Implementare una soluzione di autenticazione basata su Windows Hello for Business

  • 3 minuti

In Windows 10, su PC e dispositivi mobili Windows Hello for Business sostituisce le password con l'autenticazione avanzata a due fattori. Questo processo di autenticazione è costituito da un nuovo tipo di credenziale utente, che è associata a un dispositivo e usa un sensore biometrico o un PIN. Windows Hello for Business consente all'utente di eseguire l'autenticazione in un account Active Directory o Microsoft Entra.

Windows Hello risolve i seguenti problemi relativi alle password:

  • Le password complesse possono essere difficili da ricordare e gli utenti spesso riutilizzano le stesse password in più siti.
  • Le violazioni del server possono esporre le credenziali di rete simmetriche (password).
  • Le password sono soggette ad attacchi replay.
  • Gli utenti possono esporre inavvertitamente le password a causa di attacchi di phishing.

Diagram of the process flow for how authentication works in Windows Hello.

Funzionamento di Windows Hello for Business: punti chiave

  • Le credenziali di Windows Hello sono basate su un certificato o una coppia di chiavi asimmetriche. Le credenziali di Windows Hello possono essere associate al dispositivo e il token ottenuto usando le credenziali viene associato anch'esso al dispositivo.
  • Il provider di identità (ad esempio Active Directory, Microsoft Entra ID o un account Microsoft) convalida l'identità dell'utente ed esegue il mapping della chiave pubblica di Windows Hello a un account utente durante il passaggio di registrazione.
  • A seconda dei criteri, le chiavi possono essere generate come hardware, ovvero TPM (Trusted Platform Module) 1.2 o 2.0 per le organizzazioni e TPM 2.0 per i consumer.
  • L'autenticazione a due fattori è la combinazione di una chiave o di un certificato associato a un dispositivo, quindi qualcosa che la persona conosce (un PIN) o qualcosa che la persona è (biometria). Per il gesto di Windows Hello non viene effettuato il roaming tra dispositivi né la condivisione con il server. I modelli biometrici vengono archiviati localmente in un dispositivo. Il PIN non viene mai archiviato né condiviso.
  • La chiave privata non lascia mai un dispositivo quando si usa il modulo TPM. Il server di autenticazione ha una chiave pubblica mappata all'account utente durante il processo di registrazione.
  • La voce relativa al PIN e il gesto biometrico attivano entrambi Windows 10 per l'uso della chiave privata per firmare crittograficamente i dati inviati al provider di identità. Il provider di identità verifica l'identità dell'utente e quindi autentica l'utente.
  • Gli account personali (account Microsoft) e aziendali (Active Directory o Microsoft Entra ID) usano un singolo contenitore per le chiavi. Tutte le chiavi sono separate dai domini dei provider di identità per garantire la privacy degli utenti.
  • Le chiavi private dei certificati possono essere protette tramite il contenitore di Windows Hello e il gesto di Windows Hello.

Creazione di gruppi di sicurezza

Windows Hello for Business usa diversi gruppi di sicurezza per semplificare la distribuzione e la gestione.

Importante

Se nell'ambiente sono presenti uno o più controller di dominio Windows Server 2016 nel dominio in cui si distribuisce Windows Hello for Business, ignorare la sezione Creare il gruppo di sicurezza KeyCredentials Admins. I domini che includono controller di dominio Windows Server 2016 usano il gruppo KeyAdmins, creato durante l'installazione del primo controller di dominio Windows Server 2016.

Creare il gruppo di sicurezza KeyCredential Admins

Microsoft Entra Connect sincronizza la chiave pubblica nell'oggetto utente creato durante il provisioning. Assegnare l'autorizzazione di scrittura e lettura per questo gruppo all'attributo di Active Directory. In questo modo, il servizio Microsoft Entra Connect può aggiungere e rimuovere chiavi come parte del normale flusso di lavoro.

