Da pochi giorni è in anteprima pubblica su Microsoft Azure un servizio di virtualizzazione dei desktop e delle applicazioni chiamato Windows Virtual Desktop. Ho già avuto modo di mostrare come implementare la funzionalità nella guida Windows Virtual Desktop – Il Desktop As A Service di Microsoft

Oggi vi voglio mostrare, a puro titolo didattico, come installare Windows 10 Enterprise per Virtual Desktops anche on-premises, cioè nella nostra organizzazione. Infatti, per poter utilizzare questa nuova funzionalità è necessario possedere le seguenti licenze:

OS Licenza richiesta
Windows 10 Enterprise multisessione o Windows 10 a singola sessione Microsoft E3, E5, A3, A5, Business Windows E3, E5, A3, A5
Windows 7 Microsoft E3, E5, A3, A5, Business Windows E3, E5, A3, A5
Windows Server 2012 R2, 2016, 2019 Licenza CAL Servizi Desktop remoto con Software Assurance

 

Windows 10 Enterprise per Virtual Desktops è una modalità di installazione disponibile da Windows 10 , versione 1809. Tramite questa modalità di installazione è possibile accedere al sistema operativo client con più utenti contemporaneamente, utilizzando il protocollo RDP (la multisessione era storicamente possibile solo sui sistemi operativi Windows Server).

Procuratevi la ISO di Windows 10, versione 1809 (aggionamento di Novembre 2018) ed installate Windows scegliendo Windows 10 Enterprise per Virtual Desktops. Ho notato infatti che nelle ISO rilasciate successivamente (con gli aggiornamenti mensili) manca l’ultima voce di installazione relativa a Windows 10 Enterprise per Virtual Desktops. Più in là nell’articolo vi mostrerò anche un piccolo trucco per ovviare a questo problema.

 

 

Figura 1: Scelta della ISO di Windows 10 con gli aggiornamenti di Novembre 2018

 

 

Figura 2: Modalità di installazione Windows 10 Enterprise per Virtual Desktops

 

Subito dopo l’installazione il PC (o la macchina virtuale) viene riavviata. L’installazione ha creato un account chiamato Administrator senza password.

 

 

Figura 3: L'installazione di Windows 10 Enterprise per Virtual Desktops ha creato un account Administrator senza password

 

Se andate in Settings e scegliete la voce About potrete vedere che è stata installata la versione Windows 10 Enterprise for Virtual Desktops

 

 

Figura 4: Verifica della versione installata

 

Per completare l’installazione di tutte le funzionalità che permetto la multisessione è necessario riavviare il PC (o la macchina virtuale) almeno una volta. Io ho approfittato per cambiare il nome del computer e ho proceduto al riavvio. Come si può vedere nella figura sotto, durante il riavvio vengono installate alcune funzionalità

 

 

Figura 5: È necessario riavviare il computer almeno una volta per poter completare l'installazione delle funzionalità che permetteranno la multisessione

 

Dopo il riavvio potrete accedere al PC utilizzando l’account Administrator senza password (ricordatevi di metterla!!!!). Come si può notare dall’immagine sotto, sembra di effettuare il logon ad un Terminal Server.

 

 

Figura 6: Schermata di avvio di Windows 10 Enterprise per Virtual Desktops

 

Procedete quindi a mettere la password all’account Administrator che è stato creato in maniera predefinita e create ulteriori account per permettere l’accesso al computer. In questo momento il PC è in WORKGROUP.

 

 

Figura 7: Creazione di utenti locali a cui sarà poi permesso di accedere in RDP

 

La funzionalità di Remote Desktop non è abilitata di default, quindi procedete alla sua attivazione e inserite gli utenti a cui volete permettere l’accesso in desktop remoto, come mostrato nelle figure sotto:

 

 

Figura 8: Abilitazione della funzionalità di Desktop Remoto

 

 

Figura 9: Aggiunta degli utenti a cui permettere l'accesso in desktop remoto

 

A questo punto provate a collegarvi in desktop remoto utilizzando utenti diversi. Nella figura sotto mi sono collegato in RDP con due utenti (utente1 ed utente2) mentre ero ancora loggato in console con l’account Administrator.

