Windows Hello для бизнеса Windows Hello for Business Overview

Область применения Applies to

В Windows 10 служба Windows Hello для бизнеса позволяет заменить пароли строгой двухфакторной проверкой подлинности на компьютерах и мобильных устройствах. In Windows 10, Windows Hello for Business replaces passwords with strong two-factor authentication on PCs and mobile devices. В процессе проверки подлинности используется новый тип учетных данных пользователя, привязанных к устройству, включая биометрические данные или ПИН-код. This authentication consists of a new type of user credential that is tied to a device and uses a biometric or PIN.

В первых выпусках Windows 10 предоставлялись службы Microsoft Passport и Windows Hello, которые вместе обеспечивали многофакторную проверку подлинности. When Windows 10 first shipped, it included Microsoft Passport and Windows Hello, which worked together to provide multi-factor authentication. Чтобы упростить развертывание и расширить возможности поддержки, Microsoft объединила эти технологии в единое решение — Windows Hello. To simplify deployment and improve supportability, Microsoft has combined these technologies into a single solution under the Windows Hello name. Пользователи, которые уже выполнили развертывание этих технологий, не заметят никаких изменений в функционировании этих служб. Customers who have already deployed these technologies will not experience any change in functionality. Клиентам, которым еще предстоит оценить возможности Windows Hello, будет гораздо легче выполнить развертывание благодаря упрощенным политикам, документации и семантике. Customers who have yet to evaluate Windows Hello will find it easier to deploy due to simplified policies, documentation, and semantics.

Windows Hello решает следующие проблемы, связанные с паролями. Windows Hello addresses the following problems with passwords:

• Надежные пароли трудно запомнить, поэтому одни и те же пароли часто используются на нескольких сайтах. Strong passwords can be difficult to remember, and users often reuse passwords on multiple sites.
• При взломе сервера хакеры могут получить доступ к симметричным сетевым учетным данным (паролям). Server breaches can expose symmetric network credentials (passwords).
• Пароли могут подвергаться атакам с повторением пакетов. Passwords are subject to replay attacks.
• Пользователи могут непреднамеренно предоставить свой пароль вследствие фишинга. Users can inadvertently expose their passwords due to phishing attacks.

Windows Hello позволяет пользователям проверять подлинность: Windows Hello lets users authenticate to:

• учетной записи Майкрософт; a Microsoft account.
• учетной записи Active Directory; an Active Directory account.
• учетной записи Microsoft Azure Active Directory (Azure AD); a Microsoft Azure Active Directory (Azure AD) account.
• Службы поставщика удостоверений или службы проверяющей стороны, поддерживающие проверку подлинности Fast ID Online (FIDO) v2.0 (в разработке). Identity Provider Services or Relying Party Services that support Fast ID Online (FIDO) v2.0 authentication (in progress)

После первоначальной двухэтапной проверки пользователя при регистрации на устройстве настраивается служба Windows Hello, и пользователю Windows предлагается создать ПИН-код или жест, который может быть биометрическим (например, отпечаток пальца). After an initial two-step verification of the user during enrollment, Windows Hello is set up on the user’s device and Windows asks the user to set a gesture, which can be a biometric, such as a fingerprint, or a PIN. Пользователь делает жест для подтверждения своей личности. The user provides the gesture to verify their identity. В дальнейшем Windows использует Windows Hello для проверки подлинности пользователей. Windows then uses Windows Hello to authenticate users.

Администратор предприятия или образовательного учреждения может создать политики для управления службой Windows Hello для бизнеса на устройствах с Windows 10, подключенных к корпоративной сети. As an administrator in an enterprise or educational organization, you can create policies to manage Windows Hello for Business use on Windows 10-based devices that connect to your organization.

Вход с использованием биометрических данных Biometric sign-in

Windows Hello обеспечивает надежную комплексную биометрическую проверку подлинности на основе распознавания лиц или отпечатков пальцев. Windows Hello provides reliable, fully integrated biometric authentication based on facial recognition or fingerprint matching. В Windows Hello используется сочетание из особых инфракрасных (ИК)-камер и программного обеспечения, что повышает точность и защищает от спуфинга. Windows Hello uses a combination of special infrared (IR) cameras and software to increase accuracy and guard against spoofing. Ведущие производители оборудования поставляют устройства со встроенными камерами, совместимыми с Windows Hello. Major hardware vendors are shipping devices that have integrated Windows Hello-compatible cameras. Оборудование для чтения отпечатков пальцев можно использовать или добавлять на устройства, которые в настоящее время не имеют его. Fingerprint reader hardware can be used or added to devices that don’t currently have it. На устройствах, поддерживаюх Windows Hello, простой биометрический жест разблокирует учетные данные пользователей. On devices that support Windows Hello, an easy biometric gesture unlocks users’ credentials.

