- Возможности входа в Windows 10 и защита учетных записей
- Изменение пароля или управление им
- Windows Hello
- Какие данные собираются и почему
- Управление функцией Windows Hello
- Использование ключа безопасности
- Блокировка устройства
- Динамическая блокировка
- Другие варианты входа в систему
- Управление временем входа в систему
- Отображение сведений об учетной записи на экране входа в систему
- Автоматическое завершение настройки после обновления
- Вход в учетную запись Майкрософт с помощью Windows Hello или ключа безопасности
- Что такое Windows Hello?
- Что такое ключ безопасности?
- Как выполнить вход с помощью Windows Hello
- Как выполнить вход с помощью ключа безопасности
- Управление ключами
- Windows Hello для бизнеса: вопросы и ответы
- Как насчет виртуальных смарт-карт?
- Как насчет удобного ПИН-кода?
- Можно ли использовать доверие ключа Windows Hello для бизнеса и RDP?
- Можно ли развернуть Windows Hello для бизнеса с помощью Microsoft Endpoint Configuration Manager?
- Сколько пользователей могут зарегистрироваться для Windows Hello для бизнеса на одном компьютере с Windows 10?
- Как ПИН-код может быть более безопасным, чем пароль?
- Как Windows Hello для бизнеса работает с зарегистрированными устройствами Azure AD?
- У меня есть контроллер домена Windows Server 2016, поэтому почему отсутствует группа администраторов ключей?
- Можно ли использовать пин-код удобства с Azure Active Directory?
- Можно ли использовать внешнюю камеру при закрытии или стыковке ноутбука?
- Почему проверка подлинности сбой сразу после обеспечения доверия гибридного ключа?
- Что такое беспарольная стратегия?
- Как осуществляется взаимодействие с пользователем в Windows Hello для бизнеса?
- Что происходит, когда пользователь забывает ПИН-код?
- Какие URL-адреса необходимо разрешить для гибридного развертывания?
- В чем разница между неразрушительным и деструктивным сбросом ПИН-кода?
- Что лучше или надежнее: доверие ключа или доверие сертификата?
- Обязательно ли иметь контроллеры домена Windows Server2016?
- Какие атрибуты синхронизируются Azure AD Connect с Windows Hello для бизнеса?
- Многофакторная проверка подлинности Windows Hello для бизнеса?
- Какие биометрические требования предъявляются к Windows Hello для бизнеса?
- Можно ли использовать ПИН-код и биометрию для разблокировки устройства?
- Могу ли я носить маску для регистрации или разблокировки с помощью проверки подлинности лиц в Windows Hello?
- В чем разница между Windows Hello и Windows Hello для бизнеса?
- Почему я не могу записать биометрию для локального встроенного администратора?
- Мы перешли с Active Directory на Azure Active Directory. Можно ли использовать модель локального развертывания?
- Запрещает ли Windows Hello для бизнеса использование простых PIN-кодов?
- Как кэширование PIN-кода работает с Windows Hello для бизнеса?
- Можно ли отключить PIN-код при использовании Windows Hello для бизнеса?
- Как защищены ключи?
- Может ли Windows Hello для бизнеса работать в средах с пробелами в воздухе?
- Могу ли я использовать сторонних поставщиков проверки подлинности с Windows Hello для бизнеса?
Возможности входа в Windows 10 и защита учетных записей
Чтобы получить доступ к возможностям входа в систему, выберите Пуск > Параметры > Учетные записи > Варианты входа. На странице «Варианты входа» доступны следующие методы входа.
Распознавание лиц Windows Hello
Распознавание отпечатков пальцев Windows Hello
ПИН-код Windows Hello
Также вы увидите следующие параметры.
Требуется вход — требует входа в систему на устройстве после отсутствия.
Динамическая блокировка — автоматически блокирует устройство в ваше отсутствие.
Конфиденциальность — показывает или скрывает личную информацию на экране входа в систему и позволяет устройству использовать ваше данные для входа, чтобы повторно открывать ваши приложения после обновления или перезапуска.
Изменение пароля или управление им
Чтобы изменить пароль, выберите Пуск > Параметры > Учетные записи > Варианты входа. Выберите Пароль, а затем — Изменить.
