Directory on a domain-joined computer, through the Winlogon service. Le credenziali vengono raccolte tramite l'input dell'utente nell'interfaccia utente di accesso o a livello di codice tramite il Application Programming Interface (API) da presentare alla destinazione di autenticazione.Credentials are collected through user input on the logon user interface or programmatically via the application programming interface (API) to be presented to the authenticating target.

Le informazioni di sicurezza locali vengono archiviate nel registro di sistema in HKEY_LOCAL_MACHINE\SECURITY.Local security information is stored in the registry under HKEY_LOCAL_MACHINE\SECURITY. Le informazioni archiviate includono le impostazioni dei criteri, i valori di sicurezza predefiniti e le informazioni sull'account, ad esempio le credenziali di accesso nella cache.Stored information includes policy settings, default security values, and account information, such as cached logon credentials. Una copia del database SAM viene anche archiviata qui, sebbene sia protetta da scrittura.A copy of the SAM database is also stored here, although it is write-protected.

Il diagramma seguente illustra i componenti necessari e i percorsi che le credenziali prendono attraverso il sistema per autenticare l'utente o il processo per un accesso riuscito.The following diagram shows the components that are required and the paths that credentials take through the system to authenticate the user or process for a successful logon.

Diagramma che mostra i componenti necessari e i percorsi che le credenziali prendono attraverso il sistema per autenticare l'utente o il processo per un accesso riuscito.

Nella tabella seguente vengono descritti i componenti che gestiscono le credenziali nel processo di autenticazione al momento dell'accesso.The following table describes each component that manages credentials in the authentication process at the point of logon.

Componenti di autenticazione per tutti i sistemiAuthentication components for all systems

ComponenteComponent DescrizioneDescription
Accesso utenteUser logon Winlogon.exe è il file eseguibile responsabile della gestione delle interazioni utente protette.Winlogon.exe is the executable file responsible for managing secure user interactions. Il servizio Winlogon avvia il processo di accesso per i sistemi operativi Windows passando le credenziali raccolte dall'azione dell'utente sul desktop sicuro (interfaccia utente di accesso) all'autorità di sicurezza locale (LSA) tramite Secur32.dll.The Winlogon service initiates the logon process for Windows operating systems by passing the credentials collected by user action on the secure desktop (Logon UI) to the Local Security Authority (LSA) through Secur32.dll.
Accesso all'applicazioneApplication logon Accessi dell'applicazione o del servizio che non richiedono l'accesso interattivo.Application or service logons that do not require interactive logon. La maggior parte dei processi avviati dall'utente viene eseguita in modalità utente utilizzando Secur32.dll mentre i processi avviati all'avvio, ad esempio i servizi, vengono eseguiti in modalità kernel utilizzando Ksecdd.sys.Most processes initiated by the user run in user mode by using Secur32.dll whereas processes initiated at startup, such as services, run in kernel mode by using Ksecdd.sys.

Per ulteriori informazioni sulla modalità utente e sulla modalità kernel, vedere applicazioni e modalità utente o servizi e modalità kernel in questo argomento.For more information about user mode and kernel mode, see Applications and User Mode or Services and Kernel Mode in this topic.

Secur32.dllSecur32.dll I provider di autenticazione multipli che costituiscono la base del processo di autenticazione.The multiple authentication providers that form the foundation of the authentication process.
Lsasrv.dllLsasrv.dll Il servizio del server LSA, che applica entrambi i criteri di sicurezza e funge da Gestione pacchetti di sicurezza per LSA.The LSA Server service, which both enforces security policies and acts as the security package manager for the LSA. L'LSA contiene la funzione Negotiate, che seleziona il protocollo NTLM o Kerberos dopo aver determinato il protocollo che deve avere esito positivo.The LSA contains the Negotiate function, which selects either the NTLM or Kerberos protocol after determining which protocol is to be successful.
Security Support ProviderSecurity Support Providers Set di provider che possono richiamare singolarmente uno o più protocolli di autenticazione.A set of providers that can individually invoke one or more authentication protocols. Il set predefinito di provider può essere modificato con ogni versione del sistema operativo Windows e i provider personalizzati possono essere scritti.The default set of providers can change with each version of the Windows operating system, and custom providers can be written.
Netlogon.dllNetlogon.dll I servizi eseguiti dal servizio Accesso rete sono i seguenti:The services that the Net Logon service performs are as follows:

-Mantiene il canale sicuro del computer (da non confondere con Schannel) in un controller di dominio.- Maintains the computer's secure channel (not to be confused with Schannel) to a domain controller.
: Passa le credenziali dell'utente tramite un canale protetto al controller di dominio e restituisce gli identificatori di sicurezza (SID) del dominio e i diritti utente per l'utente.- Passes the user's credentials through a secure channel to the domain controller and returns the domain security identifiers (SIDs) and user rights for the user.
: Pubblica i record di risorse del servizio nel Domain Name System (DNS) e usa DNS per risolvere i nomi negli indirizzi IP (Internet Protocol) dei controller di dominio.- Publishes service resource records in the Domain Name System (DNS) and uses DNS to resolve names to the Internet Protocol (IP) addresses of domain controllers.
: Implementa il protocollo di replica basato su RPC (Remote Procedure Call) per la sincronizzazione dei controller di dominio primario (PDC) e dei controller di dominio di backup (I BDC).- Implements the replication protocol based on remote procedure call (RPC) for synchronizing primary domain controllers (PDCs) and backup domain controllers (BDCs).

Samsrv.dllSamsrv.dll Gestione account di sicurezza (SAM), che archivia gli account di sicurezza locali, applica i criteri archiviati localmente e supporta le API.The Security Accounts Manager (SAM), which stores local security accounts, enforces locally stored policies and supports APIs.
RegistroRegistry Il registro di sistema contiene una copia del database SAM, le impostazioni dei criteri di sicurezza locali, i valori di sicurezza predefiniti e le informazioni sull'account accessibili solo al sistema.The Registry contains a copy of the SAM database, local security policy settings, default security values, and account information that is only accessible to the system.

In questo argomento sono incluse le sezioni seguenti:This topic contains the following sections:

Input delle credenziali per l'accesso utenteCredential input for user logon

In Windows Server 2008 e Windows Vista, l'architettura GINA (Graphical Identification and Authentication) è stata sostituita da un modello di provider di credenziali, che consente di enumerare diversi tipi di accesso tramite l'utilizzo dei riquadri di accesso.In Windows Server 2008 and Windows Vista, the Graphical Identification and Authentication (GINA) architecture was replaced with a credential provider model, which made it possible to enumerate different logon types through the use of logon tiles. Entrambi i modelli sono descritti di seguito.Both models are described below.

Architettura di identificazione e autenticazione graficaGraphical Identification and Authentication architecture

L'architettura GINA (Graphical Identification and Authentication) si applica ai sistemi operativi Windows Server 2003, Microsoft Windows 2000 Server, Windows XP e Windows 2000 Professional.The Graphical Identification and Authentication (GINA) architecture applies to the Windows Server 2003, Microsoft Windows 2000 Server, Windows XP, and Windows 2000 Professional operating systems. In questi sistemi, ogni sessione di accesso interattivo crea un'istanza separata del servizio Winlogon.In these systems, every interactive logon session creates a separate instance of the Winlogon service. L'architettura GINA viene caricata nello spazio di processo usato da Winlogon, riceve ed elabora le credenziali ed esegue le chiamate alle interfacce di autenticazione tramite LSALogonUser.The GINA architecture is loaded into the process space used by Winlogon, receives and processes the credentials, and makes the calls to the authentication interfaces through LSALogonUser.

