Windows Hello biometrics in the enterprise

Applies to:

Windows Hello is the biometric authentication feature that helps strengthen authentication and helps to guard against potential spoofing through fingerprint matching and facial recognition.

When Windows 10 first shipped, it included Microsoft Passport and Windows Hello, which worked together to provide multi-factor authentication. To simplify deployment and improve supportability, Microsoft has combined these technologies into a single solution under the Windows Hello name. Customers who have already deployed these technologies will not experience any change in functionality. Customers who have yet to evaluate Windows Hello will find it easier to deploy due to simplified policies, documentation, and semantics.

Because we realize your employees are going to want to use this new technology in your enterprise, we’ve been actively working with the device manufacturers to create strict design and performance recommendations that help to ensure that you can more confidently introduce Windows Hello biometrics into your organization.

How does Windows Hello work?

Windows Hello lets your employees use fingerprint or facial recognition as an alternative method to unlocking a device. With Windows Hello, authentication happens when the employee provides his or her unique biometric identifier while accessing the device-specific Windows Hello credentials.

The Windows Hello authenticator works to authenticate and allow employees onto your enterprise network. Authentication doesn’t roam among devices, isn’t shared with a server, and can’t easily be extracted from a device. If multiple employees share a device, each employee will use his or her own biometric data on the device.

Why should I let my employees use Windows Hello?

Windows Hello provides many benefits, including:

It helps to strengthen your protections against credential theft. Because an attacker must have both the device and the biometric info or PIN, it’s much more difficult to gain access without the employee’s knowledge.

Employees get a simple authentication method (backed up with a PIN) that’s always with them, so there’s nothing to lose. No more forgetting passwords!

Support for Windows Hello is built into the operating system so you can add additional biometric devices and polices as part of a coordinated rollout or to individual employees or groups using Group Policy or Mobile Device Management (MDM) configurations service provider (CSP) policies.
For more info about the available Group Policies and MDM CSPs, see the Implement Windows Hello for Business in your organization topic.

Where is Windows Hello data stored?

The biometric data used to support Windows Hello is stored on the local device only. It doesn’t roam and is never sent to external devices or servers. This separation helps to stop potential attackers by providing no single collection point that an attacker could potentially compromise to steal biometric data. Additionally, even if an attacker was actually able to get the biometric data from a device, it cannot be converted back into a raw biometric sample that could be recognized by the biometric sensor.

Each sensor on a device will have its own biometric database file where template data is stored. Each database has a unique, randomly generated key that is encrypted to the system. The template data for the sensor will be encrypted with this per-database key using AES with CBC chaining mode. The hash is SHA256. Some fingerprint sensors have the capability to complete matching on the fingerprint sensor module instead of in the OS. These sensors will store biometric data on the fingerprint module instead of in the database file.

Has Microsoft set any device requirements for Windows Hello?

We’ve been working with the device manufacturers to help ensure a high-level of performance and protection is met by each sensor and device, based on these requirements:

False Accept Rate (FAR). Represents the instance a biometric identification solution verifies an unauthorized person. This is normally represented as a ratio of number of instances in a given population size, for example 1 in 100 000. This can also be represented as a percentage of occurrence, for example, 0.001%. This measurement is heavily considered the most important with regard to the security of the biometric algorithm.

False Reject Rate (FRR). Represents the instances a biometric identification solution fails to verify an authorized person correctly. Usually represented as a percentage, the sum of the True Accept Rate and False Reject Rate is 1. Can be with or without anti-spoofing or liveness detection.

Fingerprint sensor requirements

To allow fingerprint matching, you must have devices with fingerprint sensors and software. Fingerprint sensors, or sensors that use an employee’s unique fingerprint as an alternative log on option, can be touch sensors (large area or small area) or swipe sensors. Each type of sensor has its own set of detailed requirements that must be implemented by the manufacturer, but all of the sensors must include anti-spoofing measures (required).

Acceptable performance range for small to large size touch sensors

Отключение или включение пользователей домена Вход в систему с использованием биометрии в Windows 10

Windows 10 поддерживает использование биометрии. Он уже поддерживает PIN-код, пароль и пароль изображения на всех компьютерах, но при наличии соответствующего оборудования Windows 10 также поддерживает сканирование лица, сканирование радужной оболочки глаза и сканирование отпечатков пальцев. Эти настройки можно найти в разделе «Настройки»> «Аккаунты»> «Параметры входа» . Но иногда, даже если имеется аппаратное обеспечение для поддержки этой функции, называемой Windows Hello, вы можете не найти опции, доступные для включения этой функции. В этом посте показано, как включить или отключить вход пользователей домена в Windows 10 с помощью биометрии с использованием реестра или GPEDIT.

