Security Support Provider Interface: differenze tra le versioni

Naviga nella cronologia in modo interattivo

← Differenza precedente

Contenuto cancellato Contenuto aggiunto

VisualeWikitesto

Versione delle 15:45, 2 apr 2022 modifica Messbot (discussione \| contributi) Bot 1 064 361 modifiche →top: +O Etichetta: AWB ← Differenza precedente		Versione attuale delle 09:45, 13 gen 2025 modifica annulla PyMach (discussione \| contributi) 3 modifiche m Rimozione dell'avviso {{Correggere\|informatica\|marzo 2022}} per motivi descritti nella discussione.
(16 versioni intermedie di 14 utenti non mostrate)
Riga 1: {{O\|informatica\|aprile 2022}} Il '''Security Support Provider Interface''' ('''SSPI''') è un componente [[Windows API\|~~dell'~~delle API di Windows]] che esegue operazioni relative alla sicurezza (come, ad esempio, l'[[autenticazione]]).▼ ~~{{Correggere\|informatica\|marzo 2022}}~~ ▲'''Security Support Provider Interface''' ('''SSPI''') è un componente [[Windows API\|dell'API di Windows]] che esegue operazioni relative alla sicurezza come l'[[autenticazione]]. SSPI ~~funziona come~~offre un'interfaccia comune a diversi Security Support Provider (SSP):<ref>[https://msdn.microsoft.com/en-us/library/aa380502.aspx SSP Packages Provided by Microsoft]</ref>: Unun Security Support Provider è una [[Dynamic-link library\|libreria a collegamento dinamico]] (DLL) che rende uno o più pacchetti di sicurezza disponibili ~~per le~~alle ~~app~~applicazioni. == Providers == IWindows include i seguenti SSP ~~sono inclusi in Windows~~: * NTLMSSP (msv1_0.dll) – Introdotto in [[Windows NT 3.51]]. Fornisce l'autenticazione di verifica/risposta [[NTLM]] per [[Dominio Windows Server\|i domini Windows]] precedenti a [[Windows 2000]] e per i sistemi che non fanno parte di un dominio.<ref>[https://technet.microsoft.com/en-us/library/cc938854.aspx User Authentication - Security (Windows 2000 Resource Kit Documentation) : MSDN]</ref> * [[~~Protocollo Kerberos\|~~Kerberos]] (kerberos.dll) – Introdotto in [[Windows 2000]] e aggiornato in [[Windows Vista]] per supportare la crittografia [[Advanced Encryption Standard\|AES]].<ref>[https://technet.microsoft.com/en-us/library/cc749438.aspx Kerberos Enhancements in Windows Vista: MSDN]</ref> Esegue l'autenticazione per i domini Windows in Windows 2000 e versioni successive.<ref>[https://technet.microsoft.com/en-us/library/bb742431.aspx Windows 2000 Kerberos Authentication]</ref> * NegotiateSSP (secur32.dll) – Introdotto in Windows 2000. Fornisce funzionalità [[Single sign-on\|di accesso singolo]], a volte denominata autenticazione integrata di Windows (soprattutto nel contesto di IIS).<ref>{{Cita web\|url=https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-r2-and-2008/cc755284(v=ws.10)\|sito=Windows Server 2008 R2 and Windows Server 2008 Documentations\|dataaccesso=2020-08-05}}</ref> Prima di [[Windows 7]], ~~prova~~è stato provato Kerberos ~~prima~~per dipoi ~~ricadere~~ripiegare su NTLM. In Windows 7 e versioni successive viene introdotto NEGOExts, che negozia l'uso di SSP personalizzati installati ~~che sono~~e supportati sia sul client e sia sul server per l'autenticazione. * Secure Channel (schannel.dll) – Introdotto in Windows 2000 e aggiornato in Windows Vista per supportare una crittografia AES più avanzata e [[Crittografia ellittica\|ECC]]<ref>[https://technet.microsoft.com/en-us/library/cc766285.aspx TLS/SSL Cryptographic Enhancements in Windows Vista]</ref> Questo provider utilizza i record SSL/TLS per crittografare i payload di dati. * [[Transport Layer Security\|TLS/SSL]] – SSP di [[Crittografia asimmetrica\|crittografia a chiave pubblica]] che fornisce crittografia e comunicazione sicura per l'autenticazione di client e server su Internet.<ref>[https://msdn.microsoft.com/en-us/library/aa380123.aspx Secure Channel: SSP Packages Provided by Microsoft]</ref> Aggiornato in Windows 7 per supportare TLS 1.2. * [[Digest access authentication\|Digest SSP]] (wdigest.dll) – Introdotto in [[Windows XP]]. Fornisce l'autenticazione HTTP e [[Simple Authentication and Security Layer\|SASL]] basata su challenge/response tra sistemi Windows e non Windows in cui Kerberos non è disponibile.