Le istanze di Winlogon per un accesso interattivo vengono eseguite nella sessione 0.The instances of Winlogon for an interactive logon run in Session 0. La sessione 0 ospita i servizi di sistema e altri processi critici, incluso il processo dell'autorità di sicurezza locale (LSA).Session 0 hosts system services and other critical processes, including the Local Security Authority (LSA) process.

Il diagramma seguente illustra il processo di credenziale per Windows Server 2003, Microsoft Windows 2000 Server, Windows XP e Microsoft Windows 2000 Professional.The following diagram shows the credential process for Windows Server 2003, Microsoft Windows 2000 Server, Windows XP, and Microsoft Windows 2000 Professional.

Diagramma che illustra il processo di credenziale per Windows Server 2003, Microsoft Windows 2000 Server, Windows XP e Microsoft Windows 2000 Professional

Architettura del provider di credenzialiCredential provider architecture

L'architettura del provider di credenziali si applica alle versioni indicate nell'elenco si applica a all'inizio di questo argomento.The credential provider architecture applies to those versions designated in the Applies To list at the beginning of this topic. In questi sistemi, l'architettura di input delle credenziali è stata modificata in una progettazione estendibile usando i provider di credenziali.In these systems, the credentials input architecture changed to an extensible design by using credential providers. Questi provider sono rappresentati da diversi riquadri di accesso sul desktop protetto che consentono un numero qualsiasi di scenari di accesso, ovvero account diversi per lo stesso utente e metodi di autenticazione diversi, ad esempio password, smart card e biometria.These providers are represented by the different logon tiles on the secure desktop that permit any number of logon scenarios - different accounts for the same user and different authentication methods, such as password, smart card, and biometrics.

Con l'architettura del provider di credenziali, Winlogon avvia sempre l'interfaccia utente di accesso dopo aver ricevuto un evento di sequenza di attenzione sicura.With the credential provider architecture, Winlogon always starts Logon UI after it receives a secure attention sequence event. L'interfaccia utente di accesso esegue una query su ogni provider di credenziali per il numero di tipi di credenziali diversi configurati dal provider per l'enumerazione.Logon UI queries each credential provider for the number of different credential types the provider is configured to enumerate. I provider di credenziali hanno la possibilità di specificare uno di questi riquadri come valore predefinito.Credential providers have the option of specifying one of these tiles as the default. Dopo che tutti i provider hanno enumerato i riquadri, l'interfaccia utente di accesso li visualizza all'utente.After all providers have enumerated their tiles, Logon UI displays them to the user. L'utente interagisce con un riquadro per fornire le proprie credenziali.The user interacts with a tile to supply their credentials. L'interfaccia utente di accesso Invia le credenziali per l'autenticazione.Logon UI submits these credentials for authentication.

I provider di credenziali non sono meccanismi di imposizione.Credential providers are not enforcement mechanisms. Vengono usati per raccogliere e serializzare le credenziali.They are used to gather and serialize credentials. L'autorità di sicurezza locale e i pacchetti di autenticazione applicano la sicurezza.The Local Security Authority and authentication packages enforce security.

I provider di credenziali sono registrati nel computer e sono responsabili dei seguenti elementi:Credential providers are registered on the computer and are responsible for the following:

  • Descrizione delle informazioni sulle credenziali necessarie per l'autenticazione.Describing the credential information required for authentication.

  • Gestione della comunicazione e della logica con autorità di autenticazione esterne.Handling communication and logic with external authentication authorities.

  • Creazione di pacchetti di credenziali per l'accesso interattivo e di rete.Packaging credentials for interactive and network logon.

La creazione di pacchetti di credenziali per l'accesso interattivo e di rete include il processo di serializzazione.Packaging credentials for interactive and network logon includes the process of serialization. Serializzando le credenziali è possibile visualizzare più riquadri di accesso nell'interfaccia utente di accesso.By serializing credentials multiple logon tiles can be displayed on the logon UI. L'organizzazione può quindi controllare la visualizzazione di accesso, ad esempio gli utenti, i sistemi di destinazione per l'accesso, l'accesso con pre-accesso alla rete e i criteri di blocco/sblocco della workstation, tramite l'uso di provider di credenziali personalizzati.Therefore, your organization can control the logon display such as users, target systems for logon, pre-logon access to the network and workstation lock/unlock policies - through the use of customized credential providers. Più provider di credenziali possono coesistere nello stesso computer.Multiple credential providers can co-exist on the same computer.

I provider Single Sign-on (SSO) possono essere sviluppati come provider di credenziali standard o come provider di accesso di pre-accesso.Single sign-on (SSO) providers can be developed as a standard credential provider or as a Pre-Logon-Access Provider.

Ogni versione di Windows contiene un provider di credenziali predefinito e un provider di accesso pre-accesso predefinito (PLAP), noto anche come provider SSO.Each version of Windows contains one default credential provider and one default Pre-Logon-Access Provider (PLAP), also known as the SSO provider. Il provider SSO consente agli utenti di effettuare una connessione a una rete prima di accedere al computer locale.The SSO provider permits users to make a connection to a network before logging on to the local computer. Quando questo provider viene implementato, il provider non enumera i riquadri nell'interfaccia utente di accesso.When this provider is implemented, the provider does not enumerate tiles on Logon UI.

Un provider SSO può essere utilizzato negli scenari seguenti:A SSO provider is intended to be used in the following scenarios:

  • L'autenticazione di rete e l'accesso al computer vengono gestiti da diversi provider di credenziali.Network authentication and computer logon are handled by different credential providers. Le varianti a questo scenario includono:Variations to this scenario include:

    • Un utente ha la possibilità di connettersi a una rete, ad esempio la connessione a una rete privata virtuale (VPN), prima di accedere al computer, ma non è necessario per effettuare questa connessione.A user has the option of connecting to a network, such as connecting to a virtual private network (VPN), before logging on to the computer but is not required to make this connection.

    • L'autenticazione di rete è necessaria per recuperare le informazioni utilizzate durante l'autenticazione interattiva nel computer locale.Network authentication is required to retrieve information used during interactive authentication on the local computer.

    • Più autenticazioni di rete sono seguite da uno degli altri scenari.Multiple network authentications are followed by one of the other scenarios. Ad esempio, un utente esegue l'autenticazione a un provider di servizi Internet (ISP), esegue l'autenticazione a una VPN e quindi usa le credenziali dell'account utente per accedere localmente.For example, a user authenticates to an Internet service provider (ISP), authenticates to a VPN, and then uses their user account credentials to log on locally.

    • Le credenziali memorizzate nella cache sono disabilitate e una connessione dei servizi di accesso remoto tramite VPN è richiesta prima dell'accesso locale per autenticare l'utente.Cached credentials are disabled, and a Remote Access Services connection through VPN is required before local logon to authenticate the user.

    • Un utente di dominio non dispone di un account locale configurato in un computer aggiunto a un dominio e deve stabilire una connessione a servizi di accesso remoto tramite la connessione VPN prima di completare l'accesso interattivo.A domain user does not have a local account set up on a domain-joined computer and must establish a Remote Access Services connection through VPN connection before completing interactive logon.

  • L'autenticazione di rete e l'accesso al computer vengono gestiti dallo stesso provider di credenziali.Network authentication and computer logon are handled by the same credential provider. In questo scenario, è necessario che l'utente si connetta alla rete prima di accedere al computer.In this scenario, the user is required to connect to the network before logging on to the computer.

