Отключение или включение пользователей домена Вход в систему с использованием биометрии в Windows 10

Windows 10 поддерживает использование биометрии. Он уже поддерживает PIN-код, пароль и пароль изображения на всех компьютерах, но при наличии соответствующего оборудования Windows 10 также поддерживает сканирование лица, сканирование радужной оболочки глаза и сканирование отпечатков пальцев. Эти настройки можно найти в разделе «Настройки»> «Аккаунты»> «Параметры входа» . Но иногда, даже если имеется аппаратное обеспечение для поддержки этой функции, называемой Windows Hello, вы можете не найти опции, доступные для включения этой функции. В этом посте показано, как включить или отключить вход пользователей домена в Windows 10 с помощью биометрии с использованием реестра или GPEDIT.

Разрешить пользователям домена вход в систему с использованием биометрии

Я рекомендовал вам создать точку восстановления системы. Это связано с тем, что при выполнении таких модификаций есть вероятность, что что-то сломается на стороне программного обеспечения вашего компьютера. Или, если у вас нет привычки создавать точку восстановления системы, я бы действительно рекомендовал вам часто ее создавать.

Использование редактора реестра

Нажмите комбинацию кнопок WINKEY + R, чтобы запустить утилиту Run, введите regedit и нажмите Enter. После открытия редактора реестра перейдите к следующему

HKEY_LOCAL_MACHINE \ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \ Политики \ Microsoft \ Биометрия \ Поставщик учетных данных

Теперь щелкните правой кнопкой мыши на правой боковой панели и выберите New> DWORD (32-bit) Value.

Установите имя этого вновь созданного DWORD как Учетные записи домена .

Дважды щелкните по вновь созданному DWORD и установите его значение как 1 . Это позволит разрешить пользователям домена входить в Windows 10 с использованием биометрии .

Значение 0 запрещает пользователям домена вход в Windows 10 с использованием биометрии.

Выйдите из редактора реестра и перезагрузите компьютер, чтобы изменения вступили в силу.

Использование редактора групповой политики

Нажмите комбинацию кнопок WINKEY + R, чтобы запустить утилиту Run, введите gpedit.msc и нажмите Enter. После открытия редактора групповой политики перейдите к следующему параметру:

Конфигурация компьютера> Административные шаблоны> Компоненты Windows> Биометрия

Теперь на правой боковой панели дважды щелкните следующие записи и установите переключатель Включено для всех них,

• Разрешить использование биометрии.
• Разрешить пользователям входить в систему с помощью биометрии.
• Разрешить пользователям домена входить в систему с использованием биометрии.

Выйдите из редактора групповой политики и перезагрузите компьютер, чтобы изменения вступили в силу. Это активирует настройку.

Возможности входа в Windows 10 и защита учетных записей

Чтобы получить доступ к возможностям входа в систему, выберите Пуск > Параметры > Учетные записи > Варианты входа. На странице «Варианты входа» доступны следующие методы входа.

Распознавание лиц Windows Hello

Распознавание отпечатков пальцев Windows Hello

ПИН-код Windows Hello

Также вы увидите следующие параметры.

Требуется вход — требует входа в систему на устройстве после отсутствия.

Динамическая блокировка — автоматически блокирует устройство в ваше отсутствие.

Конфиденциальность — показывает или скрывает личную информацию на экране входа в систему и позволяет устройству использовать ваше данные для входа, чтобы повторно открывать ваши приложения после обновления или перезапуска.

Изменение пароля или управление им

Чтобы изменить пароль, выберите Пуск > Параметры > Учетные записи > Варианты входа. Выберите Пароль, а затем — Изменить.

Примечание: Чтобы изменить пароль, если вы находитесь в домене, нажмите клавиши CTRL+ALT+DEL и выберите Изменить пароль.

Windows Hello

Функция Windows Hello позволяет осуществлять вход в устройства, приложения, веб-службы и сети путем распознавания вашего лица, радужной оболочки глаза или отпечатков пальцев, а также с помощью ПИН-кода. Несмотря на то, что ваше устройство с Windows 10 поддерживает биометрическую функцию Windows Hello, вам необязательно ее использовать. Если вы решите этого не делать, вы можете быть уверены, что информация, позволяющая идентифицировать ваше лицо, радужную оболочку или отпечаток пальца останется только на вашем устройстве. Windows не хранит изображения вашего лица, радужной оболочки глаз и отпечатков пальцев на телефоне или где-либо еще.

