La nuova impostazione modifica il comportamento di autenticazione di rete NTLM
Questo articolo descrive il nuovo comportamento che influisce sulle modifiche delle password NTLM e su come modificare questo comportamento usando un Registro di sistema.
Si applica a: Windows Server 2012 R2
Numero KB originale: 906305
Introduzione
A partire da Microsoft Windows Server 2003 Service Pack 1 (SP1), viene modificato il comportamento di autenticazione di rete NTLM. Gli utenti di dominio possono usare la password precedente per accedere alla rete per un'ora dopo la modifica della password. Questa modifica non influisce sui componenti esistenti progettati per l'uso di Kerberos per l'autenticazione.
L'obiettivo di questa modifica è consentire ai processi in background, ad esempio i servizi, di continuare l'esecuzione per un certo periodo di tempo fino a quando un amministratore non ha la possibilità di aggiornare le credenziali per la nuova password.
Comportamento dell'autenticazione di rete NTLM
Per supportare in modo affidabile l'accesso alla rete per l'autenticazione di rete NTLM in ambienti distribuiti, il comportamento di autenticazione di rete NTLM è il seguente:
- Dopo che un utente di dominio ha modificato correttamente una password usando NTLM, la password precedente può comunque essere usata per l'accesso alla rete per un periodo di tempo definibile dall'utente. Questo comportamento consente agli account, ad esempio gli account del servizio, connessi a più computer di accedere alla rete durante la propagazione della modifica della password.
- L'estensione del periodo di durata della password si applica solo all'accesso alla rete tramite NTLM. Il comportamento di accesso interattivo rimane invariato. Questo comportamento non si applica agli account ospitati in server autonomi o nei server membri. Solo gli utenti di dominio sono interessati da questo comportamento.
- Il periodo di durata della password precedente può essere configurato modificando il Registro di sistema in un controller di dominio. Per rendere effettiva questa modifica del Registro di sistema non è necessario alcun riavvio.
Modificare il periodo di durata di una password precedente
Importante
In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Poiché l'errata modifica del Registro di sistema può causare seri problemi, Di conseguenza, attenersi scrupolosamente alla procedura indicata. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire backup e ripristino del Registro di sistema, vedere Backup e ripristino del Registro di sistema in Windows.
Per modificare il periodo di durata di una password precedente, aggiungere una voce DWORD denominata OldPasswordAllowedPeriod alla sottochiave del Registro di sistema seguente in un controller di dominio:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
A tal fine, attenersi alla seguente procedura:
Fare clic su Start, scegliere Esegui, digitare regedit, quindi fare clic su OK.
Individuare e selezionare la seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LsaScegliere Nuovo dal menu Modifica, quindi fare clic su Valore DWORD.
Digitare OldPasswordAllowedPeriod come nome della DWORD e quindi premere INVIO.
Fare clic con il pulsante destro del mouse su OldPasswordAllowedPeriod e quindi scegliere Modifica.
Nella casella Dati valore digitare il valore in minuti da usare e quindi fare clic su OK.
Nota
Il periodo di durata è impostato in minuti. Se questo valore del Registro di sistema non è impostato, il periodo di durata predefinito per una password precedente è 60 minuti.
Chiudere l'editor del Registro di sistema.
Nota
Questa impostazione del Registro di sistema non richiede l'applicazione di un riavvio.
Questo comportamento non causa una debolezza della sicurezza. Finché un solo utente conosce entrambe le password, l'utente viene comunque autenticato in modo sicuro usando una delle due password.
Se la password di un utente è nota per essere compromessa, l'amministratore deve reimpostare la password per tale utente. L'amministratore deve chiedere all'utente di modificare la password al successivo accesso per invalidare la password precedente il prima possibile.
Per reimpostare la password di un utente, seguire questa procedura:
- Avviare Utenti e computer di Active Directory.
- Individuare l'account utente la cui password deve essere reimpostata.
- Fare clic con il pulsante destro del mouse sull'oggetto utente e quindi scegliere Reimposta password.
- Digitare la nuova password nella casella Nuova password e nella casella Conferma password .
- Fare clic per selezionare la casella di controllo User must change password at next logon (L'utente deve modificare la password all'accesso successivo ) e quindi fare clic su OK.
Nota
Il comportamento descritto in questo articolo si verifica solo se il criterio password effettivo nei controller di dominio ha impostato Imponi cronologia password su un valore che specifica che verranno memorizzate due o più password. I criteri password devono essere impostati a livello di dominio. È possibile determinare se i criteri sono stati applicati ai controller di dominio usando lo snap-in Secpol.msc.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per