Gestione delle password di rete
Le password di rete possono tornare utili in tutti quegli scenari che prevedono accesso a risorse extra dominio aziendale come ad esempio:
- sito Web con password (ad esempio tramite account passport Microsoft)
- sito Web con certificato
- Risorse in un dominio non attendibile, per esempio file server basati su S.O. Linux o Exchange su dominio separato nel caso non sia possibile o non si voglia configurare un trusth tra domini monodirezionale (Installazione di Exchange su dominio Active Directory separato).
- Risorse con credenziali alternative
Per aprire in XP l’interfaccia grafica della gestione delle password di rete utilizzare la seguente procedura:
- Start -> Pannello di controllo.
- Account utente -> scheda Utenti -> selezionare l’utente desiderato -> Scheda Avanzate.
- Fare clic sul pulsante Gestione password per aprire la finestra di dialogo Gestione nomi utente e password archiviati.
In alternativa utilizare il comando Control keymgr.dll oppure Control Userpasswords2 e selezionare la scheda Avanzate quindi fare click sul pulsante Gestione password.
I tipi di credenziali che è possibile gestire sono:
- Nomi utente e password
- Certificati X.509 (smart card)
- Profili Passport
Per inserire una passord è possibile utilizzare per il server le seguenti notazioni:
- *.dominio.ext
- Server
- \\Server\condivisione
Mentre per il nome utente è possibile utilizzare le seguenti notazioni:
- domain\user
- user@domain.ext
In Gestione nomi utente e password archiviati le chiavi vengono create dinamicamente e manualmente. Le chiavi DINAMICHE vengono create quando:
- Un utente tenta di connettersi a \\server\condivisione.
- Viene fatto un tentativo con le credenziali di accesso dell’utente. Se queste non sono valide, viene visualizzata una richiesta (anche se la casella di controllo Memorizza password non è selezionata quando l’utente fornisce le credenziali, queste potranno comunque essere utilizzate per riconnettersi alla risorsa in quanto sono memorizzate nella cache, per evitare questo comportamento by design, è possibile chiudere la sessione tramite NET SESSION [\\computername] [/DELETE] o riavviare il computer).
- La connessione va a buon fine oppure se si sceglie Annulla in un messaggio di errore restituito.
Se alla risorsa in questione è possibile applicare più credenziali, Gestione nomi utente e password archiviati (in Windows XP SP1 e versioni successive) utilizza quelle più specifiche. Quindi se l’utente tenta di connettersi a \\server, che è server.dominio.foresta.com, e dispone delle credenziali per il server, *.dominio.foresta.com, e *.foresta.com verranno utilizzate le credenziali più specifiche ovvero quelle per il server.
Le password vengono memorizzate nel registro stto la chiave:
HKEY_CURRENT_USER \ Software \ Microsoft \ Protected Storage System Provider \ <SIDAccount>
Per impostazione predefinita sulla chiave solo all’utente SYSTEM sono concesse autorizzazioni di controllo completo, aggiungendo autorizzazioni complete per il proprio utente a questa chiave e a querlle figlio e aggirnando la visualizzazione tramite F5 sarà possibile vedere ed eventualmente intervenire sulle credenziali salvate. Terminato l’intervento rimuovere le autorizzazioni per l’utente corrente.
Affinché il comando net use salvi le credenziali in Gestione credenziali occorre utilizzare il parametro /savecred. Utilizzando questo parametro, qualsiasi credenziale richiesta dal comando net use verrà salvata sotto forma di chiave se viene chiesto di specificare il nome utente e la password o solo la password quando si utilizza il comando net use. Utilizzando un asterisco [*] nel comando net use (perché venga richiesta la password) assieme al parametro /savecred, le credenziali non verranno salvate.
In Windows 2003 Server, Windows Vista e Windows 2008 Server è possibile gestire le credenziali memorizzate tramite il comando Cmdkey, in Windows XP tale comando non è presente (volendo è possibile copiare la versione di CmdKey di Windows 2003 in XP), che consente di automatizzare la gestione delle password di rete.
Per interagire tramite .NET con Gestione nomi utente e password archiviati si veda il seguente Using Credential Management in Windows XP and Windows Server 2003.
Per ulteriori informazioni si vedano:
- Funzionamento di Gestione nomi utente e password archiviati
- Le credenziali Gestione nomi utente e password archiviati vengono conservate per la durata della sessione di accesso
- Le credenziali Gestione nomi utente e password archiviati vengono conservate per la durata della sessione di accesso
- Stored User Names and Passwords Does Not Prompt for Credentials When You Attempt to Connect to a Resource
- How to set up a .NET Passport account in Windows XP
- HOW TO: Gestire nomi utente e password memorizzati in un computer che non fa parte di un dominio
- HOW TO: Gestire nomi utente e password archiviati su un computer in un dominio
- Interoperabilità della funzione Gestione nomi utente e password archiviati al prompt dei comandi
- Backup and Restore of Stored User Names and Passwords
- CredUIPromptForCredentials
- CredUIPromptForWindowsCredentials
[…] L’idea è quella di utilizzare Runas con il parametro /savecred (avevo già discusso questa tecnica in questo vecchio post Usare Internet Explorer come nonadmin, mentre per una panoramica delle gestione delle password salvate si veda Gestione delle password di rete) […]