Una de las integraciones más comunes de Cisco Duo Security es con el Windows Logon bien sea local o vía RDP (Remote Desktop Protocol).
Duo Windows Logon for RDP ofrece una capa adicional de seguridad Zero Trust MFA al sistema Operativo Windows cuando el usuario intenta iniciar sesión en dispositivos Windows, bien sean PC’s o Servidores.
Es una de las más usadas al inicio de proyectos de Zero Trust porque ofrece un marco inicial de seguridad sobre todas las aplicaciones que corre PC o servidor.
Adicionalmente, la solución Duo Security para el Windows Logon local o RDP permite usar la funcionalidad UAC (User Account Control) de Windows para dar una nueva autenticación y MFA a las acciones dentro del equipo, que requieran elevación de privilegios.
En este artículo explico el funcionamiento de esta integración y los pasos generales de como configurarla.
Cada vez que queremos ingresar a un laptop, PC o servidor que corre el sistema operativo Windows, bien sea en su versión de escritorio o server, éste solicita credenciales de acceso (usuario y contraseña)
Este usuario y contraseña puede ser de un usuario definido localmente o de uno definido en el dominio en el cual se encuentra registrado el equipo.
Una vez validadas las credenciales, bien sea localmente en el equipo o a través del controlador del dominio, se permite el acceso al usuario.
Es importante recalcar que en este caso, Duo no interviene en la validación del usuario y la contraseña.. esto lo realiza el equipo de acuerdo al flujo de autenticación de Windows.
Existen varias formas de conectarse a un equipo Windows, las principales son:
Este inicio de sesión ocurre cuando estás físicamente frente al equipo, es decir tu teclado es físicamente o virtualmente el teclado del equipo.
Es conocido también como inicio de sesión a la consola del equipo.
En esta categoría podemos agrupar las siguientes condiciones de inicio de sesión:
Esta conexión es 100% remota, es decir, no te encuentras físicamente al frente del equipo.
Para la comunicación se utiliza el protocolo RDP (Remote Desktop Protocol).
En esta condición abres la consola del equipo remoto en tu mismo equipo local corriendo el programa de conexión a escritorio remoto.
Es muy usado para administrar servidores Windows que se encuentran, por ejemplo en un Centro de Datos o en cualquier otra ubicación no accesible localmente.
A modo general, MFA da una capa adicional de seguridad solicitando un segundo factor de autenticación al usuario en Duo, garantizado en cierto modo que el usuario es quien dice ser.
Las actividades que se pueden realizar dentro de un Servidor Windows son de suma importancia para una organización. Estas acciones pueden ir desde un simple cambio de contraseña a un usuario (que podría dar lugar a una peligrosa usurpación de identidad hasta apagar el servidor, pasando por modificar inadecuadamente la configuración dejándolo fuera de operación.
Por esta razón, existen cuentas de usuario privilegiadas que son las únicas que pueden ejecutar estas acciones administrativas sobre el servidor.
Asegurar el acceso con MFA da un mayor nivel de garantía de que solo las personas autorizadas podrán administrar al servidor así les hayan robado o adivinado su contraseña.
En primer lugar dar MFA Duo a un PC o Laptop te protege en las siguientes condiciones:
A continuación explico cómo funciona la integración Duo Authentication for Windows Logon RDP
A continuación imágenes que describen la experiencia del usuario al intentar ingresar a un equipo que tiene activa la integración de Duo Security Windows Logon RDP
En esta sección quiero detallarles con base a mi experiencia, mis mejores prácticas en términos de secuencia de configuración della integración de Duo Security Windows Logon RDP.
También te mostraré los aspectos más relevantes y críticos a considerar par que una implementación de Duo Security para Windows Logon y RDP exitosa.
Si existiera alguna configuración errónea durante la implementación, es posible que se pierda acceso al servidor, por ello recomiendo la ejecución de un respaldo previo o un instantánea o snapshot de la máquina virtual.
También es conveniente tener a la mano la clave BitLocker del equipo (de ser el caso que tenga disco cifrado con esta tecnología).
Como todo MFA, el tema hora es importante porque es una variable vital para la sincronización de los OTP, si la hora no están correctas en el equipo (vía NTP / Dominio Windows), no podrás ingresar al equipo una vez instalado el agente de Duo para Windows Logon y RDP.
Siempre es bueno que a la hora de la instalación del agente, tengas otra sesión abierta en el servidor como respaldo en caso de que pierdas conexión en la sesión primaria de trabajo.
Así podrás ejecutar acciones correctivas que te permitan recuperar el acceso.
El quipo que va a ser objeto de la instalación debe tener acceso de salida al puerto 443 y dominio duosecurity.com
Este acceso puede ser provisto por la infraestructura de seguridad (web proxy o firewall) en la cual se encuentra el equipo o a través de una funcionalidad del Duo Authentication Proxy que hace las veces de https proxy.
Es importante recalcar que este acceso es solo de salida (outbound) es decir bajo ninguna circunstancia el equipo debe poder ser accedido desde el exterior.
Por la naturaleza del Windows Logon (no es una aplicación web y que puede darse la ocasión de ingreso estando fuera de línea), esta integración no cuenta con la facilidad de auto enrolamiento de usuarios.
Por esta razón, previo a la implementación, los usuarios deben existir en Duo y estar correctamente enrolados con al menos un dispositivo de segundo factor.
Los usuarios que ingresan al equipo deben llamarse igual que los usuarios en Duo o alguno de sus alias para que Duo pueda identificarlos y enviarles el segundo factor.
Para saber el nombre del usuario puedes usar el siguiente comando en el cmd de windows: whoami
Al inicio de la implementación, como existe la posibilidad de que alguno de los usuarios que ingresa al equipo no exista o no esté enrolado en en Duo, es conveniente la activación de una política en Duo Security de carácter transitorio que permita el acceso a estos usuarios.
Esta política debe ser aplicada solo a nivel de esta aplicación y se encuentra en:
Luego de finalizada la revisión post-implementación (PIR) del cambio, esta política puede ser colocada en su valor recomendado que es el de Deny Access, de modo que todo usuario deba estar ya en Duo.
Cuando se configura el acceso fuera de línea (offline) cuando el usuario se autentica satisfactoriamente en Duo Windows Logon RDP, se le solicita enrolar su dispositivos e acceso fuera de línea (yubikey o aplicación duo mobile).
Este paso puede ser confuso cuando el usuario recién comienza a usar Duo, por lo que siempre sugiero activar esta opción luego que ya los usuarios usan duo de manera sistemática y previa campaña de divulgación.
Cuando ya tienes todo preparado, es hora de instalar el programa Duo Authentication for Windows Loogon.
A continuación los aspectos más importantes de este procedimiento:
Este es el primer paso del instalador. acá se escribe el api-hostname que provee el Panel de Administración de Duo.
Si no se puede avanzar de este paso por error de conexión, quiere decir que el equipo no tiene acceso de salida a duosecurity.com por el puerto 443
Suele pasar que el http proxy que se ve en la GUI de windows no es realmente el que tiene configurado el equipo. Para saber exactamente la dirección del http proxy que tiene configurado el equipo puedes ejecutar el comando en el cmd de windows:
netsh winhttp show proxy
La pantalla siguiente solicita añadir las credenciales de acceso a Duo Security (Integration Key y Secret Key), en este punto solo hay que considerar que sean correctas a las definidas en el Panel de Administración de Duo.
Lo más importante de este punto es definir el modo de operación de Duo Security que tu implementación o políticas de seguridad exige.
Si planeas activar el modo Offline del Windows Logon RDP debes desactivar la opción Bypass Duo Authentication When Offline (Fail Open) para prevenir que inicien sesión usuarios no enrolados.
Esto equivale a activar el modo de operación failmode Duo Fail Closed
Si ya se instaló el agente de Duo Authentication for Windows Logon RDP pero por alguna razón se requiere hacer cambios en su configuración, éstos pueden hacerse a través de modificaciones en el Registro de Windows.
Acá les dejo el artículo oficial de Duo donde se documentan las claves y valores que se pueden modificar: reconfiguración del agente Duo Windows Logon
En esta integración tienes la posibilidad de asegurar con MFA de Duo Security todas las acciones dentro del Windows que requieran elevación de privilegios y que soliciten usuario y password para ejecutarse.
Para lograr esto necesitas:
Esto se realiza durante la instalación del agente Duo Authentication for Windows Logon RDP.
Para que UAC de Windows solicite credenciales, se necesitan modificar las claves del registro de Windows tal como se indica en el siguiente artículo oficial de Duo
Uno de los aspectos más importantes es el funcionamiento del agente Duo Authentication for Windows Logon RDP es la posibilidad de permitir autenticaciones de 2FA en condicoones fuera de línea.
Esta condición offline o fuera de línea se presenta cuando el equipo bajo modo de operación Duo fail close:
Duo es un servicio SaaS, y para que pida segundo factor, el dispositivo o aplicación en cuestión debe alcanzar los servicios de Duo para pedir el envío de la solicitud de segundo factor al usuario.
Para el caso del Windows Logon, es muy probable que el equipo en cierto momentos no tenga acceso a internet o a los servicios de Duo, por lo que en condiciones normales, no podría completarse la autenticación (si el modo de operación de Duo es fail close).
De hecho, asumiendo que no hay conexión a internet ni a red móvil, los mecanismos de 2FA que necesitan algún tipo de conexión como Notificaciones Push, llamadas telefónicas y SMS no funcionarían.
En estos casos, el equipo quedaría inhabilitado lo que sería una condición no deseable.
En este caso la solución es activar un flujo de autenticación especial que detecte la condición offline del equipo.
Bajo esta condición se permite el uso de dispositivos de 2FA que también sean offline es decir:
Es así que para poder hacer uso de esta característica, es necesario que se enrole adicionalmente alguno de estos métodos MFA.
Solo después de enrolado uno de estos métodos, es que se podrá hacer uso de ellos cuando el equipo pase a estar en la condición offline o fuera de línea.
Por razones de seguridad, el modo offline o fuera de línea no puede ser usado de forma ilimitada, por ello Duo ofrece dos restricciones que puedes aplicar:
Consiste en encender un contador de tiempo desde que el equipo inició sesión en modo offline por primera vez.
A partir de ese momento tu decides cuanto tiempo más vas a permitir el acceso offline ininterrumpido.
Es similar a la anterior solo que el contador no es de tiempo sino de veces en las cuales se han realizado inicios de sesión offline
Puedes entonces establecer un limite de veces en las cuales tu permites el acceso offline o fuera de línea.
Un dato muy importante es que cualquiera de los contadores que uses (el de tiempo o el de sesiones iniciadas en modo offline) se reinician instantáneamente cuando el agente detecta el restablecimiento de la conexión.
Si, puedes hacerlo a través de GPO del Directorio Activo. El procedimiento está descrito en el siguiente artículo: Duo Authentication for Windows Logon (RDP) – Active Directory Group Policy, s. f.
El inicio de sesión de windows ocurre en un momento cuando no es posible iniciar servicios web como lo es el Duo Prompt estandar, así que es necesario recurrir a generar un Proveedor de Credenciales de Windows que pueda funcionar en este momento.
Duo Security ofrece la mejor integración con el Windows Logon y RDP, sus características como el acceso Offline Inteligente, compatibilidad 100% con las versiones de Windows de Escritorio y las de Servidores lo hacen la opción más fácil de implementar.
De igual manera, al hablar del inicio de sesión en un equipo, es importante tomar todas las previsiones tal cual como las describo en este artículo.
Procedimientos Oficiales de Duo
Duo Authentication for Windows Logon & RDP. (s. f.). Duo Security. Recuperado 20 de octubre de 2022, de https://duo.com/docs/rdp/
Duo Authentication Windows Logon RDP: FAQ. (s. f.). Duo Security. Recuperado 20 de octubre de 2022, de https://duo.com/docs/rdp-faq/
Principal Solutions Engineer en ICT International MSP
Especialista en Ciberseguridad ZeroTrust | Content Marketer | Experto SEO |
Esta entrada ha sido publicada el 26 de julio de 2022
Trabajemos Juntos, Hagamos una PoC Gratis a través de un MSP
Esta web usa cookies.
Leer más...
