Как работает Windows Hello и как его включить?

Хотите безопасно войти в свой компьютер без пароля? Встречайте Windows Hello. Футуристическая технология входа в Windows обеспечивает биологическую аутентификацию на вашем компьютере, что обеспечивает более быстрый, безопасный и простой вход в систему. Скажите до свидания, чтобы тратить свое время на клавиатуры.

Давайте узнаем, как работает Windows Hello и с чего начать?

Что такое Windows Hello и для чего она нужна?

Десять лет назад биометрические логины были предметом научной фантастики и техно-триллеров. Сегодня вход в компьютер под управлением Windows с использованием только вашего лица, глазного яблока или отпечатка пальца — это готовая к потребителю реальность. Windows Hello избавляет пользователей от утомительного пароля для входа. Давайте начнем с основ.

Кто может использовать Windows Hello? Почти все с Windows 10 Anniversary Update! Требования к оборудованию включены во многие современные компьютеры. Но даже с более старыми системами несколько периферийных устройств — за небольшие деньги — предоставляют Windows Hello.

Какой тип аутентификации он использует? Вам нужен только один из трех методов аутентификации: распознавание лица, отпечаток пальца или сетчатка. Но прежде чем выбрать тип аутентификации, выясните, поддерживает ли ваш компьютер Windows Hello.

Как проверить, поддерживает ли ваш компьютер Windows Hello

Требования просты: вам нужно Windows 10 Anniversary Update (AU) и либо сканер радужной оболочки, сканер отпечатков пальцев, либо специальная ближняя инфракрасная камера 3D.

Вы можете проверить, поддерживает ли ваш компьютер Windows Hello, перейдя в Настройки> Аккаунты> Параметры входа. Или вы можете использовать прямую ссылку Microsoft на ваши настройки.

По состоянию на начало 2018 года только несколько мобильных устройств, таких как Nokia Lumia 2 XL, включают сканирование радужной оболочки (Microsoft ведет список совместимых устройств). Если Windows Hello недоступна, вы увидите сообщение «Windows Hello недоступно на этом устройстве».

Если он недоступен, вы можете приобрести периферийное устройство, которое добавляет функциональность Windows Hello в вашу систему. Из этих дополнительных устройств существует два вида биометрической аутентификации. Подробнее см. В разделе ниже «Windows Hello недоступна на этом устройстве».

Как включить Windows Hello

Если у вас есть совместимая система, ее легко настроить. Под заголовком Распознавание лица, нажмите на Настроить. (Если ваш компьютер использует сканирование отпечатков пальцев, вы должны выбрать Настроить под отпечаток пальца вместо этого.)

Чтобы настроить распознавание лиц, Windows снимает 3D изображение вашего лица в ближней инфракрасной области. Он учитывает такие объекты, как волосы и очки, поэтому вам может потребоваться сделать несколько снимков себя, чтобы откалибровать механизм распознавания.

Я обнаружил, что даже носить толстовку с капюшоном или расчесывать волосы может не позволить вам войти в систему. В этом случае вам просто нужно будет повторно ввести пароль. Нет недостатка в том, чтобы войти с распознаванием лиц.

Динамическая блокировка Windows Hello

Еще одна замечательная особенность Windows Hello — динамическая блокировка. Мы рассмотрели методы блокировки Windows раньше

, но вот еще раз: вы можете настроить Windows, чтобы заблокировать себя, как только он обнаружит, что вас нет. Это можно сделать с помощью сопряженного устройства Bluetooth (возможно, смартфона). После сопряжения, если сопряженное устройство покидает зону действия Bluetooth, компьютер блокируется.

Чтобы использовать динамическую блокировку, сначала переведите смартфон или планшет в режим сопряжения Bluetooth.

и затем войдите в настройки Bluetooth Windows. Самый простой способ добраться — нажать клавишу Windows и набрать Bluetooth.

выберите Настройки Bluetooth и других устройств. Затем выберите Добавить Bluetooth или другое устройство. Когда будет предложено выбрать тип устройства, выберите блютуз.

Вы должны увидеть ваше устройство в списке здесь. Выберите его и начните процесс сопряжения. После сопряжения вы можете вернуться к настройкам Windows Hello и настроить динамическую блокировку.