Enumerazione riquadro di accessoLogon tile enumeration

Il provider di credenziali enumera i riquadri di accesso nelle istanze seguenti:The credential provider enumerates logon tiles in the following instances:

  • Per i sistemi operativi designati nell'elenco si applica a all'inizio di questo argomento.For those operating systems designated in the Applies to list at the beginning of this topic.

  • Il provider di credenziali enumera i riquadri per l'accesso alla workstation.The credential provider enumerates the tiles for workstation logon. Il provider di credenziali serializza in genere le credenziali per l'autenticazione nell'autorità di sicurezza locale.The credential provider typically serializes credentials for authentication to the local security authority. Questo processo Visualizza i riquadri specifici per ogni utente e specifici per i sistemi di destinazione di ogni utente.This process displays tiles specific for each user and specific to each user's target systems.

  • L'architettura di accesso e autenticazione consente a un utente di utilizzare i riquadri enumerati dal provider di credenziali per sbloccare una workstation.The logon and authentication architecture lets a user use tiles enumerated by the credential provider to unlock a workstation. In genere, l'utente attualmente connesso è il riquadro predefinito, ma se più di un utente è connesso, vengono visualizzati numerosi riquadri.Typically, the currently logged-on user is the default tile, but if more than one user is logged on, numerous tiles are displayed.

  • Il provider di credenziali enumera i riquadri in risposta a una richiesta dell'utente per modificare la password o altre informazioni private, ad esempio un PIN.The credential provider enumerates tiles in response to a user request to change their password or other private information, such as a PIN. In genere, l'utente attualmente connesso è il riquadro predefinito; Tuttavia, se più di un utente è connesso, vengono visualizzati numerosi riquadri.Typically, the currently logged-on user is the default tile; however, if more than one user is logged on, numerous tiles are displayed.

  • Il provider di credenziali enumera i riquadri in base alle credenziali serializzate da utilizzare per l'autenticazione nei computer remoti.The credential provider enumerates tiles based on the serialized credentials to be used for authentication on remote computers. Nell'interfaccia utente delle credenziali non viene utilizzata la stessa istanza del provider dell'interfaccia utente di accesso, di sblocco della workstation o di modifica della password.Credential UI does not use the same instance of the provider as the Logon UI, Unlock Workstation, or Change Password. Non è pertanto possibile mantenere le informazioni sullo stato nel provider tra le istanze dell'interfaccia utente delle credenziali.Therefore, state information cannot be maintained in the provider between instances of Credential UI. Questa struttura restituisce un riquadro per ogni accesso al computer remoto, supponendo che le credenziali siano state serializzate correttamente.This structure results in one tile for each remote computer logon, assuming the credentials have been correctly serialized. Questo scenario viene utilizzato anche in controllo dell'account utente, che consente di impedire modifiche non autorizzate a un computer richiedendo all'utente l'autorizzazione o una password di amministratore prima di consentire azioni che potrebbero influire sull'operazione del computer o che potrebbero modificare le impostazioni che interessano altri utenti del computer.This scenario is also used in User Account Control (UAC), which can help prevent unauthorized changes to a computer by prompting the user for permission or an administrator password before permitting actions that could potentially affect the computer's operation or that could change settings that affect other users of the computer.

Il diagramma seguente illustra il processo di credenziale per i sistemi operativi designati nell'elenco si applica a all'inizio di questo argomento.The following diagram shows the credential process for the operating systems designated in the Applies To list at the beginning of this topic.

Diagramma che illustra il processo di credenziale per i sistemi operativi indicati nell'elenco * * si applica a * * all'inizio di questo argomento

Input delle credenziali per l'accesso all'applicazione e al servizioCredential input for application and service logon

L'autenticazione di Windows è progettata per gestire le credenziali per le applicazioni o i servizi che non richiedono l'interazione dell'utente.Windows authentication is designed to manage credentials for applications or services that do not require user interaction. Le applicazioni in modalità utente sono limitate in termini di risorse di sistema a cui hanno accesso, mentre i servizi possono avere accesso illimitato alla memoria di sistema e ai dispositivi esterni.Applications in user mode are limited in terms of what system resources they have access to, while services can have unrestricted access to the system memory and external devices.

I servizi di sistema e le applicazioni a livello di trasporto accedono a un Security Support Provider (SSP) tramite Security Support Provider Interface (SSPI) in Windows, che fornisce funzioni per l'enumerazione dei pacchetti di sicurezza disponibili in un sistema, la selezione di un pacchetto e l'utilizzo di tale pacchetto per ottenere una connessione autenticata.System services and transport-level applications access an Security Support Provider (SSP) through the Security Support Provider Interface (SSPI) in Windows, which provides functions for enumerating the security packages available on a system, selecting a package, and using that package to obtain an authenticated connection.

Quando viene autenticata una connessione client/server:When a client/server connection is authenticated:

  • L'applicazione sul lato client della connessione Invia le credenziali al server utilizzando la funzione SSPI InitializeSecurityContext (General) .The application on the client side of the connection sends credentials to the server by using the SSPI function InitializeSecurityContext (General).

  • L'applicazione sul lato server della connessione risponde con la funzione SSPI AcceptSecurityContext (General) .The application on the server side of the connection responds with the SSPI function AcceptSecurityContext (General).

  • Le funzioni SSPI InitializeSecurityContext (General) e AcceptSecurityContext (General) vengono ripetute fino a quando non vengono scambiati tutti i messaggi di autenticazione necessari per l'autenticazione con esito positivo o negativo.The SSPI functions InitializeSecurityContext (General) and AcceptSecurityContext (General) are repeated until all the necessary authentication messages have been exchanged to either succeed or fail authentication.

  • Dopo che la connessione è stata autenticata, l'LSA sul server utilizza le informazioni del client per compilare il contesto di sicurezza, che contiene un token di accesso.After the connection has been authenticated, the LSA on the server uses information from the client to build the security context, which contains an access token.

  • Il server può quindi chiamare la funzione SSPI ImpersonateSecurityContext per alleghiare il token di accesso a un thread di rappresentazione per il servizio.The server can then call the SSPI function ImpersonateSecurityContext to attach the access token to an impersonation thread for the service.

Applicazioni e modalità utenteApplications and user mode

La modalità utente in Windows è costituita da due sistemi in grado di passare le richieste di I/O ai driver in modalità kernel appropriati: il sistema dell'ambiente, che esegue applicazioni scritte per molti tipi diversi di sistemi operativi, e il sistema integrale, che opera funzioni specifiche del sistema per conto del sistema dell'ambiente.User mode in Windows is composed of two systems capable of passing I/O requests to the appropriate kernel-mode drivers: the environment system, which runs applications written for many different types of operating systems, and the integral system, which operates system-specific functions on behalf of the environment system.

Il sistema integrale gestisce le funzioni system'specific operative per conto del sistema dell'ambiente ed è costituito da un processo di sistema di sicurezza (LSA), da un servizio workstation e da un servizio Server.The integral system manages operating system'specific functions on behalf of the environment system and consists of a security system process (the LSA), a workstation service, and a server service. Il processo del sistema di sicurezza gestisce i token di sicurezza, concede o nega le autorizzazioni per accedere agli account utente in base alle autorizzazioni delle risorse, gestisce le richieste di accesso e avvia l'autenticazione di accesso e determina le risorse di sistema che il sistema operativo deve controllare.The security system process deals with security tokens, grants or denies permissions to access user accounts based on resource permissions, handles logon requests and initiates logon authentication, and determines which system resources the operating system needs to audit.