Примечание: Чтобы изменить пароль, если вы находитесь в домене, нажмите клавиши CTRL+ALT+DEL и выберите Изменить пароль.
Windows Hello
Функция Windows Hello позволяет осуществлять вход в устройства, приложения, веб-службы и сети путем распознавания вашего лица, радужной оболочки глаза или отпечатков пальцев, а также с помощью ПИН-кода. Несмотря на то, что ваше устройство с Windows 10 поддерживает биометрическую функцию Windows Hello, вам необязательно ее использовать. Если вы решите этого не делать, вы можете быть уверены, что информация, позволяющая идентифицировать ваше лицо, радужную оболочку или отпечаток пальца останется только на вашем устройстве. Windows не хранит изображения вашего лица, радужной оболочки глаз и отпечатков пальцев на телефоне или где-либо еще.
Какие данные собираются и почему
При настройке биометрической функции Windows Hello она получает данные от камеры для автопортретов, датчика радужной оболочки или отпечатка пальца и создает представление данных, то есть график, который зашифровывается перед сохранением на устройстве.
Для того, чтобы обеспечить правильную работу, определение и предотвращение мошенничества и продолжить улучшать Windows Hello, мы собираем диагностические данные о том, как люди используют эту функцию. Например, данные о том, осуществляют ли пользователи проверку подлинности с помощью лица, радужной оболочки, отпечатка пальца или PIN-кода и количестве успешных и неудачных попыток проверки подлинности, представляют собой ценную информацию, которая помогает нам улучшить продукт. Данным присваивается псевдоним, в их состав не входят биометрические данные, и они шифруются перед передачей в корпорацию Майкрософт. Вы можете в любой момент времени отключить отправку диагностических данных в корпорацию Майкрософт. Подробнее о диагностических данных в Windows 10
Управление функцией Windows Hello
Чтобы включить функцию Windows Hello, перейдите в меню Пуск > Параметры > Учетные записи > Параметры входа и выберите метод Windows Hello, который требуется настроить, а затем нажмите Настроить. Если вы не видите пункт Windows Hello в разделе «Варианты входа», эта функция может быть недоступна на вашем устройстве.
Чтобы удалить функцию Windows Hello и все связанные с ней биометрические идентификационные данные с устройства, перейдите в меню Пуск > Параметры > Учетные записи > Параметры входа. Выберите метод Windows Hello, который требуется удалить, и нажмите Удалить.
Использование ключа безопасности
Ключ безопасности — это устройство, которое можно использовать вместо имени пользователя и пароля для входа в систему в Интернете. Так как он используется в дополнение к отпечатку пальца или PIN-коду, даже если кто-либо получит ваш ключ безопасности, он не сможет войти в систему без заданного вами PIN-кода или отпечатка пальца. Ключи безопасности обычно можно приобрести в розничных магазинах, где продаются периферийные устройства для компьютеров. Подробнее о ключах безопасности
Для настройки ключа безопасности выберите Пуск > Параметры > Учетные записи > Варианты входа и нажмите Ключ безопасности. Выберите Управление и следуйте инструкциям.
Блокировка устройства
Если вам нужно отойти от своего устройства на несколько минут, рекомендуется заблокировать его, чтобы посторонние люди не могли увидеть содержимое вашего экрана или получить к нему доступ. Нажмите клавишу Windows + L , чтобы быстро заблокировать его. По возвращении вам потребуется лишь пройти проверку подлинности, и вы сможете продолжить работу с того места, где остановились.
Динамическая блокировка
Windows может использовать устройства, которые связаны с вашим компьютером, чтобы определять, когда вы отошли от компьютера, и автоматически блокировать компьютер сразу после того, как вы выйдете за пределы зоны действия Bluetooth со связанным устройством. Это затрудняет получение доступа к вашему устройству, если вы отойдете от компьютера и забудете его блокировать.
На компьютере с Windows 10 выберите Пуск > Параметры > Учетные записи > Варианты входа.
В разделе Динамическая блокировка установите флажок Разрешить Windows автоматически блокировать устройство в ваше отсутствие.
