DevAdmin Blog

Blog di Ermanno Goletto (Microsoft MVP Directory Services - MCSE - MCSA - MCITP - MCTS)
posts - 1026, comments - 598, trackbacks - 8

My Links

News

Il blog si è trasferito al seguente link:

www.devadmin.it

Avatar

Visualizza il profilo di Ermanno Goletto su LinkedIn

Follow ermannog on Twitter


Il contenuto di questo blog e di ciascun post viene fornito “così come é”, senza garanzie, e non conferisce alcun diritto. Questo blog riporta il mio personale pensiero che non riflette necessariamente il pensiero del mio datore di lavoro.

Logo Creative Commons Deed


Logo SysAdmin.it SysAdmin.it Staff


Logo TechNet Forum TechNet Italia @ForumTechNetIt Follow TechNet Forum on Twitter


Logo MVP

Article Categories

Archives

Post Categories

Blogs

Friends

Knowledge Base

MVP Sites

Resources

Gestione delle password di rete

Le password di rete possono tornare utili in tutti quegli scenari che prevedono accesso a risorse extra dominio aziendale come ad esempio:

  • sito Web con password (ad esempio tramite account passport Microsoft)
  • sito Web con certificato
  • Risorse in un dominio non attendibile, per esempio file server basati su S.O. Linux o Exchange su dominio separato nel caso non sia possibile o non si voglia configurare un trusth tra domini monodirezionale (Installazione di Exchange su dominio Active Directory separato).
  • Risorse con credenziali alternative

Per aprire in XP l'interfaccia grafica della gestione delle password di rete utilizzare la seguente procedura:

  1. Start -> Pannello di controllo.
  2. Account utente -> scheda Utenti -> selezionare l'utente desiderato -> Scheda Avanzate.
  3. Fare clic sul pulsante Gestione password per aprire la finestra di dialogo Gestione nomi utente e password archiviati.

In alternativa utilizare il comando Control keymgr.dll oppure Control Userpasswords2 e selezionare la scheda Avanzate quindi fare click sul pulsante Gestione password.

I tipi di credenziali che è possibile gestire sono:

  • Nomi utente e password
  • Certificati X.509 (smart card)
  • Profili Passport

Per inserire una passord è possibile utilizzare per il server le seguenti notazioni:

Mentre per il nome utente è possibile utilizzare le seguenti notazioni:

In Gestione nomi utente e password archiviati le chiavi vengono create dinamicamente e manualmente. Le chiavi DINAMICHE vengono create quando:

  1. Un utente tenta di connettersi a \\server\condivisione.
  2. Viene fatto un tentativo con le credenziali di accesso dell'utente. Se queste non sono valide, viene visualizzata una richiesta (anche se la casella di controllo Memorizza password non è selezionata quando l'utente fornisce le credenziali, queste potranno comunque essere utilizzate per riconnettersi alla risorsa in quanto sono memorizzate nella cache, per evitare questo comportamento by design, è possibile chiudere la sessione tramite NET SESSION [\\computername] [/DELETE] o riavviare il computer).
  3. La connessione va a buon fine oppure se si sceglie Annulla in un messaggio di errore restituito.

Se alla risorsa in questione è possibile applicare più credenziali, Gestione nomi utente e password archiviati (in Windows XP SP1 e versioni successive) utilizza quelle più specifiche. Quindi se l'utente tenta di connettersi a \\server, che è server.dominio.foresta.com, e dispone delle credenziali per il server, *.dominio.foresta.com, e *.foresta.com verranno utilizzate le credenziali più specifiche ovvero quelle per il server.

Le password vengono memorizzate nel registro stto la chiave:

HKEY_CURRENT_USER \ Software \ Microsoft \ Protected Storage System Provider \ <SIDAccount>

Per impostazione predefinita sulla chiave solo all'utente SYSTEM sono concesse autorizzazioni di controllo completo, aggiungendo autorizzazioni complete per il proprio utente a questa chiave e a querlle figlio e aggirnando la visualizzazione tramite F5 sarà possibile vedere ed eventualmente intervenire sulle credenziali salvate. Terminato l'intervento rimuovere le autorizzazioni per l'utente corrente.

Affinché il comando net use salvi le credenziali in Gestione credenziali occorre utilizzare il parametro /savecred. Utilizzando questo parametro, qualsiasi credenziale richiesta dal comando net use verrà salvata sotto forma di chiave se viene chiesto di specificare il nome utente e la password o solo la password quando si utilizza il comando net use. Utilizzando un asterisco [*] nel comando net use (perché venga richiesta la password) assieme al parametro /savecred, le credenziali non verranno salvate.

In Windows 2003 Server, Windows Vista e Windows 2008 Server è possibile gestire le credenziali memorizzate tramite il comando Cmdkey, in Windows XP tale comando non è presente (volendo è possibile copiare la versione di CmdKey di Windows 2003 in XP), che consente di automatizzare la gestione delle password di rete.

Per interagire tramite .NET con Gestione nomi utente e password archiviati si veda il seguente Using Credential Management in Windows XP and Windows Server 2003.

 

Per ulteriori informazioni si vedano:

Print | posted on Sunday, June 21, 2009 11:53 PM | Filed Under [ Links Tips Security IT ]

Powered by:
Powered By Subtext Powered By ASP.NET