Разрешить пользователям домена вход в систему с использованием биометрии

Я рекомендовал вам создать точку восстановления системы. Это связано с тем, что при выполнении таких модификаций есть вероятность, что что-то сломается на стороне программного обеспечения вашего компьютера. Или, если у вас нет привычки создавать точку восстановления системы, я бы действительно рекомендовал вам часто ее создавать.

Использование редактора реестра

Нажмите комбинацию кнопок WINKEY + R, чтобы запустить утилиту Run, введите regedit и нажмите Enter. После открытия редактора реестра перейдите к следующему

HKEY_LOCAL_MACHINE \ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \ Политики \ Microsoft \ Биометрия \ Поставщик учетных данных

Теперь щелкните правой кнопкой мыши на правой боковой панели и выберите New> DWORD (32-bit) Value.

Установите имя этого вновь созданного DWORD как Учетные записи домена .

Дважды щелкните по вновь созданному DWORD и установите его значение как 1 . Это позволит разрешить пользователям домена входить в Windows 10 с использованием биометрии .

Значение 0 запрещает пользователям домена вход в Windows 10 с использованием биометрии.

Выйдите из редактора реестра и перезагрузите компьютер, чтобы изменения вступили в силу.

Использование редактора групповой политики

Нажмите комбинацию кнопок WINKEY + R, чтобы запустить утилиту Run, введите gpedit.msc и нажмите Enter. После открытия редактора групповой политики перейдите к следующему параметру:

Конфигурация компьютера> Административные шаблоны> Компоненты Windows> Биометрия

Теперь на правой боковой панели дважды щелкните следующие записи и установите переключатель Включено для всех них,

• Разрешить использование биометрии.
• Разрешить пользователям входить в систему с помощью биометрии.
• Разрешить пользователям домена входить в систему с использованием биометрии.

Выйдите из редактора групповой политики и перезагрузите компьютер, чтобы изменения вступили в силу. Это активирует настройку.

Биометрия Windows Hello на предприятии Windows Hello biometrics in the enterprise

Относится к: Applies to:

Windows Hello — это функция биометрической проверки подлинности, повышающая ее надежность и обеспечивающая защиту от возможного спуфинга благодаря сопоставлению отпечатков пальцев и распознаванию лиц. Windows Hello is the biometric authentication feature that helps strengthen authentication and helps to guard against potential spoofing through fingerprint matching and facial recognition.

В первых выпусках Windows 10 предоставлялись службы Microsoft Passport и Windows Hello, которые вместе обеспечивали многофакторную проверку подлинности. When Windows 10 first shipped, it included Microsoft Passport and Windows Hello, which worked together to provide multi-factor authentication. Чтобы упростить развертывание и расширить возможности поддержки, Microsoft объединила эти технологии в единое решение — Windows Hello. To simplify deployment and improve supportability, Microsoft has combined these technologies into a single solution under the Windows Hello name. Пользователи, которые уже выполнили развертывание этих технологий, не заметят никаких изменений в функционировании этих служб. Customers who have already deployed these technologies will not experience any change in functionality. Для тех клиентов, которым еще предстоит оценить работу Windows Hello, выполнить развертывание будет гораздо проще благодаря упрощенным политикам, документации и семантике. Customers who have yet to evaluate Windows Hello will find it easier to deploy due to simplified policies, documentation, and semantics.

Так как мы понимаем, что ваши сотрудники хотят использовать эту новую технологию на вашем предприятии, мы активно работаем с производителями устройств, чтобы создать строгие рекомендации по проектированию и производительности, которые помогут вам более точно представить биометрию Windows Hello в вашей организации. Because we realize your employees are going to want to use this new technology in your enterprise, we’ve been actively working with the device manufacturers to create strict design and performance recommendations that help to ensure that you can more confidently introduce Windows Hello biometrics into your organization.

В чем состоит принцип работы Windows Hello? How does Windows Hello work?

Windows Hello позволяет сотрудникам использовать в качестве альтернативного способа разблокировки устройства отпечатки пальцев или распознавание лиц. Windows Hello lets your employees use fingerprint or facial recognition as an alternative method to unlocking a device. В случае использования Windows Hello проверка подлинности выполняется при вводе сотрудником его/ее уникального биометрического идентификатора во время получения доступа к учетным данным Windows Hello конкретного устройства. With Windows Hello, authentication happens when the employee provides his or her unique biometric identifier while accessing the device-specific Windows Hello credentials.

Функция проверки Windows Hello используется для проверки подлинности и подтверждения доступа сотрудников к корпоративной сети. The Windows Hello authenticator works to authenticate and allow employees onto your enterprise network. Проверка подлинности не перемещается между устройствами, не совместно с сервером и не может быть легко извлечена с устройства. Authentication doesn’t roam among devices, isn’t shared with a server, and can’t easily be extracted from a device. Если одно устройство используют несколько сотрудников, то каждый из них будет получать доступ с помощью своих собственных биометрических данных. If multiple employees share a device, each employee will use his or her own biometric data on the device.

