Utilizzare Windows Hello for Business per l’accesso ad Active Directory ed Azure AD

Probabilmente molti di voi hanno sentito parlare di Windows Hello, una funzionalità di Windows 10 che consente di accedere ai dispositivi Windows utilizzando il riconoscimento facciale oppure l’impronta digitale, un PIN o una Security Key. In questo modo si può accedere con maggiore velocità e sicurezza, senza dover digitare una password (passwordless). E sicuramente molti già utilizzando questa modalità con il proprio smartphone.

Ho già scritto altre volte di come utilizzare Windows Hello, soprattutto perché accedere senza password è una delle funzionalità che ultimamente Microsoft sta promuovendo maggiormente. La gestione delle password è sempre stata critica sia per gli utenti e che per gli amministratori di sistema e spesso è causa di accessi da parte di malintenzionati per via della scarsa cura che gli utenti ne hanno oppure della semplicità delle password utilizzate.

Inoltre, a partire da Windows 10, versione 1809 (October 2018 Update), è possibile usare Windows Hello o una Security Key che supporta gli standard FIDO2 (Fast IDentity Online) e CTAP2 (Client-to-Authenticator Protocol) per poter accedere al proprio Microsoft Account. Per approfondimenti sull’uso del protocollo WebAuthn per l’autenticazione delle applicazioni web vi rimando alla lettura del documento https://www.w3.org/2018/Talks/06-WebAuthn.pdf

Figura 1: Accesso al Microsoft Account utilizzando Windows Hello utilizzando Mozilla Firefox

Windows Hello for Business sostituisce le password con l’autenticazione a due fattori (multi-factor authentication) nei PC e nei dispositivi mobili. Questa autenticazione è costituita da un nuovo tipo di credenziali utente associate a un dispositivo e utilizza una tecnologia biometrica o un PIN. Grazie a Windows Hello for Businness è possiile autenticarsi utilizzando un account di Active Directory o Azure Active Directory.

Per poter utilizzare Windows Hello for Business è necessario però rispettare alcuni prerequisiti.

Per gli utenti SOLO CLOUD

  • Windows 10 versione 1511 o successiva
  • Account Microsoft Azure
  • Azure Active Directory
  • Autenticazione a più fattori di Azure (multi-factor authentication)

Per le configurazioni IBRIDE o ON-PREMISES

  • Windows 10 versione 1703 o successiva
  • Certificati digitali
  • Hybrid e On-premises Windows Hello for Business deployment
  • Dispositivi Azure AD joined, Hybrid Azure AD joined e Enterprise joined

Differenza tra Windows Hello e Windows Hello for Business

Con Windows Hello l’utente può creare un PIN o utilizzare il riconoscimento biometrico sul proprio dispositivo personale. Questa configurazione non supportata un’autenticazione basata su certificati digitali.

Windows Hello for Business, configurato da criteri di gruppo (GPO) o da un tool di gestione di dispositivi mobili (MDM), utilizza sempre l’autenticazione basata su chiave o basata su certificati. Grazie al TPM (Trusted Platform Module) 2.0, il processo di provisioning di Windows Hello for Business crea una coppia di chiavi crittografiche e l’accesso a queste chiavi e la possibilità di ottenere una firma per convalidare il possesso della chiave privata da parte dell’utente sono abilitati solo dal PIN o dal gesto biometrico.

L’autenticazione è un’autenticazione a due fattori con la combinazione di una chiave o di un certificato collegato a un dispositivo e qualcosa che la persona sa (un PIN) o qualcosa che la persona è (biometria).

Per ulteriori informazioni potete consultare la pagina Come funziona Windows Hello for Business.

Figura 2: Funzionamento di Windows Hello

Abilitazione di Windows Hello for Business

Per abilitare Windows Hello for Business è sufficiente distribuire una Group Policy (GPO) e modificare la policy User Configuration > Policies > Administrative Templates > Windows ComponentWindows Hello for Business. Fate doppio clic su Use Windows Hello for Business e configuratelo su Enabled. In alterntiva si può utilizzare un software di Mobile Device Management (MDM) come Microsoft Intune.

