Что такое Windows Hello или как научить компьютер узнавать своего владельца

Разработчики Windows регулярно выпускают новые интересные опции для пользователей своей операционной системы. Одна из них — Windows Hello. Данная возможность впервые была представлена в 2015 году. Но не все клиенты Windows знают о ней. Рассмотрим назначение и настройку этой опции.

Что такое Windows Hello

Исходя из названия, можно предположить, что функция Windows Hello — встроенный сервис, который должен приветствовать пользователя в системе. В действительности, так и есть. Когда человек входит в свою учётную запись на ПК или просто запускает устройство, система здоровается с ним и просит пройти идентификацию. Последняя происходит за счёт распознавания отпечатка пальца человека, который владеет данной учётной записью. Кроме того, идентификация может быть по лицу или радужной оболочке глаза.

Чтобы войти в свою учётную запись на ПК, достаточно просто посмотреть на экран

Такой тип идентификации призван обеспечить пользователя Windows максимально надёжной защитой от несанкционированного доступа к его учётной записи. Человек, который захочет зайти в ПК, просто не сможет этого сделать без вас: подделать лицо, отпечаток пальца и радужную оболочку глаза невозможно.

Когда система с помощью сканирования лица через камеру убедилась, что это вы, можно начать работу с ПК

Плюс данной технологии также в том, что она избавит от необходимости придумывать пароль, запоминать его, а потом каждый раз вводить.

Какие устройства поддерживают функцию Windows Hello

Многие современные устройства, в том числе ноутбуки и смартфоны, оснащены специальными 3D-камерами, которые способны распознавать лица, и сканером отпечатков пальцев (на ноутбуках это обычно какая-либо из клавиш).

Если у вас нет встроенной 3D-камеры, вы можете отдельно её приобрести, например, аксессуар под названием RealScene 3D, чтобы пользоваться этой функцией.

Windows Hello работает на следующих ноутбуках:

• Windows Surface Book;
• Dell Inspiron 15 5548;
• Acer Aspire V 17 Nitro;
• Lenovo ThinkPad Yoga 15; Ноутбук Lenovo ThinkPad Yoga 15 поддерживает функцию Windows Hello
• Lenovo ThinkPad E550;
• Asus N551JQ;
• Asus ROG G771JM;
• Asus X751LD;
• HP Envy 15t Touch RealSense Laptop;
• Lenovo B5030; Функция Windows Hello работает также на ноутбуке Lenovo B5030
• Dell Inspiron 23 7000;
• HP Sprout.

Новая опция для идентификации пользователя доступна также на планшетах и смартфонах с операционной системой Windows 10, в частности, на современных телефонах Lumia и планшетах-трансформерах Windows Surface Pro.

Как включить и настроить Windows Hello на Windows 10

Активировать и настроить режим идентификации Windows Hello можно следующим образом:

1. Запустите системное меню «Пуск». Отыщите иконку в виде шестерёнки нажмите на неё, чтобы вызвать окно «Параметры Windows». Значок располагается над кнопкой выключения устройства. Нажмите на кнопку «Параметры» в меню «Пуск»
2. Откройте блок «Учётные записи», щёлкнув по нему один раз левой кнопкой мыши. Откройте раздел «Учётные записи» в окне «Параметры Windows»
3. Появится вкладка под названием «Ваши данные». Пропускаем первую вкладку «Ваши данные» и переключаемся на третий раздел «Параметры входа»
4. Она нам не нужна, поэтому сразу кликните по третьей вкладке «Параметры входа». Здесь и находится опция Windows Hello. В одноимённом разделе может быть сообщение о том, что функция недоступна на вашем компьютере в данный момент. Это будет означать только одно: ваше устройство не поддерживает опцию. Вы не сможете ей пользоваться, пока не приобретёте специальную камеру с функцией распознавания. Посмотрите во вкладке «Параметры входа», доступна ли функция Windows Hello на вашем устройстве
5. Если ваш ПК поддерживает данную технологию, в разделе Windows Hello вы увидите блок под названием «Распознавание лица». Под ним будет кнопка «Настроить» или Set up. Щёлкните по ней. Нажмите на кнопку Set up («Настроить»)
6. Должен запуститься мастер настройки этой опции. Нажмите на кнопку «Начать» или Get started. Кликните по кнопке Get started, чтобы запустить мастер настройки опции
7. Введите предварительно установленный ПИН-код, который защищает компьютер от несанкционированного входа. Это необходимо для того, чтобы устройство удостоверилось, что изменения в настройки вносите именно вы, а не кто-то другой.
8. Теперь в течение нескольких секунд нужно посидеть перед компьютером. При этом нельзя двигаться. Неподвижными должны быть даже глаза. Смотрите на экран. Система считает информацию с вашего лица и занесёт эти данные в базу. Сядьте ровно перед камерой и смотрите на экран, чтобы система запомнила ваше лицо
9. После этой небольшой процедуры кликните по «Закрыть». На этом настройка завершена. При следующем входе в вашу учётную запись Windows Hello попросит посмотреть на экран для идентификации личности.
10. Если вы хотите улучшить распознавание, кликните по соответствующей кнопке для повторения процедуры.
11. Вместо раздела «Распознавание лица», можно увидеть опцию для идентификации отпечатка пальца или радужной оболочки глаза. В случае последней вам также нужно будет посмотреть на экран, чтобы система запомнила радужную оболочку.
12. Если будет раздел «Отпечаток пальца» (Fingerprint), нужно будет приложить палец несколько раз к сканеру, чтобы программа запомнила его отпечаток. Приложите любой палец к сканеру отпечатков на вашем устройстве, чтобы система считала информацию и запомнила её