Кроме того, некоторые из вас могут вспомнить другие устройства, которые сделали то же самое, что динамическая блокировка

«Windows Hello недоступна на этом устройстве»

Если Windows Hello не работает, скорее всего, ваше оборудование несовместимо. Это означает, что в вашей системе отсутствует сканирование радужной оболочки глаза, сканирование отпечатков пальцев или 3D-камера ближнего инфракрасного диапазона. К сожалению, вы не можете купить сканер радужной оболочки еще.

Добавить сканер отпечатков пальцев в Windows 10

Самый дешевый и безопасный вариант — это сканер отпечатков пальцев. Сканеры отпечатков пальцев распознают уникальную топографию кончика пальца или большого пальца. Все сканеры делают то же самое. Однако все они функционально идентичны. Наименее дорогой вариант также является наиболее доступным способом добавления совместимости с Windows Hello.

Устройство подключается к USB-порту, и после завершения установки драйверов пользователю необходимо только настроить свой отпечаток пальца в Windows. С этого момента вы можете войти в свой компьютер одним касанием.

Есть также две альтернативы USB-сканеру ключей. Microsoft производит собственный биометрический сканер в сочетании с клавиатурой.

В дополнение к клавиатуре скоро появятся мыши со встроенными сканерами. К сожалению, те, что я видел на Amazon, не совместимы с Windows Hello.

В целом, сканер отпечатков пальцев обеспечивает наилучшую безопасность. Несмотря на то, что камера распознавания лиц работает как веб-камера, они, как правило, дорогие и имеют ложную аутентификацию — по данным Microsoft — менее 1%.

Это также самый дешевый способ заставить Windows Hello работать. Есть более дорогие устройства, которые добавляют распознавание отпечатков пальцев, но они делают то же самое, что и дешевые модели.

Windows Hello в Windows 10

Рассказываем, что представляет собой технология Windows Hello, насколько она безопасна и стоит ли вообще ею пользоваться. Также показываем, как включить и настроить биометрическую авторизация на своем компьютере.

Что такое Windows Hello?

Это коммерческое название для системы биометрической авторизации в Windows. Не поняли? Авторизация — это вход в систему под учетной записью конкретного пользователя с подтверждением личности (обычно с помощью пароля или ключ-кода). Биометрическая — с использованием так называемых физических ресурсов человека в виде отпечатков пальцев или радужки глаза.

По факту, это программная оболочка для работы со сканерами отпечатков пальцев и сканерами лица (радужки глаза), как внешними, так и встроенными в устройство.

На многих современных компьютерах, планшетах и ноутбуках с Windows 10 есть и сканер отпечатков пальцев, и даже специализированная 3D-камера для создания виртуального слепка лица человека. С помощью этого слепка потом можно авторизовать пользователя, сравнивая с лицом перед камерой. По такому же принципу работает Face ID в iPhone.

Безопасно ли это?

Взломать можно что угодно, даже такие скрупулезно разработанные механизмы. Хакеры умеют обходить довольно мудреные и серьезные системы обеспечения безопасности. Так что и Windows Hello наверняка обойдут. Разве что ваш компьютер понадобится такому спецу.

К тому же известны случаи, когда люди с похожими лицами без проблем разблокировали одно и то же устройство. С пальцами примерно та же ситуация. Отпечатки каждого человека уникальны, но они могут быть похожи настолько, что компьютер и не разберет, где чей палец.

Тем не менее авторизация с помощью биометрических данных остается более безопасным средством защиты чем код-пароль (особенно, если он короткий). Компьютер сканирует лицо и пальцы быстрее, чем люди вводят пароль. Да и забыть свои биометрические данные нигде не возможно — лицо и пальцы всегда при вас. А если останетесь без них, то есть возможность подтвердить личность паролем (он всегда остается как запасной вариант).

Настраиваем Windows Hello

Если решили, что тоже хотите входить в свой аккаунт без пароля, то вот краткая инструкция по настройке Windows Hello.

Выясняем поддерживает ли ваш компьютер Windows Hello

Сначала надо узнать, есть ли в вашем компьютере хоть какой-то сенсор, способный активировать Windows Hello. Естественно, если вы купили ноутбук в 2010 году, то надеяться на поддержку таких свежих функций не стоит. Эта инструкция в принципе актуальная для тех гаджетов, которые появились уже после выхода Windows 10 и продаются хотя бы в средней ценовой категории.