Используйте Bluetooth, чтобы связать телефон с компьютером. Узнайте о том, как связать устройства через Bluetooth
Когда устройства будут связаны и вы решите уйти, возьмите свой телефон с собой и ваш компьютер будет автоматически заблокирован в течение минуты после выхода за пределы диапазона действия Bluetooth.
Другие варианты входа в систему
Управление временем входа в систему
Выберите Пуск > Параметры > Учетные записи > Варианты входа. В разделе Требуется вход выберите подходящий вариант для тех случаев, когда Windows будет требовать от вас снова войти в систему.
Отображение сведений об учетной записи на экране входа в систему
Выберите Пуск > Параметры > Учетные записи > Варианты входа. В разделе Конфиденциальность включите первый параметр, если требуется отображать сведения об учетной записи на экране входа.
Автоматическое завершение настройки после обновления
Выберите Пуск > Параметры > Учетные записи > Варианты входа. В разделе Конфиденциальность включите второй параметр, если вы хотите использовать данные для входа, чтобы автоматически завершить настройку устройства после обновления или перезапуска.
Вход в учетную запись Майкрософт с помощью Windows Hello или ключа безопасности
Если вам надоело вспоминать или сбрасывать пароль, попробуйте использовать Windows Hello или ключ безопасности, совместимый с платформой FIDO 2, для входа в свою учетную запись Майкрософт. Для этого вам понадобится только устройство с Windows 10 версии 1809 или выше и браузер Microsoft Edge. (Эта функция пока недоступна для консолей Xbox и телефонов.)
Что такое Windows Hello?
Windows Hello — это персонализированный способ входа с помощью функции распознавания лица, отпечатка пальца или ПИН-кода. Windows Hello можно использовать для входа на устройство с экрана блокировки и для входа в учетную запись в Интернете.
Что такое ключ безопасности?
Ключ безопасности — это физическое устройство, которое можно использовать вместо имени пользователя и пароля для входа в систему. Это может быть USB-ключ, который можно хранить в связке ключей, или NFC-устройство, например смартфон или карточка доступа. Он используется в дополнение к отпечатку пальца или ПИН-коду, поэтому даже если кто-либо получит ваш ключ безопасности, он не сможет войти в систему без вашего ПИН-кода или отпечатка пальца.
Ключи безопасности обычно можно приобрести в розничных магазинах, где продаются периферийные устройства для компьютеров.
Как выполнить вход с помощью Windows Hello
Выполните описанные ниже действия, чтобы настроить Windows Hello, а затем войдите в свою учетную запись Майкрософт в браузере Microsoft Edge.
Перейдите в меню Пуск и выберите Параметры .
Перейдите в раздел Учетные записи > Варианты входа.
В разделе Управление входом в устройство выберите пункт Windows Hello, чтобы добавить его.
Чтобы добавить Windows Hello в качестве способа входа для своей учетной записи Майкрософт:
Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.
Выберите Безопасность > Расширенные параметры безопасности
Нажмите Добавьте новый способ входа или проверки
Выберите Используйте компьютер с Windows
Следуйте инструкциям в диалоговых окнах, чтобы настроить Windows Hello как способ входа в систему.
Как выполнить вход с помощью ключа безопасности
Существуют различные типы ключей безопасности, например USB-ключ, который подключается к устройству, или NFC-ключ, которым нужно коснуться NFC-сканера. Обязательно ознакомьтесь с типом своего ключа безопасности, прочитав прилагающееся к нему руководство от производителя.
Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.
Выберите Безопасность > Расширенные параметры безопасности
Нажмите Добавьте новый способ входа или проверки
Определите тип ключа (USB или NFC) и нажмите Далее.
Запустится процесс настройки, в ходе которого нужно будет вставить ключ или коснуться им устройства.
Создайте ПИН-код (или введите существующий ПИН-код, если вы его уже создали).
Выполните следующее действие, коснувшись кнопки или золотого диска на своем ключе (или прочтите руководство, чтобы узнать, какое действие требуется).
Присвойте ключу безопасности имя, чтобы его можно было отличить от других ключей.