• Распознавание лиц. Facial recognition. Это тип биометрической проверки подлинности, когда используются специальные камеры, считывающие данные в ИК-диапазоне, что позволяет надежно отличить фотографию или отсканированное изображение от живого человека. This type of biometric recognition uses special cameras that see in IR light, which allows them to reliably tell the difference between a photograph or scan and a living person. Некоторые производители поставляют внешние камеры, в которые встроена такая возможность, и большинство производителей ноутбуков также встраивают данную функцию в свои устройства. Several vendors are shipping external cameras that incorporate this technology, and major laptop manufacturers are incorporating it into their devices, as well.
• Распознавание отпечатков пальцев. Fingerprint recognition. Это тип биометрической проверки подлинности, когда используется емкостный датчик, сканирующий отпечатки пальцев. This type of biometric recognition uses a capacitive fingerprint sensor to scan your fingerprint. Сканеры отпечатков пальцев доступны на компьютерах Windows уже много лет, но датчики нынешнего поколения значительно надежнее и менее подвержены ошибкам. Fingerprint readers have been available for Windows computers for years, but the current generation of sensors is significantly more reliable and less error-prone. Большинство существующих сканеров отпечатков пальцев (внешних или встроенных в ноутбуки или USB-клавиатуры) совместимы с Windows 10. Most existing fingerprint readers (whether external or integrated into laptops or USB keyboards) work with Windows 10.

Биометрические данные, используемые для реализации Windows Hello, надежно хранятся в Windows только на локальном устройстве. Windows stores biometric data that is used to implement Windows Hello securely on the local device only. Биометрические данные не перемещаются и никогда не отправляются на внешние устройства или серверы. The biometric data doesn’t roam and is never sent to external devices or servers. Так как Windows Hello хранит только биометрические данные идентификации на устройстве, ни одна точка сбора злоумышленник не может скомпрометировать, чтобы украсть биометрические данные. Because Windows Hello only stores biometric identification data on the device, there’s no single collection point an attacker can compromise to steal biometric data. Дополнительные сведения о биометрической проверке подлинности с Windows Hello для бизнеса см. в биометрии Windows Hello на предприятии. For more information about biometric authentication with Windows Hello for Business, see Windows Hello biometrics in the enterprise.

Различия между Windows Hello и Windows Hello для бизнеса The difference between Windows Hello and Windows Hello for Business

Для удобства входа пользователи могут создать ПИН-код или биометрический жест на своих личных устройствах. Individuals can create a PIN or biometric gesture on their personal devices for convenient sign-in. Это использование Windows Hello уникально для устройства, на котором оно настроено, но может использовать простой хэш пароля в зависимости от типа учетной записи пользователя. This use of Windows Hello is unique to the device on which it is set up, but can use a simple password hash depending on an individual’s account type. Эта конфигурация называется ПИН-кодом windows Hello и не опирается на асимметричную (общедоступный или частный ключ) или проверку подлинности на основе сертификатов. This configuration is referred to as Windows Hello convenience PIN and it is not backed by asymmetric (public/private key) or certificate-based authentication.

Windows Hello для бизнеса, настроенная политикой групповой политики или управления мобильными устройствами (MDM), всегда использует проверку подлинности на основе ключей или сертификатов. Windows Hello for Business, which is configured by Group Policy or mobile device management (MDM) policy, always uses key-based or certificate-based authentication. Это делает его намного более безопасным, чем ПИН-код Windows Hello. This makes it much more secure than Windows Hello convenience PIN.

Преимущества Windows Hello Benefits of Windows Hello

Сообщения о хищении персональных данных и широкомасштабных взломах часто появляются в СМИ. Reports of identity theft and large-scale hacking are frequent headlines. Никто не хочет получить уведомление о том, что его имя пользователя и пароль были раскрыты. Nobody wants to be notified that their user name and password have been exposed.