Видео: как внести свой отпечаток пальца в базу Windows Hello

Если на устройстве есть камера с функцией распознавания лица или даже радужной оболочки глаза либо сканер отпечатков пальцев, воспользуйтесь опцией биометрической идентификации Windows Hello, чтобы защитить данные, хранящиеся на ПК, от посторонних лиц. И тогда никто, кроме вас, не сможет работать в этом устройстве. При этом придумывать сложный пароль не придётся.

Список компьютеров, которые поддерживают Windows Hello в Windows 10

Хотите использовать Windows Hello? Тогда вам понадобится один из этих компьютеров! Большинство из вас могут знать, что Microsoft планирует выпустить новую функцию, которая доступна только в Windows 10 . Эта функция называется Windows Hello и предназначена для того, чтобы пользователи могли входить на свой компьютер без пароля. Это довольно впечатляюще, хотя мы не впервые сталкиваемся с такой функцией, как эта. Но эта функция не поддерживает некоторые компьютеры Windows. Из-за этого мы собираемся перечислить те, которые делают.

Ноутбуки, которые поддерживают Windows Hello в Windows 10

Тем не менее, то, к чему стремится Microsoft, уникально по-своему, и поэтому будет работать только на нескольких компьютерах.

Windows Hello позволяет пользователям легко войти в свой компьютер с помощью всего лишь отпечатка пальца или с помощью распознавания лиц. Проблема в том, что обычные веб-камеры не будут работать, что означает, что большинство компьютеров не поддерживаются.

На данный момент только несколько компьютеров поддерживают Windows Hello, и ожидается, что еще многие будут выпущены до конца года из-за запуска Windows 10 29 июля.

Мы подозреваем, что некоторые люди могут не захотеть приобрести новый компьютер для использования Windows Hello. Если это так, то для этой цели можно купить отдельную веб-камеру. Мы рекомендуем камеру Intel RealSense, которая продается за 99 долларов на веб-сайте Intel.

Скорее всего, цена может быть выше в других местах, так что имейте это в виду. Другое дело, что камера RealSense была разработана в основном для разработчиков, но мы подозреваем, что все должно работать нормально, независимо от того.

Людям, которые используют Surface Pro 3, здесь не повезло. Это печально, потому что Microsoft должна была добавить поддерживаемую камеру. Компания, должно быть, знала, что Windows Hello должна была появиться в окончательной версии операционной системы, поэтому подготовьте Surface Pro к ней.

