Considerazioni sulla protezione in caso di utilizzo del servizio Single Sign-on

Il servizio Microsoft Single Sign-on (SSOSrv) utilizza i tipi di account seguenti: account di configurazione, account di amministratore del servizio Single Sign-on e account di gestione di applicazioni enterprise. Per ulteriori informazioni sui diritti necessari per ognuno di questi account, vedere Specifica delle impostazioni per il servizio Single Sign-On e le definizioni di applicazioni.

Suggerimenti inerenti la protezione per la topologia della server farm

Quando si utilizza il servizio Single Sign-on, è possibile migliorare la protezione distribuendo le risorse nella server farm. La protezione è influenzata in particolare dalla configurazione del server Web front-end, del server dei processi e del computer in cui è archiviato il database Single Sign-on.

Configurazione con minore protezione Tutto è implementato in unico server. Questa configurazione offre un minor livello di protezione perché il server Web front-end, il database Single Sign-on archiviato in Microsoft SQL Server e la chiave di crittografia si trovano nello stesso computer.
Nota Questa configurazione non è consigliata.
Configurazione con maggiore protezione Si tratta di una configurazione con due computer, dei quali uno è il server Web front-end e l'altro è il server dei processi contenente il database Single Sign-on archiviato in SQL Server e la chiave di crittografia.
Configurazione consigliata per una migliore protezione Si tratta di una configurazione con tre o più computer in cui il server Web front-end, il server dei processi contenente la chiave di crittografia e il server contenente il database Single Sign-on archiviato in SQL Server si trovano in computer diversi.

Se si utilizza il servizio Single Sign-on in uno scenario con servizi condivisi, le credenziali dell'utente archiviate nella server farm padre saranno disponibili agli amministratori di tutte le server farm figlio. È consigliabile eseguire le applicazioni con il servizio Single Sign-on solo nel sito portale padre e utilizzare un elemento iFrame nell'applicazione per i siti portale figlio. Disattivare il servizio Single Sign-on nelle server farm figlio.

Suggerimenti inerenti la protezione per l'archiviazione della copia di backup della chiave di crittografia

È consigliare archiviare il disco di backup della chiave di crittografia in un posto sicuro.

La chiave di crittografia viene utilizzata durante il processo di crittografia per tutte le credenziali. Essendo la chiave che consente di decrittografare le credenziali crittografate archiviate nel database, la copia di backup non dovrebbe essere archiviata insieme alla copia di backup del database.

Nota Se un utente ottiene una copia sia del database che della chiave, i nomi utente e le password potrebbero essere compromessi.

Attivazione del controllo per la chiave di crittografia

È consigliabile attivare il controllo per la chiave di crittografia. In tal caso, se la chiave verrà letta o modificata, nel registro di protezione del Visualizzatore eventi di Microsoft Windows Server 2003 verrà inserito un itinerario di controllo.

Attivare il controllo per la chiave di crittografia

Modificare il Registro di sistema eseguendo le operazioni seguenti:
Attenzione Modifiche non corrette del Registro di sistema possono danneggiare il sistema in modo grave. Prima di apportare modifiche al Registro di sistema, è necessario eseguire il backup di eventuali dati importanti nel computer.
1. Sulla barra delle applicazioni fare clic sul pulsante Start e quindi scegliere Esegui.
2. Digitare regedit e quindi scegliere OK.
3. Nell'Editor del Registro di sistema posizionarsi sulla chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ssosrv\Config.
4. Fare clic con il pulsante destro del mouse su Config e quindi scegliere Autorizzazioni.
5. Nella finestra di dialogo Autorizzazioni per Config fare clic su Avanzate.
6. Nella finestra di dialogo Impostazioni avanzate di protezione per Config selezionare la scheda Controllo e quindi fare clic su Aggiungi.
7. Nella finestra di dialogo Selezione Utente, Computer o Gruppo digitare everyone nella casella Immettere il nome dell'oggetto da selezionare.
8. Scegliere OK.
9. Nella finestra di dialogo Voci di controllo per Config selezionare la casella di controllo Controllo completo nella colonna Non riuscito e quindi scegliere OK.
10. Scegliere OK e quindi nuovamente OK per chiudere tutte le finestre di dialogo.
11. Chiudere l'Editor del Registro di sistema.
Attivare il controllo eseguendo le operazioni seguenti:
1. Sulla barra delle applicazioni fare clic sul pulsante Start e quindi scegliere Esegui.
2. Digitare mmc e quindi scegliere OK.
3. Nella console scegliere Aggiungi/Rimuovi snap-in dal menu File.
4. Nella scheda Autonomo della finestra di dialogo Aggiungi/Rimuovi snap-in fare clic su Aggiungi.
5. Nella finestra di dialogo Aggiungi snap-in autonomo selezionare Editor oggetti Criteri di gruppo nell'elenco Snap-in autonomi disponibili e quindi fare clic su Aggiungi.
6. Nella finestra di dialogo Selezione oggetto Criteri di gruppo assicurarsi che nella casella Oggetto Criteri di gruppo sia indicato Computer locale e quindi fare clic su Fine.
7. Nella finestra di dialogo Aggiungi snap-in autonomo fare clic su Chiudi.
8. Nella finestra di dialogo Aggiungi/Rimuovi snap-in scegliere OK.
9. Espandere i nodi seguenti:
  - Criteri Computer locale
  - Configurazione computer
  - Impostazioni di Windows
  - Impostazioni protezione
  - Criteri locali
  - Criteri controllo
10. Nel riquadro dei dettagli fare doppio clic su Controlla accesso agli oggetti.
11. Nella finestra di dialogo Proprietà - Controlla accesso agli oggetti selezionare la casella di controllo Operazioni non riuscite e quindi scegliere OK.

È possibile verificare che il controllo sia attivato eseguendo le operazioni seguenti:

Disconnettersi.
Accedere come utente senza accesso alla chiave del Registro di sistema.
Provare a leggere la chiave del Registro di sistema.
Verificare le voci di controllo presenti nel registro di protezione del Visualizzatore eventi di Windows Server 2003.