Le applicazioni possono essere eseguite in modalità utente in cui l'applicazione può essere eseguita come qualsiasi entità, incluso nel contesto di sicurezza del sistema locale (sistema).Applications can run in user mode where the application can run as any principal, including in the security context of Local System (SYSTEM). Le applicazioni possono anche essere eseguite in modalità kernel in cui l'applicazione può essere eseguita nel contesto di sicurezza del sistema locale (sistema).Applications can also run in kernel mode where the application can run in the security context of Local System (SYSTEM).

SSPI è disponibile tramite il modulo Secur32.dll, ovvero un'API utilizzata per ottenere servizi di sicurezza integrati per l'autenticazione, l'integrità dei messaggi e la privacy dei messaggi.SSPI is available through the Secur32.dll module, which is an API used for obtaining integrated security services for authentication, message integrity, and message privacy. Fornisce un livello di astrazione tra i protocolli a livello di applicazione e i protocolli di sicurezza.It provides an abstraction layer between application-level protocols and security protocols. Poiché le diverse applicazioni richiedono diversi modi per identificare o autenticare gli utenti e modi diversi di crittografare i dati durante il trasferimento in rete, SSPI fornisce un modo per accedere alle librerie di collegamento dinamico (dll) che contengono funzioni di autenticazione e crittografia diverse.Because different applications require different ways of identifying or authenticating users and different ways of encrypting data as it travels across a network, SSPI provides a way to access dynamic-link libraries (DLLs) that contain different authentication and cryptographic functions. Queste dll sono denominate SSP (Security Support Provider).These DLLs are called Security Support Providers (SSPs).

Gli account dei servizi gestiti e gli account virtuali sono stati introdotti in Windows Server 2008 R2 e Windows 7 per fornire applicazioni cruciali, ad esempio Microsoft SQL Server e Internet Information Services (IIS), con l'isolamento dei propri account di dominio, eliminando la necessità di un amministratore di amministrare manualmente il nome dell'entità servizio (SPN) e le credenziali per questi account.Managed service accounts and virtual accounts were introduced in Windows Server 2008 R2 and Windows 7 to provide crucial applications, such as Microsoft SQL Server and Internet Information Services (IIS), with the isolation of their own domain accounts, while eliminating the need for an administrator to manually administer the service principal name (SPN) and credentials for these accounts. Per ulteriori informazioni su queste funzionalità e sul relativo ruolo nell'autenticazione, vedere la documentazione relativa agli account dei servizi gestiti per Windows 7 e Windows Server 2008 R2 e Panoramica degli account del servizio gestito del gruppo.For more information about these features and their role in authentication, see Managed Service Accounts Documentation for Windows 7 and Windows Server 2008 R2 and Group Managed Service Accounts Overview.

Servizi e modalità kernelServices and kernel mode

Anche se la maggior parte delle applicazioni Windows viene eseguita nel contesto di sicurezza dell'utente che li avvia, questo non è vero per i servizi.Even though most Windows applications run in the security context of the user who starts them, this is not true of services. Molti servizi di Windows, ad esempio servizi di stampa e di rete, vengono avviati dal controller del servizio quando l'utente avvia il computer.Many Windows services, such as network and printing services, are started by the service controller when the user starts the computer. Questi servizi possono essere eseguiti come servizio locale o sistema locale e potrebbero continuare a essere eseguiti dopo che l'ultimo utente si disconnette.These services might run as Local Service or Local System and might continue to run after the last human user logs off.

Nota

I servizi vengono in genere eseguiti in contesti di sicurezza noti come sistema locale (sistema), servizio di rete o servizio locale.Services normally run in security contexts known as Local System (SYSTEM), Network Service, or Local Service. Windows Server 2008 R2 ha introdotto servizi che vengono eseguiti con un account del servizio gestito, che sono entità di dominio.Windows Server 2008 R2 introduced services that run under a managed service account, which are domain principals.

Prima di avviare un servizio, il controller di servizio esegue l'accesso utilizzando l'account designato per il servizio, quindi presenta le credenziali del servizio per l'autenticazione da parte di LSA.Before starting a service, the service controller logs on by using the account that is designated for the service, and then presents the service's credentials for authentication by the LSA. Il servizio Windows implementa un'interfaccia a livello di codice che può essere utilizzata da Gestione controller di servizi per controllare il servizio.The Windows service implements a programmatic interface that the service controller manager can use to control the service. Un servizio Windows può essere avviato automaticamente all'avvio del sistema o manualmente con un programma di controllo del servizio.A Windows service can be started automatically when the system is started or manually with a service control program. Ad esempio, quando un computer client Windows viene aggiunto a un dominio, il servizio Messenger nel computer si connette a un controller di dominio e apre un canale sicuro.For example, when a Windows client computer joins a domain, the messenger service on the computer connects to a domain controller and opens a secure channel to it. Per ottenere una connessione autenticata, il servizio deve disporre di credenziali attendibili per l'autorità di protezione locale (LSA) del computer remoto.To obtain an authenticated connection, the service must have credentials that the remote computer's Local Security Authority (LSA) trusts. Quando si comunica con altri computer della rete, LSA usa le credenziali per l'account di dominio del computer locale, così come tutti gli altri servizi in esecuzione nel contesto di sicurezza del sistema locale e del servizio di rete.When communicating with other computers in the network, LSA uses the credentials for the local computer's domain account, as do all other services running in the security context of the Local System and Network Service. I servizi nel computer locale vengono eseguiti come sistema, pertanto non è necessario che le credenziali vengano presentate all'LSA.Services on the local computer run as SYSTEM so credentials do not need to be presented to the LSA.

Il file Ksecdd.sys gestisce e crittografa le credenziali e utilizza una chiamata di procedura locale nell'LSA.The file Ksecdd.sys manages and encrypts these credentials and uses a local procedure call into the LSA. Il tipo di file è DRV (driver) ed è noto come SSP (Security Support Provider) in modalità kernel e, nelle versioni indicate nell'elenco si applica a all'inizio di questo argomento, è conforme a FIPS 140-2 Level 1.The file type is DRV (driver) and is known as the kernel-mode Security Support Provider (SSP) and, in those versions designated in the Applies To list at the beginning of this topic, is FIPS 140-2 Level 1-compliant.

La modalità kernel ha accesso completo alle risorse hardware e di sistema del computer.Kernel mode has full access to the hardware and system resources of the computer. La modalità kernel interrompe l'accesso alle aree critiche del sistema operativo da parte dei servizi e delle applicazioni in modalità utente a cui non dovrebbero accedere.The kernel mode stops user-mode services and applications from accessing critical areas of the operating system that they should not have access to.

Autorità di sicurezza localeLocal Security Authority

L'autorità di sicurezza locale (LSA) è un processo di sistema protetto che consente di autenticare e registrare gli utenti nel computer locale.The Local Security Authority (LSA) is a protected system process that authenticates and logs users on to the local computer. Inoltre, LSA mantiene le informazioni su tutti gli aspetti della sicurezza locale in un computer (questi aspetti sono collettivamente noti come criteri di sicurezza locali) e fornisce vari servizi per la conversione tra i nomi e gli identificatori di sicurezza (SID).In addition, LSA maintains information about all aspects of local security on a computer (these aspects are collectively known as the local security policy), and it provides various services for translation between names and security identifiers (SIDs). Il processo del sistema di sicurezza, LSASS (Local Security Authority Server Service), tiene traccia dei criteri di sicurezza e degli account attivi in un sistema di computer.The security system process, Local Security Authority Server Service (LSASS), keeps track of the security policies and the accounts that are in effect on a computer system.

