Introduzione

La maggior parte dei professionisti IT e della sicurezza sanno che le password sono sempre a rischio di essere compromesse o violate. Coloro che cercano di risolvere questo problema generalmente si rivolgono a una delle tre soluzioni tradizionali: sistemi di password monouso come un token RSA SecurID o l’app Google Authenticator, autenticazione fuori banda tramite SMS o Universal 2nd Factor più recentemente sviluppato Protocollo (U2F). Queste soluzioni forniscono un meccanismo per generare o ricevere un token o una credenziale che un avversario non sarebbe in grado di intercettare o decifrare. Queste sono tutte soluzioni ragionevoli, a seconda del sistema e del pubblico che deve servire.

Un’altra alternativa che probabilmente è stata la più lunga, è al centro del nostro argomento oggi: l’autenticazione basata su certificati. La crittografia asimmetrica è la star dello spettacolo qui, in cui una coppia di chiavi privata/pubblica viene utilizzata per convalidare l’identità. Oggi parleremo di come configurare i certificati per l’autenticazione di Windows Active Directory utilizzando una YubiKey.

Yubico cambia il gioco per la strong authentication, fornendo una sicurezza superiore con una facilità d’uso senza pari. La loro invenzione principale, YubiKey, è un piccolo dispositivo USB e NFC che supporta più protocolli di autenticazione e crittografia. Con un semplice tocco, protegge l’accesso a computer, reti e servizi online per le organizzazioni più grandi del mondo.

La verità è che le password sono orribili: a nessuno piace ricordarle e cambiarle, e sono soggette a essere riutilizzate o violate. L’autenticazione del certificato basata su smart card non è soggetta a questi problemi e dura per sempre (o fino alla scadenza del certificato). Naturalmente, la distribuzione di smart card in un’intera organizzazione richiede un’attenta pianificazione. Il consiglio è di iniziare con una distribuzione molto mirata per gli amministratori aziendali, amministratori di dominio e membri chiave del team IT e sicurezza, disabilitando poi l’autenticazione basata su password per quegli utenti.

 

PIV e YubiKeys

I dispositivi YubiKey serie 5, i dispositivi YubiKey serie 4 ei dispositivi YubiKey serie FIPS supportano tutti l’interfaccia PIV (Personal Identity and Verification Card) specificata nel documento NIST (National Institute of Standards and Technology), SP 800-73-4, Interface for Personal Identity Verification. Microsoft Windows supporta le tradizionali smart card PIV per l’autenticazione dell’utente, consentendo di utilizzare YubiKey come una soluzione di strong authentication. La YubiKey è un dispositivo hardware di strong authentication che supporta le interfacce USB su quasi tutti i tipi di dispositivi e forniscono anche una serie di protocolli di autenticazione forte tra cui FIDO U2F, Smart Card (PIV), Yubico OTP, Code Signing, OpenPGP, OATH-TOTP, OATH-HOTP e Challenge-Response (HMAC-SHA1).

La YubiKey Minidriver estende il supporto di YubiKey su Windows dalla semplice autenticazione fino a consentire a Windows di caricare e gestire direttamente i certificati su di esso. Ciò consente un’implementazione scalabile facile da usare e facile da implementare di una strong authentication a più fattori in un’intera organizzazione utilizzando gli strumenti Windows nativi e YubiKey.

 

PIV Deployment

Questo documento copre i passaggi di base necessari per configurare un ambiente di dominio Active Directory per l’autenticazione con smart card, comprese le considerazioni prima del provisioning di YubiKeys per l’accesso con smart card. Si consiglia di affidare il processo a un amministratore di dominio qualificato e di utilizzare queste istruzioni come linee guida per la distribuzione. Piuttosto che coprire le complessità insite in un ambiente aziendale (ad esempio, un Enterprise Root Certification Authority, multiple Subordinate Certificate Authorities, Certificate Revocation Lists, e così via), queste istruzioni riguardano solo gli argomenti di base.

Il supporto Microsoft per l’autenticazione basata su certificato tramite smart card in Active Directory è molto maturo e risale almeno a Windows 2003. Una smart card è un dispositivo hardware in grado di generare certificati ed eseguire funzioni di firma e crittografia. Questo certificato è composto da una coppia di chiavi, una privata e una pubblica. La chiave privata viene archiviata solo sulla smart card e la chiave pubblica viene condivisa con qualsiasi sistema che deve interagire con essa, ad esempio un controller di dominio o il destinatario di un messaggio di posta elettronica firmato digitalmente.

