Archivia password mediante crittografia reversibile

Si applica a

  • Windows 10

Descrive le procedure consigliate, la posizione, i valori e le considerazioni sulla sicurezza per le password dello Store con l'impostazione di criteri di sicurezza per la crittografia reversibile.

Informazioni di riferimento

La password dello Store con l'impostazione di criteri di crittografia reversibile offre il supporto per le applicazioni che usano protocolli che richiedono la password dell'utente per l'autenticazione. L'archiviazione delle password crittografate in modo reversibile significa che le password crittografate possono essere decrittografate. Un utente malintenzionato competente che è in grado di interrompere la crittografia può accedere alle risorse di rete usando l'account compromesso. Per questo motivo, non abilitare mai la password dello Store con la crittografia reversibile per tutti gli utenti del dominio, a meno che i requisiti dell'applicazione non superino la necessità di proteggere le informazioni sulle password.

Se si usa il protocollo CHAP (Challenge Handshake Authentication Protocol) tramite accesso remoto o servizi di autenticazione Internet (IAS), è necessario abilitare questa impostazione per i criteri. CHAP è un protocollo di autenticazione usato dalle connessioni di accesso remoto e di rete. L'autenticazione del digest in Internet Information Services (IIS) richiede anche l'abilitazione di questa impostazione di criteri.

Valori possibili

  • Abilitato
  • Disabilitato
  • Non definito

Procedure consigliate

Impostare il valore per la password dello Store usando la crittografia reversibile su Disabled. Se si usa CHAP tramite l'accesso remoto o IAS o l'autenticazione del digest in IIS, è necessario impostare questo valore su Enabled. Questo problema presenta un rischio per la sicurezza quando applichi l'impostazione usando criteri di gruppo in base all'utente, perché richiede l'apertura dell'oggetto account utente appropriato in utenti e computer di Active Directory.

Nota: non abilitare questa impostazione per i criteri, a meno che i requisiti aziendali superino la necessità di proteggere le informazioni sulle password.

Posizione

Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy\

Valori predefiniti

Nella tabella seguente sono elencati i valori dei criteri predefiniti effettivi ed effettivi. I valori predefiniti sono elencati anche nella pagina delle proprietà del criterio.

Oggetto Criteri di gruppo o tipo di server (GPO) Valore predefinito
Criteri dominio predefiniti Disabilitato
Criteri di Domain controller predefiniti Disabilitato
Impostazioni predefinite del server autonomo Disabilitato
Impostazioni predefinite valide per domain controller Disabilitato
Impostazioni predefinite effettive del server membri Disabilitato
Impostazioni di GPO valide per i computer client Disabilitato

Considerazioni sulla sicurezza

Questa sezione descrive come un autore di un attacco può approfittare di una funzionalità o di una configurazione, come implementare contromisure e le possibili conseguenze negative dell'implementazione di contromisure.

Vulnerabilità

L'abilitazione di questa impostazione del criterio consente al sistema operativo di archiviare le password in un formato che può indebolire la sicurezza complessiva.

Contromisura

Disabilitare la password dello Store usando l'impostazione di criteri di crittografia reversibile.

Nota

Quando le impostazioni dei criteri sono disabilitate, verranno archiviate solo le nuove password usando la crittografia unidirezionale per impostazione predefinita. Le password esistenti verranno archiviate con la crittografia reversibile finché non vengono modificate.

Impatto potenziale

Se l'organizzazione usa il protocollo CHAP tramite accesso remoto o IAS oppure l'autenticazione del digest in IIS, è necessario configurare l'impostazione di questo criterio su Enabled. Questo presenta un rischio per la sicurezza quando applichi l'impostazione tramite criteri di gruppo in base all'utente, perché richiede l'apertura dell'oggetto account utente appropriato in utenti e computer di Active Directory.

Argomenti correlati