LSA convalida l'identità di un utente in base a quale delle due entità seguenti ha emesso l'account dell'utente:The LSA validates a user's identity based on which of the following two entities issued the user's account:

  • Autorità di sicurezza locale.Local Security Authority. L'LSA può convalidare le informazioni utente controllando il database di gestione degli account di sicurezza (SAM) presente nello stesso computer.The LSA can validate user information by checking the Security Accounts Manager (SAM) database located on the same computer. Qualsiasi workstation o server membro può archiviare account utente locali e informazioni sui gruppi locali.Any workstation or member server can store local user accounts and information about local groups. Tuttavia, questi account possono essere usati per accedere solo a tale workstation o computer.However, these accounts can be used for accessing only that workstation or computer.

  • Autorità di sicurezza per il dominio locale o per un dominio trusted.Security authority for the local domain or for a trusted domain. Il LSA Contatta l'entità che ha emesso l'account e richiede la verifica che l'account sia valido e che la richiesta sia stata originata dal titolare dell'account.The LSA contacts the entity that issued the account and requests verification that the account is valid and that the request originated from the account holder.

Il servizio LSASS (Local Security Authority Subsystem Service) permette di archiviare credenziali in memoria per conto di utenti con sessioni attive di Windows.The Local Security Authority Subsystem Service (LSASS) stores credentials in memory on behalf of users with active Windows sessions. Le credenziali archiviate consentono agli utenti di accedere facilmente alle risorse di rete, ad esempio condivisioni file, cassette postali di Exchange Server e siti di SharePoint, senza immettere di nuovo le credenziali per ogni servizio remoto.The stored credentials let users seamlessly access network resources, such as file shares, Exchange Server mailboxes, and SharePoint sites, without re-entering their credentials for each remote service.

Il servizio LSASS permette di archiviare credenziali in più formati, inclusi i seguenti:LSASS can store credentials in multiple forms, including:

  • Testo normale crittografato in modo reversibileReversibly encrypted plaintext

  • Ticket Kerberos (ticket-concessione ticket (TGT), ticket di servizio)Kerberos tickets (ticket-granting tickets (TGTs), service tickets)

  • Hash NTNT hash

  • Hash di LAN Manager (LM)LAN Manager (LM) hash

Se l'utente accede a Windows usando una smart card, LSASS non archivia una password in testo non crittografato, ma archivia il valore hash NT corrispondente per l'account e il PIN in testo non crittografato per la smart card.If the user logs on to Windows by using a smart card, LSASS does not store a plaintext password, but it stores the corresponding NT hash value for the account and the plaintext PIN for the smart card. Se l'attributo dell'account è abilitato per una smart card necessaria per l'accesso interattivo, un valore di hash NT casuale viene generato automaticamente per l'account invece dell'hash della password originale.If the account attribute is enabled for a smart card that is required for interactive logon, a random NT hash value is automatically generated for the account instead of the original password hash. L'hash di password generato automaticamente quando si imposta l'attributo non viene modificato.The password hash that is automatically generated when the attribute is set does not change.

Se un utente accede a un computer basato su Windows con una password compatibile con gli hash di LAN Manager (LM), questo autenticatore è presente in memoria.If a user logs on to a Windows-based computer with a password that is compatible with LAN Manager (LM) hashes, this authenticator is present in memory.

L'archiviazione di credenziali in testo non crittografato in memoria non può essere disabilitata, anche se i provider di credenziali che le richiedono sono disabilitati.The storage of plaintext credentials in memory cannot be disabled, even if the credential providers that require them are disabled.

Le credenziali archiviate sono associate direttamente alle sessioni di accesso Local Security Authority Subsystem Service (LSASS) che sono state avviate dopo l'ultimo riavvio e non sono state chiuse.The stored credentials are directly associated with the Local Security Authority Subsystem Service (LSASS) logon sessions that have been started after the last restart and have not been closed. Ad esempio, sessioni LSA con credenziali LSA archiviate vengono create quando un utente esegue una delle operazioni seguenti:For example, LSA sessions with stored LSA credentials are created when a user does any of the following:

  • Accede a una sessione locale o a una sessione di Remote Desktop Protocol (RDP) nel computerLogs on to a local session or Remote Desktop Protocol (RDP) session on the computer

  • Esecuzione di un task con l'opzione RunAsRuns a task by using the RunAs option

  • Esecuzione di un servizio di Windows attivo nel computerRuns an active Windows service on the computer

  • Esecuzione di un'attività o un processo batch pianificatoRuns a scheduled task or batch job

  • Esecuzione di un'attività nel computer locale tramite uno strumento di amministrazione remotaRuns a task on the local computer by using a remote administration tool

In alcune circostanze, i segreti LSA, che sono parti segrete dei dati accessibili solo ai processi di account di sistema, vengono archiviati nell'unità disco rigido.In some circumstances, the LSA secrets, which are secret pieces of data that are accessible only to SYSTEM account processes, are stored on the hard disk drive. Alcuni di questi segreti sono credenziali che devono essere mantenute dopo un riavvio e sono archiviate in formato crittografato nell'unità disco rigido.Some of these secrets are credentials that must persist after reboot, and they are stored in encrypted form on the hard disk drive. Le credenziali archiviate come segreti LSA possono includere:Credentials stored as LSA secrets might include:

  • Password dell'account per l'account Active Directory Domain Services (AD DS) del computerAccount password for the computer's Active Directory Domain Services (AD DS) account

  • Password di account per servizi di Windows configurati nel computerAccount passwords for Windows services that are configured on the computer

  • Password di account per le attività pianificate configurateAccount passwords for configured scheduled tasks

  • Password di account per pool di applicazioni IIS e siti WebAccount passwords for IIS application pools and websites

  • Password per gli account MicrosoftPasswords for Microsoft accounts

Introdotta in Windows 8.1, il sistema operativo client fornisce protezione aggiuntiva per LSA per impedire la lettura di memoria e l'inserimento di codice da processi non protetti.Introduced in Windows 8.1, the client operating system provides additional protection for the LSA to prevent reading memory and code injection by non-protected processes. Questa protezione consente di aumentare la sicurezza per le credenziali archiviate e gestite da LSA.This protection increases security for the credentials that the LSA stores and manages.

Per ulteriori informazioni su queste protezioni aggiuntive, vedere la pagina relativa alla configurazione della protezione LSA aggiuntiva.For more information about these additional protections, see Configuring Additional LSA Protection.

Credenziali e convalida memorizzate nella cacheCached credentials and validation

I meccanismi di convalida si basano sulla presentazione di credenziali al momento dell'accesso.Validation mechanisms rely on the presentation of credentials at the time of logon. Tuttavia, quando il computer è disconnesso da un controller di dominio e l'utente presenta le credenziali del dominio, Windows usa il processo di credenziali memorizzate nella cache nel meccanismo di convalida.However, when the computer is disconnected from a domain controller, and the user is presenting domain credentials, Windows uses the process of cached credentials in the validation mechanism.

Ogni volta che un utente accede a un dominio, Windows memorizza nella cache le credenziali fornite e le archivia nell'hive di sicurezza nel registro di sistema del sistema operativo.Each time a user logs on to a domain, Windows caches the credentials supplied and stores them in the security hive in the registry of the operation system.

Con le credenziali memorizzate nella cache, l'utente può accedere a un membro del dominio senza connettersi a un controller di dominio all'interno di tale dominio.With cached credentials, the user can log on to a domain member without being connected to a domain controller within that domain.