Per far funzionare tutto questo per l’autenticazione AD, il principio generale è che si imposta un’autorità di certificazione (CA) su un server Windows che esegue il ruolo Servizi certificati. Il compito della CA consiste nel creare certificati radice o intermedi considerati attendibili dal dominio e nel firmare digitalmente altri certificati utilizzati all’interno del dominio. In questo caso, la CA firmerà il certificato generato dalla funzione smart card di YubiKey. Durante il processo di generazione e firma del certificato, pubblicherà anche la nuova chiave pubblica nella directory. Questa chiave pubblica sarà associata all’utente che l’ha configurata e verrà utilizzata per autenticare l’utente. Solo la chiave privata contenuta in YubiKey corrisponderà a questa chiave pubblica e può essere utilizzata per autenticare quell’utente.

Quando si utilizza un certificato archiviato su una smart card, il componente della chiave privata è protetto da un PIN. L’utente deve immettere il PIN per eseguire le funzioni della smart card come l’accesso o lo sblocco dello schermo. Questo PIN protegge la smart card dal furto e serve anche a impedire che software non autorizzato (ad esempio malware) interagisca direttamente con la smart card.

 

Guide all’implementazione di YubiKey Smart Card e Minidriver

  1. Caratteristiche di YubiKey Minidriver

Panoramica delle caratteristiche e delle funzioni che YubiKey Minidriver aggiunge al framework nativo di Windows Smart Card.

  1. Considerazioni sull’implementazione della smart card YubiKey

Requisiti ambientali e di sistema e compatibilità di YubiKey Minidriver, nonché elementi da considerare prima della configurazione.

  1. Configurazione di Windows Server per la YubiKey PIV Authentication

Configurazione di Windows Server per l’autenticazione con smart card utilizzando YubiKey

  1. Login con Smart Card per la User Self-Enrollment

Passaggi per la configurazione di Windows Server per consentire agli utenti di registrare direttamente le proprie YubiKey come smart card.

  1. Login con Smart Card per Enroll on Behalf of

Passaggi per la configurazione di Windows Server per consentire agli amministratori IT, al personale dell’help desk o ad altri di registrare YubiKeys per conto di altri utenti.

  1. Smart Card Deployment: Importazione manuale dei certificati utente

Istruzioni sull’importazione di certificati utente creati su un server diverso.

  1. Deploying di YubiKey Minidriver su Workstation e Server

Come distribuire YubiKey Minidriver su endpoint e server.

  1. YubiKey PIN e PUK User Management

Modalità di impostazione o modifica di PIN e PIN Unlock Key (PUK) da parte di utenti e amministratori.

  1. Smart Card Basic Troubleshooting

Risoluzione dei problemi di base per YubiKey come PIV Smart Card con Windows.

 

Registrazione di YubiKeys

Dopo aver impostato la Certification Authority con il nuovo modello di smart card per le proprie YubiKey, si dovrà registrare la YubiKey per l’autenticazione della smart card. Ciò comporta l’utilizzo di un’utilità chiamata YubiKey PIV Manager.
Nota: quando viene richiesto il nome del modello di certificato, utilizzare il nome breve/concatenato nel caso in cui il nome contenga spazi (ad es. YubiKeyLogon invece di “YubiKey Logon”).

 

Accesso utilizzando la smart card

Se tutto è andato bene durante il processo di registrazione, il gestore PIV mostra un certificato nella scheda “Authentication” e il certificato è stato pubblicato in Active Directory. Quando si inserirà la YubiKey nel proprio sistema Windows, la Smart Card verrà visualizzata come opzione di accesso. Scegliendo questa opzione verrà richiesto di inserire il PIN della smart card.

 

Ottenere ulteriore assistenza

Per ulteriori informazioni e per ottenere aiuto con le YubiKey:

SUGGERIMENTO: quando si presenta un ticket, per assistere nella diagnosi dei problemi, si consiglia di includere un file di registro contenente il problema osservato. Per abilitare il file di registro di debug, aggiungi la seguente chiave di registro. I file di registro verranno creati per ogni processo in esecuzione in C:\Logs.

Key: HKLM\Software\Yubico\ykmd

Value: DebugOn (DWORD) – per abilitare la registrazione impostare il valore su 1