Из популярных моделей ноутбуков можно выделить:

• Windows Surface Book,
• Dell Inspiron 5548,
• Lenovo ThinkPad Yoga,
• Asus ROG G771JM,
• HP Sprout.

Чтобы проверить, поддерживает ли ваше устройство Windows Hello:

• Открываем настройки системы. Это можно сделать кликнув по меню «Пуск», а затем на иконку в виде шестеренки.

Вход в учетную запись Майкрософт с помощью Windows Hello или ключа безопасности

Если вам надоело вспоминать или сбрасывать пароль, попробуйте использовать Windows Hello или ключ безопасности, совместимый с платформой FIDO 2, для входа в свою учетную запись Майкрософт. Для этого вам понадобится только устройство с Windows 10 версии 1809 или выше и браузер Microsoft Edge. (Эта функция пока недоступна для консолей Xbox и телефонов.)

Что такое Windows Hello?

Windows Hello — это персонализированный способ входа с помощью функции распознавания лица, отпечатка пальца или ПИН-кода. Windows Hello можно использовать для входа на устройство с экрана блокировки и для входа в учетную запись в Интернете.

Что такое ключ безопасности?

Ключ безопасности — это физическое устройство, которое можно использовать вместо имени пользователя и пароля для входа в систему. Это может быть USB-ключ, который можно хранить в связке ключей, или NFC-устройство, например смартфон или карточка доступа. Он используется в дополнение к отпечатку пальца или ПИН-коду, поэтому даже если кто-либо получит ваш ключ безопасности, он не сможет войти в систему без вашего ПИН-кода или отпечатка пальца.

Ключи безопасности обычно можно приобрести в розничных магазинах, где продаются периферийные устройства для компьютеров.

Как выполнить вход с помощью Windows Hello

Выполните описанные ниже действия, чтобы настроить Windows Hello, а затем войдите в свою учетную запись Майкрософт в браузере Microsoft Edge.

Перейдите в меню Пуск и выберите Параметры .

Перейдите в раздел Учетные записи > Варианты входа.

В разделе Управление входом в устройство выберите пункт Windows Hello, чтобы добавить его.

Чтобы добавить Windows Hello в качестве способа входа для своей учетной записи Майкрософт:

Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.

Выберите Безопасность > Расширенные параметры безопасности

Нажмите Добавьте новый способ входа или проверки

Выберите Используйте компьютер с Windows

Следуйте инструкциям в диалоговых окнах, чтобы настроить Windows Hello как способ входа в систему.

Как выполнить вход с помощью ключа безопасности

Существуют различные типы ключей безопасности, например USB-ключ, который подключается к устройству, или NFC-ключ, которым нужно коснуться NFC-сканера. Обязательно ознакомьтесь с типом своего ключа безопасности, прочитав прилагающееся к нему руководство от производителя.

Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.

Выберите Безопасность > Расширенные параметры безопасности

Нажмите Добавьте новый способ входа или проверки

Определите тип ключа (USB или NFC) и нажмите Далее.

Запустится процесс настройки, в ходе которого нужно будет вставить ключ или коснуться им устройства.

Создайте ПИН-код (или введите существующий ПИН-код, если вы его уже создали).

Выполните следующее действие, коснувшись кнопки или золотого диска на своем ключе (или прочтите руководство, чтобы узнать, какое действие требуется).

Присвойте ключу безопасности имя, чтобы его можно было отличить от других ключей.

Выйдите из своей учетной записи и откройте Microsoft Edge, выберите Использовать Windows Hello или ключ безопасности, затем вставьте ключ или коснитесь им устройства, чтобы выполнить вход.

Примечание: Производитель ключа безопасности может предоставить программное обеспечение, которое позволяет управлять ключом, например менять ПИН-код или создавать отпечаток пальца.

Управление ключами

Выполните описанные ниже действия, чтобы удалить ключи, настроенные для вашей учетной записи.

Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.

Выберите Безопасность > Расширенные параметры безопасности, затем в разделе Windows Hello и ключи безопасности нажмите Управление способами входа.

Windows Hello для бизнеса Windows Hello for Business Overview

Область применения Applies to

В Windows 10 служба Windows Hello для бизнеса позволяет заменить пароли строгой двухфакторной проверкой подлинности на компьютерах и мобильных устройствах. In Windows 10, Windows Hello for Business replaces passwords with strong two-factor authentication on PCs and mobile devices. В процессе проверки подлинности используется новый тип учетных данных пользователя, привязанных к устройству, включая биометрические данные или ПИН-код. This authentication consists of a new type of user credential that is tied to a device and uses a biometric or PIN.

