Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Important
Starting with the April Windows security update (KB5055523), Credential Guard protected machine accounts is temporarily disabled in Windows Server 2025 and Windows 11, version 24H2. Questa funzionalità è stata disabilitata a causa di un problema relativo alla rotazione delle password del computer tramite Kerberos. La funzionalità rimane disabilitata fino a quando non è disponibile una correzione permanente. Per altre informazioni sul problema di rotazione delle password del computer, vedere l'articolo Problemi noti e notifiche di Windows Server 2025 .
Le funzionalità recenti di Windows, ad esempio l'estensione Kerberos FAST (Flexible Authentication Secure Tunneling), nota anche come Kerberos Armoring, sono diventate sempre più dipendenti dagli account computer per migliorare la sicurezza. L'account macchina viene utilizzato per aggiungere entropia alla chiave segreta del client e ora sia gli account del servizio gMSA che quelli dMSA si basano sugli account macchina e concedono loro l'accesso agli account del servizio. Tuttavia, questa dipendenza dagli account computer ha creato una vulnerabilità nella sicurezza degli account del servizio poiché gli account computer possono essere facilmente estratti dal Registro di sistema e usati per accedere ad account del servizio altamente protetti.
Per rafforzare la sicurezza degli account di servizio, la funzionalità opt-in degli account macchina in Credential Guard è ora disponibile nei dispositivi Windows Server 2025 con Credential Guard abilitato. È fondamentale adottare misure per risolvere questo problema. Questa funzionalità trasferisce l'archiviazione delle credenziali degli account computer dal Registro di sistema a Credential Guard, che fornisce un ambiente di esecuzione attendibile separato per la password dell'account computer. La sicurezza risulta migliorata perché:
- La password non è accessibile a driver, amministratori e utenti privi di privilegi.
- La sicurezza degli account delle macchine è migliorata, rafforzando la sicurezza complessiva degli account di servizio in Active Directory (AD).
Isolamento delle identità delle macchine
Abilitando l'isolamento delle identità dei computer si abilita la protezione basata su virtualizzazione degli account computer di Active Directory. Se abilitata, le credenziali dell'account computer del dispositivo vengono trasferite in Credential Guard. Di conseguenza, tutte le future autenticazioni degli account macchina, come l'accesso a un dispositivo collegato a un dominio, verranno reindirizzate tramite Credential Guard. Tuttavia, se Credential Guard non si avvia dopo il riavvio di un dispositivo, non sarà possibile completare l'autenticazione del dominio, richiedendo potenzialmente l'intervento di un account amministratore locale per il ripristino.
Configurazione dell'isolamento delle identità del computer
Per abilitare l'impostazione Configurazione dell'isolamento delle identità del computer aprire Criteri di gruppo e spostarsi sul seguente percorso, quindi selezionare Abilitato:
- Configurazione del computer\Modelli amministrativi\Sistema\Device Guard\Attiva sicurezza basata sulla virtualizzazione
Le opzioni disponibili per questa impostazione specifica sono:
Disabled: Turns off Machine Identity Isolation. Se questo criterio è stato impostato in precedenza su Abilitato in modalità di controllo, non sono necessarie altre azioni. Se questo criterio è stato impostato in precedenza su Abilitato in modalità di imposizione, il dispositivo deve essere rimosso e aggiunto nuovamente al dominio, altrimenti non è in grado di eseguire l'autenticazione.
Note
Se l'accesso memorizzato nella cache locale è abilitato e questa impostazione è disabilitata, l'accesso locale funzionerà comunque quando la cache è aggiornata, mentre l'autenticazione del dominio non potrà essere eseguita.
Solo l'account amministratore locale può essere usato per scollegare e ricollegare la macchina.
Abilitato in modalità di controllo: questa opzione crea un nuovo segreto in Credential Guard e lo copia nell'autorità di protezione locale (LSA). Il segreto LSA precedente viene quindi eliminato. Durante la verifica, i tentativi di autenticare l'identità della macchina cercheranno innanzitutto di utilizzare la copia in Credential Guard. In caso di errore, si torna a utilizzare l'identità del sistema LSA originale per l'autenticazione.
Note
Se i criteri erano impostati in precedenza sulla modalità di applicazione, il dispositivo deve essere scollegato e ricollegato manualmente.
Abilitato in modalità di applicazione: questa opzione sposta il segreto dell'account computer in Credential Guard e lo elimina da LSA. In questo modo, il segreto dell'account computer non è accessibile, tranne nel caso in cui sia usato da Credential Guard per l'autenticazione del computer.
Not Configured: Leaves the policy setting undefined. Il Criterio di gruppo non scrive l'impostazione del criterio nel Registro di Sistema e non ha alcun impatto sui computer o sugli utenti. Se è presente un'impostazione corrente nel Registro di sistema, non verrà modificata.