В настоящее время поддерживаются компьютеры, найденные на веб-сайте Intel:

Microsoft Surface Book, Surface Ноутбук, Surface Pro, Surface Pro 4, Acer Aspire V 17 Nitro, Asus N551JQ, Asus ROG G771JM, Asus X751LD, Dell Inspiron 13 5000 2-в-1, Dell Inspiron 13 7000 2-в-1, Dell Inspiron 15 5000, Dell Inspiron 15 5000 2-в-1, Dell Inspiron 15 7000, Dell Inspiron 15 7000 2-в-1, Dell Inspiron 17 7000 2-в-1, Dell Inspiron 23 7000, Dell Latitude 12 5000, Dell Latitude 12 5285 2-в-1, Dell Latitude 12 5289 2-в-1, Dell Latitude 12 7000, Dell Latitude 12 7000 2-в-1, Dell Latitude 13 3000 2-в-1, Dell Latitude 14 3000, Dell Latitude 14 5000, Dell Latitude 14 7000, Dell Latitude 15 3000, Dell Latitude 15 5000, Alienware 13, Alienware 15, Alienware 17, ASUS Transformer 3 Pro, HP EliteBook Folio G1, HP EliteBook x360, HP ENVY 15, HP ENVY 17 , HP ENVY x360 15, HP OMEN 17t, HP Spectre x360 13, HP Sprout, HP Spectre x360 15, Lenovo Ideapad Y700 17, Lenovo ThinkPad Yoga 15, Lenovo ThinkPad E550, Lenovo Miix 720, Lenovo ThinkPad P51s, Lenovo ThinkPad T570, Lenovo ThinkPad X1 T Lenovo, ThinkPad X1 Yoga, Lenovo B5030, MSI GT72 Dominator Pro, MSI GT72VR Tobii, MSI GT72S G Tobii, MSI GT72S Dominator G, MSI GT72S Dominator Pro G, MSI GT72VR Dominator, MSI GT72VR Dominator Pro, спутниковый радиус Toshiba 2-в -1.

Эти ноутбуки недешевы, так что ожидать, что пользователи купят другой компьютер, или возможную поверхность в этом отношении, немного не стоит. Вы можете увидеть все устройства, поддерживаемые Windows Hellow здесь .

Windows Hello для бизнеса: вопросы и ответы

Применимо к: Windows10

Как насчет виртуальных смарт-карт?

Windows Hello для бизнеса — это современные двух факторов учетные данные для Windows 10. Корпорация Майкрософт будет отмещая виртуальные смарт-карты в будущем, но в настоящее время дата не установлена. Клиенты, использующие Windows 10 и виртуальные смарт-карты, должны перейти на Windows Hello для бизнеса. Корпорация Майкрософт опубликует дату раньше, чтобы убедиться, что у клиентов есть достаточно времени для работы с Windows Hello для бизнеса. Корпорация Майкрософт рекомендует новым развертываниям Windows 10 использовать Windows Hello для бизнеса. Виртуальная смарт-карта по-прежнему поддерживается для Windows 7 и Windows 8.

Как насчет удобного ПИН-кода?

Корпорация Майкрософт привержена своему видению мира без паролей. Мы распознаем удобство, предоставляемую пин-кодом удобства, но он использует пароль для проверки подлинности. Корпорация Майкрософт рекомендует пользователям, использующим Windows 10 и удобным ПИН-службам, перейти на Windows Hello для бизнеса. Новые развертывания Windows 10 должны развертывать Windows Hello для бизнеса, а не удобные ПИН-службы. Корпорация Майкрософт в будущем будет отмахиваться от удобных ПИН-продуктов и опубликует дату раньше, чтобы убедиться, что у клиентов будет достаточно времени для развертывания Windows Hello для бизнеса.

Можно ли использовать доверие ключа Windows Hello для бизнеса и RDP?

В настоящее время протокол удаленного рабочего стола (RDP) не поддерживает использование сертификатов проверки подлинности на основе ключей и самозаверяется в качестве предоставленных учетных данных. RDP с предоставленными учетными данными в настоящее время поддерживается только развертыванием на основе сертификатов. Доверие ключа Windows Hello для бизнеса можно использовать с помощью Защитник Windows Remote Credential Guard.

Можно ли развернуть Windows Hello для бизнеса с помощью Microsoft Endpoint Configuration Manager?

Развертывание Windows Hello для бизнеса с использованием Configuration Manager должно следовать гибридной модели развертывания, использующей службы Федерации Active Directory. Начиная с версии Configuration Manager 1910, проверка подлинности на основе сертификатов с настройками Windows Hello для бизнеса не поддерживается. Проверка подлинности на основе ключей по-прежнему действительна с помощью Configuration Manager. Дополнительные сведения см. в настройках Windows Hello длябизнеса в Configuration Manager.

Сколько пользователей могут зарегистрироваться для Windows Hello для бизнеса на одном компьютере с Windows 10?