Archiviazione e convalida delle credenzialiCredential storage and validation

Non è sempre consigliabile usare un set di credenziali per l'accesso a risorse diverse.It is not always desirable to use one set of credentials for access to different resources. È ad esempio possibile che un amministratore desideri utilizzare le credenziali amministrative anziché le credenziali utente per l'accesso a un server remoto.For example, an administrator might want to use administrative rather than user credentials when accessing a remote server. Analogamente, se un utente accede a risorse esterne, ad esempio un conto bancario, può utilizzare solo credenziali diverse dalle credenziali di dominio.Similarly, if a user accesses external resources, such as a bank account, he or she can only use credentials that are different than their domain credentials. Nelle sezioni seguenti vengono descritte le differenze di gestione delle credenziali tra le versioni correnti dei sistemi operativi Windows e i sistemi operativi Windows Vista e Windows XP.The following sections describe the differences in credential management between current versions of Windows operating systems and the Windows Vista and Windows XP operating systems.

Processi di credenziali di accesso remotoRemote logon credential processes

Il Remote Desktop Protocol (RDP) gestisce le credenziali dell'utente che si connette a un computer remoto utilizzando il client di Desktop remoto, introdotto in Windows 8.The Remote Desktop Protocol (RDP) manages the credentials of the user who connects to a remote computer by using the Remote Desktop Client, which was introduced in Windows 8. Le credenziali in formato testo non crittografato vengono inviate all'host di destinazione in cui l'host tenta di eseguire il processo di autenticazione e, in caso di esito positivo, connette l'utente alle risorse consentite.The credentials in plaintext form are sent to the target host where the host attempts to perform the authentication process, and, if successful, connects the user to allowed resources. RDP non archivia le credenziali nel client, ma le credenziali di dominio dell'utente vengono archiviate in LSASS.RDP does not store the credentials on the client, but the user's domain credentials are stored in the LSASS.

Introdotta in Windows Server 2012 R2 e Windows 8.1, la modalità di amministrazione limitata offre protezione aggiuntiva per gli scenari di accesso remoto.Introduced in Windows Server 2012 R2 and Windows 8.1, Restricted Admin mode provides additional security to remote logon scenarios. Questa modalità di Desktop remoto fa in modo che l'applicazione client esegua una richiesta di accesso alla rete con la funzione unidirezionale NT (NTOWF) o utilizzi un ticket di servizio Kerberos per l'autenticazione all'host remoto.This mode of Remote Desktop causes the client application to perform a network logon challenge-response with the NT one-way function (NTOWF) or use a Kerberos service ticket when authenticating to the remote host. Dopo l'autenticazione dell'amministratore, l'amministratore non ha le rispettive credenziali dell'account in LSASS perché non sono state fornite all'host remoto.After the administrator is authenticated, the administrator does not have the respective account credentials in LSASS because they were not supplied to the remote host. L'amministratore dispone invece delle credenziali dell'account computer per la sessione.Instead, the administrator has the computer account credentials for the session. Le credenziali di amministratore non vengono fornite all'host remoto, quindi le azioni vengono eseguite come account computer.Administrator credentials are not supplied to the remote host, so actions are performed as the computer account. Le risorse sono limitate anche all'account del computer e l'amministratore non è in grado di accedere alle risorse con il proprio account.Resources are also limited to the computer account, and the administrator cannot access resources with his own account.

Processo di credenziali di accesso automatico per il riavvioAutomatic restart sign-on credential process

Quando un utente accede a un dispositivo Windows 8.1, LSA Salva le credenziali utente nella memoria crittografata accessibile solo da LSASS.exe.When a user signs in on a Windows 8.1 device, LSA saves the user credentials in encrypted memory that are accessible only by LSASS.exe. Quando Windows Update avvia un riavvio automatico senza presenza dell'utente, queste credenziali vengono usate per configurare l'accesso automatico per l'utente.When Windows Update initiates an automatic restart without user presence, these credentials are used to configure Autologon for the user.

Al riavvio, l'utente viene automaticamente connesso tramite il meccanismo autologo, quindi il computer viene bloccato per proteggere la sessione dell'utente.On restart, the user is automatically signed in via the Autologon mechanism, and then the computer is additionally locked to protect the user's session. Il blocco viene avviato tramite Winlogon, mentre la gestione delle credenziali viene eseguita da LSA.The locking is initiated through Winlogon whereas the credential management is done by LSA. Eseguendo automaticamente l'accesso e il blocco della sessione dell'utente nella console, le applicazioni della schermata di blocco dell'utente vengono riavviate e disponibili.By automatically signing in and locking the user's session on the console, the user's lock screen applications is restarted and available.

Per altre informazioni su al riavvio Winlogon, vedere la pagina relativa al riavvio automatico di Winlogon Sign-On (al riavvio winlogon).For more information about ARSO, see Winlogon Automatic Restart Sign-On (ARSO).

Nomi utente e password archiviati in Windows Vista e Windows XPStored user names and passwords in Windows Vista and Windows XP

In Windows Server 2008, Windows Server 2003, Windows Vista e Windows XP, i nomi utente e le password archiviati nel pannello di controllo semplificano la gestione e l'utilizzo di più set di credenziali di accesso, inclusi i certificati X. 509 utilizzati con le smart card e le credenziali di Windows Live (ora denominate account Microsoft).In Windows Server 2008 , Windows Server 2003, Windows Vista, and Windows XP, Stored User Names and Passwords in Control Panel simplifies the management and use of multiple sets of logon credentials, including X.509 certificates used with smart cards and Windows Live credentials (now called Microsoft account). Le credenziali, parte del profilo dell'utente, vengono archiviate fino a quando non sono necessarie.The credentials - part of the user's profile - are stored until needed. Questa azione consente di aumentare la sicurezza in base alle singole risorse garantendo che se una password viene compromessa, non compromette tutta la sicurezza.This action can increase security on a per-resource basis by ensuring that if one password is compromised, it does not compromise all security.

Dopo che un utente si è connesso e tenta di accedere ad altre risorse protette da password, ad esempio una condivisione in un server, e se le credenziali di accesso predefinite dell'utente non sono sufficienti per ottenere l'accesso, vengono eseguite query su nomi utente e password archiviati .After a user logs on and attempts to access additional password-protected resources, such as a share on a server, and if the user's default logon credentials are not sufficient to gain access, Stored User Names and Passwords is queried. Se le credenziali alternative con le informazioni di accesso corrette sono state salvate in nomi utente e password archiviati, queste credenziali vengono utilizzate per ottenere l'accesso.If alternate credentials with the correct logon information have been saved in Stored User Names and Passwords, these credentials are used to gain access. In caso contrario, all'utente viene richiesto di fornire nuove credenziali, che possono quindi essere salvate per il riutilizzo, in un secondo momento nella sessione di accesso o durante una sessione successiva.Otherwise, the user is prompted to supply new credentials, which can then be saved for reuse, either later in the logon session or during a subsequent session.

Si applicano le restrizioni seguenti:The following restrictions apply:

  • Se i nomi utente e le password archiviati contengono credenziali non valide o non corrette per una risorsa specifica, l'accesso alla risorsa viene negato e la finestra di dialogo nomi utente e password archiviati non viene visualizzata.If Stored User Names and Passwords contains invalid or incorrect credentials for a specific resource, access to the resource is denied, and the Stored User Names and Passwords dialog box does not appear.

  • I nomi utente e le password archiviati archiviano le credenziali solo per NTLM, protocollo Kerberos, account Microsoft (in precedenza Windows Live ID) e l'autenticazione Secure Sockets Layer (SSL).Stored User Names and Passwords stores credentials only for NTLM, Kerberos protocol, Microsoft account (formerly Windows Live ID), and Secure Sockets Layer (SSL) authentication. Alcune versioni di Internet Explorer gestiscono la propria cache per l'autenticazione di base.Some versions of Internet Explorer maintain their own cache for basic authentication.

