Condividi tramite


Scenari di accesso di Windows

Questo argomento di riferimento per professionisti IT riepiloga gli scenari comuni di accesso e accesso di Windows.

I sistemi operativi Windows richiedono a tutti gli utenti di accedere al computer con un account valido per accedere alle risorse locali e di rete. I computer basati su Windows proteggono le risorse implementando il processo di accesso, in cui gli utenti vengono autenticati. Dopo l'autenticazione di un utente, le tecnologie di autorizzazione e controllo di accesso implementano la seconda fase di protezione delle risorse: determinare se l'utente autenticato è autorizzato ad accedere a una risorsa.

Il contenuto di questo argomento si applica alle versioni dei sistemi operativi Windows indicati nell'elenco Si applica a all'inizio dell'argomento.

Inoltre, le applicazioni e i servizi possono richiedere agli utenti di accedere alle risorse offerte dall'applicazione o dal servizio. Il processo di accesso è simile al processo di accesso, in quanto è necessario un account valido e le credenziali corrette, ma le informazioni di accesso vengono archiviate nel database di Gestione account di sicurezza (SAM) nel computer locale e in Active Directory, se applicabile. Le informazioni sull'account di accesso e le credenziali vengono gestite dall'applicazione o dal servizio e, facoltativamente, possono essere archiviate localmente in Credential Locker.

Per informazioni sul funzionamento dell'autenticazione, consultare la sezione Concetti relativi all'autenticazione di Windows.

Questo argomento descrive i seguenti scenari:

Attenzione

Quando un utente esegue un accesso locale, le credenziali vengono verificate localmente rispetto a una copia memorizzata nella cache prima di essere autenticate con un provider di identità in rete. Se la verifica della cache ha esito positivo, l'utente ottiene l'accesso al desktop anche se il dispositivo è offline. Tuttavia, se l'utente modifica la password nel cloud, la verifica nella cache non viene aggiornata, il che significa che potrà ancora accedere al computer locale usando la vecchia password.

Accesso interattivo

Il processo di accesso inizia quando un utente immette le credenziali nella finestra di dialogo di immissione delle credenziali o quando l'utente inserisce una smart card nel lettore di smart card o quando l'utente interagisce con un dispositivo biometrico. Gli utenti possono eseguire un accesso interattivo usando un account utente locale o un account di dominio per accedere a un computer.

Il diagramma seguente illustra gli elementi di accesso interattivi e il processo di accesso.

Diagramma che mostra gli elementi di accesso interattivi e il processo di accesso

Architettura di autenticazione client Windows

Accesso locale e di dominio

Le credenziali presentate dall'utente per un accesso al dominio contengono tutti gli elementi necessari per un accesso locale, ad esempio il nome dell'account e la password o il certificato e le informazioni sul dominio di Active Directory. Il processo conferma l'identificazione dell'utente nel database di sicurezza nel computer locale dell'utente o in un dominio di Active Directory. Questo processo di accesso obbligatorio non può essere disattivato per gli utenti in un dominio.

Gli utenti possono eseguire un accesso interattivo a un computer in uno dei due modi seguenti:

  • In locale, quando l'utente ha accesso fisico diretto al computer o quando il computer fa parte di una rete di computer.

    Un accesso locale concede a un utente l'autorizzazione per accedere alle risorse di Windows nel computer locale. Un accesso locale richiede che l'utente disponga di un account utente in Security Accounts Manager (SAM) nel computer locale. SAM protegge e gestisce le informazioni di utenti e gruppi sotto forma di account di sicurezza archiviati nel registro del computer locale. Il computer può avere accesso alla rete, ma non è obbligatorio. Le informazioni sull'account utente locale e sull'appartenenza a gruppi vengono usate per gestire l'accesso alle risorse locali.

    Un accesso di rete concede a un utente l'autorizzazione per accedere alle risorse di Windows nel computer locale, oltre a qualsiasi risorsa nei computer in rete, come definito dal token di accesso delle credenziali. Sia un accesso locale che un accesso di rete richiedono che l'utente disponga di un account utente in Security Accounts Manager (SAM) nel computer locale. Le informazioni sull'account utente locale e sull'appartenenza a gruppi vengono usate per gestire l'accesso alle risorse locali e il token di accesso per l'utente definisce le risorse a cui è possibile accedere nei computer in rete.

    Un accesso locale e un accesso di rete non sono sufficienti per concedere all'utente e al computer l'autorizzazione per l'accesso e l'uso delle risorse di dominio.

  • In remoto, tramite Servizi Terminal o Servizi Desktop remoto (RDS), nel qual caso l'accesso è ulteriormente qualificato come interattivo remoto.

Dopo un accesso interattivo, Windows esegue applicazioni per conto dell'utente e l'utente può interagire con tali applicazioni.

Un accesso locale concede a un utente l'autorizzazione per accedere alle risorse nel computer locale o nelle risorse nei computer in rete. Se il computer viene aggiunto a un dominio, la funzionalità Winlogon tenta di accedere a tale dominio.

