Wikipedia

Security Support Provider Interface: differenze tra le versioni

Naviga nella cronologia in modo interattivo
← Differenza precedenteDifferenza successiva →
Contenuto cancellato Contenuto aggiunto
VisualeWikitesto
VB876 (discussione | contributi)
669 modifiche
corretta l'ortografia e creato un collegamento alla pagina (disorfanizzata)
Riga 1:
{{O|informatica|aprile 2022}}
{{Correggere|informatica|marzo 2022}}
Il '''Security Support Provider Interface''' ('''SSPI''') è un componente [[Windows API|dell'delle API di Windows]] che esegue operazioni relative alla sicurezza (come, ad esempio, l'[[autenticazione]]).
 
SSPI funziona comeoffre un'interfaccia comune a diversi Security Support Provider (SSP)<ref>[https://msdn.microsoft.com/en-us/library/aa380502.aspx SSP Packages Provided by Microsoft]</ref>: un Security Support Provider è una [[Dynamic-link library|libreria a collegamento dinamico]] (DLL) che rende uno o più pacchetti di sicurezza disponibili per lealle appapplicazioni.
 
== Providers ==
IWindows include i seguenti SSP sono inclusi in Windows:
 
* NTLMSSP (msv1_0.dll) – Introdotto in [[Windows NT 3.51]]. Fornisce l'autenticazione di verifica/risposta [[NTLM]] per [[Dominio Windows Server|i domini Windows]] precedenti a [[Windows 2000]] e per i sistemi che non fanno parte di un dominio.<ref>[https://technet.microsoft.com/en-us/library/cc938854.aspx User Authentication - Security (Windows 2000 Resource Kit Documentation) : MSDN]</ref>
* [[Protocollo Kerberos|Kerberos]] (kerberos.dll) – Introdotto in [[Windows 2000]] e aggiornato in [[Windows Vista]] per supportare la crittografia [[Advanced Encryption Standard|AES]].<ref>[https://technet.microsoft.com/en-us/library/cc749438.aspx Kerberos Enhancements in Windows Vista: MSDN]</ref> Esegue l'autenticazione per i domini Windows in Windows 2000 e versioni successive.<ref>[https://technet.microsoft.com/en-us/library/bb742431.aspx Windows 2000 Kerberos Authentication]</ref>
* NegotiateSSP (secur32.dll) – Introdotto in Windows 2000. Fornisce funzionalità [[Single sign-on|di accesso singolo]], a volte denominata autenticazione integrata di Windows (soprattutto nel contesto di IIS).<ref>{{Cita web|url=https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-r2-and-2008/cc755284(v=ws.10)|sito=Windows Server 2008 R2 and Windows Server 2008 Documentations|dataaccesso=2020-08-05}}</ref> Prima di [[Windows 7]], è stato provato Kerberos primaper dipoi ripiegare su NTLM. In Windows 7 e versioni successive viene introdotto NEGOExts, che negozia l'uso di SSP personalizzati installati che sono supportati sul client e sul server per l'autenticazione.
* Secure Channel (schannel.dll) – Introdotto in Windows 2000 e aggiornato in Windows Vista per supportare una crittografia AES più avanzata e [[Crittografia ellittica|ECC]]<ref>[https://technet.microsoft.com/en-us/library/cc766285.aspx TLS/SSL Cryptographic Enhancements in Windows Vista]</ref> Questo provider utilizza i record SSL/TLS per crittografare i payload di dati.
* [[Transport Layer Security|TLS/SSL]] – SSP di [[Crittografia asimmetrica|crittografia a chiave pubblica]] che fornisce crittografia e comunicazione sicura per l'autenticazione di client e server su Internet.<ref>[https://msdn.microsoft.com/en-us/library/aa380123.aspx Secure Channel: SSP Packages Provided by Microsoft]</ref> Aggiornato in Windows 7 per supportare TLS 1.2.
Riga 25:
Un difetto significativo di SSPI è la sua mancanza di channel binding, che rende impossibile una certa interoperabilità GSSAPI.
 
Un'altra differenza fondamentale tra la GSSAPI definita da [[Internet Engineering Task Force|IETF]] e la SSPI di Microsoft è il concetto di "[[Access token|impersonificazione]]". In questo modello, un server può funzionare con ''tutti'' i privilegi del client autenticato, in modo che il sistema operativo esegua tutte [[Controllo accessi|le verifiche di controllo degli accessi]], ad esempio quando si aprono nuovi file. Il fatto che si tratti di meno o più privilegi rispetto a quello dell'account di servizio originale dipende interamente dal client. Nel modello tradizionale (GSSAPI), quando un server viene eseguito con un account di servizio, non può elevare i propri privilegi e deve eseguire il controllo dell'accesso in modo specifico del client e dell'applicazione. Le ovvie implicazioni negative sulla sicurezza del concetto di rappresentazioneimpersonificazione vengonosono impediteprevenute in Windows Vista limitando lal'impersonificazione rappresentazionea aglideterminati account di servizio selezionati.<ref>{{Cita web |url=http://blogs.technet.com/askperf/archive/2008/02/03/ws2008-windows-service-hardening.aspx |titolo=Windows Service Hardening: AskPerf blog |accesso=4 marzo 2022 |dataarchivio=2 aprile 2010 |urlarchivio=https://web.archive.org/web/20100402072054/http://blogs.technet.com/askperf/archive/2008/02/03/ws2008-windows-service-hardening.aspx |urlmorto=sì }}</ref> La rappresentazioneL'impersonificazione può essere implementata in un modello Unix/Linux usando <code>seteuid</code> o chiamate di sistema correlate. Sebbene ciò implichi che un processo senza privilegi non può elevare i propri privilegi, significa anche che per sfruttare la rappresentazionel'impersonificazione il processo deve essere eseguito nel contesto [[Root (utente)|dell'account utente root]].
 
== Note ==
Estratto da "https://it.wikipedia.org/wiki/Security_Support_Provider_Interface"