Da Windows 10, versione 1709 è possibile utilizzare il Multi-factor device unlock estendendo la funzionalità di Windows Hello con quella di un segnale attendibile, che può essere il bluetooth del cellulare, un dispositivo indossabile, la rete WIFi o la configurazione IP.

Ho già avuto altre occasioni di parlarvi di Windows Hello for Business, perché accedere senza password è una delle funzionalità che ultimamente Microsoft sta promuovendo maggiormente. La gestione delle password è sempre stata critica sia per gli utenti e che per gli amministratori di sistema e spesso è causa di accessi da parte di malintenzionati per via della scarsa cura che gli utenti ne hanno oppure della semplicità delle password utilizzate.

Attualmente Windows in modo nativo supporta solo l'utilizzo di credenziali singole (password, PIN, impronta digitale, rilevamento del volto e così via) per sbloccare un dispositivo. Pertanto, se una qualsiasi di queste credenziali viene compromessa (shoulder surfing), un utente malintenzionato potrebbe ottenere l'accesso al sistema.

Windows 10 offre lo sblocco del dispositivo a più fattori estendendo Windows Hello con segnali attendibili. Gli amministratori possono configurare Windows 10 per richiedere una combinazione di fattori e segnali attendibili per sbloccare i dispositivi.

Lo sblocco a più fattori viene abilitato tramite Criteri di gruppo e permette di definire tre componenti:

  • Provider di credenziali del primo fattore di sblocco (che possono essere PIN, impronta digitale, riconoscimento facciale)
  • Provider di credenziali del secondo fattore di sblocco (che possono essere il PIN oppure un segnale attembibile)
  • Regole di segnale per lo sblocco del dispositivo

 

Il provider di credenziali del primo fattore di sblocco può essere uno dei fattori mostrati nella tabella seguente:

Provider di credenziali

GUID

PIN

{D6886603-9D2F-4EB2-B667-1971041FA96B}

Impronta digitale

{BEC09223-B018-416D-A0AC-523971B639F5}

Riconoscimento facciale

{8AF662BF-65A0-4D0A-A540-A338A999D36F}

Segnale attendibile
(prossimità telefono, percorso di rete)

{27FBDB57-B613-4AF2-9D7E-4FA7A66C21AD}

 

Il provider di credenziali del secondo fattore di sblocco può essere uno dei fattori mostrati nella tabella seguente:

Provider di credenziali

GUID

PIN

{D6886603-9D2F-4EB2-B667-1971041FA96B}

 

Se volete usare più provider di credenziali è sufficiente aggiungere nella group policy i di versi GUID separati da virgole.

Per configurare le regole del segnale per il provider di credenziali del segnale attendibile è necessario invece utilizzare il formato XML.

Ad esempio se volete utilizzare il segnale bluetooth dovete utilizzare la notazione:

<rule schemaVersion="1.0">

    <signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>

</rule>

Trovate maggior informazioni sulle diverse regole permette all’indirizzo Unlock a più fattori - Microsoft 365 Security | Microsoft Docs

 

Distribuzione di Sblocco a più fattori

Per distribuire lo sblocco a più fattori è necessario attivare il provisioning di Windows Hello for Business e garantire il rinnovo automatico dei certificati di Windows Hello for Business. In più è bene ricordare che:

  1. Il PIN deve essere in almeno uno dei gruppi.
  2. Non è possibile utilizzare lo stesso fattore di sblocco per soddisfare entrambe le categorie.

Create quindi una nuova Group Policy e in Computer Configuration à Administrative Templates à Windows Component à Windows Hello for Business abilitate Configure device unlock factors.

In maniera predefinita vi verrà proposto di utilizzare il PIN come primo fattore, il Segnale attendibile come secondo fattore e il Bluetooth come Trusted Signal Credential Provider.