Figura 3: Group Policy setting per abilitare Windows Hello for Business in Active Directory

Al successivo login dell’utente, gli verrà chiesto, se non l’ha già fatto, di creare un PIN o di registrare un gesto biometrico. Il numero massimo di registrazioni supportate in un singolo computer Windows 10 è 10, cioè ogni utente può registrare la propria faccia e fino a 10 impronte digitali. Nel mio caso sto utilizzando una macchina virtuale e non ho un dispositivo biometrico. Per questo motivo inserirò un PIN. Nelle schermate successive sono indicati i diversi passaggi.

Figura 4: Richiesta di abilitazione del PIN al successivo login dell’utente di dominio

Figura 5: Configurazione del PIN di Windows Hello for Business

Figura 6: Conferma dell’avvenuta configurazione del PIN di Windows Hello for Business

In che modo un PIN può essere più sicuro di una password?

Quando si usa Windows Hello for Business il PIN serve per caricare la chiave privata per utilizzare la password di accesso all’interno del TPM. Quando si utilizza una password infatti, la password è conservata in un server di Active Directory.  Il server invece non ha una copia del PIN. Il TPM in più ha funzionalità che contrastano gli attacchi di tipo Brute-Force (un tentativo di attacchi continuo di provare tutte le combinazioni di PIN).

Dopo aver inserito il PIN, al successivo login, l’utente avrà la possibilità di scegliere se accedere con la password di Active Directory oppure col PIN. Lo stesso comportamento vale se l’utente accede con le credenziali di Azure AD, nel caso il computer con Windows 10 sia stato joinato ad Azure AD oppure sia in Azure AD Hybrid Mode. Ricordatevi quindi di preparare gli utenti spiegando loro come usare Hello . In più agli utenti potrebbe essere chiesto di verificare la propria identità e possono scegliere tra un messaggio di testo (SMS), una telefonata o l’applicazione di autenticazione Microsoft Authenticator (se l’hanno già configurata).

Dopo una verifica iniziale in due passaggi (MFA) dell’utente durante la registrazione, Windows Hello viene impostato nel dispositivo dell’utente e Windows chiede a quest’ultimo di impostare un elemento biometrico, come un’impronta digitale, o un PIN. L’utente specifica il gesto per consentire la verifica della propria identità. Windows quindi utilizzerà Windows Hello per autenticare l’utente.

Figura 7: Scelta di accesso con il PIN utilizzando il proprio account di Active Directory oppure di Azure AD

Utilizzo di Windows Hello for Business per l’accesso tramite Desktop Remoto

Windows 10, versione 1809 introduce la possibilità per gli utenti di eseguire l’autenticazione in una sessione desktop remoto (RDP) usando il gesto biometrico di Windows Hello for Business. La caratteristica è attivata per impostazione predefinita, in modo che gli utenti possano sfruttarla non appena eseguono l’aggiornamento a Windows 10, versione 1809. Gli utenti che usano versioni precedenti di Windows 10 possono comunque usare desktop remoto per l’uso di Windows Hello for Business, ma limitarsi a usare il PIN come gesto di autenticazione.

Una volta che avrete distribuito la funzionalità di Windows Hello for Business e gli utenti avranno fatto le opportune configurazioni registrando il PIN oppure le impronte digitali, ogni volta che vi connetterete in desktop remoto, in maniera predefinita, vi verrà chiesto se volete utilizzare le credenziali di Windows Hello for Business per loggarvi alla macchina remota. Come si può vedere dalla figura sotto, io ho ricevuto la richiesta di inserimento del PIN.

Figura 8: Utilizzo del PIN di Windows Hello for Business per l’autenticazione tramite client RDP

Figura 9: Connessione al server remoto riuscita

Conclusioni

Complimenti. State intraprendendo il primo passo verso la dismissione della password in azienda a favore di una comoda e più sicura autenticazione a due fattori per Windows: Windows Hello for Business. Le password complesse possono essere difficili da ricordare e gli utenti spesso usano una stessa password in più siti. Inoltre gli utenti possono esporre involontariamente le proprie password a causa di attacchi di phishing. Windows Hello e Windows Hello for Business offrono servizi di autenticazione biometrica affidabili e totalmente integrati, basati sul riconoscimento facciale o delle impronte digitali.

Ah…dimenticavo…avete mai sentito parlare di Windows Goodbye? No? Allora leggete il mio articolo Abilitare Windows 10 Dynamic Lock