<ref>[https://msdn.microsoft.com/en-us/library/aa378745.aspx Microsoft Digest SSP: SSP Packages provided by Microsoft]</ref> * CredSSP (credssp.dll) – Introdotto in [[Windows Vista]] e disponibile su Windows XP SP3. Fornisce [[Single sign-on\|Single Sign-On]] e autenticazione a [[livello di rete]] per ~~Servizi~~servizi ~~Desktop~~di desktop remoto.<ref>[https://technet.microsoft.com/en-us/library/cc749211.aspx Credential Security Service Provider and SSO for Terminal Services Logon]</ref> * Autenticazione con password distribuita (DPA, msapsspc.dll) – Introdotta in Windows 2000. Fornisce l'autenticazione Internet tramite [[Certificato digitale\|certificati digitali]].<ref>[http://msdn.microsoft.com/en-us/library/ms809340.aspx#dcomtec_sec DCOM Technical Overview: Security on the Internet]</ref> * Crittografia a chiave pubblica da utente a utente (PKU2U, pku2u.dll) – Introdotto in [[Windows 7]]. Fornisce l'autenticazione [[peer-to-peer]] utilizzando certificati digitali tra sistemi che non fanno parte di un dominio. == Confronto == SSPI è una variante proprietaria di Generic Security Services Application Program Interface (GSSAPI) con estensioni e tipi di dati ~~molto specifici~~caratteristici di Windows. Viene ~~fornito~~fornita con [[Windows NT 3.51]] e [[Windows 95]] con NTLMSSP. Per Windows 2000 è stata aggiunta un'implementazione di Kerberos 5, utilizzando formati di token conformi allo standard di protocollo ufficiale <nowiki>RFC 1964</nowiki> (il meccanismo Kerberos 5 GSSAPI) e fornendo interoperabilità a livello di ~~cavo~~connessione fisica con le implementazioni di Kerberos 5 di altri fornitori. I token generati e accettati dadalle SSPI sono per lo più compatibili con le applicazioni basate su GSS-API, quindi un client SSPI su Windows potrebbe essere in grado di autenticarsi con un server GSS-API su Unix, a seconda delle circostanze specifiche. Un difetto significativo di SSPI è la sua mancanza di ''channel binding,'' che rende impossibile una ~~certa~~ interoperabilità GSSAPI. Un'altra differenza fondamentale tra la GSSAPI definita da [[Internet Engineering Task Force\|IETF]] e la SSPI di Microsoft è il concetto di " [[Access token\|impersonificazione]] ". In ~~questo~~tale modello, un server può funzionare con ''tutti'' i privilegi del client autenticato, in modo che il sistema operativo esegua ~~tutti~~tutte [[Controllo accessi\|ile ~~controlli~~verifiche di controllo degli accessi]], ad esempio quando si aprono nuovi file. Il fatto che si tratti di ~~meno privilegi~~più o ~~di più~~meno privilegi rispetto a quello dell'account di servizio originale dipende interamente dal client. Nel modello tradizionale (GSSAPI), quando un server viene eseguito con un account di servizio, non può elevare i propri privilegi, enonché deve eseguire il controllo dell'accesso in modo specifico del client e dell'applicazione. Le ~~ovvie~~ implicazioni negative sulla sicurezza del concetto di ~~rappresentazione~~impersonificazione ~~vengono~~sono ~~impedite~~prevenute in Windows Vista limitando lal'impersonificazione ~~rappresentazione~~a ~~agli~~determinati account di servizio selezionati.<ref>[{{Cita web \|url=http://blogs.technet.com/askperf/archive/2008/02/03/ws2008-windows-service-hardening.aspx \|titolo=Windows Service Hardening: AskPerf blog] \|accesso=4 marzo 2022 \|dataarchivio=2 aprile 2010 \|urlarchivio=https://web.archive.org/web/20100402072054/http://blogs.technet.com/askperf/archive/2008/02/03/ws2008-windows-service-hardening.aspx \|urlmorto=sì }}</ref> ~~La rappresentazione~~L'impersonificazione può essere implementata in un modello Unix/Linux usando <code>seteuid</code> o chiamate di sistema correlate. Sebbene ciò ~~significhi~~implichi che un processo senza privilegi non può elevare i propri privilegi, significa anche che per sfruttare ~~la rappresentazione~~l'impersonificazione il processo deve essere eseguito nel contesto [[Root (utente)\|dell'account utente root]] . == Note ==