В первых выпусках Windows 10 предоставлялись службы Microsoft Passport и Windows Hello, которые вместе обеспечивали многофакторную проверку подлинности. When Windows 10 first shipped, it included Microsoft Passport and Windows Hello, which worked together to provide multi-factor authentication. Чтобы упростить развертывание и расширить возможности поддержки, Microsoft объединила эти технологии в единое решение — Windows Hello. To simplify deployment and improve supportability, Microsoft has combined these technologies into a single solution under the Windows Hello name. Пользователи, которые уже выполнили развертывание этих технологий, не заметят никаких изменений в функционировании этих служб. Customers who have already deployed these technologies will not experience any change in functionality. Клиентам, которым еще предстоит оценить возможности Windows Hello, будет гораздо легче выполнить развертывание благодаря упрощенным политикам, документации и семантике. Customers who have yet to evaluate Windows Hello will find it easier to deploy due to simplified policies, documentation, and semantics.

Windows Hello решает следующие проблемы, связанные с паролями. Windows Hello addresses the following problems with passwords:

• Надежные пароли трудно запомнить, поэтому одни и те же пароли часто используются на нескольких сайтах. Strong passwords can be difficult to remember, and users often reuse passwords on multiple sites.
• При взломе сервера хакеры могут получить доступ к симметричным сетевым учетным данным (паролям). Server breaches can expose symmetric network credentials (passwords).
• Пароли могут подвергаться атакам с повторением пакетов. Passwords are subject to replay attacks.
• Пользователи могут непреднамеренно предоставить свой пароль вследствие фишинга. Users can inadvertently expose their passwords due to phishing attacks.

Windows Hello позволяет пользователям проверять подлинность: Windows Hello lets users authenticate to:

• учетной записи Майкрософт; a Microsoft account.
• учетной записи Active Directory; an Active Directory account.
• учетной записи Microsoft Azure Active Directory (Azure AD); a Microsoft Azure Active Directory (Azure AD) account.
• Службы поставщика удостоверений или службы проверяющей стороны, поддерживающие проверку подлинности Fast ID Online (FIDO) v2.0 (в разработке). Identity Provider Services or Relying Party Services that support Fast ID Online (FIDO) v2.0 authentication (in progress)

После первоначальной двухэтапной проверки пользователя при регистрации на устройстве настраивается служба Windows Hello, и пользователю Windows предлагается создать ПИН-код или жест, который может быть биометрическим (например, отпечаток пальца). After an initial two-step verification of the user during enrollment, Windows Hello is set up on the user’s device and Windows asks the user to set a gesture, which can be a biometric, such as a fingerprint, or a PIN. Пользователь делает жест для подтверждения своей личности. The user provides the gesture to verify their identity. В дальнейшем Windows использует Windows Hello для проверки подлинности пользователей. Windows then uses Windows Hello to authenticate users.

Администратор предприятия или образовательного учреждения может создать политики для управления службой Windows Hello для бизнеса на устройствах с Windows 10, подключенных к корпоративной сети. As an administrator in an enterprise or educational organization, you can create policies to manage Windows Hello for Business use on Windows 10-based devices that connect to your organization.

Вход с использованием биометрических данных Biometric sign-in

Windows Hello обеспечивает надежную комплексную биометрическую проверку подлинности на основе распознавания лиц или отпечатков пальцев. Windows Hello provides reliable, fully integrated biometric authentication based on facial recognition or fingerprint matching. В Windows Hello используется сочетание из особых инфракрасных (ИК)-камер и программного обеспечения, что повышает точность и защищает от спуфинга. Windows Hello uses a combination of special infrared (IR) cameras and software to increase accuracy and guard against spoofing. Ведущие производители оборудования поставляют устройства со встроенными камерами, совместимыми с Windows Hello. Major hardware vendors are shipping devices that have integrated Windows Hello-compatible cameras. Оборудование для чтения отпечатков пальцев можно использовать или добавлять на устройства, которые в настоящее время не имеют его. Fingerprint reader hardware can be used or added to devices that don’t currently have it. На устройствах, поддерживаюх Windows Hello, простой биометрический жест разблокирует учетные данные пользователей. On devices that support Windows Hello, an easy biometric gesture unlocks users’ credentials.

