Da Windows 10, versione 1709 è possibile utilizzare il Multi-factor device unlock estendendo la funzionalità di Windows Hello con quella di un segnale attendibile, che può essere il bluetooth del cellulare, un dispositivo indossabile, la rete WIFi o la configurazione IP.

Ho già avuto altre occasioni di parlarvi di Windows Hello for Business, perché accedere senza password è una delle funzionalità che ultimamente Microsoft sta promuovendo maggiormente. La gestione delle password è sempre stata critica sia per gli utenti e che per gli amministratori di sistema e spesso è causa di accessi da parte di malintenzionati per via della scarsa cura che gli utenti ne hanno oppure della semplicità delle password utilizzate.

Attualmente Windows in modo nativo supporta solo l'utilizzo di credenziali singole (password, PIN, impronta digitale, rilevamento del volto e così via) per sbloccare un dispositivo. Pertanto, se una qualsiasi di queste credenziali viene compromessa (shoulder surfing), un utente malintenzionato potrebbe ottenere l'accesso al sistema.

Windows 10 offre lo sblocco del dispositivo a più fattori estendendo Windows Hello con segnali attendibili. Gli amministratori possono configurare Windows 10 per richiedere una combinazione di fattori e segnali attendibili per sbloccare i dispositivi.

Lo sblocco a più fattori viene abilitato tramite Criteri di gruppo e permette di definire tre componenti:

  • Provider di credenziali del primo fattore di sblocco (che possono essere PIN, impronta digitale, riconoscimento facciale)
  • Provider di credenziali del secondo fattore di sblocco (che possono essere il PIN oppure un segnale attembibile)
  • Regole di segnale per lo sblocco del dispositivo

 

Il provider di credenziali del primo fattore di sblocco può essere uno dei fattori mostrati nella tabella seguente:

Provider di credenziali

GUID

PIN

{D6886603-9D2F-4EB2-B667-1971041FA96B}

Impronta digitale

{BEC09223-B018-416D-A0AC-523971B639F5}

Riconoscimento facciale

{8AF662BF-65A0-4D0A-A540-A338A999D36F}

Segnale attendibile
(prossimità telefono, percorso di rete)

{27FBDB57-B613-4AF2-9D7E-4FA7A66C21AD}

 

Il provider di credenziali del secondo fattore di sblocco può essere uno dei fattori mostrati nella tabella seguente:

Provider di credenziali

GUID

PIN

{D6886603-9D2F-4EB2-B667-1971041FA96B}

 

Se volete usare più provider di credenziali è sufficiente aggiungere nella group policy i di versi GUID separati da virgole.

Per configurare le regole del segnale per il provider di credenziali del segnale attendibile è necessario invece utilizzare il formato XML.

Ad esempio se volete utilizzare il segnale bluetooth dovete utilizzare la notazione:

<rule schemaVersion="1.0">

    <signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>

</rule>

Trovate maggior informazioni sulle diverse regole permette all’indirizzo Unlock a più fattori - Microsoft 365 Security | Microsoft Docs

 

Distribuzione di Sblocco a più fattori

Per distribuire lo sblocco a più fattori è necessario attivare il provisioning di Windows Hello for Business e garantire il rinnovo automatico dei certificati di Windows Hello for Business. In più è bene ricordare che:

  1. Il PIN deve essere in almeno uno dei gruppi.
  2. Non è possibile utilizzare lo stesso fattore di sblocco per soddisfare entrambe le categorie.

Create quindi una nuova Group Policy e in Computer Configuration à Administrative Templates à Windows Component à Windows Hello for Business abilitate Configure device unlock factors.

In maniera predefinita vi verrà proposto di utilizzare il PIN come primo fattore, il Segnale attendibile come secondo fattore e il Bluetooth come Trusted Signal Credential Provider.

 

 

 

Figura 1: Configurazione del fattori per lo sblocco del dispositivo

 

 

 

Figura 2: Abilitazione di Windows Hello for Business

 

Se a questo punto provate a loggarvi su una macchina che subisce la GPO appena creata, riceverete il messaggio mostrato in figura, che vi avvisa che la vostra organizzazione richiede che è configurato il Windows Hello for Business.