Какие данные собираются и почему

При настройке биометрической функции Windows Hello она получает данные от камеры для автопортретов, датчика радужной оболочки или отпечатка пальца и создает представление данных, то есть график, который зашифровывается перед сохранением на устройстве.

Для того, чтобы обеспечить правильную работу, определение и предотвращение мошенничества и продолжить улучшать Windows Hello, мы собираем диагностические данные о том, как люди используют эту функцию. Например, данные о том, осуществляют ли пользователи проверку подлинности с помощью лица, радужной оболочки, отпечатка пальца или PIN-кода и количестве успешных и неудачных попыток проверки подлинности, представляют собой ценную информацию, которая помогает нам улучшить продукт. Данным присваивается псевдоним, в их состав не входят биометрические данные, и они шифруются перед передачей в корпорацию Майкрософт. Вы можете в любой момент времени отключить отправку диагностических данных в корпорацию Майкрософт. Подробнее о диагностических данных в Windows 10

Управление функцией Windows Hello

Чтобы включить функцию Windows Hello, перейдите в меню Пуск > Параметры > Учетные записи > Параметры входа и выберите метод Windows Hello, который требуется настроить, а затем нажмите Настроить. Если вы не видите пункт Windows Hello в разделе «Варианты входа», эта функция может быть недоступна на вашем устройстве.

Чтобы удалить функцию Windows Hello и все связанные с ней биометрические идентификационные данные с устройства, перейдите в меню Пуск > Параметры > Учетные записи > Параметры входа. Выберите метод Windows Hello, который требуется удалить, и нажмите Удалить.

Использование ключа безопасности

Ключ безопасности — это устройство, которое можно использовать вместо имени пользователя и пароля для входа в систему в Интернете. Так как он используется в дополнение к отпечатку пальца или PIN-коду, даже если кто-либо получит ваш ключ безопасности, он не сможет войти в систему без заданного вами PIN-кода или отпечатка пальца. Ключи безопасности обычно можно приобрести в розничных магазинах, где продаются периферийные устройства для компьютеров. Подробнее о ключах безопасности

Для настройки ключа безопасности выберите Пуск > Параметры > Учетные записи > Варианты входа и нажмите Ключ безопасности. Выберите Управление и следуйте инструкциям.

Блокировка устройства

Если вам нужно отойти от своего устройства на несколько минут, рекомендуется заблокировать его, чтобы посторонние люди не могли увидеть содержимое вашего экрана или получить к нему доступ. Нажмите клавишу Windows + L , чтобы быстро заблокировать его. По возвращении вам потребуется лишь пройти проверку подлинности, и вы сможете продолжить работу с того места, где остановились.

Динамическая блокировка

Windows может использовать устройства, которые связаны с вашим компьютером, чтобы определять, когда вы отошли от компьютера, и автоматически блокировать компьютер сразу после того, как вы выйдете за пределы зоны действия Bluetooth со связанным устройством. Это затрудняет получение доступа к вашему устройству, если вы отойдете от компьютера и забудете его блокировать.

На компьютере с Windows 10 выберите Пуск > Параметры > Учетные записи > Варианты входа.

В разделе Динамическая блокировка установите флажок Разрешить Windows автоматически блокировать устройство в ваше отсутствие.

Используйте Bluetooth, чтобы связать телефон с компьютером. Узнайте о том, как связать устройства через Bluetooth

Когда устройства будут связаны и вы решите уйти, возьмите свой телефон с собой и ваш компьютер будет автоматически заблокирован в течение минуты после выхода за пределы диапазона действия Bluetooth.

Другие варианты входа в систему

Управление временем входа в систему

Выберите Пуск > Параметры > Учетные записи > Варианты входа. В разделе Требуется вход выберите подходящий вариант для тех случаев, когда Windows будет требовать от вас снова войти в систему.

Отображение сведений об учетной записи на экране входа в систему

Выберите Пуск > Параметры > Учетные записи > Варианты входа. В разделе Конфиденциальность включите первый параметр, если требуется отображать сведения об учетной записи на экране входа.

