Condividi tramite


Ridurre l'area di superficie della password visibile dall'utente

Flusso di lavoro dell'utente di test del sondaggio per l'utilizzo della password

Ora è il momento di saperne di più sulla persona di lavoro di destinazione. È necessario avere un elenco delle applicazioni usate, ma non si sa cosa, perché, quando e con quale frequenza. Queste informazioni sono importanti man mano che si procede nel passaggio 2. Gli utenti di test creano i flussi di lavoro associati all'utente di lavoro di destinazione. L'obiettivo iniziale è eseguire una semplice attività: l'utilizzo della password del documento. Questo elenco non è completo, ma offre un'idea del tipo di informazioni desiderato. L'obiettivo è quello di conoscere tutti gli scenari in cui l'utente di lavoro rileva una password. Un buon approccio consiste nel porsi le domande seguenti:

Domanda
🔲 Qual è il nome dell'applicazione che ha richiesto una password?
🔲 Perché usano l'applicazione che ha richiesto una password? Ad esempio, esiste più di un'applicazione che può fare la stessa cosa?
🔲 Quale parte del flusso di lavoro li fa usare l'applicazione? Cercare di essere il più specifico possibile. Ad esempio, "Uso l'applicazione x per emettere rimborsi con carta di credito per importi superiori a y".
🔲 Con quale frequenza si usa l'applicazione in un determinato giorno o settimana?
🔲 La password digitata nell'applicazione è la stessa della password usata per accedere a Windows?

Alcune organizzazioni consentono agli utenti di scrivere queste informazioni, mentre alcune potrebbero insistono sul fatto che un membro del reparto IT le shadow. Un visualizzatore obiettivo potrebbe notare una richiesta di password che l'utente ignora semplicemente a causa della memoria muscolare. Come accennato in precedenza, queste informazioni sono critiche. Si potrebbe perdere una richiesta di password che potrebbe ritardare la transizione a senza password.

Identificare l'utilizzo delle password e pianificare, sviluppare e distribuire mitigazioni delle password

Gli utenti di test hanno fornito informazioni utili che descrivono come, cosa, perché e quando usano una password. È ora il momento per il team di identificare ognuno di questi casi d'uso delle password e capire perché l'utente deve usare una password.
Creare un elenco degli scenari. Ogni scenario deve avere un'istruzione di problema chiara. Assegnare allo scenario un nome con un riepilogo di una frase dell'istruzione del problema. Includere nello scenario i risultati dell'indagine del team sul motivo per cui all'utente viene chiesto di fornire una password. Includere dettagli rilevanti ma accurati. Se lo scenario è basato su criteri o procedure, includere il nome e la sezione dei criteri che determinano il motivo per cui il flusso di lavoro usa una password.

Gli utenti di test non scopriranno tutti gli scenari, pertanto è necessario forzare alcuni scenari non comuni. Ricordarsi di includere quanto segue:

  • Effettuare il provisioning di un nuovo utente con una password sconosciuta
  • Utenti che dimenticano il PIN o altri flussi di correzione quando le credenziali complesse sono inutilizzabili

Esaminare quindi l'elenco degli scenari. È possibile iniziare con i flussi di lavoro dettati dal processo o dai criteri oppure iniziare con flussi di lavoro che richiedono soluzioni tecniche, a seconda di quale dei due sia più semplice o più veloce. Questa scelta varia a seconda dell'organizzazione.

Iniziare a attenuare l'utilizzo delle password in base ai flussi di lavoro degli utenti di destinazione. Documentare la mitigazione come soluzione allo scenario. Non preoccuparti dei dettagli di implementazione per la soluzione. Una panoramica delle modifiche necessarie per ridurre l'utilizzo delle password è tutto ciò che serve. Se sono necessarie modifiche tecniche, ovvero modifiche all'infrastruttura o al codice, è probabile che i dettagli esatti siano inclusi nella documentazione del progetto. Tuttavia, l'organizzazione tiene traccia dei progetti, crea un nuovo progetto in tale sistema. Associare lo scenario a tale progetto e avviare i processi necessari per ottenere il finanziamento del progetto.

Ridurre l'utilizzo delle password con le applicazioni è uno degli ostacoli più complessi nel percorso senza password. Se l'organizzazione sviluppa l'applicazione, si è in una forma migliore il software common-off-the-shelf (COTS).

La mitigazione ideale per le applicazioni che richiedono all'utente una password consiste nell'abilitare tali applicazioni all'uso di un'identità autenticata esistente, ad esempio Microsoft Entra ID o Active Directory. Collaborare con i fornitori di applicazioni per aggiungere il supporto per le identità Microsoft Entra. Per le applicazioni locali, fare in modo che l'applicazione usi l'autenticazione integrata di Windows. L'obiettivo per gli utenti deve essere un'esperienza Single Sign-On senza problemi in cui ogni utente esegue l'autenticazione una sola volta quando accede a Windows. Usare questa stessa strategia per le applicazioni che archiviano le proprie identità nei propri database.

Ogni scenario nell'elenco deve ora avere un'istruzione di problema, un'analisi del motivo per cui è stata usata la password e un piano di mitigazione su come eliminare l'utilizzo della password. Con questi dati, uno-per-uno, chiudere le lacune sulle password visibili all'utente. Modificare criteri e procedure in base alle esigenze, apportare modifiche all'infrastruttura laddove possibile. Convertire le applicazioni in-house per l'integrazione nel tenant Microsoft Entra ID, usare identità federate o usare l'autenticazione integrata di Windows. Collaborare con autori di software non Microsoft per aggiornare il software per l'integrazione in Microsoft Entra ID, supportare identità federate o usare l'autenticazione integrata di Windows.