Почему сотрудникам следует разрешить использовать Windows Hello? Why should I let my employees use Windows Hello?

Windows Hello имеет множество преимуществ, в том числе следующие: Windows Hello provides many benefits, including:

Эта функция повышает уровень защиты учетных данных от кражи. It helps to strengthen your protections against credential theft. Так как злоумышленник должен иметь как устройство, так и биометрические данные или PIN-код, получить доступ без ведома сотрудника намного сложнее. Because an attacker must have both the device and the biometric info or PIN, it’s much more difficult to gain access without the employee’s knowledge.

Сотрудники получают простой метод проверки подлинности (с помощью PIN-кода), который всегда с ними, поэтому ничего не теряется. Employees get a simple authentication method (backed up with a PIN) that’s always with them, so there’s nothing to lose. Проблема забытых паролей теперь не актуальна! No more forgetting passwords!

Поддержка Windows Hello встроена в операционную систему, поэтому добавлять дополнительные биометрические устройства и политики в рамках скоординированного выпуска или для отдельных сотрудников или групп можно с использованием групповой политики или поставщика служб конфигурации (CSP) управления мобильными устройствами (MDM). Support for Windows Hello is built into the operating system so you can add additional biometric devices and polices as part of a coordinated rollout or to individual employees or groups using Group Policy or Mobile Device Management (MDM) configurations service provider (CSP) policies.
Дополнительные сведения о доступных групповых политиках и поставщиках служб конфигурации MDM см. в разделе Развертывание Windows Hello для бизнеса в организации. For more info about the available Group Policies and MDM CSPs, see the Implement Windows Hello for Business in your organization topic.

Где хранятся данные Windows Hello? Where is Windows Hello data stored?

Биометрические данные, используемые функцией Windows Hello, хранятся только на локальном устройстве. The biometric data used to support Windows Hello is stored on the local device only. Он не перемещается и никогда не отправляется на внешние устройства или серверы. It doesn’t roam and is never sent to external devices or servers. Такое разделение обеспечивает защиту от возможных атак за счет отсутствия единственной точки сбора, которая может быть скомпрометирована, в результате чего злоумышленник получит доступ к биометрическим данным. This separation helps to stop potential attackers by providing no single collection point that an attacker could potentially compromise to steal biometric data. Кроме того, даже если злоумышленнику удалось получить биометрические данные с устройства, его нельзя преобразовать обратно в необработанные биометрические данные, которые могут распознаться биометрическим датчиком. Additionally, even if an attacker was actually able to get the biometric data from a device, it cannot be converted back into a raw biometric sample that could be recognized by the biometric sensor.

Каждый датчик на устройстве будет иметь собственный биометрический файл базы данных, в котором хранятся данные шаблона. Each sensor on a device will have its own biometric database file where template data is stored. Каждая база данных имеет уникальный, случайным образом созданный ключ, который шифруется в системе. Each database has a unique, randomly generated key that is encrypted to the system. Данные шаблона для датчика шифруются с помощью этого ключа для базы данных с помощью AES в режиме цепочки CBC. The template data for the sensor will be encrypted with this per-database key using AES with CBC chaining mode. Это sha256. The hash is SHA256. Некоторые датчики отпечатков пальцев могут выполнить соответствие в модуле датчика отпечатков пальцев, а не в ОС. Some fingerprint sensors have the capability to complete matching on the fingerprint sensor module instead of in the OS. Эти датчики будут хранить биометрические данные в модуле отпечатков пальцев, а не в файле базы данных. These sensors will store biometric data on the fingerprint module instead of in the database file.

Установила ли корпорация Майкрософт какие-либо требования к устройствам для использования Windows Hello? Has Microsoft set any device requirements for Windows Hello?

Мы работаем с производителями устройств, чтобы обеспечить высокий уровень производительности и защиты каждого датчика и устройства на основе указанных ниже требований. We’ve been working with the device manufacturers to help ensure a high-level of performance and protection is met by each sensor and device, based on these requirements:

Коэффициент ложного пропуска (FAR). False Accept Rate (FAR). Показатель, определяющий частоту предоставления решением для биометрической идентификации доступа лицам, не имеющим соответствующих полномочий. Represents the instance a biometric identification solution verifies an unauthorized person. Как правило, это количество случаев на заданный объем выборки, например 1 к 100 000. This is normally represented as a ratio of number of instances in a given population size, for example 1 in 100 000. Этот показатель также можно представить в виде процентного значения, например 0,001%. This can also be represented as a percentage of occurrence, for example, 0.001%. Этот показатель считается наиболее важным в отношении безопасности биометрического алгоритма. This measurement is heavily considered the most important with regard to the security of the biometric algorithm.