Автоматическое завершение настройки после обновления

Выберите Пуск > Параметры > Учетные записи > Варианты входа. В разделе Конфиденциальность включите второй параметр, если вы хотите использовать данные для входа, чтобы автоматически завершить настройку устройства после обновления или перезапуска.

Биометрия Windows Hello на предприятии Windows Hello biometrics in the enterprise

Относится к: Applies to:

Windows Hello — это функция биометрической проверки подлинности, повышающая ее надежность и обеспечивающая защиту от возможного спуфинга благодаря сопоставлению отпечатков пальцев и распознаванию лиц. Windows Hello is the biometric authentication feature that helps strengthen authentication and helps to guard against potential spoofing through fingerprint matching and facial recognition.

В первых выпусках Windows 10 предоставлялись службы Microsoft Passport и Windows Hello, которые вместе обеспечивали многофакторную проверку подлинности. When Windows 10 first shipped, it included Microsoft Passport and Windows Hello, which worked together to provide multi-factor authentication. Чтобы упростить развертывание и расширить возможности поддержки, Microsoft объединила эти технологии в единое решение — Windows Hello. To simplify deployment and improve supportability, Microsoft has combined these technologies into a single solution under the Windows Hello name. Пользователи, которые уже выполнили развертывание этих технологий, не заметят никаких изменений в функционировании этих служб. Customers who have already deployed these technologies will not experience any change in functionality. Для тех клиентов, которым еще предстоит оценить работу Windows Hello, выполнить развертывание будет гораздо проще благодаря упрощенным политикам, документации и семантике. Customers who have yet to evaluate Windows Hello will find it easier to deploy due to simplified policies, documentation, and semantics.

Так как мы понимаем, что ваши сотрудники хотят использовать эту новую технологию на вашем предприятии, мы активно работаем с производителями устройств, чтобы создать строгие рекомендации по проектированию и производительности, которые помогут вам более точно представить биометрию Windows Hello в вашей организации. Because we realize your employees are going to want to use this new technology in your enterprise, we’ve been actively working with the device manufacturers to create strict design and performance recommendations that help to ensure that you can more confidently introduce Windows Hello biometrics into your organization.

В чем состоит принцип работы Windows Hello? How does Windows Hello work?

Windows Hello позволяет сотрудникам использовать в качестве альтернативного способа разблокировки устройства отпечатки пальцев или распознавание лиц. Windows Hello lets your employees use fingerprint or facial recognition as an alternative method to unlocking a device. В случае использования Windows Hello проверка подлинности выполняется при вводе сотрудником его/ее уникального биометрического идентификатора во время получения доступа к учетным данным Windows Hello конкретного устройства. With Windows Hello, authentication happens when the employee provides his or her unique biometric identifier while accessing the device-specific Windows Hello credentials.

Функция проверки Windows Hello используется для проверки подлинности и подтверждения доступа сотрудников к корпоративной сети. The Windows Hello authenticator works to authenticate and allow employees onto your enterprise network. Проверка подлинности не перемещается между устройствами, не совместно с сервером и не может быть легко извлечена с устройства. Authentication doesn’t roam among devices, isn’t shared with a server, and can’t easily be extracted from a device. Если одно устройство используют несколько сотрудников, то каждый из них будет получать доступ с помощью своих собственных биометрических данных. If multiple employees share a device, each employee will use his or her own biometric data on the device.

Почему сотрудникам следует разрешить использовать Windows Hello? Why should I let my employees use Windows Hello?

Windows Hello имеет множество преимуществ, в том числе следующие: Windows Hello provides many benefits, including:

Эта функция повышает уровень защиты учетных данных от кражи. It helps to strengthen your protections against credential theft. Так как злоумышленник должен иметь как устройство, так и биометрические данные или PIN-код, получить доступ без ведома сотрудника намного сложнее. Because an attacker must have both the device and the biometric info or PIN, it’s much more difficult to gain access without the employee’s knowledge.

Сотрудники получают простой метод проверки подлинности (с помощью PIN-кода), который всегда с ними, поэтому ничего не теряется. Employees get a simple authentication method (backed up with a PIN) that’s always with them, so there’s nothing to lose. Проблема забытых паролей теперь не актуальна! No more forgetting passwords!

