Wikipedia

Security Support Provider Interface: differenze tra le versioni

Naviga nella cronologia in modo interattivo
← Differenza precedenteDifferenza successiva →
Contenuto cancellato Contenuto aggiunto
VisualeWikitesto
Recupero di 1 fonte/i e segnalazione di 0 link interrotto/i.) #IABot (v2.0.8.8
Correzione voce
Riga 9:
 
* NTLMSSP (msv1_0.dll) – Introdotto in [[Windows NT 3.51]]. Fornisce l'autenticazione di verifica/risposta [[NTLM]] per [[Dominio Windows Server|i domini Windows]] precedenti a [[Windows 2000]] e per i sistemi che non fanno parte di un dominio.<ref>[https://technet.microsoft.com/en-us/library/cc938854.aspx User Authentication - Security (Windows 2000 Resource Kit Documentation) : MSDN]</ref>
* [[Protocollo Kerberos|Kerberos]] (kerberos.dll) – Introdotto in [[Windows 2000]] e aggiornato in [[Windows Vista]] per supportare la crittografia [[Advanced Encryption Standard|AES]].<ref>[https://technet.microsoft.com/en-us/library/cc749438.aspx Kerberos Enhancements in Windows Vista: MSDN]</ref> Esegue l'autenticazione per i domini Windows in Windows 2000 e versioni successive.<ref>[https://technet.microsoft.com/en-us/library/bb742431.aspx Windows 2000 Kerberos Authentication]</ref>
* NegotiateSSP (secur32.dll) – Introdotto in Windows 2000. Fornisce funzionalità [[Single sign-on|di accesso singolo]], a volte denominata autenticazione integrata di Windows (soprattutto nel contesto di IIS).<ref>{{Cita web|url=https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-r2-and-2008/cc755284(v=ws.10)|sito=Windows Server 2008 R2 and Windows Server 2008 Documentations|dataaccesso=2020-08-05}}</ref> Prima di [[Windows 7]], provaè stato provato Kerberos prima di ricadereripiegare su NTLM. In Windows 7 e versioni successive viene introdotto NEGOExts, che negozia l'uso di SSP personalizzati installati che sono supportati sul client e sul server per l'autenticazione.
* Secure Channel (schannel.dll) – Introdotto in Windows 2000 e aggiornato in Windows Vista per supportare una crittografia AES più avanzata e [[Crittografia ellittica|ECC]]<ref>[https://technet.microsoft.com/en-us/library/cc766285.aspx TLS/SSL Cryptographic Enhancements in Windows Vista]</ref> Questo provider utilizza i record SSL/TLS per crittografare i payload di dati.
* [[Transport Layer Security|TLS/SSL]] – SSP di [[Crittografia asimmetrica|crittografia a chiave pubblica]] che fornisce crittografia e comunicazione sicura per l'autenticazione di client e server su Internet.<ref>[https://msdn.microsoft.com/en-us/library/aa380123.aspx Secure Channel: SSP Packages Provided by Microsoft]</ref> Aggiornato in Windows 7 per supportare TLS 1.2.
* [[Digest access authentication|Digest SSP]] (wdigest.dll) – Introdotto in [[Windows XP]]. Fornisce l'autenticazione HTTP e [[Simple Authentication and Security Layer|SASL]] basata su challenge/response tra sistemi Windows e non Windows in cui Kerberos non è disponibile.<ref>[https://msdn.microsoft.com/en-us/library/aa378745.aspx Microsoft Digest SSP: SSP Packages provided by Microsoft]</ref>
* CredSSP (credssp.dll) – Introdotto in [[Windows Vista]] e disponibile su Windows XP SP3. Fornisce [[Single sign-on|Single Sign-On]] e autenticazione a livello di rete per Serviziservizi Desktopdi desktop remoto.<ref>[https://technet.microsoft.com/en-us/library/cc749211.aspx Credential Security Service Provider and SSO for Terminal Services Logon]</ref>
* Autenticazione con password distribuita (DPA, msapsspc.dll) – Introdotta in Windows 2000. Fornisce l'autenticazione Internet tramite [[Certificato digitale|certificati digitali]].<ref>[http://msdn.microsoft.com/en-us/library/ms809340.aspx#dcomtec_sec DCOM Technical Overview: Security on the Internet]</ref>
* Crittografia a chiave pubblica da utente a utente (PKU2U, pku2u.dll) – Introdotto in [[Windows 7]]. Fornisce l'autenticazione peer-to-peer utilizzando certificati digitali tra sistemi che non fanno parte di un dominio.
Riga 25:
Un difetto significativo di SSPI è la sua mancanza di channel binding, che rende impossibile una certa interoperabilità GSSAPI.
 
Un'altra differenza fondamentale tra la GSSAPI definita da [[Internet Engineering Task Force|IETF]] e la SSPI di Microsoft è il concetto di "[[Access token|impersonificazione]]". In questo modello, un server può funzionare con ''tutti'' i privilegi del client autenticato, in modo che il sistema operativo esegua tuttitutte [[Controllo accessi|ile controlliverifiche di controllo degli accessi]], ad esempio quando si aprono nuovi file. Il fatto che si tratti di meno privilegi o di più privilegi rispetto a quello dell'account di servizio originale dipende interamente dal client. Nel modello tradizionale (GSSAPI), quando un server viene eseguito con un account di servizio, non può elevare i propri privilegi e deve eseguire il controllo dell'accesso in modo specifico del client e dell'applicazione. Le ovvie implicazioni negative sulla sicurezza del concetto di rappresentazione vengono impedite in Windows Vista limitando la rappresentazione agli account di servizio selezionati.<ref>{{Cita web |url=http://blogs.technet.com/askperf/archive/2008/02/03/ws2008-windows-service-hardening.aspx |titolo=Windows Service Hardening: AskPerf blog |accesso=4 marzo 2022 |dataarchivio=2 aprile 2010 |urlarchivio=https://web.archive.org/web/20100402072054/http://blogs.technet.com/askperf/archive/2008/02/03/ws2008-windows-service-hardening.aspx |urlmorto=sì }}</ref> La rappresentazione può essere implementata in un modello Unix/Linux usando <code>seteuid</code> o chiamate di sistema correlate. Sebbene ciò significhi che un processo senza privilegi non può elevare i propri privilegi, significa anche che per sfruttare la rappresentazione il processo deve essere eseguito nel contesto [[Root (utente)|dell'account utente root]].
 
== Note ==
Estratto da "https://it.wikipedia.org/wiki/Security_Support_Provider_Interface"