Wikipedia

Security Support Provider Interface: differenze tra le versioni

Naviga nella cronologia in modo interattivo
← Differenza precedente
Contenuto cancellato Contenuto aggiunto
VisualeWikitesto
Confronto: Revisioni editoriali-
Etichette: Modifica da mobile Modifica da web per mobile Modifica da mobile avanzata Attività per i nuovi utenti Newcomer task: copyedit
m Rimozione dell'avviso {{Correggere|informatica|marzo 2022}} per motivi descritti nella discussione.
 
(8 versioni intermedie di 7 utenti non mostrate)
Riga 1:
{{O|informatica|aprile 2022}}
Il '''Security Support Provider Interface''' ('''SSPI''') è un componente [[Windows API|dell'delle API di Windows]] che esegue operazioni relative alla sicurezza (come, ad esempio, l'[[autenticazione]]).
{{Correggere|informatica|marzo 2022}}
Il '''Security Support Provider Interface''' ('''SSPI''') è un componente [[Windows API|dell'API di Windows]] che esegue operazioni relative alla sicurezza (come, ad esempio, l'[[autenticazione]]).
 
SSPI funziona comeoffre un'interfaccia comune a diversi Security Support Provider (SSP)<ref>[https://msdn.microsoft.com/en-us/library/aa380502.aspx SSP Packages Provided by Microsoft]</ref>: un Security Support Provider è una [[Dynamic-link library|libreria a collegamento dinamico]] (DLL) che rende uno o più pacchetti di sicurezza disponibili per lealle appapplicazioni.
 
== Providers ==
IWindows include i seguenti SSP sono inclusi in Windows:
 
* NTLMSSP (msv1_0.dll) – Introdotto in [[Windows NT 3.51]]. Fornisce l'autenticazione di verifica/risposta [[NTLM]] per [[Dominio Windows Server|i domini Windows]] precedenti a [[Windows 2000]] e per i sistemi che non fanno parte di un dominio.<ref>[https://technet.microsoft.com/en-us/library/cc938854.aspx User Authentication - Security (Windows 2000 Resource Kit Documentation) : MSDN]</ref>
* [[Protocollo Kerberos|Kerberos]] (kerberos.dll) – Introdotto in [[Windows 2000]] e aggiornato in [[Windows Vista]] per supportare la crittografia [[Advanced Encryption Standard|AES]].<ref>[https://technet.microsoft.com/en-us/library/cc749438.aspx Kerberos Enhancements in Windows Vista: MSDN]</ref> Esegue l'autenticazione per i domini Windows in Windows 2000 e versioni successive.<ref>[https://technet.microsoft.com/en-us/library/bb742431.aspx Windows 2000 Kerberos Authentication]</ref>
* NegotiateSSP (secur32.dll) – Introdotto in Windows 2000. Fornisce funzionalità [[Single sign-on|di accesso singolo]], a volte denominata autenticazione integrata di Windows (soprattutto nel contesto di IIS).<ref>{{Cita web|url=https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-r2-and-2008/cc755284(v=ws.10)|sito=Windows Server 2008 R2 and Windows Server 2008 Documentations|dataaccesso=2020-08-05}}</ref> Prima di [[Windows 7]], è stato provato Kerberos primaper dipoi ripiegare su NTLM. In Windows 7 e versioni successive viene introdotto NEGOExts, che negozia l'uso di SSP personalizzati installati che sonoe supportati sia sul client e sia sul server per l'autenticazione.
* Secure Channel (schannel.dll) – Introdotto in Windows 2000 e aggiornato in Windows Vista per supportare una crittografia AES più avanzata e [[Crittografia ellittica|ECC]]<ref>[https://technet.microsoft.com/en-us/library/cc766285.aspx TLS/SSL Cryptographic Enhancements in Windows Vista]</ref> Questo provider utilizza i record SSL/TLS per crittografare i payload di dati.
* [[Transport Layer Security|TLS/SSL]] – SSP di [[Crittografia asimmetrica|crittografia a chiave pubblica]] che fornisce crittografia e comunicazione sicura per l'autenticazione di client e server su Internet.<ref>[https://msdn.microsoft.com/en-us/library/aa380123.aspx Secure Channel: SSP Packages Provided by Microsoft]</ref> Aggiornato in Windows 7 per supportare TLS 1.2.
* [[Digest access authentication|Digest SSP]] (wdigest.dll) – Introdotto in [[Windows XP]]. Fornisce l'autenticazione HTTP e [[Simple Authentication and Security Layer|SASL]] basata su challenge/response tra sistemi Windows e non Windows in cui Kerberos non è disponibile.<ref>[https://msdn.microsoft.com/en-us/library/aa378745.aspx Microsoft Digest SSP: SSP Packages provided by Microsoft]</ref>
* CredSSP (credssp.dll) – Introdotto in [[Windows Vista]] e disponibile su Windows XP SP3. Fornisce [[Single sign-on|Single Sign-On]] e autenticazione a [[livello di rete]] per servizi di desktop remoto.<ref>[https://technet.microsoft.com/en-us/library/cc749211.aspx Credential Security Service Provider and SSO for Terminal Services Logon]</ref>
* Autenticazione con password distribuita (DPA, msapsspc.dll) – Introdotta in Windows 2000. Fornisce l'autenticazione Internet tramite [[Certificato digitale|certificati digitali]].<ref>[http://msdn.microsoft.com/en-us/library/ms809340.aspx#dcomtec_sec DCOM Technical Overview: Security on the Internet]</ref>
* Crittografia a chiave pubblica da utente a utente (PKU2U, pku2u.dll) – Introdotto in [[Windows 7]]. Fornisce l'autenticazione [[peer-to-peer]] utilizzando certificati digitali tra sistemi che non fanno parte di un dominio.
 