 

 

 

Figura 3: Richiesta di configurazione di Windows Hello for Business

 

Nel pannello delle Sign-In options noterete anche che ci sarà un messaggio di avviso che vi notifica che l'organizzazione richiede che configuriate diverse opzioni per il Sign-In. Come prima operazione configurate il Windows Hello PIN.

 

 

 

Figura 4: Aggiunta del Windows Hello Pin

 

 

 

 

Figura 5: Creazione del Windows Hello PIN

 

 

 

 

Figura 6: Aggiunta del Windows Hello PIN

 

Potete quindi aggiungere il dispositivo bluetooth che volete utilizzare. Nel mio caso ho utilizzato lo smartphone.

 

 

 

Figura 7: Aggiunta di un nuovo dispositivo a Windows 10

 

 

 

 

Figura 8: Ricerca deli dispositivi bluetooth

 

 

 

 

Figura 9: Selezione dello smartphone

 

 

 

 

Figura 10: Smartphone aggiunto a Windows 10

 

 

Test di accesso con lo sblocco a due fattori

Dopo la disconnessione, al successivo tentativo di accedere al vostro PC windows 10, vi verrà chiesto il Windows Hello PIN e verrà effettuata la verifica della presenza del secondo fattore di autenticazione, cioè il bluetooth del vostro smartphone.

 

 

 

Figura 11: Accesso a Windows 10 con Windows Hello PIN

 

 

 

 

Figura 12: Verifica della presenza del secondo fattore di sblocco

 

Se invece avete il bluetooth dello smartphone spento o non avete il cellulare nelle vicinanze, non sarà possibile effettuare il logon a Windows 10.

 

 

 

Figura 13: In mancanza del segnale bluetooth non è possibile fare il logon a Windows 10

 

 

Abilitare Windows 10 Dynamic Lock

A partire da Windows 10, versione 1703 (Creators Update) è disponibile una funzionalità interessante chiamata Dynamic Lock. Questa funzionalità permette, dopo aver collegato il PC al proprio smartphone tramite collegamento bluetooth, di poter bloccare il computer.

La funzionalità, chiamata anche Windows Goodbye in contrapposizione a Windows Hello, è interessante perché permette di aumentare il livello di sicurezza quando si lavora su postazioni di lavoro sensibili. Basta infatti allontanarsi col proprio smartphone dalla postazione e in circa 30 secondi Windows si bloccherà automaticamente.

Per abilitare la funzionalità è prima di tutto necessario collegare il proprio smartphone al PC utilizzando una connessione bluetooth. Dopo aver abilitato il pairing andate nell’app Settings  > Accounts > Sign-in options e scorrete fino a trovare la voce Dynamic lock. Selezionate Allow Windows to automatically lock your device when you're away per abilitare la funzionalità.

Allontanatevi dal PC portando con voi lo smartphone e dopo circa 30 secondi vedrete che il computer si bloccherà automaticamente.

Maggiori informazioni su questa funzionalità sono disponibili nella mia guida NicolaFerrini.it - Abilitare Windows 10 Dynamic Lock

 

 

 

Figura 14: Abilitazione di Windows 10 Dynamic Lock

 

 

Conclusioni

Windows 10 offre lo sblocco del dispositivo a più fattori estendendo Windows Hello con segnali attendibili. Gli amministratori possono configurare Windows 10 per richiedere una combinazione di fattori e segnali attendibili per sbloccare i dispositivi. Questo di fatto risolve il problema che Windows Hello PIN da solo non soddisfa le esigenze di sicurezza di diverse aziende e in più è possibile impedire agli utenti di condividere le credenziali di accesso.

Per maggiori informazioni vi invito a visitare la pagina Unlock a più fattori - Microsoft 365 Security | Microsoft Docs

 

 

Come si stanno evolvendo le aziende in questo periodo? Come la pandemia ha cambiato le nostre abitudini lavorative? Quali sono i vantaggi ed i limiti del modern workplace?

Tanti hanno cercato di dare una risposta a queste domande negli ultimi mesi.

In questa sessione che ho tenuto alla #POWERCON2020 Nuovi modelli di lavoro nelle aziende al tempo del Covid-19 ho trattato il tema di Azure Active Directory come Security Boundary.