 

 

 

Figura 1: Configurazione del fattori per lo sblocco del dispositivo

 

 

 

Figura 2: Abilitazione di Windows Hello for Business

 

Se a questo punto provate a loggarvi su una macchina che subisce la GPO appena creata, riceverete il messaggio mostrato in figura, che vi avvisa che la vostra organizzazione richiede che è configurato il Windows Hello for Business.

 

 

 

Figura 3: Richiesta di configurazione di Windows Hello for Business

 

Nel pannello delle Sign-In options noterete anche che ci sarà un messaggio di avviso che vi notifica che l'organizzazione richiede che configuriate diverse opzioni per il Sign-In. Come prima operazione configurate il Windows Hello PIN.

 

 

 

Figura 4: Aggiunta del Windows Hello Pin

 

 

 

 

Figura 5: Creazione del Windows Hello PIN

 

 

 

 

Figura 6: Aggiunta del Windows Hello PIN

 

Potete quindi aggiungere il dispositivo bluetooth che volete utilizzare. Nel mio caso ho utilizzato lo smartphone.

 

 

 

Figura 7: Aggiunta di un nuovo dispositivo a Windows 10

 

 

 

 

Figura 8: Ricerca deli dispositivi bluetooth

 

 

 

 

Figura 9: Selezione dello smartphone

 

 

 

 

Figura 10: Smartphone aggiunto a Windows 10

 

 

Test di accesso con lo sblocco a due fattori

Dopo la disconnessione, al successivo tentativo di accedere al vostro PC windows 10, vi verrà chiesto il Windows Hello PIN e verrà effettuata la verifica della presenza del secondo fattore di autenticazione, cioè il bluetooth del vostro smartphone.

 

 

 

Figura 11: Accesso a Windows 10 con Windows Hello PIN

 

 

 

 

Figura 12: Verifica della presenza del secondo fattore di sblocco

 

Se invece avete il bluetooth dello smartphone spento o non avete il cellulare nelle vicinanze, non sarà possibile effettuare il logon a Windows 10.

 

 

 

Figura 13: In mancanza del segnale bluetooth non è possibile fare il logon a Windows 10

 

 

Abilitare Windows 10 Dynamic Lock

A partire da Windows 10, versione 1703 (Creators Update) è disponibile una funzionalità interessante chiamata Dynamic Lock. Questa funzionalità permette, dopo aver collegato il PC al proprio smartphone tramite collegamento bluetooth, di poter bloccare il computer.

La funzionalità, chiamata anche Windows Goodbye in contrapposizione a Windows Hello, è interessante perché permette di aumentare il livello di sicurezza quando si lavora su postazioni di lavoro sensibili. Basta infatti allontanarsi col proprio smartphone dalla postazione e in circa 30 secondi Windows si bloccherà automaticamente.

Per abilitare la funzionalità è prima di tutto necessario collegare il proprio smartphone al PC utilizzando una connessione bluetooth. Dopo aver abilitato il pairing andate nell’app Settings  > Accounts > Sign-in options e scorrete fino a trovare la voce Dynamic lock. Selezionate Allow Windows to automatically lock your device when you're away per abilitare la funzionalità.

Allontanatevi dal PC portando con voi lo smartphone e dopo circa 30 secondi vedrete che il computer si bloccherà automaticamente.

Maggiori informazioni su questa funzionalità sono disponibili nella mia guida NicolaFerrini.it - Abilitare Windows 10 Dynamic Lock

 

 

 

Figura 14: Abilitazione di Windows 10 Dynamic Lock

 

 

Conclusioni

Windows 10 offre lo sblocco del dispositivo a più fattori estendendo Windows Hello con segnali attendibili. Gli amministratori possono configurare Windows 10 per richiedere una combinazione di fattori e segnali attendibili per sbloccare i dispositivi. Questo di fatto risolve il problema che Windows Hello PIN da solo non soddisfa le esigenze di sicurezza di diverse aziende e in più è possibile impedire agli utenti di condividere le credenziali di accesso.

Per maggiori informazioni vi invito a visitare la pagina Unlock a più fattori - Microsoft 365 Security | Microsoft Docs