• Распознавание лиц. Facial recognition. Это тип биометрической проверки подлинности, когда используются специальные камеры, считывающие данные в ИК-диапазоне, что позволяет надежно отличить фотографию или отсканированное изображение от живого человека. This type of biometric recognition uses special cameras that see in IR light, which allows them to reliably tell the difference between a photograph or scan and a living person. Некоторые производители поставляют внешние камеры, в которые встроена такая возможность, и большинство производителей ноутбуков также встраивают данную функцию в свои устройства. Several vendors are shipping external cameras that incorporate this technology, and major laptop manufacturers are incorporating it into their devices, as well.
• Распознавание отпечатков пальцев. Fingerprint recognition. Это тип биометрической проверки подлинности, когда используется емкостный датчик, сканирующий отпечатки пальцев. This type of biometric recognition uses a capacitive fingerprint sensor to scan your fingerprint. Сканеры отпечатков пальцев доступны на компьютерах Windows уже много лет, но датчики нынешнего поколения значительно надежнее и менее подвержены ошибкам. Fingerprint readers have been available for Windows computers for years, but the current generation of sensors is significantly more reliable and less error-prone. Большинство существующих сканеров отпечатков пальцев (внешних или встроенных в ноутбуки или USB-клавиатуры) совместимы с Windows 10. Most existing fingerprint readers (whether external or integrated into laptops or USB keyboards) work with Windows 10.

Биометрические данные, используемые для реализации Windows Hello, надежно хранятся в Windows только на локальном устройстве. Windows stores biometric data that is used to implement Windows Hello securely on the local device only. Биометрические данные не перемещаются и никогда не отправляются на внешние устройства или серверы. The biometric data doesn’t roam and is never sent to external devices or servers. Так как Windows Hello хранит только биометрические данные идентификации на устройстве, ни одна точка сбора злоумышленник не может скомпрометировать, чтобы украсть биометрические данные. Because Windows Hello only stores biometric identification data on the device, there’s no single collection point an attacker can compromise to steal biometric data. Дополнительные сведения о биометрической проверке подлинности с Windows Hello для бизнеса см. в биометрии Windows Hello на предприятии. For more information about biometric authentication with Windows Hello for Business, see Windows Hello biometrics in the enterprise.

Различия между Windows Hello и Windows Hello для бизнеса The difference between Windows Hello and Windows Hello for Business

Для удобства входа пользователи могут создать ПИН-код или биометрический жест на своих личных устройствах. Individuals can create a PIN or biometric gesture on their personal devices for convenient sign-in. Это использование Windows Hello уникально для устройства, на котором оно настроено, но может использовать простой хэш пароля в зависимости от типа учетной записи пользователя. This use of Windows Hello is unique to the device on which it is set up, but can use a simple password hash depending on an individual’s account type. Эта конфигурация называется ПИН-кодом windows Hello и не опирается на асимметричную (общедоступный или частный ключ) или проверку подлинности на основе сертификатов. This configuration is referred to as Windows Hello convenience PIN and it is not backed by asymmetric (public/private key) or certificate-based authentication.

Windows Hello для бизнеса, настроенная политикой групповой политики или управления мобильными устройствами (MDM), всегда использует проверку подлинности на основе ключей или сертификатов. Windows Hello for Business, which is configured by Group Policy or mobile device management (MDM) policy, always uses key-based or certificate-based authentication. Это делает его намного более безопасным, чем ПИН-код Windows Hello. This makes it much more secure than Windows Hello convenience PIN.

Преимущества Windows Hello Benefits of Windows Hello

Сообщения о хищении персональных данных и широкомасштабных взломах часто появляются в СМИ. Reports of identity theft and large-scale hacking are frequent headlines. Никто не хочет получить уведомление о том, что его имя пользователя и пароль были раскрыты. Nobody wants to be notified that their user name and password have been exposed.

Вам может быть интересно, как ПИН-код помогает защитить устройство лучше, чем пароль. You may wonder how a PIN can help protect a device better than a password. Пароли представляют собой общие секреты; они вводятся на устройстве и передаются по сети на сервер. Passwords are shared secrets; they are entered on a device and transmitted over the network to the server. Перехваченное имя и пароль учетной записи может использоваться любым человеком в любом месте. An intercepted account name and password can be used by anyone, anywhere. Учетные данные могут быть раскрыты при взломе сервера, на котором они хранятся. Because they’re stored on the server, a server breach can reveal those stored credentials.