Il servizio di gestione delle identità di Azure Active Directory (Azure AD) per le aziende offre accesso Single Sign-On e autenticazione a più fattori per proteggere gli utenti dal 99,9% degli attacchi informatici.

In questa sessione verranno analizzate tutte le funzionalità che permettono di rimanere produttivi ovunque, indipendentemente dal fatto che le persone si trovino in sede o lavorino in remoto, proteggendo le credenziali dell’utente e rendendo più sicura l’autenticazione, che rappresenta il nuovo security boundary.

Potete scaricare la presentazione della sessione al link https://www.ictpower.it/download/POWERCON2020 - Nicola Ferrini - Azure Active Directory come Security Boundary.pdf

Qui di seguito invece c’è la registrazione della sessione:

 

 

Buona visione!

 

Nic

 

Come si stanno evolvendo le aziende in questo periodo? Come la pandemia ha cambiato le nostre abitudini lavorative? Quali sono i vantaggi ed i limiti del modern workplace?

Tanti hanno cercato di dare una risposta a queste domande negli ultimi mesi.

Noi vogliamo dire la nostra e vogliamo tirare le somme di questa evoluzione nell’ultima #POWERCON2020 di quest’anno, mostrandovi come riadattare le infrastrutture tecniche ai nuovi modelli di lavoro.

Io vi parlerò di Azure Active Directory come Security Boundary. Il servizio di gestione delle identità di Azure Active Directory (Azure AD) per le aziende offre accesso Single Sign-On e autenticazione a più fattori per proteggere gli utenti dal 99,9% degli attacchi informatici. In questa sessione verranno analizzate tutte le funzionalità che permettono di rimanere produttivi ovunque, indipendentemente dal fatto che le persone si trovino in sede o lavorino in remoto, proteggendo le credenziali dell’utente e rendendo più sicura l’autenticazione, che rappresenta il nuovo security boundary.

Roberto Tafuri mostrerà come La sicurezza del Modern Desktop passa da Microsoft Endpoint Manager (Intune). Avere un Modern Desktop significa sfruttare al massimo le funzionalità offerte sia dal sistema operativo che dalla suite Microsoft 365. Con l'utilizzo di Windows 10 e la soluzione di MDM (Mobile Device Management) e MAM (Mobile Application Management) Microsoft Intune, le organizzazioni hanno la possibilità di migliorare la produttività ed aumentare il livello di sicurezza. Nella sua sessione parlerà della gestione delle seguenti funzionalità per i dispositivi Windows 10: Bitlocker, Windows Hello for Busines, Windows Update for Business, App protection policies, Backup e protezione dei files con OneDrive for Business.

Ermanno Goletto e Roberto Massa ci mostreranno come Migrare Active Directory a Windows Server 2019. Sebbene la nuova versione del sistema operativo server Microsoft non introduca novità nelle funzionalità di Active Directory è comunque importante migrare i Domain Controller a questa versione dal momento che con Windows Server 2019 saranno supportati solo i livelli funzionali Windows Server 2008 e successivi. In questa sessione approfondiranno la procedura e le best practices per la migrazione dei domain controller Windows Server 2008 ormai fuori supporto a Windows Server 2019 in modo da mantenere aggiornata la propria infrastruttura Active Directory.

Albano Lala parlerà di  Intelligent Communications con Microsoft Teams. Microsoft Teams è il fulcro della visione di Microsoft in ambito di Intelligent Communications e nel suo percorso di crescita Teams ha imparato a conoscere il mondo della telefonia e a padroneggarlo con i PBX as a service e tramite le integrazioni con i PBX On-Premises. In questa sessione vedremo nel dettaglio gli strumenti che ci offre Microsoft Teams per unire il mondo della fonia e dei meeting con gli strumenti di collaboration di Microsoft 365.

Vito Macina parlerà di Windows 10 Eternal, Continuous Evolution. Windows 10 raggiunge il traguardo dei 6 anni e continua la sua eterna evoluzione senza alcun freno. Non solo funzionalità, ma soprattutto processo e concetto. Nella sessione parleremo dei profondi cambiamenti avvenuti in meno di 1 anno e non mancheranno le consuete informazioni utili.

 

AGENDA

 

 

Vi aspettiamo online! 

La partecipazione al seminario è GRATUITA. Per registrarvi cliccate sull’immagine sotto: