Windows 10 e domande di sicurezza

Con la versione 1803 di Windows 10 sono state introdotte durante il setup OOBE (Out of Box Experience) le “Domande di sicurezza” per il recupero della password dell’utente creato in fase d’installazione che hanno sostituito il suggerinto della password, come indicato in OOBE screen details:

“During the OOBE flow, users are prompted to either create or sign in with a local account, or a Microsoft account (MSA). In Windows 10, version 1803, Windows introduces password recovery security questions to accompany the local account registration process in OOBE. If a user is unable to remember the password required to login to the local account, they can instead correctly answer their 3 security questions, and Windows will allow them to reset the password and login to the device.

This is a change from previous versions of Windows, where a user was only able to create a password hint to accompany their local account. Previously, if a user couldn’t remember their local account password based on the hint, they were required to contact Microsoft support for a device reset.”

Sebbene lo scopo di questa funzionalità sia quello di fornire un metodo sicuro per recuperare la password dell’utente amministratore, in scenari aziendali tale funzionalità può risultare scomoda durante il deploy del sistema. In scenari aziendali infatti le macchine normalmente fanno parte di un dominio Active Directory e vi sono strumenti quali LAPS (Local Administrator Password Solution) per la gestione delle password degli amministratori locali.

Per evitare di inserire le domande di sicurezza durante l’installazione del computer è possibile non inserire la password dell’utente creato nella fase di setup OOBE (Out of Box Experience), se non viene specificata alcuna password infatti non verranno richieste le domande di sicurezza. Ovviamente a installazione completata occorrerà provvedere ad impostare una password per l’utente amministratore locale creato durate la il setup di complessità opportuna o meglio gestire la password tramite LAPS (a riguardo si vedano Gestione dell’amministratore locale tramite LAPS e Implementare Local Administrator Password Solution).

In caso di necessità è possibile modificare successivamente le domande di sicurezza tramite Impostazioni – Account – Opzioni di accesso – Aggiorna le domande di sicurezza o in alternativa è aprire Avvio Esegui ([Win]+R) e digitare ms-settings:signinoptions.

E possibile abilitare o disabilitare l’utilizzo delle domandi di sicurezza tramite la Group Policy supportata a partire da Windows 10 1903:

Computer Configuration -> Administrative Templates -> Windows Components -> Credential User Interface -> Prevent the use of security questions for local accounts

In alternativa è possibile anche utilizzare la seguente chiave di registro DWORD impostando a 1 per disabilitare le domande di sicurezza e a 0 o non impostandola affatto per abilitare l’utilizzo delle domande di sicurezza:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\NoLocalPasswordResetQuestions