Максимальное число поддерживаемых регистраций на одном компьютере с Windows 10 — 10. Это позволяет 10 пользователям каждый записать свое лицо и до 10 отпечатков пальцев. Хотя мы поддерживаем 10 регистраций, мы настоятельно рекомендуем использовать ключи безопасности Windows Hello для общего сценария компьютера, когда они станут доступны.

Как ПИН-код может быть более безопасным, чем пароль?

При использовании Windows Hello для бизнеса ПИН-код не является симметричным ключом, а пароль — симметричным. С паролями есть сервер, который имеет некоторое представление пароля. С Windows Hello для бизнеса ПИН-код — это энтропия, предоставляемая пользователем для загрузки закрытого ключа в модуле доверенных платформ (TPM). На сервере нет копии ПИН-кода. В этом случае у клиента Windows нет копии текущего ПИН-кода. Чтобы успешно получить доступ к частному ключу, пользователь должен предоставить энтропию, защищенный TPM-ключ и TPM, которые создали этот ключ.

Заявление «ПИН-код сильнее пароля» не направлено на силу энтропии, используемой ПИН-кодом. Речь идет о разнице между предоставлением энтропии и продолжением использования симметричного ключа (пароля). TPM имеет функции, которые предотвращены пин-атаки с грубой силой (непрерывная попытка злоумышленника попробовать все комбинации ПИН-кодов). Некоторые организации могут беспокоиться о серфинге на плечах. Для этих организаций вместо повышения сложности ПИН-кода реализуем функцию разблокировки multifactor.

Как Windows Hello для бизнеса работает с зарегистрированными устройствами Azure AD?

На зарегистрированных устройствах Azure AD пользователю будет предложено раздать ключ Windows Hello для бизнеса, если эта функция включена политикой управления мобильными устройствами. Если у пользователя есть существующий контейнер Windows Hello для использования с локальной или подключенной учетной записью Microsoft, ключ Windows Hello для бизнеса будет зарегистрирован в существующем контейнере и будет защищен с помощью жестов выхода.

Если пользователь зарегистрировался на своем устройстве Azure AD с Windows Hello, его ключ Windows Hello для бизнеса будет использоваться для проверки подлинности удостоверений работы пользователя при попытке использования ресурсов Azure AD. Ключ Windows Hello для бизнеса отвечает требованиям многофакторной проверки подлинности Azure AD и уменьшает количество подсказок MFA, которые пользователи увидят при доступе к ресурсам.

Можно зарегистрировать Azure AD на устройстве, соединяемом с доменом. Если на устройстве, присоединимом к домену, имеется удобный ПИН-код, вход с пин-кодом удобства больше не будет работать. Эта конфигурация не поддерживается Windows Hello для бизнеса.

У меня есть контроллер домена Windows Server 2016, поэтому почему отсутствует группа администраторов ключей?

Группы администраторов ключей и корпоративных администраторов создаются при установке первого контроллера домена Windows Server 2016 в домен. **** Контроллеры домена, работающие в предыдущих версиях Windows Server, не могут перевести идентификатор безопасности (SID) на имя. Чтобы устранить эту проблему, передай роль эмулятора PDC контроллеру домена под управлением Windows Server 2016.

Можно ли использовать пин-код удобства с Azure Active Directory?

В настоящее время можно установить удобный ПИН-код на устройствах Azure Active Directory Joined или Hybrid Active Directory Joined. Pin-код удобства не поддерживается для учетных записей пользователей Azure Active Directory (в том числе синхронизированных удостоверений). Он поддерживается только для локальных пользователей доменных учетных записей и локальных пользователей учетных записей.

Можно ли использовать внешнюю камеру при закрытии или стыковке ноутбука?

Нет. Windows 10 в настоящее время поддерживает только одну камеру Windows Hello для бизнеса и не переключается на внешнюю камеру при стыковке компьютера с закрытой крышкой. Группа продуктов знает об этом и изучает эту тему далее.

Почему проверка подлинности сбой сразу после обеспечения доверия гибридного ключа?

В гибридном развертывании общедоступный ключ пользователя должен синхронизироваться с Azure AD на AD, прежде чем его можно будет использовать для проверки подлинности в отношении контроллера домена. Эта синхронизация обрабатывается Azure AD Connect и будет происходить во время нормального цикла синхронизации.

Что такое беспарольная стратегия?