В Windows 10 служба Windows Hello заменяет пароли. In Windows 10, Windows Hello replaces passwords. Когда поставщик удостоверений поддерживает ключи, в процессе разработки Windows Hello создается пара ключей шифрования, связанная с модулем доверенных платформ (TPM), если устройство имеет TPM 2.0 или в программном обеспечении. When the identity provider supports keys, the Windows Hello provisioning process creates a cryptographic key pair bound to the Trusted Platform Module (TPM), if a device has a TPM 2.0, or in software. Доступ к этим ключам и подпись, подтверждающая владение закрытым ключом, предоставляются только при вводе PIN-кода или биометрического жеста. Access to these keys and obtaining a signature to validate user possession of the private key is enabled only by the PIN or biometric gesture. В процессе двухэтапной проверки, выполняемой при регистрации в службе Windows Hello, создаются доверительные взаимоотношения между поставщиком удостоверений и пользователем. При этом открытая часть пары «открытый/закрытый ключ» отправляется поставщику удостоверений и связывается с учетной записью пользователя. The two-step verification that takes place during Windows Hello enrollment creates a trusted relationship between the identity provider and the user when the public portion of the public/private key pair is sent to an identity provider and associated with a user account. Когда пользователь выполняет жест на устройстве, поставщик удостоверений определяет по комбинации ключей и жеста Hello, что это проверенное удостоверение, и предоставляет маркер проверки подлинности, с помощью которого Windows 10 получает доступ к ресурсам и службам. When a user enters the gesture on the device, the identity provider knows from the combination of Hello keys and gesture that this is a verified identity and provides an authentication token that allows Windows 10 to access resources and services.

Windows Hello — удобный метод входа в систему, основанный на проверке подлинности по имени пользователя и паролю и одновременно позволяющий пользователям отказаться от ввода паролей. Windows Hello as a convenience sign-in uses regular user name and password authentication, without the user entering the password.

Представьте, что кто-то подсматривает через ваше плечо при получении денежных средств из банкомата и видит вводимый вами PIN-код. Imagine that someone is looking over your shoulder as you get money from an ATM and sees the PIN that you enter. Наличие этого PIN-кода не поможет им получить доступ к учетной записи, так как у них нет банковской карты. Having that PIN won’t help them access your account because they don’t have your ATM card. Аналогичным образом перехват PIN-кода устройства не позволяет злоумышленнику получить доступ к учетной записи, так как PIN-код привязан к конкретному устройству и не обеспечивает никакой проверки подлинности при попытке доступа с других устройств. In the same way, learning your PIN for your device doesn’t allow that attacker to access your account because the PIN is local to your specific device and doesn’t enable any type of authentication from any other device.

Windows Hello защищает удостоверения и учетные данные пользователей. Windows Hello helps protect user identities and user credentials. Поскольку пользователь не вводит пароль (за исключением этапа подготовки), можно предотвратить фишинговые атаки и атаки методом подбора. Because the user doesn’t enter a password (except during provisioning), it helps circumvent phishing and brute force attacks. Эта технология также позволяет предотвратить взломы серверов, так как учетные данные Windows Hello являются асимметричной парой ключей. Поскольку эти ключи защищены доверенными платформенными модулями (TPM), снижается угроза атак с повторением пакетов. It also helps prevent server breaches because Windows Hello credentials are an asymmetric key pair, which helps prevent replay attacks when these keys are protected by TPMs.

Как работает Windows Hello для бизнеса: основные положения How Windows Hello for Business works: key points

