Restrizioni relative alla registrazione e all'installazione di un pacchetto di sicurezza

La rimozione, la sostituzione o il wrapping dei pacchetti di sicurezza della posta in arrivo (ad esempio Kerberos o NTLM) non è un'azione supportata in Windows e, a partire dal 10 gennaio 2017, viene impedita. È possibile aggiungere pacchetti di sicurezza di terze parti (SSP/punti di accesso) ; tuttavia, Windows non supporta la rimozione di provider di servizi di configurazione/punti di accesso preconfigurati. In particolare, la modifica dell'impostazione del Registro di sistema HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages non è mai stata supportata.

A partire da Windows 8.1, i clienti che vogliono fornire funzionalità aggiuntive possono aggiungere i pacchetti di sicurezza usando l'impostazione del Registro di sistema HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages (Registrazione di DLL SSP/AP) e l'impostazione del Registro di sistema associata SecurityProviders (scrittura e installazione di un provider di supporto di sicurezza), se applicabile. Inoltre, lo scopo dei pacchetti di sicurezza è implementare nuovi protocolli di sicurezza che possono essere sotto forma di provider di supporto di sicurezza (SSP) o un pacchetto di autenticazione (AP). Lo scopo di un provider di servizi condivisi è fornire servizi di connessione, integrità dei messaggi e crittografia dei messaggi autenticati che non sono già supportati nel sistema, mentre un'API viene usata per aggiungere una nuova logica di autenticazione usata per determinare se consentire a un utente di accedere.

Microsoft ha investito nella sicurezza dei clienti e sta cercando di garantire che i processi critici, ad esempio provider di servizi di configurazione e punti di accesso, non siano facilmente rimovibili dal sistema. Di conseguenza, l'impostazione del Registro di sistema HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages è stata limitata a partire da Windows 8.1 per evitare modifiche. Per facilitare i pacchetti di sicurezza di terze parti, HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages è stata impostata l'impostazione designata per gli SSP/punti di accesso personalizzati. È inoltre consigliabile rimuovere tutte le funzionalità negli SSP/punti di accesso personalizzati che non rientrano nell'ambito dei pacchetti di sicurezza definiti da Microsoft da tali provider di servizi di sicurezza personalizzati e che i pacchetti di sicurezza della posta in arrivo non vengono rimossi da alcun prodotto.