Autenticazione a due fattori per il login in Windows e Desktop remoto

• Windows 10

Già qualche anno fa avevamo parlato di Cisco Duo, una soluzione professionale che permette di proteggere con l’autenticazione a due fattori servizi che non supportano tale strumento.
Installando Duo si ha la possibilità di attivare un meccanismo di protezione aggiuntivo: per accedere non si dovranno inserire soltanto le credenziali corrette ma confermare il login con un dispositivo che si ha sempre con sé (smartphone).

Duo può essere utilizzato per attivare l’autenticazione a due fattori sul logon di Windows: dopo aver inserito nome utente e password corretti, l’accesso sarà permesso soltanto autorizzandolo attraverso l’app Duo Mobile per Android e iOS.

Il meccanismo di protezione di Duo funziona bene sia con il logon di Windows che con i tentativi di accesso via Desktop remoto. In un altro articolo abbiamo visto come stabilire connessioni di Desktop remoto da Android e iOS.

Dopo aver selezionato l’account utente col quale si vuole accedere a Windows oppure stabilita la connessione via Desktop remoto, una volta installato Duo si vedrà apparire una schermata simile a quella riprodotta in figura.

Attivando le notifiche push sul dispositivo mobile ogniqualvolta verrà rilevato un tentativo di login sul PC Windows, sia in ambito locale che tramite Desktop remoto, si dovrà confermare l’accesso da smartphone toccando il pulsante verde Approve.

L’attivazione dell’autenticazione a due fattori in Windows si riduce all’installazione del client Duo scaricabile da qui nella sua ultima versione.

Prima di procedere è bene tenere presenti alcuni aspetti:

– Per rafforzare la sicurezza derivante dall’abilitazione dell’autenticazione a due fattori si dovrebbe sempre utilizzare BitLocker con PIN pre-boot. Diversamente un utente non autorizzato potrebbe modificare le credenziali di accesso e creare un nuovo account amministratore con la possibilità di sottrarre tutti i dati contenuti sulle unità.

– Duo è al momento compatibile soltanto con gli account locali e di dominio (Active Directory). Non può proteggere gli account utente Microsoft utilizzati per il login in Windows.

– Per accedere al sistema una volta installato Duo bisognerà aver configurato tutti gli account presenti sulla macchina all’interno della dashboard.
Cliccando su Users, Add user bisogna aggiungere tutti gli account utente usati in Windows e/o con Desktop remoto. Il nome specificato nel campo Username deve corrispondere esattamente a quello di ciascun account configurato sul sistema Windows.

Dopo aver aggiunto gli account bisognerà effettuare la procedura di enrollment
(cliccare su Send Enrollment Email o Resend Enrollment Email).
Con un clic sul link presente nell’email si dovrà configurare il dispositivo mobile da usare per l’autenticazione a due fattori.

Scegliendo Mobile phone Duo chiede di inserire il numero di telefono corrispondente alla SIM inserita nel dispositivo, di confermare il possesso dell’utenza con una chiamata o la ricezione di un SMS, di specificare la modalità preferita per effettuare l’autenticazione a due fattori. Suggeriamo di selezionare Automatically send this device a Duo Push previa installazione dell’app Duo Mobile per Android o per iOS.

Non eseguendo questi passaggi a ogni tentativo di login Windows mostrerà il messaggio d’errore “The username you have entered is not enrolled with Duo Security” nella schermata di logon.

– Allo stato attuale, come detto, Duo non consente l’attivazione dell’autenticazione a due fattori per gli account utente Microsoft. L’accesso al sistema non sarà più consentito usando account Microsoft dopo l’installazione di Duo.
Prima di provare Duo, quindi, creare un account amministratore locale.
Sarà eventualmente possibile ripristinare l’accesso con gli account Microsoft ma il PIN, la sequenza grafica e altri meccanismi di autenticazione basati su Windows Hello non funzioneranno: si dovrà inserire la password dell’account Microsoft.

Come attivare l’autenticazione a due fattori con Cisco Duo nella schermata di logon di Windows e su Desktop remoto

Installando il client di Duo su una macchina Windows la procedura di autenticazione verrà modificata con l’aggiunta dell’autenticazione a due fattori per tutti gli account utente (tranne quelli Microsoft) inseriti nella sezione Users della dashboard (accertarsi di aver correttamente concluso la fase di enrollment altrimenti il login non sarà possibile).

Per l’installazione del client di Duo in Windows si deve procedere con un account dotato dei privilegi amministrativi seguendo le indicazioni riportate nella guida ufficiale e nel video pubblicati in questa pagina.

I passaggi che portano all’attivazione dell’autenticazione a due fattori in Windows sono pochi:

1) Accedere alla dashboard di Duo e selezionare Applications, Protect an Application nella colonna di sinistra, cercare RDP quindi fare clic su Protect in corrispondenza di Microsoft RDP.

2) Copiare e incollare API hostname, Integration key e Secret key nei campi corrispondenti durante l’installazione del client Duo.

3) Nella schermata seguente si può fare in modo che l’autenticazione con le credenziali corrette non sia consentita quando il sistema risultasse offline e non potesse raggiungere i server cloud di Duo (disattivare la casella Bypass Duo authentication when offline (FailOpen)).
Spuntando Use auto push to authenticate if available Duo invierà automaticamente una notifica push per approvare l’accesso sul dispositivo mobile associato all’account dell’utente.
Infine, attivando Only prompt for Duo authentication when logging in via RDP Duo attiverà l’autenticazione a due fattori solo per i tentativi di accesso via Desktop remoto.

4) Duo supporta l’utilizzo di smart card e permette anche di autorizzare con l’autenticazione a due fattori anche tutti i tentativi di utilizzo di privilegi più elevati in Windows (UAC).

5) Per ripristinare la possibilità di utilizzare per l’accesso in Windows o via Desktop remoto anche gli account utente Microsoft si può aprire il prompt dei comandi (previo accesso al sistema con un account utente locale dotato di privilegi amministrativi) e digitare quanto segue:

reg add "HKLM\SOFTWARE\Duo Security\DuoCredProv" /v ProvidersWhitelist /t REG_MULTI_SZ /d "{F8A0B131-5F68-486C-8040-7E8FC3C85BB6}" /f

Come accennato in precedenza l’account Microsoft potrà essere adesso utilizzato per autenticarsi ma non sarà protetto con l’autenticazione a due fattori. Inoltre si perderà comunque la possibilità di usare Windows Hello.

Se si volesse disattivare l’autenticazione a due fattori sul sistema Windows in uso basterà digitare App e funzionalità nella casella di ricerca del sistema operativo e disinstallare il client di Duo.