Выйдите из своей учетной записи и откройте Microsoft Edge, выберите Использовать Windows Hello или ключ безопасности, затем вставьте ключ или коснитесь им устройства, чтобы выполнить вход.
Примечание: Производитель ключа безопасности может предоставить программное обеспечение, которое позволяет управлять ключом, например менять ПИН-код или создавать отпечаток пальца.
Управление ключами
Выполните описанные ниже действия, чтобы удалить ключи, настроенные для вашей учетной записи.
Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.
Выберите Безопасность > Расширенные параметры безопасности, затем в разделе Windows Hello и ключи безопасности нажмите Управление способами входа.
Windows Hello для бизнеса: вопросы и ответы
Применимо к: Windows10
Как насчет виртуальных смарт-карт?
Windows Hello для бизнеса — это современные двух факторов учетные данные для Windows 10. Корпорация Майкрософт будет отмещая виртуальные смарт-карты в будущем, но в настоящее время дата не установлена. Клиенты, использующие Windows 10 и виртуальные смарт-карты, должны перейти на Windows Hello для бизнеса. Корпорация Майкрософт опубликует дату раньше, чтобы убедиться, что у клиентов есть достаточно времени для работы с Windows Hello для бизнеса. Корпорация Майкрософт рекомендует новым развертываниям Windows 10 использовать Windows Hello для бизнеса. Виртуальная смарт-карта по-прежнему поддерживается для Windows 7 и Windows 8.
Как насчет удобного ПИН-кода?
Корпорация Майкрософт привержена своему видению мира без паролей. Мы распознаем удобство, предоставляемую пин-кодом удобства, но он использует пароль для проверки подлинности. Корпорация Майкрософт рекомендует пользователям, использующим Windows 10 и удобным ПИН-службам, перейти на Windows Hello для бизнеса. Новые развертывания Windows 10 должны развертывать Windows Hello для бизнеса, а не удобные ПИН-службы. Корпорация Майкрософт в будущем будет отмахиваться от удобных ПИН-продуктов и опубликует дату раньше, чтобы убедиться, что у клиентов будет достаточно времени для развертывания Windows Hello для бизнеса.
Можно ли использовать доверие ключа Windows Hello для бизнеса и RDP?
В настоящее время протокол удаленного рабочего стола (RDP) не поддерживает использование сертификатов проверки подлинности на основе ключей и самозаверяется в качестве предоставленных учетных данных. RDP с предоставленными учетными данными в настоящее время поддерживается только развертыванием на основе сертификатов. Доверие ключа Windows Hello для бизнеса можно использовать с помощью Защитник Windows Remote Credential Guard.
Можно ли развернуть Windows Hello для бизнеса с помощью Microsoft Endpoint Configuration Manager?
Развертывание Windows Hello для бизнеса с использованием Configuration Manager должно следовать гибридной модели развертывания, использующей службы Федерации Active Directory. Начиная с версии Configuration Manager 1910, проверка подлинности на основе сертификатов с настройками Windows Hello для бизнеса не поддерживается. Проверка подлинности на основе ключей по-прежнему действительна с помощью Configuration Manager. Дополнительные сведения см. в настройках Windows Hello длябизнеса в Configuration Manager.
Сколько пользователей могут зарегистрироваться для Windows Hello для бизнеса на одном компьютере с Windows 10?
Максимальное число поддерживаемых регистраций на одном компьютере с Windows 10 — 10. Это позволяет 10 пользователям каждый записать свое лицо и до 10 отпечатков пальцев. Хотя мы поддерживаем 10 регистраций, мы настоятельно рекомендуем использовать ключи безопасности Windows Hello для общего сценария компьютера, когда они станут доступны.
Как ПИН-код может быть более безопасным, чем пароль?
При использовании Windows Hello для бизнеса ПИН-код не является симметричным ключом, а пароль — симметричным. С паролями есть сервер, который имеет некоторое представление пароля. С Windows Hello для бизнеса ПИН-код — это энтропия, предоставляемая пользователем для загрузки закрытого ключа в модуле доверенных платформ (TPM). На сервере нет копии ПИН-кода. В этом случае у клиента Windows нет копии текущего ПИН-кода. Чтобы успешно получить доступ к частному ключу, пользователь должен предоставить энтропию, защищенный TPM-ключ и TPM, которые создали этот ключ.