 

 

Figura 10: Connessione multisessione a Windows 10

 

Noterete che vi verrà mostrato un popup in cui verrete avvisati che siccome il computer non è riuscito a contattare nessun Licensing Server (come avviene per i Remote Desktop Services) potete lavorare in modalità trial per 120 giorni.

 

 

Figura 11: Popup di avviso della modalità trial di 120 giorni

 

Windows 10 Enterprise per Virtual Desktops con jojn ad un dominio

Potete aggiungere Windows 10 Enterprise per Virtual Desktops ad un dominio locale. Dopo il primo riavvio, verranno abilitate automaticamente le funzionalità di accesso in multisessione. Ricordatevi che verrà sempre creato l’account Administrator senza password e pertanto provvedete a modificarlo (modifica del nome, aggiunta di una password, ecc.) per poter gestire correttamente la parte di sicurezza.

 

 

Figura 12: Aggiunta di Windows 10 Enterprise per Virtual Desktops  al dominio

 

 

Figura 13: Dopo il primo riavvio vengono installate le funzionalità di multisessione

 

Provvedete quindi a permettere a quali utenti sarà concesso di accedere in RDP al computer. Il servizio di Desktop Remoto è abilitato di default e a voi non resta che aggiungere gli utenti del vostro dominio, come mostrato in figura:

 

 

Figura 14: Aggiunta degli utenti a cui sarà concesso di accedere in RDP alla macchina Windows 10

 

Aggiornamento a Windows 10 Enterprise per Virtual Desktops  partendo da una versione diversa di Windows 10

Se avete già installato un’altra versione Business di Windows 10, versione 1809 potete aggiornarla a Windows 10 Enterprise per Virtual Desktops semplicemente utilizzando la chiave GVLK (Global Volume License Key) per Windows 10 Enterprise for Remote Sessions, recuperata dalla pagina https://github.com/SystemRage/py-kms/wiki/Windows-GVLK-Keys

Nel mio caso avevo già installato Windows 10 Pro e utilizzando il comando slmgr.vbs /ipk CPWHC-NT2C7-VYW78-DHDB2-PG3GK ho aggiornato la versione. Effettuate un riavvio del computer per completare l’installazione delle funzionalità che permetteranno la multisessione.

 

 

Figura 15: Aggiornamento di Windows 10 Pro

 

 

Figura 16: Aggiornamento a Windows 10 Enterprise per Virtual Desktops partendo da Windows 10 Pro completato

 

Conclusioni

Windows 10 Enterprise per Virtual Desktops permette agli utenti di poter accedere a Windows 10 in modalità multisessione, finora riservata ai Remote Desktop Services (Terminal Server). L’implementazione in Azure permette di poter velocizzare la creazione e la gestione di infrastrutture VDI e di RemoteApp. Decisamente interessante è la possibilità per gli utenti che ancora stanno utilizzando Windows 7 di cominciare a lavorare con Windows 10.

A partire da Windows 10, versione 1703 (Creators Update) è disponibile una funzionalità interessante chiamata Dynamic Lock. Questa funzionalità permette, dopo aver collegato il PC al proprio smartphone tramite collegamento bluetooth, di poter bloccare il computer.

La funzionalità, chiamata anche Windows Goodbye in contrapposizione a Windows Hello, è interessante perché permette di aumentare il livello di sicurezza quando si lavora su postazioni di lavoro sensibili. Basta infatti allontanarsi col proprio smartphone dalla postazione e in circa 30 secondi Windows si bloccherà automaticamente.

Per abilitare la funzionalità è prima di tutto necessario collegare il proprio smartphone al PC utilizzando una connessione bluetooth. Dall’app Settings cliccate su Devices e dalla finestra Bluetooth & other devices cliccate su + Add Bluetooth or other device. Questa operazione permetterà di effettuare il pairing tra lo smartphone e il PC. Scegliete il vostro smartphone dall’elenco dei dispositivi rilevati ed effettuate il pairing, seguendo le istruzioni mostrate a video.

 

 

Figura 1: Aggiunta di un nuovo dispositivo bluetooth al proprio PC

 

 

 

Figura 2: Smartphone collegato al PC - pairing effettuato

 

Dopo aver abilitato il pairing andate nell’app Settings  > Accounts > Sign-in options e scorrete fino a trovare la voce Dynamic lock. Selezionate Allow Windows to automatically lock your device when you're away per abilitare la funzionalità.

