L'invio di credenziali di Windows in rete può essere letto da terzi se la rete non è adeguatamente protetta. Per questo motivo, qualsiasi parte di questo articolo che non faccia parte di un file di configurazione di DocuWare deve sempre essere approvata e personalizzata con cura dal reparto sicurezza.
Problema:
Tuttavia, viene sempre visualizzata la finestra di login di Windows. Cosa bisogna fare per autenticare un utente tramite NTLM?
Risposta:
Durante questo processo, DocuWare Client attende l'approvazione dell'host per sapere se il client è autorizzato o meno a visualizzare la risorsa.
NTLM funziona per impostazione predefinita solo per i siti intranet, ma HTTPS non viene riconosciuto come sito intranet per esperienza.
- Browser
Il browser è autorizzato a trasferire il nome utente di Windows all'host:
Posizione: Client Computer
Edge, Chrome: (Opzioni Internet > Sicurezza > Intranet locale > Personalizza livello: Autenticazione utente - Accesso automatico con nome utente e password. Inoltre, il sito Web di DocuWare (a*) deve essere aggiunto alla zona intranet locale.
Vedere schermata
Edge extra: Per impostazione predefinita, Microsoft Edge utilizza la zona intranet come elenco di permessi per l'autenticazione integrata di Windows (WIA). In alternativa, è possibile personalizzare l'elenco dei server abilitati all'autenticazione integrata utilizzando il criterio AuthServerAllowlist.
https://learn.microsoft.com/en-us/deployedge/microsoft-edge-security-identity
Firefox: about:config > network.automatic-ntlm-auth.trusted-uris > Qui si inserisce la pagina web di DocWare (a*).
Vedere schermata
a* Per tutti i browser: Qui viene inserito l'URL con il protocollo. Se DocuWare viene richiamato tramite https://docuware.de/DocuWare, il valore è https://docuware.de. - Client
Il client è autorizzato a trasferire l'ID Windows all'host
Posizione: Computer del cliente
Per impostazione predefinita, Windows impedisce gli attacchi di riflessione=
(b*) È necessario inserire una chiave nel registro di sistema. Questa definisce a quale host può essere trasferito l'ID di Windows.
Percorso del registro sul client: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
Tipo di chiave: valore multistringa
Nome chiave: BackConnectionHostNames
Contenuto della chiave: Qualsiasi URL (senza protocollo https e senza percorso). Se DocuWare viene richiamato tramite https://docuware.de/DocuWare, il valore è docuware.de
Vedi schermata - ID di rete
L'utente di DocuWare ha l'ID di rete corretto (ID utente di Windows).
Posizione: /DocuWare/Impostazioni/ - Identity Provider
NTLM è stato scelto come metodo di accesso SSO.
Posizione: /DocuWare/Impostazioni/
b* si consiglia di parlarne prima con la sicurezza informatica, perché le credenziali di Windows vengono inviate in rete, il che può essere insicuro. - SSO basato su WIA con ADFS
Per supportare l'SSO basato su WIA su Microsoft Edge (versione 77 e successive), potrebbe essere necessario eseguire alcune configurazioni lato server. Probabilmente dovrete configurare la proprietà WiaSupportedUserAgents di Active Directory Federation Services (AD FS) per aggiungere il supporto alla stringa del nuovo user agent di Microsoft Edge.
Fonti esterne di informazioni:
https://learn.microsoft.com/en-us/deployedge/microsoft-edge-security-identity
https://www.crowdstrike.de/cybersecurity-101/ntlm-windows-new-technology-lan-manager/ (tedesco)
https://www.crowdstrike.com/cybersecurity-101/ntlm-windows-new-technology-lan-manager/ (inglese)
https://www.crowdstrike.com/ cercare NTLM per trovare altri articoli del blog di questo sito web
Network security LAN Manager authentication level
Assicurarsi di aver impostato il livello di autenticazione corretto. Si sono verificati casi in cui NTLM era vietato a livello globale.
Si prega di notare: Questo articolo è una traduzione dall'inglese. Le informazioni contenute in questo articolo si basano sulla versione originale in inglese del/i prodotto/i. Potrebbero esserci piccoli errori, ad esempio nella grammatica utilizzata nella versione tradotta dei nostri articoli. Sebbene non possiamo garantire la completa accuratezza della traduzione, nella maggior parte dei casi la troverete sufficientemente informativa. In caso di dubbi, si prega di fare riferimento alla versione inglese di questo articolo.