Просмотрите руководство главного руководителя программы От Корпорации Майкрософт Каранбира Сингха для презентации Ignite 2017 без паролей.

Как осуществляется взаимодействие с пользователем в Windows Hello для бизнеса?

После развертывания Windows Hello для бизнеса в вашей среде взаимодействие с пользователем в Windows Hello для бизнеса осуществляется после входа пользователя в систему.

Что происходит, когда пользователь забывает ПИН-код?

Если пользователь может войти с паролем, он может сбросить ПИН-код, выбрав ссылку «Я забыл ПИН-код» в Параметры. Начиная с Windows 10 1709 пользователи могут сбросить ПИН-код над экраном блокировки, выбрав ссылку «Я забыл ПИН-код» в поставщике учетных данных ПИН-кода.

Для локального развертывания устройства должны быть хорошо подключены к локальной сети (контроллеры домена и/или полномочия сертификата) для сброса пин-данных. Гибридные клиенты могут на борту клиента Azure использовать службу сброса ПИН-кода Windows Hello для бизнеса для сброса пин-кодов без доступа к корпоративной сети.

Какие URL-адреса необходимо разрешить для гибридного развертывания?

При общении с Azure Active Directory используются следующие URL-адреса:

• enterpriseregistration.windows.net
• login.microsoftonline.com
• login.windows.net
• account.live.com
• accountalt.azureedge.net
• secure.aadcdn.microsoftonline-p.com

Если ваша среда использует Microsoft Intune, вам нужны дополнительные URL-адреса:

В чем разница между неразрушительным и деструктивным сбросом ПИН-кода?

Windows Hello для бизнеса имеет два типа сброса ПИН-кода: неразрушительные и разрушительные. Организации, работающие с Windows 10 Enterprise и Azure Active Directory, могут воспользоваться службой сброса ПИН-кода Майкрософт. После того, как клиент будет развернут на компьютерах, пользователи, которые забыли свои ПИН-коды, смогут проверить подлинность в Azure, предоставить второй фактор проверки подлинности и сбросить ПИН-код без повторной регистрации Windows Hello для бизнеса. Это не деструктивный сброс ПИН-кода, так как пользователь не удаляет текущие учетные данные и не получает новую учетную запись. Дополнительные сведения см. в pin-коде Reset.

Организации с локальной развертыванием Windows Hello для бизнеса или организации, не использующие Windows 10 Enterprise, могут использовать деструктивный сброс ПИН-кода. С помощью деструктивного сброса ПИН-кода пользователи, которые забыли ПИН-код, могут проверить подлинность с помощью пароля, а затем выполнить второй фактор проверки подлинности для повторного предоставления учетных данных Windows Hello для бизнеса. Повторное подготовка удаляет старые учетные данные и запрашивает новые учетные данные и сертификат. Для выполнения деструктивного сброса ПИН-кода локальному развертыванию необходимо подключение к сети к контроллерам домена, службам Федерации Active Directory и их полномочиям по выдаче сертификатов. Кроме того, в гибридных развертываниях деструктивное сброс ПИН-кода поддерживается только моделью доверия сертификатов и последними обновлениями служб Федерации Active Directory.

Что лучше или надежнее: доверие ключа или доверие сертификата?

Модели доверия развертывания определяют, как проверить подлинность в Active Directory (локально). И доверие ключей, и доверие сертификатов используют один и тот же учетный данные с двумя факторами. Разница между двумя типами доверия:

• Необходимые контроллеры домена
• Выдача сертификатов конечных сущности

Ключевая модель доверия подлинность в Active Directory с помощью необработанных ключей. Контроллеры домена Windows Server 2016 позволяют эту проверку подлинности. Проверка подлинности ключей не требует корпоративного сертификата, поэтому не требуется выдавать сертификаты пользователям (сертификаты контроллера домена по-прежнему необходимы).

Модель доверия сертификата передается в Active Directory с помощью сертификата. Так как для проверки подлинности используется сертификат, контроллеры домена, работающие в предыдущих версиях Windows Server, могут проверить подлинность пользователя. Поэтому необходимо выдавать сертификаты пользователям, но вам не нужны контроллеры домена Windows Server 2016. Сертификат, используемый в доверии сертификата, использует закрытый ключ, защищенный TPM, для запроса сертификата в органе выдачи сертификата предприятия.