Заявление «ПИН-код сильнее пароля» не направлено на силу энтропии, используемой ПИН-кодом. Речь идет о разнице между предоставлением энтропии и продолжением использования симметричного ключа (пароля). TPM имеет функции, которые предотвращены пин-атаки с грубой силой (непрерывная попытка злоумышленника попробовать все комбинации ПИН-кодов). Некоторые организации могут беспокоиться о серфинге на плечах. Для этих организаций вместо повышения сложности ПИН-кода реализуем функцию разблокировки multifactor.
Как Windows Hello для бизнеса работает с зарегистрированными устройствами Azure AD?
На зарегистрированных устройствах Azure AD пользователю будет предложено раздать ключ Windows Hello для бизнеса, если эта функция включена политикой управления мобильными устройствами. Если у пользователя есть существующий контейнер Windows Hello для использования с локальной или подключенной учетной записью Microsoft, ключ Windows Hello для бизнеса будет зарегистрирован в существующем контейнере и будет защищен с помощью жестов выхода.
Если пользователь зарегистрировался на своем устройстве Azure AD с Windows Hello, его ключ Windows Hello для бизнеса будет использоваться для проверки подлинности удостоверений работы пользователя при попытке использования ресурсов Azure AD. Ключ Windows Hello для бизнеса отвечает требованиям многофакторной проверки подлинности Azure AD и уменьшает количество подсказок MFA, которые пользователи увидят при доступе к ресурсам.
Можно зарегистрировать Azure AD на устройстве, соединяемом с доменом. Если на устройстве, присоединимом к домену, имеется удобный ПИН-код, вход с пин-кодом удобства больше не будет работать. Эта конфигурация не поддерживается Windows Hello для бизнеса.
У меня есть контроллер домена Windows Server 2016, поэтому почему отсутствует группа администраторов ключей?
Группы администраторов ключей и корпоративных администраторов создаются при установке первого контроллера домена Windows Server 2016 в домен. **** Контроллеры домена, работающие в предыдущих версиях Windows Server, не могут перевести идентификатор безопасности (SID) на имя. Чтобы устранить эту проблему, передай роль эмулятора PDC контроллеру домена под управлением Windows Server 2016.
Можно ли использовать пин-код удобства с Azure Active Directory?
В настоящее время можно установить удобный ПИН-код на устройствах Azure Active Directory Joined или Hybrid Active Directory Joined. Pin-код удобства не поддерживается для учетных записей пользователей Azure Active Directory (в том числе синхронизированных удостоверений). Он поддерживается только для локальных пользователей доменных учетных записей и локальных пользователей учетных записей.
Можно ли использовать внешнюю камеру при закрытии или стыковке ноутбука?
Нет. Windows 10 в настоящее время поддерживает только одну камеру Windows Hello для бизнеса и не переключается на внешнюю камеру при стыковке компьютера с закрытой крышкой. Группа продуктов знает об этом и изучает эту тему далее.
Почему проверка подлинности сбой сразу после обеспечения доверия гибридного ключа?
В гибридном развертывании общедоступный ключ пользователя должен синхронизироваться с Azure AD на AD, прежде чем его можно будет использовать для проверки подлинности в отношении контроллера домена. Эта синхронизация обрабатывается Azure AD Connect и будет происходить во время нормального цикла синхронизации.
Что такое беспарольная стратегия?
Просмотрите руководство главного руководителя программы От Корпорации Майкрософт Каранбира Сингха для презентации Ignite 2017 без паролей.
Как осуществляется взаимодействие с пользователем в Windows Hello для бизнеса?
После развертывания Windows Hello для бизнеса в вашей среде взаимодействие с пользователем в Windows Hello для бизнеса осуществляется после входа пользователя в систему.
Что происходит, когда пользователь забывает ПИН-код?
Если пользователь может войти с паролем, он может сбросить ПИН-код, выбрав ссылку «Я забыл ПИН-код» в Параметры. Начиная с Windows 10 1709 пользователи могут сбросить ПИН-код над экраном блокировки, выбрав ссылку «Я забыл ПИН-код» в поставщике учетных данных ПИН-кода.