 

 

Figura 3: Abilitazione della funzionalità di Dynamic Lock in Windows 10

 

Test della funzionalità

Allontanatevi dal PC portando con voi lo smartphone e dopo circa 30 secondi vedrete che il computer si bloccherà automaticamente. Per sbloccare il PC dovrete inserire la password oppure il PIN oppure utilizzare Windows Hello, perché Dynamic Lock serve solo a bloccare il PC e non a sbloccarlo ed effettuare il login.

Diminuzione della distanza di attivazione di Dynamic Lock

Ma quanto mi devo allontanare dal pc per sbloccarlo? A dirla tutta sembra che la soglia tollerata sia un’attenuazione di -10 decibels (dB). Utilizzando il software Draconyx, che potete scaricare gratuitamente dal link https://gitlab.com/WithinRafael/draconyx/raw/master/bin/Release/draconyx.exe ho rilevato quanto fosse l’attenuazione per capire quanto mi dovevo allontanare per bloccare il PC.

 

 

Figura 4: Il software Draconyx permette di visualizzare la potenza del segnale bluetooth dei dispositivi collegati

 

Ho scoperto che praticamente sarei dovuto uscire di casa 😊 e quindi ho creato una nuova chiave di registro chiamata BluetoothRssiMaxDelta nel ramo  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NaAuth e ho inserito un valore che ho calcolato.

Mi sono allontanato dal PC e quando ho deciso a quale distanza si sarebbe dovuto bloccare ho verificato dall’applicazione Draconyx il valore di attenuazione. Nel mio caso era di -5dB. Per questo motivo nella chiave ho inserito il valore 5.

 

 

Figura 5: Modifica al registro di Windows per la riduzione della distanza di attivazione di Dynamic Lock

 

Provate diverse volte a calcolare il valore, che dipenderà dalla potenza dei vostri dispositivi bluetooth e dalle interferenza ambientali, oltre che dalle pareti e dagli altri oggetti presenti vicino a voi.

Grazie a Rafael Rivera per il suo prezioso articolo https://www.thurrott.com/windows/windows-10/90883/using-calibrating-dynamic-lock-windows-10-creators-update

 

Conclusioni

La funzionalità Dynamic Lock in Windows 10 è davvero interessante per essere sicuri che quando ci allontaniamo dalla postazione questa si blocchi automaticamente. Lo sapevate che oltre a Windows Hello c’è anche Windows Goodbye? 😊

 

 

Abbiamo visto nel precedente articolo Utilizzare Windows Hello in Windows 10 per accedere al Microsoft Account con WebAuthn che è possibile accedere al proprio Microsoft Account utilizzando Windows Hello e il protocollo WebAuthn, che si serve di un algoritmo di crittografia asimmetrico che utilizza due chiavi crittografiche, una privata e una pubblica, per autenticarsi nei siti web.

La chiave privata viene memorizzata all’interno del chipset TPM (Trusted Platform Module) e può essere utilizzata solo dopo averla sbloccata mediante riconoscimento biometrico o tramite il PIN. La chiave pubblica viene inviata al Microsoft Account (o a qualsiasi applicazione web che supporti il protocollo WebAuthn).

Microsoft ha introdotto il supporto allo standard FIDO2 in Windows 10, versione 1809 per permettere l’accesso alle applicazioni in modalità passwordless, cioè senza digitare una password.

Oggi invece vi voglio parlare dell’autenticazione al Microsoft Account tramite una Security Key (nel mio caso una Yubikey 5 Nano). Le Yubikey sono delle chiavette USB prodotte dalla Yubico che riescono a gestire la multi-factor authentication e la passwordless authentication, supportando FIDO2, FIDO U2F, one-time-password (OTP) e smart card (PIV). Sono disponibili nei formati USB-A, USB-C e NFC.

 

 

Figura 1: Protocolli supportati da Yubikey 5

 

 

Dopo aver acquistato la Yubikey, in Windows 10, versione 1809 e successive aprite il browser Edge e collegatevi al sito https://account.microsoft.com ed autenticatevi. Se non possedete un Microsoft Account ne potete creare uno.