Queste credenziali diventano una parte crittografata del profilo locale di un utente nella directory \Documents e Settings\nomeutente\dati Applicazioni\microsoft\credentialsThese credentials become an encrypted part of a user's local profile in the \Documents and Settings\Username\Application Data\Microsoft\Credentials directory. Di conseguenza, queste credenziali possono essere spostate con l'utente se i criteri di rete dell'utente supportano i profili utente mobili.As a result, these credentials can roam with the user if the user's network policy supports Roaming User Profiles. Tuttavia, se l'utente dispone di copie di nomi utente e password archiviati in due computer diversi e modifica le credenziali associate alla risorsa in uno di questi computer, la modifica non viene propagata a nomi utente e password archiviati nel secondo computer.However, if the user has copies of Stored User Names and Passwords on two different computers and changes the credentials that are associated with the resource on one of these computers, the change is not propagated to Stored User Names and Passwords on the second computer.

Windows Vault e gestione credenzialiWindows Vault and Credential Manager

Gestione credenziali è stato introdotto in Windows Server 2008 R2 e Windows 7 come funzionalità del pannello di controllo per archiviare e gestire i nomi utente e le password.Credential Manager was introduced in Windows Server 2008 R2 and Windows 7 as a Control Panel feature to store and manage user names and passwords. Gestione credenziali consente agli utenti di archiviare le credenziali relative ad altri sistemi e siti Web nell'insieme di credenziali di Windows sicuro.Credential Manager lets users store credentials relevant to other systems and websites in the secure Windows Vault. Alcune versioni di Internet Explorer utilizzano questa funzionalità per l'autenticazione nei siti Web.Some versions of Internet Explorer use this feature for authentication to websites.

La gestione delle credenziali mediante Gestione credenziali è controllata dall'utente nel computer locale.Credential management by using Credential Manager is controlled by the user on the local computer. Gli utenti possono salvare e archiviare le credenziali dai browser supportati e dalle applicazioni Windows in modo da rendere più pratico l'accesso a queste risorse.Users can save and store credentials from supported browsers and Windows applications to make it convenient when they need to sign in to these resources. Le credenziali vengono salvate in cartelle speciali crittografate nel computer sotto il profilo dell'utente.Credentials are saved in special encrypted folders on the computer under the user's profile. Le applicazioni che supportano questa funzionalità (tramite l'utilizzo delle API di gestione delle credenziali), ad esempio Web browser e app, possono presentare le credenziali corrette ad altri computer e siti Web durante il processo di accesso.Applications that support this feature (through the use of the Credential Manager APIs), such as web browsers and apps, can present the correct credentials to other computers and websites during the logon process.

Quando un sito Web, un'applicazione o un altro computer richiede l'autenticazione tramite NTLM o il protocollo Kerberos, viene visualizzata una finestra di dialogo in cui è possibile selezionare la casella di controllo Aggiorna credenziali predefinite o Salva password .When a website, an application, or another computer requests authentication through NTLM or the Kerberos protocol, a dialog box appears in which you select the Update Default Credentials or Save Password check box. Questa finestra di dialogo che consente a un utente di salvare le credenziali localmente viene generata da un'applicazione che supporta le API di gestione credenziali.This dialog box that lets a user save credentials locally is generated by an application that supports the Credential Manager APIs. Se l'utente seleziona la casella di controllo Salva password , gestione credenziali tiene traccia del nome utente, della password e delle informazioni correlate per il servizio di autenticazione in uso.If the user selects the Save Password check box, Credential Manager keeps track of the user's user name, password, and related information for the authentication service that is in use.

La volta successiva che viene utilizzato il servizio, gestione credenziali fornisce automaticamente le credenziali archiviate nell'insieme di credenziali di Windows.The next time the service is used, Credential Manager automatically supplies the credential that is stored in the Windows Vault. Se queste non vengono accettate, le informazioni di accesso corrette vengono richieste all'utente.If it is not accepted, the user is prompted for the correct access information. Se l'accesso viene concesso con le nuove credenziali, gestione credenziali sovrascrive la credenziale precedente con quella nuova, quindi archivia le nuove credenziali nell'insieme di credenziali di Windows.If access is granted with the new credentials, Credential Manager overwrites the previous credential with the new one and then stores the new credential in the Windows Vault.

Database di gestione degli account di sicurezza (SAM)Security Accounts Manager database

Gestione account di protezione (SAM) è un database di in cui vengono archiviati gli account utente e i gruppi locali.The Security Accounts Manager (SAM) is a database that stores local user accounts and groups. È presente in ogni sistema operativo Windows; Tuttavia, quando un computer viene aggiunto a un dominio, Active Directory gestisce gli account di dominio nei domini Active Directory.It is present in every Windows operating system; however, when a computer is joined to a domain, Active Directory manages domain accounts in Active Directory domains.

I computer client che eseguono un sistema operativo Windows, ad esempio, fanno parte di un dominio di rete comunicando con un controller di dominio anche quando nessun utente umano è connesso.For example, client computers running a Windows operating system participate in a network domain by communicating with a domain controller even when no human user is logged on. Per avviare le comunicazioni, il computer deve disporre di un account attivo nel dominio.To initiate communications, the computer must have an active account in the domain. Prima di accettare le comunicazioni dal computer, LSA sul controller di dominio autentica l'identità del computer e quindi costruisce il contesto di sicurezza del computer esattamente come per un'entità di protezione umana.Before accepting communications from the computer, the LSA on the domain controller authenticates the computer's identity and then constructs the computer's security context just as it does for a human security principal. Questo contesto di sicurezza definisce l'identità e le funzionalità di un utente o di un servizio su un computer o un utente, un servizio o un computer specifico in una rete.This security context defines the identity and capabilities of a user or service on a particular computer or a user, service, or computer on a network. Ad esempio, il token di accesso contenuto all'interno del contesto di sicurezza definisce le risorse (ad esempio una condivisione file o una stampante) a cui è possibile accedere e le azioni, ad esempio la lettura, la scrittura o la modifica, che possono essere eseguite da tale entità, ovvero un utente, un computer o un servizio su tale risorsa.For example, the access token contained within the security context defines the resources (such as a file share or printer) that can be accessed and the actions (such as Read, Write, or Modify) that can be performed by that principal - a user, computer, or service on that resource.

Il contesto di sicurezza di un utente o di un computer può variare da un computer a un altro, ad esempio quando un utente accede a un server o a una workstation diversa dalla workstation primaria dell'utente.The security context of a user or computer can vary from one computer to another, such as when a user logs on to a server or a workstation other than the user's own primary workstation. Può anche variare da una sessione a un'altra, ad esempio quando un amministratore modifica i diritti e le autorizzazioni dell'utente.It can also vary from one session to another, such as when an administrator modifies the user's rights and permissions. Inoltre, il contesto di sicurezza è in genere diverso quando un utente o un computer opera su una base autonoma, in una rete o come parte di un dominio Active Directory.In addition, the security context is usually different when a user or computer is operating on a stand-alone basis, in a network, or as part of an Active Directory domain.

Domini locali e domini trustedLocal domains and trusted domains

Quando esiste una relazione di trust tra due domini, i meccanismi di autenticazione per ogni dominio si basano sulla validità delle autenticazioni provenienti dall'altro dominio.When a trust exists between two domains, the authentication mechanisms for each domain rely on the validity of the authentications coming from the other domain. Consente di garantire l'accesso controllato alle risorse condivise in un dominio di risorse (dominio trusting) verificando che le richieste di autenticazione in ingresso provengano da un'autorità attendibile (dominio trusted).Trusts help to provide controlled access to shared resources in a resource domain (the trusting domain) by verifying that incoming authentication requests come from a trusted authority (the trusted domain). In questo modo, i trust fungono da Bridge che consentono solo la convalida delle richieste di autenticazione tra domini.In this way, trusts act as bridges that let only validated authentication requests travel between domains.