Для локального развертывания устройства должны быть хорошо подключены к локальной сети (контроллеры домена и/или полномочия сертификата) для сброса пин-данных. Гибридные клиенты могут на борту клиента Azure использовать службу сброса ПИН-кода Windows Hello для бизнеса для сброса пин-кодов без доступа к корпоративной сети.
Какие URL-адреса необходимо разрешить для гибридного развертывания?
При общении с Azure Active Directory используются следующие URL-адреса:
- enterpriseregistration.windows.net
- login.microsoftonline.com
- login.windows.net
- account.live.com
- accountalt.azureedge.net
- secure.aadcdn.microsoftonline-p.com
Если ваша среда использует Microsoft Intune, вам нужны дополнительные URL-адреса:
В чем разница между неразрушительным и деструктивным сбросом ПИН-кода?
Windows Hello для бизнеса имеет два типа сброса ПИН-кода: неразрушительные и разрушительные. Организации, работающие с Windows 10 Enterprise и Azure Active Directory, могут воспользоваться службой сброса ПИН-кода Майкрософт. После того, как клиент будет развернут на компьютерах, пользователи, которые забыли свои ПИН-коды, смогут проверить подлинность в Azure, предоставить второй фактор проверки подлинности и сбросить ПИН-код без повторной регистрации Windows Hello для бизнеса. Это не деструктивный сброс ПИН-кода, так как пользователь не удаляет текущие учетные данные и не получает новую учетную запись. Дополнительные сведения см. в pin-коде Reset.
Организации с локальной развертыванием Windows Hello для бизнеса или организации, не использующие Windows 10 Enterprise, могут использовать деструктивный сброс ПИН-кода. С помощью деструктивного сброса ПИН-кода пользователи, которые забыли ПИН-код, могут проверить подлинность с помощью пароля, а затем выполнить второй фактор проверки подлинности для повторного предоставления учетных данных Windows Hello для бизнеса. Повторное подготовка удаляет старые учетные данные и запрашивает новые учетные данные и сертификат. Для выполнения деструктивного сброса ПИН-кода локальному развертыванию необходимо подключение к сети к контроллерам домена, службам Федерации Active Directory и их полномочиям по выдаче сертификатов. Кроме того, в гибридных развертываниях деструктивное сброс ПИН-кода поддерживается только моделью доверия сертификатов и последними обновлениями служб Федерации Active Directory.
Что лучше или надежнее: доверие ключа или доверие сертификата?
Модели доверия развертывания определяют, как проверить подлинность в Active Directory (локально). И доверие ключей, и доверие сертификатов используют один и тот же учетный данные с двумя факторами. Разница между двумя типами доверия:
- Необходимые контроллеры домена
- Выдача сертификатов конечных сущности
Ключевая модель доверия подлинность в Active Directory с помощью необработанных ключей. Контроллеры домена Windows Server 2016 позволяют эту проверку подлинности. Проверка подлинности ключей не требует корпоративного сертификата, поэтому не требуется выдавать сертификаты пользователям (сертификаты контроллера домена по-прежнему необходимы).
Модель доверия сертификата передается в Active Directory с помощью сертификата. Так как для проверки подлинности используется сертификат, контроллеры домена, работающие в предыдущих версиях Windows Server, могут проверить подлинность пользователя. Поэтому необходимо выдавать сертификаты пользователям, но вам не нужны контроллеры домена Windows Server 2016. Сертификат, используемый в доверии сертификата, использует закрытый ключ, защищенный TPM, для запроса сертификата в органе выдачи сертификата предприятия.
Обязательно ли иметь контроллеры домена Windows Server2016?
Существует множество вариантов развертывания на выбор. Некоторые из этих параметров требуют достаточного количества контроллеров домена Windows Server 2016 на сайте, где вы развернули Windows Hello для бизнеса. Существуют другие варианты развертывания, предполагающие использование существующих контроллеров домена Windows Server2008R2 или более поздней версии. Выберите вариант развертывания, который лучше всего подходит для вашей среды.