  1. Accedere a un controller di dominio o a una workstation di gestione con credenziali equivalenti a quelle di amministratore di dominio.
  2. Aprire Utenti e computer di Active Directory.
  3. Selezionare Visualizza e quindi Funzionalità avanzate.
  4. Espandere il nodo del dominio nel riquadro di spostamento.
  5. Fare clic con il pulsante destro del mouse e selezionare il contenitore Utenti. Selezionare Nuovo. Selezionare Gruppo.
  6. Digitare KeyCredential Admins nella casella di testo Nome gruppo.
  7. Seleziona OK.

Creare il gruppo di sicurezza Windows Hello for Business Users

Il gruppo Windows Hello for Business Users viene usato per semplificare la distribuzione di Windows Hello for Business suddividendola in fasi. Assegnare a questo gruppo le autorizzazioni del modello di certificato e di Criteri di gruppo, aggiungendo gli utenti al gruppo. In questo modo verranno fornite agli utenti le autorizzazioni appropriate per configurare Windows Hello for Business ed eseguire la registrazione nel certificato di autenticazione di Windows Hello for Business.

  1. Accedere a un controller di dominio o a una workstation di gestione con credenziali equivalenti a quelle di amministratore di dominio.
  2. Aprire Utenti e computer di Active Directory.
  3. Selezionare Visualizza e quindi Funzionalità avanzate.
  4. Espandere il nodo del dominio nel riquadro di spostamento.
  5. Fare clic con il pulsante destro del mouse e selezionare il contenitore Utenti. Selezionare Nuovo. Selezionare Gruppo.
  6. Digitare Windows Hello for Business Users nella casella di testo Nome gruppo.
  7. Seleziona OK.

Processore sicurezza Microsoft Pluton

Diagram of the new Microsoft Pluton C P U chip on the motherboard next to the C P U and T P M chips.

Nella maggior parte dei PC odierni, il cuore della sicurezza del sistema operativo risiede in un chip separato dalla CPU, denominato TPM (Trusted Platform Module). Il modulo TPM è un componente hardware usato per archiviare in modo sicuro le chiavi e le misurazioni che verificano l'integrità del sistema. I moduli TPM sono supportati in Windows da oltre 10 anni e supportano molte tecnologie critiche, ad esempio Windows Hello e BitLocker. In base all'efficacia del TPM nell'esecuzione di attività di sicurezza critiche, gli utenti malintenzionati hanno iniziato a innovare modi per attaccare il TPM. Questo problema si verifica spesso nelle situazioni in cui un utente malintenzionato può rubare o ottenere temporaneamente l'accesso fisico a un PC. Queste tecniche di attacco sofisticate hanno come destinazione il canale di comunicazione tra la CPU e il TPM, che in genere è un'interfaccia bus. Questa interfaccia del bus consente di condividere informazioni tra la CPU principale e il processore sicurezza. Offre anche agli utenti malintenzionati la possibilità di rubare o modificare le informazioni in transito usando un attacco fisico.

Il modo in cui Pluton è progettato elimina il rischio che tale canale di comunicazione sia oggetto di attacchi, in quanto la sicurezza è implementata direttamente nella CPU. I PC Windows che usano l'architettura di Pluton emuleranno prima di tutto un TPM. Questa emulazione funziona con le specifiche e le API TPM esistenti. Questo consentirà infine ai clienti di trarre immediatamente vantaggio dalla sicurezza avanzata per le funzionalità Windows che si basano su TPM. Alcuni esempi sono BitLocker e Protezione del sistema. I dispositivi Windows con architettura Pluton useranno il processore di sicurezza Pluton per proteggere credenziali, identità utente, chiavi di crittografia e dati personali. Nessuna di queste informazioni può essere rimossa da Pluton anche se un utente malintenzionato ha installato malware o ha il possesso fisico completo del PC.

  • Collaborazione integrata con AMD, Intel, Qualcomm e altri produttori.
  • Chiave di crittografia dell'hardware di sicurezza (SHACK).
  • Aggiornamento/sostituzione del chip TPM, che i pirati informatici stanno iniziando a imparare ad aggirare.
  • In base alla tecnologia basata sulla sicurezza Azure Sphere e Xbox.