Вам может быть интересно, как ПИН-код помогает защитить устройство лучше, чем пароль. You may wonder how a PIN can help protect a device better than a password. Пароли представляют собой общие секреты; они вводятся на устройстве и передаются по сети на сервер. Passwords are shared secrets; they are entered on a device and transmitted over the network to the server. Перехваченное имя и пароль учетной записи может использоваться любым человеком в любом месте. An intercepted account name and password can be used by anyone, anywhere. Учетные данные могут быть раскрыты при взломе сервера, на котором они хранятся. Because they’re stored on the server, a server breach can reveal those stored credentials.

В Windows 10 служба Windows Hello заменяет пароли. In Windows 10, Windows Hello replaces passwords. Когда поставщик удостоверений поддерживает ключи, в процессе разработки Windows Hello создается пара ключей шифрования, связанная с модулем доверенных платформ (TPM), если устройство имеет TPM 2.0 или в программном обеспечении. When the identity provider supports keys, the Windows Hello provisioning process creates a cryptographic key pair bound to the Trusted Platform Module (TPM), if a device has a TPM 2.0, or in software. Доступ к этим ключам и подпись, подтверждающая владение закрытым ключом, предоставляются только при вводе PIN-кода или биометрического жеста. Access to these keys and obtaining a signature to validate user possession of the private key is enabled only by the PIN or biometric gesture. В процессе двухэтапной проверки, выполняемой при регистрации в службе Windows Hello, создаются доверительные взаимоотношения между поставщиком удостоверений и пользователем. При этом открытая часть пары «открытый/закрытый ключ» отправляется поставщику удостоверений и связывается с учетной записью пользователя. The two-step verification that takes place during Windows Hello enrollment creates a trusted relationship between the identity provider and the user when the public portion of the public/private key pair is sent to an identity provider and associated with a user account. Когда пользователь выполняет жест на устройстве, поставщик удостоверений определяет по комбинации ключей и жеста Hello, что это проверенное удостоверение, и предоставляет маркер проверки подлинности, с помощью которого Windows 10 получает доступ к ресурсам и службам. When a user enters the gesture on the device, the identity provider knows from the combination of Hello keys and gesture that this is a verified identity and provides an authentication token that allows Windows 10 to access resources and services.

Windows Hello — удобный метод входа в систему, основанный на проверке подлинности по имени пользователя и паролю и одновременно позволяющий пользователям отказаться от ввода паролей. Windows Hello as a convenience sign-in uses regular user name and password authentication, without the user entering the password.

Представьте, что кто-то подсматривает через ваше плечо при получении денежных средств из банкомата и видит вводимый вами PIN-код. Imagine that someone is looking over your shoulder as you get money from an ATM and sees the PIN that you enter. Наличие этого PIN-кода не поможет им получить доступ к учетной записи, так как у них нет банковской карты. Having that PIN won’t help them access your account because they don’t have your ATM card. Аналогичным образом перехват PIN-кода устройства не позволяет злоумышленнику получить доступ к учетной записи, так как PIN-код привязан к конкретному устройству и не обеспечивает никакой проверки подлинности при попытке доступа с других устройств. In the same way, learning your PIN for your device doesn’t allow that attacker to access your account because the PIN is local to your specific device and doesn’t enable any type of authentication from any other device.

Windows Hello защищает удостоверения и учетные данные пользователей. Windows Hello helps protect user identities and user credentials. Поскольку пользователь не вводит пароль (за исключением этапа подготовки), можно предотвратить фишинговые атаки и атаки методом подбора. Because the user doesn’t enter a password (except during provisioning), it helps circumvent phishing and brute force attacks. Эта технология также позволяет предотвратить взломы серверов, так как учетные данные Windows Hello являются асимметричной парой ключей. Поскольку эти ключи защищены доверенными платформенными модулями (TPM), снижается угроза атак с повторением пакетов. It also helps prevent server breaches because Windows Hello credentials are an asymmetric key pair, which helps prevent replay attacks when these keys are protected by TPMs.