Какие атрибуты синхронизируются Azure AD Connect с Windows Hello для бизнеса?
Просмотрите синхронизацию Azure AD Connect: Атрибуты, синхронизированные с Azure Active Directory, для списка атрибутов, синхронизируются в зависимости от сценариев. Базовые сценарии, включающее Windows Hello для бизнеса, — это сценарий Windows 10 и сценарий записи устройства. Среда может включать дополнительные атрибуты.
Многофакторная проверка подлинности Windows Hello для бизнеса?
Windows Hello для бизнеса — это двух факторов проверки подлинности на основе наблюдаемых факторов проверки подлинности: что-то у вас есть, что-то известное и что-то, что является частью вас. В Windows Hello для бизнеса используется два из этих факторов: что-то, что у вас есть (закрытый ключ пользователя, защищенный модулем безопасности устройства) и что-то, что вы знаете (ваш PIN-код). Имея соответствующее оборудование, вы можете повысить комфорт своих пользователей, добавив биометрические данные. С помощью биометрии можно заменить фактор проверки подлинности «что-то известное» на фактор «что-то, что является частью вас», на гарантии того, что пользователи могут вернуться к фактору «что-то, что вы знаете».
Какие биометрические требования предъявляются к Windows Hello для бизнеса?
Можно ли использовать ПИН-код и биометрию для разблокировки устройства?
Начиная с Windows 10 версии 1709, вы можете использовать многофакторную разблокировку, чтобы потребовать от пользователей предоставить дополнительный фактор для разблокировки устройства. Проверка подлинности остается двухфакторной, но прежде чем Windows предоставит пользователю доступ к рабочему столу, необходимо предоставить дополнительный фактор проверки. Дополнительные дополнительные дополнительные ссылки см. в ссылке Multifactor Unlock.
Могу ли я носить маску для регистрации или разблокировки с помощью проверки подлинности лиц в Windows Hello?
Ношение маски для регистрации является проблемой безопасности, так как другие пользователи, носив аналогичную маску, могут разблокировать устройство. Группа продуктов знает об этом поведении и изучает эту тему далее. Удалите маску, если она будет носиться при регистрации или разблокировать с помощью проверки подлинности в Windows Hello. Если рабочая среда не позволяет временно удалить маску, рассмотрите возможность удаления из проверки подлинности лиц только с помощью ПИН-кода или отпечатка пальца.
В чем разница между Windows Hello и Windows Hello для бизнеса?
Windows Hello представляет собой биометрическую платформу, предоставленную в Windows10. Windows Hello позволяет пользователям с помощью биометрии войти на свои устройства, надежно храня свое имя пользователя и пароль и выпуская его для проверки подлинности, когда пользователь успешно идентифицирует себя с помощью биометрии. В Windows Hello для бизнеса используются асимметричные ключи, защищенные модулем безопасности устройства, которые требуют для проверки подлинности жеста пользователя (PIN-кода или биометрических данных).
Почему я не могу записать биометрию для локального встроенного администратора?
Windows 10 не позволяет локальному администратору записать биометрические жесты (лицо или отпечатки пальцев).
Мы перешли с Active Directory на Azure Active Directory. Можно ли использовать модель локального развертывания?
Нет. Если ваша организация федерарная или использует сетевые службы, такие как Azure AD Connect, Office 365 или OneDrive, необходимо использовать гибридную модель развертывания. Локальное развертывание является исключительным для организаций, которым требуется больше времени перед переходом в облако и исключительно с использованием Active Directory.
Запрещает ли Windows Hello для бизнеса использование простых PIN-кодов?
Да. Наш простой алгоритм PIN-кодов находит и запрещает любой PIN-код с постоянной разностью между соседними цифрами. Алгоритм подсчитывает количество шагов, необходимых для достижения следующей цифры, переполня на уровне 10 (‘zero’). Пример:
- PIN-код 1111 имеет постоянную дельту (0,0,0), поэтому она не допускается.
- PIN-код 1234 имеет постоянную дельту (1,1,1), поэтому она не допускается.