Поддержка Windows Hello встроена в операционную систему, поэтому добавлять дополнительные биометрические устройства и политики в рамках скоординированного выпуска или для отдельных сотрудников или групп можно с использованием групповой политики или поставщика служб конфигурации (CSP) управления мобильными устройствами (MDM). Support for Windows Hello is built into the operating system so you can add additional biometric devices and polices as part of a coordinated rollout or to individual employees or groups using Group Policy or Mobile Device Management (MDM) configurations service provider (CSP) policies.
Дополнительные сведения о доступных групповых политиках и поставщиках служб конфигурации MDM см. в разделе Развертывание Windows Hello для бизнеса в организации. For more info about the available Group Policies and MDM CSPs, see the Implement Windows Hello for Business in your organization topic.

Где хранятся данные Windows Hello? Where is Windows Hello data stored?

Биометрические данные, используемые функцией Windows Hello, хранятся только на локальном устройстве. The biometric data used to support Windows Hello is stored on the local device only. Он не перемещается и никогда не отправляется на внешние устройства или серверы. It doesn’t roam and is never sent to external devices or servers. Такое разделение обеспечивает защиту от возможных атак за счет отсутствия единственной точки сбора, которая может быть скомпрометирована, в результате чего злоумышленник получит доступ к биометрическим данным. This separation helps to stop potential attackers by providing no single collection point that an attacker could potentially compromise to steal biometric data. Кроме того, даже если злоумышленнику удалось получить биометрические данные с устройства, его нельзя преобразовать обратно в необработанные биометрические данные, которые могут распознаться биометрическим датчиком. Additionally, even if an attacker was actually able to get the biometric data from a device, it cannot be converted back into a raw biometric sample that could be recognized by the biometric sensor.

Каждый датчик на устройстве будет иметь собственный биометрический файл базы данных, в котором хранятся данные шаблона. Each sensor on a device will have its own biometric database file where template data is stored. Каждая база данных имеет уникальный, случайным образом созданный ключ, который шифруется в системе. Each database has a unique, randomly generated key that is encrypted to the system. Данные шаблона для датчика шифруются с помощью этого ключа для базы данных с помощью AES в режиме цепочки CBC. The template data for the sensor will be encrypted with this per-database key using AES with CBC chaining mode. Это sha256. The hash is SHA256. Некоторые датчики отпечатков пальцев могут выполнить соответствие в модуле датчика отпечатков пальцев, а не в ОС. Some fingerprint sensors have the capability to complete matching on the fingerprint sensor module instead of in the OS. Эти датчики будут хранить биометрические данные в модуле отпечатков пальцев, а не в файле базы данных. These sensors will store biometric data on the fingerprint module instead of in the database file.

Установила ли корпорация Майкрософт какие-либо требования к устройствам для использования Windows Hello? Has Microsoft set any device requirements for Windows Hello?

Мы работаем с производителями устройств, чтобы обеспечить высокий уровень производительности и защиты каждого датчика и устройства на основе указанных ниже требований. We’ve been working with the device manufacturers to help ensure a high-level of performance and protection is met by each sensor and device, based on these requirements:

Коэффициент ложного пропуска (FAR). False Accept Rate (FAR). Показатель, определяющий частоту предоставления решением для биометрической идентификации доступа лицам, не имеющим соответствующих полномочий. Represents the instance a biometric identification solution verifies an unauthorized person. Как правило, это количество случаев на заданный объем выборки, например 1 к 100 000. This is normally represented as a ratio of number of instances in a given population size, for example 1 in 100 000. Этот показатель также можно представить в виде процентного значения, например 0,001%. This can also be represented as a percentage of occurrence, for example, 0.001%. Этот показатель считается наиболее важным в отношении безопасности биометрического алгоритма. This measurement is heavily considered the most important with regard to the security of the biometric algorithm.

Коэффициент ложного отказа в доступе (FRR). False Reject Rate (FRR). Показатель, определяющий частоту некорректных отказов в предоставлении решением для биометрической идентификации доступа лицам, имеющим соответствующие полномочия. Represents the instances a biometric identification solution fails to verify an authorized person correctly. Обычно выражен процентным значением; сумма коэффициентов ложного пропуска и ложного отказа в допуске равна 1. Usually represented as a percentage, the sum of the True Accept Rate and False Reject Rate is 1. Может иметь или не иметь защиту от подделывания или функцию определения живучести. Can be with or without anti-spoofing or liveness detection.