Un accesso al dominio concede a un utente l'autorizzazione per accedere alle risorse locali e di dominio. Un accesso al dominio richiede che l'utente disponga di un account utente in Active Directory. Il computer deve avere un account nel dominio di Active Directory e essere fisicamente connesso alla rete. Gli utenti devono inoltre disporre dei diritti utente per accedere a un computer locale o a un dominio. Le informazioni sull'account utente di dominio e le informazioni sull'appartenenza ai gruppi vengono usate per gestire l'accesso alle risorse locali e di dominio.

Accesso remoto

In Windows, l'accesso a un altro computer tramite accesso remoto si basa sul protocollo RDP (Remote Desktop Protocol). Poiché l'utente deve avere già eseguito l'accesso al computer client prima di tentare una connessione remota, i processi di accesso interattivi sono stati completati correttamente.

RDP gestisce le credenziali immesse dall'utente tramite il client Desktop remoto. Tali credenziali sono destinate al computer di destinazione e l'utente deve avere un account nel computer di destinazione. Inoltre, il computer di destinazione deve essere configurato per accettare una connessione remota. Le credenziali del computer di destinazione vengono inviate per tentare di eseguire il processo di autenticazione. Se l'autenticazione ha esito positivo, l'utente è connesso a risorse locali e di rete accessibili usando le credenziali fornite.

Accesso alla rete

Un accesso alla rete può essere usato solo dopo che è stata eseguita l'autenticazione utente, servizio o computer. Durante l'accesso alla rete, il processo non usa le finestre di dialogo di immissione delle credenziali per raccogliere i dati. Vengono invece usate le credenziali stabilite in precedenza o un altro metodo per raccogliere le credenziali. Questo processo conferma l'identità dell'utente a qualsiasi servizio di rete a cui l'utente sta tentando di accedere. Questo processo è in genere invisibile all'utente, a meno che non sia necessario fornire credenziali alternative.

Per fornire questo tipo di autenticazione, il sistema di sicurezza include questi meccanismi di autenticazione:

  • Protocollo Kerberos versione 5

  • Certificati di chiave pubblica

  • Secure Sockets Layer/Transport Layer Security (SSL/TLS)

  • Digest

  • NTLM, per la compatibilità con i sistemi basati su Microsoft Windows NT 4.0

Per informazioni sugli elementi e i processi, vedere il diagramma di accesso interattivo precedente.

Accesso con smart card

Le smart card possono essere usate per accedere solo agli account di dominio, non agli account locali. L'autenticazione tramite smart card richiede l'uso del protocollo di autenticazione Kerberos. Introdotta in Windows 2000 Server, nei sistemi operativi basati su Windows, viene implementata un'estensione di chiave pubblica per la richiesta di autenticazione iniziale del protocollo Kerberos. A differenza della crittografia con chiave privata condivisa, la crittografia a chiave pubblica è asimmetrica, ovvero sono necessarie due chiavi diverse: una per crittografare, un'altra per decrittografare. Insieme, le chiavi necessarie per eseguire entrambe le operazioni costituiscono una coppia di chiavi privata/pubblica.

Per avviare una sessione di accesso tipica, un utente deve dimostrare la propria identità fornendo informazioni note solo all'utente e all'infrastruttura del protocollo Kerberos sottostante. Le informazioni segrete sono una chiave condivisa crittografica derivata dalla password dell'utente. Una chiave segreta condivisa è simmetrica, il che significa che la stessa chiave viene utilizzata sia per la crittografia che per la decrittografia.

Il diagramma seguente illustra gli elementi e i processi necessari per l'accesso tramite smart card.

Diagramma che mostra gli elementi e i processi necessari per l'accesso tramite smart card

Architettura del provider di credenziali smart card

Quando una smart card viene usata invece di una password, una coppia di chiavi privata/pubblica archiviata nella smart card dell'utente viene sostituita dalla chiave privata condivisa, derivata dalla password dell'utente. La chiave privata viene archiviata solo sulla smart card. La chiave pubblica può essere resa disponibile a chiunque con cui il proprietario voglia scambiare informazioni riservate.

Per maggiori informazioni sul processo di accesso tramite smart card in Windows, consultare la sezione Funzionamento dell'accesso tramite smart card in Windows.

Accesso biometrico

Un dispositivo viene usato per acquisire e creare una caratteristica digitale di un artefatto, ad esempio un'impronta digitale. Questa rappresentazione digitale viene quindi confrontata con un campione dello stesso artefatto e, quando i due vengono confrontati correttamente, l'autenticazione può verificarsi. I computer che eseguono uno dei sistemi operativi designati nell'elenco Si applica a all'inizio di questo argomento possono essere configurati per accettare questa forma di accesso. Tuttavia, se l'accesso biometrico è configurato solo per l'accesso locale, l'utente deve presentare le credenziali di dominio quando accede a un dominio di Active Directory.

Risorse aggiuntive

Per informazioni su come Windows gestisce le credenziali inviate durante il processo di accesso, consultare la sezione Gestione delle credenziali nell'autenticazione di Windows.

Panoramica tecnica dell'accesso e dell'autenticazione di Windows