Обязательно ли иметь контроллеры домена Windows Server2016?

Существует множество вариантов развертывания на выбор. Некоторые из этих параметров требуют достаточного количества контроллеров домена Windows Server 2016 на сайте, где вы развернули Windows Hello для бизнеса. Существуют другие варианты развертывания, предполагающие использование существующих контроллеров домена Windows Server2008R2 или более поздней версии. Выберите вариант развертывания, который лучше всего подходит для вашей среды.

Какие атрибуты синхронизируются Azure AD Connect с Windows Hello для бизнеса?

Просмотрите синхронизацию Azure AD Connect: Атрибуты, синхронизированные с Azure Active Directory, для списка атрибутов, синхронизируются в зависимости от сценариев. Базовые сценарии, включающее Windows Hello для бизнеса, — это сценарий Windows 10 и сценарий записи устройства. Среда может включать дополнительные атрибуты.

Многофакторная проверка подлинности Windows Hello для бизнеса?

Windows Hello для бизнеса — это двух факторов проверки подлинности на основе наблюдаемых факторов проверки подлинности: что-то у вас есть, что-то известное и что-то, что является частью вас. В Windows Hello для бизнеса используется два из этих факторов: что-то, что у вас есть (закрытый ключ пользователя, защищенный модулем безопасности устройства) и что-то, что вы знаете (ваш PIN-код). Имея соответствующее оборудование, вы можете повысить комфорт своих пользователей, добавив биометрические данные. С помощью биометрии можно заменить фактор проверки подлинности «что-то известное» на фактор «что-то, что является частью вас», на гарантии того, что пользователи могут вернуться к фактору «что-то, что вы знаете».

Какие биометрические требования предъявляются к Windows Hello для бизнеса?

Можно ли использовать ПИН-код и биометрию для разблокировки устройства?

Начиная с Windows 10 версии 1709, вы можете использовать многофакторную разблокировку, чтобы потребовать от пользователей предоставить дополнительный фактор для разблокировки устройства. Проверка подлинности остается двухфакторной, но прежде чем Windows предоставит пользователю доступ к рабочему столу, необходимо предоставить дополнительный фактор проверки. Дополнительные дополнительные дополнительные ссылки см. в ссылке Multifactor Unlock.

Могу ли я носить маску для регистрации или разблокировки с помощью проверки подлинности лиц в Windows Hello?

Ношение маски для регистрации является проблемой безопасности, так как другие пользователи, носив аналогичную маску, могут разблокировать устройство. Группа продуктов знает об этом поведении и изучает эту тему далее. Удалите маску, если она будет носиться при регистрации или разблокировать с помощью проверки подлинности в Windows Hello. Если рабочая среда не позволяет временно удалить маску, рассмотрите возможность удаления из проверки подлинности лиц только с помощью ПИН-кода или отпечатка пальца.

В чем разница между Windows Hello и Windows Hello для бизнеса?

Windows Hello представляет собой биометрическую платформу, предоставленную в Windows10. Windows Hello позволяет пользователям с помощью биометрии войти на свои устройства, надежно храня свое имя пользователя и пароль и выпуская его для проверки подлинности, когда пользователь успешно идентифицирует себя с помощью биометрии. В Windows Hello для бизнеса используются асимметричные ключи, защищенные модулем безопасности устройства, которые требуют для проверки подлинности жеста пользователя (PIN-кода или биометрических данных).

Почему я не могу записать биометрию для локального встроенного администратора?

Windows 10 не позволяет локальному администратору записать биометрические жесты (лицо или отпечатки пальцев).

Мы перешли с Active Directory на Azure Active Directory. Можно ли использовать модель локального развертывания?

Нет. Если ваша организация федерарная или использует сетевые службы, такие как Azure AD Connect, Office 365 или OneDrive, необходимо использовать гибридную модель развертывания. Локальное развертывание является исключительным для организаций, которым требуется больше времени перед переходом в облако и исключительно с использованием Active Directory.

Запрещает ли Windows Hello для бизнеса использование простых PIN-кодов?