Коэффициент ложного отказа в доступе (FRR). False Reject Rate (FRR). Показатель, определяющий частоту некорректных отказов в предоставлении решением для биометрической идентификации доступа лицам, имеющим соответствующие полномочия. Represents the instances a biometric identification solution fails to verify an authorized person correctly. Обычно выражен процентным значением; сумма коэффициентов ложного пропуска и ложного отказа в допуске равна 1. Usually represented as a percentage, the sum of the True Accept Rate and False Reject Rate is 1. Может иметь или не иметь защиту от подделывания или функцию определения живучести. Can be with or without anti-spoofing or liveness detection.

Требования датчику для сканирования отпечатков пальцев Fingerprint sensor requirements

Чтобы разрешить сопоставление отпечатков пальцев, необходимо использовать устройства с датчиками для сканирования отпечатков и соответствующее программное обеспечение. To allow fingerprint matching, you must have devices with fingerprint sensors and software. Датчики отпечатков пальцев или датчики, которые используют уникальный отпечаток пальца сотрудника в качестве альтернативного варианта входа в систему, могут быть сенсорными датчиками (большой или небольшой областью) или датчиками прокрутки. Fingerprint sensors, or sensors that use an employee’s unique fingerprint as an alternative log on option, can be touch sensors (large area or small area) or swipe sensors. Для каждого типа датчика применим собственный набор подробных требований, которые должны быть реализованы производителями; при этом все датчики должны обладать свойствами защиты от подделывания (обязательное требование). Each type of sensor has its own set of detailed requirements that must be implemented by the manufacturer, but all of the sensors must include anti-spoofing measures (required).

Допустимый диапазон производительности для сенсорных датчиков с любым размером области сканирования Acceptable performance range for small to large size touch sensors

Коэффициент ложного пропуска (FAR): False Accept Rate (FAR):

Эффективный действующий FRR с защитой от подделывания или определением живучести: Effective, real world FRR with Anti-spoofing or liveness detection:

Допустимый диапазон производительности для датчиков с поддержкой движения пальцем Acceptable performance range for swipe sensors

Коэффициент ложного пропуска (FAR): False Accept Rate (FAR):

Эффективный действующий FRR с защитой от подделывания или определением живучести: Effective, real world FRR with Anti-spoofing or liveness detection:

Датчики распознавания лиц Facial recognition sensors

Чтобы разрешить распознавание лиц, необходимо использовать устройства со специальными встроенными особенными инфракрасными датчиками (IR) и соответствующим программным обеспечением. To allow facial recognition, you must have devices with integrated special infrared (IR) sensors and software. Датчики распознавания лиц используют специальные камеры, которые видят инфракрасный свет, позволяя им отличить фотографию от живого человека при сканировании функций лица сотрудника. Facial recognition sensors use special cameras that see in IR light, letting them tell the difference between a photo and a living person while scanning an employee’s facial features. Такие датчики, как и датчики для сканирования отпечатков пальцев, должны обладать свойствами защиты от подделывания (обязательное требование) и предоставлять возможность настройки (дополнительно). These sensors, like the fingerprint sensors, must also include anti-spoofing measures (required) and a way to configure them (optional).

Коэффициент ложного принимать (FAR): False Accept Rate (FAR):

Коэффициент ложного отказа в доступе (FRR) без защиты от подделывания или определения живучести: False Reject Rate (FRR) without Anti-spoofing or liveness detection:

Эффективный действующий FRR с защитой от подделывания или определением живучести: Effective, real world FRR with Anti-spoofing or liveness detection:

Проверка подлинности с лица Windows Hello в настоящее время не поддерживает маску во время регистрации или проверки подлинности. Windows Hello face authentication does not currently support wearing a mask during enrollment or authentication. Маска для регистрации является проблемой безопасности, так как другие пользователи могут разблокировать ваше устройство. Wearing a mask to enroll is a security concern because other users wearing a similar mask may be able to unlock you device. Группа продуктов знает об этом поведении и изучает этот раздел далее. The product group is aware of this behavior and is investigating this topic further. Удалите маску, если вы носите ее при регистрации или разблокировке с помощью проверки подлинности с помощью windows Hello. Please remove a mask if you are wearing one when you enroll or unlock with Windows Hello face authentication. Если рабочая среда не позволяет временно удалить маску, рассмотрите возможность отостановки регистрации при проверке подлинности лиц и только с помощью ПИН-кода или отпечатка пальца. If your working environment doesn’t allow you to remove a mask temporarily, please consider unenrolling from face authentication and only using PIN or fingerprint.