Требования датчику для сканирования отпечатков пальцев Fingerprint sensor requirements

Чтобы разрешить сопоставление отпечатков пальцев, необходимо использовать устройства с датчиками для сканирования отпечатков и соответствующее программное обеспечение. To allow fingerprint matching, you must have devices with fingerprint sensors and software. Датчики отпечатков пальцев или датчики, которые используют уникальный отпечаток пальца сотрудника в качестве альтернативного варианта входа в систему, могут быть сенсорными датчиками (большой или небольшой областью) или датчиками прокрутки. Fingerprint sensors, or sensors that use an employee’s unique fingerprint as an alternative log on option, can be touch sensors (large area or small area) or swipe sensors. Для каждого типа датчика применим собственный набор подробных требований, которые должны быть реализованы производителями; при этом все датчики должны обладать свойствами защиты от подделывания (обязательное требование). Each type of sensor has its own set of detailed requirements that must be implemented by the manufacturer, but all of the sensors must include anti-spoofing measures (required).

Допустимый диапазон производительности для сенсорных датчиков с любым размером области сканирования Acceptable performance range for small to large size touch sensors

Коэффициент ложного пропуска (FAR): False Accept Rate (FAR):

Эффективный действующий FRR с защитой от подделывания или определением живучести: Effective, real world FRR with Anti-spoofing or liveness detection:

Допустимый диапазон производительности для датчиков с поддержкой движения пальцем Acceptable performance range for swipe sensors

Коэффициент ложного пропуска (FAR): False Accept Rate (FAR):

Эффективный действующий FRR с защитой от подделывания или определением живучести: Effective, real world FRR with Anti-spoofing or liveness detection:

Датчики распознавания лиц Facial recognition sensors

Чтобы разрешить распознавание лиц, необходимо использовать устройства со специальными встроенными особенными инфракрасными датчиками (IR) и соответствующим программным обеспечением. To allow facial recognition, you must have devices with integrated special infrared (IR) sensors and software. Датчики распознавания лиц используют специальные камеры, которые видят инфракрасный свет, позволяя им отличить фотографию от живого человека при сканировании функций лица сотрудника. Facial recognition sensors use special cameras that see in IR light, letting them tell the difference between a photo and a living person while scanning an employee’s facial features. Такие датчики, как и датчики для сканирования отпечатков пальцев, должны обладать свойствами защиты от подделывания (обязательное требование) и предоставлять возможность настройки (дополнительно). These sensors, like the fingerprint sensors, must also include anti-spoofing measures (required) and a way to configure them (optional).

Коэффициент ложного принимать (FAR): False Accept Rate (FAR):

Коэффициент ложного отказа в доступе (FRR) без защиты от подделывания или определения живучести: False Reject Rate (FRR) without Anti-spoofing or liveness detection:

Эффективный действующий FRR с защитой от подделывания или определением живучести: Effective, real world FRR with Anti-spoofing or liveness detection:

Проверка подлинности с лица Windows Hello в настоящее время не поддерживает маску во время регистрации или проверки подлинности. Windows Hello face authentication does not currently support wearing a mask during enrollment or authentication. Маска для регистрации является проблемой безопасности, так как другие пользователи могут разблокировать ваше устройство. Wearing a mask to enroll is a security concern because other users wearing a similar mask may be able to unlock you device. Группа продуктов знает об этом поведении и изучает этот раздел далее. The product group is aware of this behavior and is investigating this topic further. Удалите маску, если вы носите ее при регистрации или разблокировке с помощью проверки подлинности с помощью windows Hello. Please remove a mask if you are wearing one when you enroll or unlock with Windows Hello face authentication. Если рабочая среда не позволяет временно удалить маску, рассмотрите возможность отостановки регистрации при проверке подлинности лиц и только с помощью ПИН-кода или отпечатка пальца. If your working environment doesn’t allow you to remove a mask temporarily, please consider unenrolling from face authentication and only using PIN or fingerprint.