- PIN-код 1357 имеет постоянную дельту (2,2,2), поэтому не допускается
- PIN-код 9630 имеет постоянную дельту (7,7,7), поэтому он не допускается.
- PIN-код 1593 имеет постоянную дельту (4,4,4), поэтому не допускается
- PIN-код 7036 имеет постоянную дельту (3,3,3), поэтому она не допускается.
- PIN-код 1231 не имеет постоянной дельты (1,1,8), поэтому допускается
- PIN-код 1872 не имеет постоянной дельты (7,9,5), поэтому разрешено
Это предотвращает повторение чисел, последовательного числа и простых шаблонов. Это всегда приводит к списку из 100 отостановимые ПИН-коды (независимо от длины ПИН-кода). Этот алгоритм не применяется к буквенно-цифровым PIN-кодам.
Как кэширование PIN-кода работает с Windows Hello для бизнеса?
Windows Hello для бизнеса предоставляет пользовательский интерфейс кэшинга ПИН-кода с помощью системы продажи билетов. Вместо кэширования PIN-кода процессы кэшируют запрос, который они могут использовать для запроса операций с закрытым ключом. Ключи для входа в Azure AD и Active Directory кэшируются в режиме блокировки. Это означает, что ключи остаются доступными для использования без запроса, пока пользователь будет интерактивно подписан. Ключи для входа в учетную запись Майкрософт считаются транзакционными, то есть при получении доступа к ключу пользователь всегда получает запрос.
Начиная с Windows 10, версии 1709, Windows Hello для бизнеса, используемой в качестве смарт-карты (эмуляция смарт-карт, включенная по умолчанию), обеспечивает тот же пользовательский опыт кэшинга ПИН-кода смарт-карт по умолчанию. При первом использовании каждый процесс, запрашивающий операцию с закрытым ключом, будет запрашивать у пользователя PIN-код. Дальнейшие операции с закрытым ключом не потребуют от пользователя ввода PIN-кода.
Функция эмуляции смарт-карт в Windows Hello для бизнеса проверяет PIN-код, а затем удаляет его в обмен на запрос. Процесс получает не PIN-код, а запрос, предоставляющий операции с закрытыми ключами. Windows 10 не предоставляет параметры групповой политики для изменения этих настроек кэширования.
Можно ли отключить PIN-код при использовании Windows Hello для бизнеса?
Нет. Отказ от паролей обеспечивается постепенным сокращением частоты использования пароля. В ситуациях, когда вы не можете проверить подлинность с помощью биометрии, вам необходим механизм отката, который не является паролем. PIN-код — это механизм отката. Отключение или сокрытие поставщика учетных данных ПИН-кода отключит использование биометрии.
Как защищены ключи?
Везде, где это возможно, Windows Hello для бизнеса может использовать оборудование Trusted Platform Module (TPM) 2.0 для создания и защиты ключей. Однако Windows Hello и Windows Hello для бизнеса не требуют TPM. Администраторы могут разрешить ключевые операции в программном обеспечении.
По возможности Корпорация Майкрософт настоятельно рекомендует использовать оборудование TPM. TPM защищает от множества известных и потенциальных атак, в том числе атак методом подбора PIN-кода. Кроме того, TPM обеспечивает дополнительный уровень защиты после блокировки учетной записи. Когда TPM заблокирует ключевой материал, пользователю потребуется сбросить ПИН-код (а это значит, что для повторной проверки подлинности ВПЛ необходимо использовать MFA для повторной проверки подлинности до того, как IDP разрешит им перерегистрироваться).
Может ли Windows Hello для бизнеса работать в средах с пробелами в воздухе?
Да. Вы можете использовать локальное развертывание Windows Hello для бизнеса и объединить его с сторонним поставщиком MFA, который не требует подключения к Интернету для обеспечения развертывания Windows Hello для бизнеса с разрывом в воздухе.
Могу ли я использовать сторонних поставщиков проверки подлинности с Windows Hello для бизнеса?
Да, если вы используете федерационную гибридную развертывание, вы можете использовать любую сторонную сторону, которая предоставляет многофакторный адаптер проверки подлинности Active Directory Federation Services (AD FS). Список сторонних адаптеров MFA можно найти здесь.