== Confronto ==
SSPI è una variante proprietaria di Generic Security Services Application Program Interface (GSSAPI) con estensioni e tipi di dati caratteristici di Windows. Viene fornitofornita con [[Windows NT 3.51]] e [[Windows 95]] con NTLMSSP. Per Windows 2000 è stata aggiunta un'implementazione di Kerberos 5, utilizzando formati di token conformi allo standard di protocollo ufficiale <nowiki>RFC 1964</nowiki> (il meccanismo Kerberos 5 GSSAPI) e fornendo interoperabilità a livello di connessione fisica con le implementazioni di Kerberos 5 di altri fornitori.
 
I token generati e accettati dadalle SSPI sono per lo più compatibili con le applicazioni basate su GSS-API, quindi un client SSPI su Windows potrebbe essere in grado di autenticarsi con un server GSS-API su Unix, a seconda delle circostanze specifiche.
 
Un difetto significativo di SSPI è la sua mancanza di ''channel binding,'' che rende impossibile una certa interoperabilità GSSAPI.
 
Un'altra differenza fondamentale tra la GSSAPI definita da [[Internet Engineering Task Force|IETF]] e la SSPI di Microsoft è il concetto di "[[Access token|impersonificazione]]". In questotale modello, un server può funzionare con ''tutti'' i privilegi del client autenticato, in modo che il sistema operativo esegua tutte [[Controllo accessi|le verifiche di controllo degli accessi]], ad esempio quando si aprono nuovi file. Il fatto che si tratti di menopiù o piùmeno privilegi rispetto a quello dell'account di servizio originale dipende interamente dal client. Nel modello tradizionale (GSSAPI), quando un server viene eseguito con un account di servizio, non può elevare i propri privilegi, enonché deve eseguire il controllo dell'accesso in modo specifico del client e dell'applicazione. Le ovvie implicazioni negative sulla sicurezza del concetto di rappresentazioneimpersonificazione vengonosono impediteprevenute in Windows Vista limitando lal'impersonificazione rappresentazionea aglideterminati account di servizio selezionati.<ref>{{Cita web |url=http://blogs.technet.com/askperf/archive/2008/02/03/ws2008-windows-service-hardening.aspx |titolo=Windows Service Hardening: AskPerf blog |accesso=4 marzo 2022 |dataarchivio=2 aprile 2010 |urlarchivio=https://web.archive.org/web/20100402072054/http://blogs.technet.com/askperf/archive/2008/02/03/ws2008-windows-service-hardening.aspx |urlmorto=sì }}</ref> La rappresentazioneL'impersonificazione può essere implementata in un modello Unix/Linux usando <code>seteuid</code> o chiamate di sistema correlate. Sebbene ciò significhiimplichi che un processo senza privilegi non può elevare i propri privilegi, significa anche che per sfruttare la rappresentazionel'impersonificazione il processo deve essere eseguito nel contesto [[Root (utente)|dell'account utente root]].
 
== Note ==
Estratto da "https://it.wikipedia.org/wiki/Security_Support_Provider_Interface"