Il modo in cui un trust specifico passa le richieste di autenticazione dipende dalla configurazione.How a specific trust passes authentication requests depends on how it is configured. Le relazioni di trust possono essere unidirezionali, fornendo l'accesso dal dominio trusted alle risorse nel dominio trusting, oppure bidirezionale, fornendo l'accesso da ogni dominio alle risorse nell'altro dominio.Trust relationships can be one-way, by providing access from the trusted domain to resources in the trusting domain, or two-way, by providing access from each domain to resources in the other domain. I trust sono anche non transitivi, nel qual caso esiste una relazione di trust tra i due domini trust partner, o transitiva, nel qual caso un trust si estende automaticamente a qualsiasi altro dominio considerato attendibile da uno dei partner.Trusts are also either nontransitive, in which case a trust exists only between the two trust partner domains, or transitive, in which case a trust automatically extends to any other domains that either of the partners trusts.

Per informazioni sulle relazioni di trust tra domini e foreste relative all'autenticazione, vedere autenticazione delegata e relazioni di trust.For information about domain and forest trust relationships regarding authentication, see Delegated Authentication and Trust Relationships.

Certificati nell'autenticazione di WindowsCertificates in Windows authentication

Un'infrastruttura a chiave pubblica (PKI) è la combinazione di software, tecnologie di crittografia, processi e servizi che consentono a un'organizzazione di proteggere le comunicazioni e le transazioni aziendali.A public key infrastructure (PKI) is the combination of software, encryption technologies, processes, and services that enable an organization to secure its communications and business transactions. La capacità di un'infrastruttura a chiave pubblica per proteggere le comunicazioni e le transazioni aziendali è basata sullo scambio di certificati digitali tra gli utenti autenticati e le risorse attendibili.The ability of a PKI to secure communications and business transactions is based on the exchange of digital certificates between authenticated users and trusted resources.

Un certificato digitale è un documento elettronico che contiene informazioni sull'entità a cui appartiene, l'entità da cui è stato emesso, un numero di serie univoco o altre identificazioni univoche, date di rilascio e di scadenza e un'impronta digitale digitale.A digital certificate is an electronic document that contains information about the entity it belongs to, the entity it was issued by, a unique serial number or some other unique identification, issuance and expiration dates, and a digital fingerprint.

L'autenticazione è il processo che consente di determinare se un host remoto può essere considerato attendibile.Authentication is the process of determining if a remote host can be trusted. Per stabilirne l'attendibilità, l'host remoto deve fornire un certificato di autenticazione accettabile.To establish its trustworthiness, the remote host must provide an acceptable authentication certificate.

Gli host remoti stabiliscono la loro affidabilità ottenendo un certificato da un'autorità di certificazione (CA).Remote hosts establish their trustworthiness by obtaining a certificate from a certification authority (CA). La CA può, a sua volta, avere la certificazione di un'autorità superiore, che crea una catena di trust.The CA can, in turn, have certification from a higher authority, which creates a chain of trust. Per determinare se un certificato è attendibile, un'applicazione deve determinare l'identità della CA radice e quindi determinare se è attendibile.To determine whether a certificate is trustworthy, an application must determine the identity of the root CA, and then determine if it is trustworthy.

Analogamente, l'host remoto o il computer locale deve determinare se il certificato presentato dall'utente o dall'applicazione è autentico.Similarly, the remote host or local computer must determine if the certificate presented by the user or application is authentic. Il certificato presentato dall'utente tramite LSA e SSPI viene valutato per l'autenticità nel computer locale per l'accesso locale, sulla rete o nel dominio tramite gli archivi certificati in Active Directory.The certificate presented by the user through the LSA and SSPI is evaluated for authenticity on the local computer for local logon, on the network, or on the domain through the certificate stores in Active Directory.

Per produrre un certificato, i dati di autenticazione passano attraverso gli algoritmi hash, ad esempio Secure Hash Algorithm 1 (SHA1), per produrre un digest del messaggio.To produce a certificate, authentication data passes through hash algorithms, such as Secure Hash Algorithm 1 (SHA1), to produce a message digest. Il digest del messaggio viene quindi firmato digitalmente utilizzando la chiave privata del mittente per dimostrare che il digest del messaggio è stato prodotto dal mittente.The message digest is then digitally signed by using the sender's private key to prove that the message digest was produced by the sender.

Nota

SHA1 è l'impostazione predefinita in Windows 7 e Windows Vista, ma è stata modificata in SHA2 in Windows 8.SHA1 is the default in Windows 7 and Windows Vista, but was changed to SHA2 in Windows 8.

Autenticazione con smart cardSmart card authentication

La tecnologia Smart Card è un esempio di autenticazione basata su certificati.Smart card technology is an example of certificate-based authentication. L'accesso a una rete con una smart card fornisce una forma avanzata di autenticazione perché usa l'identificazione basata sulla crittografia e la prova di possesso durante l'autenticazione di un utente in un dominio.Logging on to a network with a smart card provides a strong form of authentication because it uses cryptography-based identification and proof of possession when authenticating a user to a domain. Active Directory Servizi certificati (AD CS) fornisce l'identificazione basata su crittografia tramite il rilascio di un certificato di accesso per ogni smart card.Active Directory Certificate Services (AD CS) provides the cryptographic-based identification through the issuance of a logon certificate for each smart card.

Per informazioni sull'autenticazione con smart card, vedere il riferimento tecnico per le smart card di Windows.For information about smart card authentication, see the Windows Smart Card Technical Reference.

La tecnologia smart card virtuale è stata introdotta in Windows 8.Virtual smart card technology was introduced in Windows 8. Archivia il certificato della smart card nel PC e quindi lo protegge usando il chip di sicurezza del Trusted Platform Module di prova del dispositivo (TPM).It stores the smart card's certificate in the PC, and then protects it by using the device's tamper-proof Trusted Platform Module (TPM) security chip. In questo modo, il PC diventa effettivamente la smart card che deve ricevere il PIN dell'utente per poter essere autenticato.In this way, the PC actually becomes the smart card which must receive the user's PIN in order to be authenticated.

Autenticazione remota e wirelessRemote and wireless authentication

L'autenticazione di rete remota e wireless è un'altra tecnologia che usa i certificati per l'autenticazione.Remote and wireless network authentication is another technology that uses certificates for authentication. Il servizio di autenticazione Internet (IAS) e i server di rete privata virtuale utilizzano il protocollo EAP-TLS (Extensible Authentication Protocol-Transport Level Security), PEAP (Protected Extensible Authentication Protocol) o Internet Protocol Security (IPsec) per eseguire l'autenticazione basata sui certificati per molti tipi di accesso alla rete, tra cui la rete privata virtuale (VPN) e le connessioni wireless.The Internet Authentication Service (IAS) and virtual private network servers use Extensible Authentication Protocol-Transport Level Security (EAP-TLS), Protected Extensible Authentication Protocol (PEAP), or Internet Protocol security (IPsec) to perform certificate-based authentication for many types of network access, including virtual private network (VPN) and wireless connections.

Per informazioni sull'autenticazione basata su certificati in rete, vedere autenticazione e certificati di accesso alla rete.For information about certificate-based authentication in networking, see Network access authentication and certificates.

Vedere ancheSee also

Concetti su Autenticazione di WindowsWindows Authentication Concepts