Да. Наш простой алгоритм PIN-кодов находит и запрещает любой PIN-код с постоянной разностью между соседними цифрами. Алгоритм подсчитывает количество шагов, необходимых для достижения следующей цифры, переполня на уровне 10 (‘zero’). Пример:

• PIN-код 1111 имеет постоянную дельту (0,0,0), поэтому она не допускается.
• PIN-код 1234 имеет постоянную дельту (1,1,1), поэтому она не допускается.
• PIN-код 1357 имеет постоянную дельту (2,2,2), поэтому не допускается
• PIN-код 9630 имеет постоянную дельту (7,7,7), поэтому он не допускается.
• PIN-код 1593 имеет постоянную дельту (4,4,4), поэтому не допускается
• PIN-код 7036 имеет постоянную дельту (3,3,3), поэтому она не допускается.
• PIN-код 1231 не имеет постоянной дельты (1,1,8), поэтому допускается
• PIN-код 1872 не имеет постоянной дельты (7,9,5), поэтому разрешено

Это предотвращает повторение чисел, последовательного числа и простых шаблонов. Это всегда приводит к списку из 100 отостановимые ПИН-коды (независимо от длины ПИН-кода). Этот алгоритм не применяется к буквенно-цифровым PIN-кодам.

Как кэширование PIN-кода работает с Windows Hello для бизнеса?

Windows Hello для бизнеса предоставляет пользовательский интерфейс кэшинга ПИН-кода с помощью системы продажи билетов. Вместо кэширования PIN-кода процессы кэшируют запрос, который они могут использовать для запроса операций с закрытым ключом. Ключи для входа в Azure AD и Active Directory кэшируются в режиме блокировки. Это означает, что ключи остаются доступными для использования без запроса, пока пользователь будет интерактивно подписан. Ключи для входа в учетную запись Майкрософт считаются транзакционными, то есть при получении доступа к ключу пользователь всегда получает запрос.

Начиная с Windows 10, версии 1709, Windows Hello для бизнеса, используемой в качестве смарт-карты (эмуляция смарт-карт, включенная по умолчанию), обеспечивает тот же пользовательский опыт кэшинга ПИН-кода смарт-карт по умолчанию. При первом использовании каждый процесс, запрашивающий операцию с закрытым ключом, будет запрашивать у пользователя PIN-код. Дальнейшие операции с закрытым ключом не потребуют от пользователя ввода PIN-кода.

Функция эмуляции смарт-карт в Windows Hello для бизнеса проверяет PIN-код, а затем удаляет его в обмен на запрос. Процесс получает не PIN-код, а запрос, предоставляющий операции с закрытыми ключами. Windows 10 не предоставляет параметры групповой политики для изменения этих настроек кэширования.

Можно ли отключить PIN-код при использовании Windows Hello для бизнеса?

Нет. Отказ от паролей обеспечивается постепенным сокращением частоты использования пароля. В ситуациях, когда вы не можете проверить подлинность с помощью биометрии, вам необходим механизм отката, который не является паролем. PIN-код — это механизм отката. Отключение или сокрытие поставщика учетных данных ПИН-кода отключит использование биометрии.

Как защищены ключи?

Везде, где это возможно, Windows Hello для бизнеса может использовать оборудование Trusted Platform Module (TPM) 2.0 для создания и защиты ключей. Однако Windows Hello и Windows Hello для бизнеса не требуют TPM. Администраторы могут разрешить ключевые операции в программном обеспечении.

По возможности Корпорация Майкрософт настоятельно рекомендует использовать оборудование TPM. TPM защищает от множества известных и потенциальных атак, в том числе атак методом подбора PIN-кода. Кроме того, TPM обеспечивает дополнительный уровень защиты после блокировки учетной записи. Когда TPM заблокирует ключевой материал, пользователю потребуется сбросить ПИН-код (а это значит, что для повторной проверки подлинности ВПЛ необходимо использовать MFA для повторной проверки подлинности до того, как IDP разрешит им перерегистрироваться).

Может ли Windows Hello для бизнеса работать в средах с пробелами в воздухе?

Да. Вы можете использовать локальное развертывание Windows Hello для бизнеса и объединить его с сторонним поставщиком MFA, который не требует подключения к Интернету для обеспечения развертывания Windows Hello для бизнеса с разрывом в воздухе.

Могу ли я использовать сторонних поставщиков проверки подлинности с Windows Hello для бизнеса?

Да, если вы используете федерационную гибридную развертывание, вы можете использовать любую сторонную сторону, которая предоставляет многофакторный адаптер проверки подлинности Active Directory Federation Services (AD FS). Список сторонних адаптеров MFA можно найти здесь.