Ripetere fino a quando l'utilizzo della password utente non viene mitigato

Alcune o tutte le mitigazioni sono disponibili. È necessario verificare che le soluzioni hanno risolto le relative istruzioni di problema. Questa fase è la fase in cui ci si basa sugli utenti di test. Si vuole mantenere una buona parte dei primi utenti di test, ma questo punto è una buona opportunità per sostituire o aggiungere alcuni. Flusso di lavoro degli utenti di test del sondaggio per l'utilizzo della password. Se tutto va bene, hai chiuso la maggior parte o tutte le lacune. È probabile che ne rimangano alcuni. Valutare le soluzioni e gli errori, modificare la soluzione in base alle esigenze finché non si raggiunge una soluzione che rimuove la necessità dell'utente di digitare una password. Se sei bloccato, anche altri potrebbero esserlo. Usare i forum di varie origini o la rete di colleghi IT per descrivere il problema e vedere come altri lo stanno risolvendo. Se non sono disponibili opzioni, contattare Microsoft per assistenza.

Rimuovere le funzionalità delle password da Windows

Si ritiene di aver mitigato tutto l'utilizzo della password per l'utente di lavoro di destinazione. Ora viene fornito il vero test: configurare Windows in modo che l'utente non possa usare una password.
Windows offre tre opzioni principali per ridurre o eliminare l'area di superficie della password:

  • Esperienza senza password di Windows
  • Escludere il provider di credenziali password
  • Richiedere Windows Hello for Business o una smart card

Esperienza senza password di Windows

L'esperienza senza password di Windows è un criterio di sicurezza che nasconde il provider di credenziali password per gli account utente che accedono con Windows Hello o una chiave di sicurezza FIDO2. L'esperienza senza password di Windows è l'opzione consigliata, ma è disponibile solo nei dispositivi aggiunti Microsoft Entra. L'immagine seguente mostra la schermata di blocco di Windows quando è abilitata l'esperienza senza password di Windows. Un utente registrato in Windows Hello for Business non ha la possibilità di usare una password per accedere:

Screenshot della schermata di blocco di Windows con l'esperienza senza password abilitata.

Per altre informazioni, vedere Esperienza senza password di Windows

Escludere il provider di credenziali password

L'impostazione dei criteri Escludi provider di credenziali può essere usata per disabilitare il provider di credenziali password. Se configurato, Windows disabilita la possibilità di usare le password per tutti gli account, inclusi gli account locali. Impedisce inoltre l'uso di password per gli scenari di autenticazione RDP ed Run as . Questa impostazione di criteri potrebbe influire sugli scenari di supporto, ad esempio quando un utente deve accedere con un account locale per risolvere un problema. Per questo motivo, valutare attentamente tutti gli scenari prima di abilitare l'impostazione.

  • Oggetto Criteri di gruppo: Configurazione> computerModelli> amministrativiAccesso di sistema>>Escludere i provider di credenziali
  • CSP: ./Device/Vendor/MSFT/Policy/Config/ADMX_CredentialProviders/ExcludedCredentialProviders

Il valore da immettere nei criteri per nascondere il provider di credenziali password è {60b78e88-ead8-445c-9cfd-0b87f74ea6cd}.

Richiedere Windows Hello for Business o una smart card

L'impostazione Richiedi Windows Hello for Business o un criterio smart card può essere usata per richiedere Windows Hello for Business o una smart card per l'accesso interattivo. Se abilitato, Windows impedisce agli utenti di accedere o sbloccare con una password. Il provider delle credenziali delle password rimane visibile all'utente. Se un utente tenta di usare una password, Windows informa l'utente che deve usare Windows Hello for Business o una smart card. Prima di abilitare questa impostazione di criterio, l'utente deve essere registrato in Windows Hello for Business o avere una smart card. Pertanto, l'implementazione di questa politica richiede un'attenta pianificazione e coordinamento.

  • Oggetto Criteri di gruppo: Configurazione> computerImpostazioni di Windows Impostazioni>di sicurezza Criteri>>localiOpzioni di sicurezza Accesso>interattivo: Richiedi Windows Hello for Business o smart card
  • CSP: non disponibile

Verificare che nessuno dei flussi di lavoro richieda password

Questa fase è il momento significativo. Sono stati identificati l'utilizzo delle password, sono state sviluppate soluzioni per attenuare l'utilizzo delle password e l'utilizzo delle password è stato rimosso o disabilitato da Windows. In questa configurazione gli utenti non possono usare una password. Gli utenti vengono bloccati se uno dei flussi di lavoro richiede una password. Idealmente, gli utenti di test dovrebbero essere in grado di completare tutti i flussi di lavoro dell'utente di lavoro di destinazione senza alcun utilizzo della password. Non dimenticare i flussi di lavoro a bassa percentuale, ad esempio il provisioning di un nuovo utente o di un utente che ha dimenticato il PIN o che non può usare credenziali complesse. Assicurarsi che anche questi scenari siano convalidati.

Passaggi successivi

Si è pronti per eseguire la transizione di una o più parti dell'organizzazione a una distribuzione senza password. È stato convalidato che l'utente di lavoro di destinazione è pronto per andare dove l'utente non deve più conoscere o usare la password. Si è a pochi passi dalla dichiarazione di successo.

Passaggio 3: eseguire la transizione a una distribuzione senza password >