 

 

Figura 2: Apertura del portale di gestione del Microsoft Account

 

Cliccate su Security e successivamente su More Security Options, come evidenziato nella figura sotto:

 

 

Figura 3: Pagina di configurazione della sicurezza dell’account

 

Nella pagina Additional Security Options scorrete fino alla voce Windows Hello and security keys e cliccate su Set up a security key.

ATTENZIONE: Windows Hello and security keys  vi appariranno solo se utilizzate il browser Edge e state utilizzando Windows 10, versione 1809 o successiva

 

 

Figura 4: Pagina delle opzioni di sicurezza avanzate

 

Dopo aver cliccato verrete reindirizzati alla pagina di configurazione del vostro dispositivo USB (o in alternativa potete utilizzare un dispositivo NFC, molto utile nel caso vogliate utilizzare lo smartphone).

 

 

Figura 5: Pagina di configurazione della security key

 

Cliccando su Next vi verrà chiesto di inserire la Yubikey nella porta USB e, dopo averla inserita, di creare un PIN da associare alla chiave, che vi verrà chiesto ogni volta che la inserite per autenticarvi. In questo modo avrete una doppia sicurezza: il dispositivo hardware ed un PIN associato al dispositivo.

 

 

Figura 6: Richiesta di inserimento della security key nella porta USB

 

 

Figura 7: Richiesta di generazione di un PIN per proteggere l'accesso alla Yubiley

 

Il passaggio successivo consiste nel toccare leggermente la Yubikey, in modo tale che la chiave crittografica da 128 bit protetta da un algoritmo di cifratura AES, contenuta al suo interno, sia utilizzata ed associata al vostro account Microsoft.

 

 

Figura 8: Toccando la Yubikey utilizziamo la chiave contenuta al suo interno per effettuare l'accesso al Microsoft Account

 

Inserite un nome per la chiave che state utilizzando, perché è possibile utilizzarne più di una e nel caso la vogliate eliminare la potrete identificare più facilmente.

 

 

Figura 9: Nome distintivo della chiave Yubikey per una più veloce individuazione e successiva gestione

 

 

Figura 10: Configurazione della security key completata

 

Ritornate nella pagina delle Additional security options (https://account.live.com/proofs/Manage/additional) e cliccate sul link Manage your sign-in methods che si trova nella parte riservata alla configurazione di Windows Hello and security keys. Avrete in questo modo la possibilità di verificare la chiave appena aggiunta ed eventualmente rimuoverla, oltre ovviamente ad aggiungerne altre, come ho già scritto prima.

 

 

Figura 11: Pagina di gestione di Windows Hello and security keys

 

 

Accesso al Microsoft Account utilizzando la Yubikey

Se volete accedere al vostro Microsoft Account utilizzando la Yubikey quando vi verrà chiesto di inserire la password lasciate il campo vuoto e selezionate Sign in with Windows Hello o a security key.

 

 

Figura 12: Sign in al Micrososft Account utilizzando una security key

 

Vi verrà chiesto di inserire la Yubiley, digitare il PIN associato alla chiave e poi toccare leggermente la Yubikey per utilizzare la chiave numerica contenuta nel dispositivo, come mostrato nelle figure sotto:

 

 

Figura 13: Richiesta del PIN associato alla Yubikey inserita

 

 

Figura 14: Richiesta di tocco della Yubikey per accedere alla chiave numerica contenuta nel dispositivo

 

 

Figura 15: Accesso al Microsoft Account completata

 

Funziona solo con il browser Edge?

Al momento il Microsoft Account supporta solo Edge. Il salvataggio delle credenziali che abbiamo visto è basato sul protocollo WebAuthn e le Web Authentication API sono utilizzate dai browser più recenti, compresi Google Chrome (dalla versione 67 in poi https://developers.google.com/web/updates/2018/05/webauthn ) e Mozilla Firefox (dalla versione 60 in poi https://www.mozilla.org/en-US/firefox/60.0/releasenotes/ ). Perciò probabilmente Microsoft consentirà questo tipo di funzionalità anche agli altri browser nel giro di poco tempo.

 

Conclusioni

Come sappiamo le password rappresentano sempre un problema per gli utenti e non sono facili da gestire. L’accesso passwordless garantisce che ci si possa autenticare in modo molto semplice ma allo stesso tempo molto più sicuro. Il protocollo WebAuthn e lo standard FIDO2 sono pensati per darci una mano a gestire al meglio le nostre credenziali di accesso.