• Учетные данные службы Windows Hello основаны на сертификате или асимметричной паре ключей. Windows Hello credentials are based on certificate or asymmetrical key pair. Учетные данные Windows Hello привязаны к устройству так же, как и маркер, получаемый с помощью этих учетных данных. Windows Hello credentials can be bound to the device, and the token that is obtained using the credential is also bound to the device.
• Поставщик удостоверений (например, Active Directory, Azure AD или учетная запись Майкрософт) проверяет удостоверение пользователя и сопоставляет открытый ключ Windows Hello с учетной записью пользователя на этапе регистрации. Identity provider (such as Active Directory, Azure AD, or a Microsoft account) validates user identity and maps the Windows Hello public key to a user account during the registration step.
• Ключи могут генерироваться в аппаратном (TPM 1.2 или 2.0 для предприятий и TPM 2.0 для потребителей) или программном обеспечении на основании политики. Keys can be generated in hardware (TPM 1.2 or 2.0 for enterprises, and TPM 2.0 for consumers) or software, based on the policy.
• Проверка подлинности — это двухфакторная проверка подлинности с сочетанием ключа или сертификата, привязанного к устройству, и чем-то, что человек знает (ПИН-код) или чем-то, чем является человек (биометрия). Authentication is the two-factor authentication with the combination of a key or certificate tied to a device and something that the person knows (a PIN) or something that the person is (biometrics). Жест Windows Hello не перемещается между устройствами и не является общим для сервера. The Windows Hello gesture does not roam between devices and is not shared with the server. Шаблоны биометрии хранятся локально на устройстве. Biometrics templates are stored locally on a device. ПИН-код никогда не хранится и не является общим. The PIN is never stored or shared.
• Закрытый ключ никогда не оставляет устройство при использовании TPM. The private key never leaves a device when using TPM. На проверяющем подлинность сервере хранится открытый ключ, который был сопоставлен с учетной записью пользователя во время регистрации. The authenticating server has a public key that is mapped to the user account during the registration process.
• При вводе ПИН-кода или использовании биометрического жеста Windows 10 криптографически подписывает данные, передаваемые поставщику удостоверений, с помощью закрытого ключа. PIN entry and biometric gesture both trigger Windows 10 to use the private key to cryptographically sign data that is sent to the identity provider. Поставщик удостоверений проверяет удостоверение пользователя и подтверждает его подлинность. The identity provider verifies the user’s identity and authenticates the user.
• Личные (учетная запись Майкрософт) или корпоративные учетные записи (Active Directory или Azure AD) используют единый контейнер для ключей. Personal (Microsoft account) and corporate (Active Directory or Azure AD) accounts use a single container for keys. Все ключи разделены по доменам поставщиков удостоверений в целях обеспечения конфиденциальности пользователя. All keys are separated by identity providers’ domains to help ensure user privacy.
• Закрытые ключи сертификатов могут быть защищены контейнером Windows Hello и жестом Windows Hello. Certificate private keys can be protected by the Windows Hello container and the Windows Hello gesture.

Сравнение проверки подлинности на основе ключа и сертификата Comparing key-based and certificate-based authentication

Для подтверждения личности служба Windows Hello для бизнеса может использовать ключи (аппаратные или программные) или сертификаты в аппаратном или программном обеспечении. Windows Hello for Business can use either keys (hardware or software) or certificates in hardware or software. Предприятия с инфраструктурой общедоступных ключей (PKI) для выдачи и управления сертификатами конечных пользователей могут продолжать использовать PKI в сочетании с Windows Hello. Enterprises that have a public key infrastructure (PKI) for issuing and managing end user certificates can continue to use PKI in combination with Windows Hello. Предприятия, которые не используют PKI или хотят сократить усилия, связанные с управлением пользовательскими сертификатами, могут полагаться на учетные данные на основе ключей для Windows Hello, но по-прежнему используют сертификаты на контроллерах домена в качестве корня доверия. Enterprises that do not use PKI or want to reduce the effort associated with managing user certificates can rely on key-based credentials for Windows Hello but still use certificates on their domain controllers as a root of trust.

Windows Hello для бизнеса с ключом не поддерживает предоставленные учетные данные для RDP. Windows Hello for Business with a key does not support supplied credentials for RDP. RDP не поддерживает проверку подлинности с помощью ключа или сертификата самозаверяемой подписи. RDP does not support authentication with a key or a self signed certificate. RDP с Windows Hello для бизнеса поддерживается развертыванием на основе сертификатов в качестве предоставленных учетных данных. RDP with Windows Hello for Business is supported with certificate based deployments as a supplied credential. Доверие ключа Windows Hello для бизнеса можно использовать с помощью Защитник Windows Remote Credential Guard. Windows Hello for Business key trust can be used with Windows Defender Remote Credential Guard.

Подробнее Learn more

Видеопрезентация Microsoft Virtual Academy Знакомство с Windows Hello. Introduction to Windows Hello, video presentation on Microsoft Virtual Academy