Как работает Windows Hello для бизнеса: основные положения How Windows Hello for Business works: key points

• Учетные данные службы Windows Hello основаны на сертификате или асимметричной паре ключей. Windows Hello credentials are based on certificate or asymmetrical key pair. Учетные данные Windows Hello привязаны к устройству так же, как и маркер, получаемый с помощью этих учетных данных. Windows Hello credentials can be bound to the device, and the token that is obtained using the credential is also bound to the device.
• Поставщик удостоверений (например, Active Directory, Azure AD или учетная запись Майкрософт) проверяет удостоверение пользователя и сопоставляет открытый ключ Windows Hello с учетной записью пользователя на этапе регистрации. Identity provider (such as Active Directory, Azure AD, or a Microsoft account) validates user identity and maps the Windows Hello public key to a user account during the registration step.
• Ключи могут генерироваться в аппаратном (TPM 1.2 или 2.0 для предприятий и TPM 2.0 для потребителей) или программном обеспечении на основании политики. Keys can be generated in hardware (TPM 1.2 or 2.0 for enterprises, and TPM 2.0 for consumers) or software, based on the policy.
• Проверка подлинности — это двухфакторная проверка подлинности с сочетанием ключа или сертификата, привязанного к устройству, и чем-то, что человек знает (ПИН-код) или чем-то, чем является человек (биометрия). Authentication is the two-factor authentication with the combination of a key or certificate tied to a device and something that the person knows (a PIN) or something that the person is (biometrics). Жест Windows Hello не перемещается между устройствами и не является общим для сервера. The Windows Hello gesture does not roam between devices and is not shared with the server. Шаблоны биометрии хранятся локально на устройстве. Biometrics templates are stored locally on a device. ПИН-код никогда не хранится и не является общим. The PIN is never stored or shared.
• Закрытый ключ никогда не оставляет устройство при использовании TPM. The private key never leaves a device when using TPM. На проверяющем подлинность сервере хранится открытый ключ, который был сопоставлен с учетной записью пользователя во время регистрации. The authenticating server has a public key that is mapped to the user account during the registration process.
• При вводе ПИН-кода или использовании биометрического жеста Windows 10 криптографически подписывает данные, передаваемые поставщику удостоверений, с помощью закрытого ключа. PIN entry and biometric gesture both trigger Windows 10 to use the private key to cryptographically sign data that is sent to the identity provider. Поставщик удостоверений проверяет удостоверение пользователя и подтверждает его подлинность. The identity provider verifies the user’s identity and authenticates the user.
• Личные (учетная запись Майкрософт) или корпоративные учетные записи (Active Directory или Azure AD) используют единый контейнер для ключей. Personal (Microsoft account) and corporate (Active Directory or Azure AD) accounts use a single container for keys. Все ключи разделены по доменам поставщиков удостоверений в целях обеспечения конфиденциальности пользователя. All keys are separated by identity providers’ domains to help ensure user privacy.
• Закрытые ключи сертификатов могут быть защищены контейнером Windows Hello и жестом Windows Hello. Certificate private keys can be protected by the Windows Hello container and the Windows Hello gesture.

Сравнение проверки подлинности на основе ключа и сертификата Comparing key-based and certificate-based authentication

Для подтверждения личности служба Windows Hello для бизнеса может использовать ключи (аппаратные или программные) или сертификаты в аппаратном или программном обеспечении. Windows Hello for Business can use either keys (hardware or software) or certificates in hardware or software. Предприятия с инфраструктурой общедоступных ключей (PKI) для выдачи и управления сертификатами конечных пользователей могут продолжать использовать PKI в сочетании с Windows Hello. Enterprises that have a public key infrastructure (PKI) for issuing and managing end user certificates can continue to use PKI in combination with Windows Hello. Предприятия, которые не используют PKI или хотят сократить усилия, связанные с управлением пользовательскими сертификатами, могут полагаться на учетные данные на основе ключей для Windows Hello, но по-прежнему используют сертификаты на контроллерах домена в качестве корня доверия. Enterprises that do not use PKI or want to reduce the effort associated with managing user certificates can rely on key-based credentials for Windows Hello but still use certificates on their domain controllers as a root of trust.

Windows Hello для бизнеса с ключом не поддерживает предоставленные учетные данные для RDP. Windows Hello for Business with a key does not support supplied credentials for RDP. RDP не поддерживает проверку подлинности с помощью ключа или сертификата самозаверяемой подписи. RDP does not support authentication with a key or a self signed certificate. RDP с Windows Hello для бизнеса поддерживается развертыванием на основе сертификатов в качестве предоставленных учетных данных. RDP with Windows Hello for Business is supported with certificate based deployments as a supplied credential. Доверие ключа Windows Hello для бизнеса можно использовать с помощью Защитник Windows Remote Credential Guard. Windows Hello for Business key trust can be used with Windows Defender Remote Credential Guard.

Подробнее Learn more

Видеопрезентация Microsoft Virtual Academy Знакомство с Windows Hello. Introduction to Windows Hello, video presentation on Microsoft Virtual Academy