Обзор Windows Hello для бизнеса

  • Статья
  • Применяется к:
    Windows 11, ✅ Windows 10

Windows Hello для бизнеса заменяет пароли надежной двухфакторной проверкой подлинности на устройствах. Эта проверка подлинности состоит из типа учетных данных пользователя, привязанных к устройству и использующих биометрические данные или ПИН-код.

Примечание.

В первых выпусках Windows 10 предоставлялись службы Microsoft Passport и Windows Hello, которые вместе обеспечивали многофакторную проверку подлинности. Чтобы упростить развертывание и расширить возможности поддержки, Microsoft объединила эти технологии в единое решение — Windows Hello. Пользователи, которые уже выполнили развертывание этих технологий, не заметят никаких изменений в функционировании этих служб. Клиентам, которым еще предстоит оценить возможности Windows Hello, будет гораздо легче выполнить развертывание благодаря упрощенным политикам, документации и семантике.

Windows Hello решает следующие проблемы, связанные с паролями.

  • Надежные пароли трудно запомнить, поэтому одни и те же пароли часто используются на нескольких сайтах.
  • При взломе сервера хакеры могут получить доступ к симметричным сетевым учетным данным (паролям).
  • Пароли могут подвергаться атакам с повторением пакетов.
  • Пользователи могут непреднамеренно предоставить свой пароль вследствие фишинга.

Windows Hello позволяет пользователям проверять подлинность:

  • Учетная запись Майкрософт.
  • Учетная запись Active Directory.
  • Учетная запись Microsoft Entra.
  • Службы поставщика удостоверений или службы проверяющей стороны, поддерживающие проверку подлинности FIDO версии 2.0 .

После первоначальной двухэтапной проверки пользователя при регистрации на устройстве настраивается служба Windows Hello, и пользователю Windows предлагается создать ПИН-код или жест, который может быть биометрическим (например, отпечаток пальца). Пользователь делает жест для подтверждения своей личности. В дальнейшем Windows использует Windows Hello для проверки подлинности пользователей.

Администратор предприятия или образовательного учреждения может создать политики для управления службой Windows Hello для бизнеса на устройствах с Windows 10, подключенных к корпоративной сети.

Вход с использованием биометрических данных

Windows Hello обеспечивает надежную комплексную биометрическую проверку подлинности на основе распознавания лиц или отпечатков пальцев. В Windows Hello используется сочетание из особых инфракрасных (ИК)-камер и программного обеспечения, что повышает точность и защищает от спуфинга. Ведущие производители оборудования поставляют устройства со встроенными камерами, совместимыми с Windows Hello. Оборудование считывания отпечатков пальцев можно использовать или добавлять на устройства, на которых в настоящее время его нет. На устройствах, поддерживающих Windows Hello, простой биометрический жест разблокирует учетные данные пользователей.

  • Распознавание лиц. Это тип биометрической проверки подлинности, когда используются специальные камеры, считывающие данные в ИК-диапазоне, что позволяет надежно отличить фотографию или отсканированное изображение от живого человека. Некоторые производители поставляют внешние камеры, в которые встроена такая возможность, и большинство производителей ноутбуков также встраивают данную функцию в свои устройства.
  • Распознавание отпечатков пальцев. Это тип биометрической проверки подлинности, когда используется емкостный датчик, сканирующий отпечатки пальцев. Устройства чтения отпечатков пальцев были доступны для компьютеров Windows в течение многих лет, но текущее поколение датчиков является более надежным и менее подверженным ошибкам. Большинство существующих сканеров отпечатков пальцев работают с Windows 10 и Windows 11, независимо от того, являются ли они внешними или интегрированными в ноутбуки или USB-клавиатуры.
  • Распознавание радужной оболочки. Этот тип биометрического распознавания использует камеры для сканирования радужной оболочки. HoloLens 2 является первым устройством Майкрософт, которое представляет сканер радужной оболочки глаза. Эти сканеры радужной оболочки одинаковы на всех HoloLens 2 устройствах.

Биометрические данные, используемые для реализации Windows Hello, надежно хранятся в Windows только на локальном устройстве. Биометрические данные не перемещаются и никогда не отправляются на внешние устройства или серверы. Поскольку Windows Hello хранит только биометрические данные идентификации на устройстве, нет единой точки сбора, которую злоумышленник может скомпрометировать, чтобы украсть биометрические данные. Дополнительные сведения о биометрической проверке подлинности с помощью Windows Hello для бизнеса см. в разделе Windows Hello биометрические данные на предприятии.

Различия между Windows Hello и Windows Hello для бизнеса

  • Для удобства входа пользователи могут создать ПИН-код или биометрический жест на своих личных устройствах. Это использование Windows Hello уникально для устройства, на котором он настроен, но может использовать хэш паролей в зависимости от типа учетной записи пользователя. Эта конфигурация называется Windows Hello удобного ПИН-кода и не поддерживается асимметричной проверкой подлинности (открытый или закрытый ключ) или проверкой подлинности на основе сертификата.

  • Windows Hello для бизнеса, настроенная групповой политикой или политикой управления мобильными устройствами (MDM), всегда использует проверку подлинности на основе ключей или сертификатов. Это делает его более безопасным, чем Windows Hello удобный ПИН-код.

Преимущества Windows Hello

Сообщения о хищении персональных данных и широкомасштабных взломах часто появляются в СМИ. Никто не хочет получить уведомление о том, что его имя пользователя и пароль были раскрыты.

Вам может быть интересно, как ПИН-код помогает защитить устройство лучше, чем пароль. Пароли являются общими секретами; они вводятся на устройстве и передаются по сети на сервер. Перехваченные имя учетной записи и пароль могут использоваться любым пользователем в любом месте. Учетные данные могут быть раскрыты при взломе сервера, на котором они хранятся.

В Windows 10 и более поздних версиях Windows Hello заменяет пароли. Если поставщик удостоверений поддерживает ключи, процесс подготовки Windows Hello создает пару криптографических ключей, привязанную к доверенному платформенного модуля (TPM), если устройство имеет TPM 2.0 или в программном обеспечении. Доступ к этим ключам и подпись, подтверждающая владение закрытым ключом, предоставляются только при вводе PIN-кода или биометрического жеста. В процессе двухэтапной проверки, выполняемой при регистрации в службе Windows Hello, создаются доверительные взаимоотношения между поставщиком удостоверений и пользователем. При этом открытая часть пары "открытый/закрытый ключ" отправляется поставщику удостоверений и связывается с учетной записью пользователя. Когда пользователь вводит жест на устройстве, поставщик удостоверений знает, что это проверенное удостоверение из-за сочетания Windows Hello клавиш и жестов. Затем он предоставляет маркер проверки подлинности, который позволяет Windows получать доступ к ресурсам и службам.

Примечание.

Windows Hello при удобном входе используется обычная проверка подлинности имени пользователя и пароля без ввода пароля пользователем.

Принцип работы проверки подлинности в Windows Hello.

Представьте, что кто-то подсматривает через ваше плечо при получении денежных средств из банкомата и видит вводимый вами PIN-код. Наличие этого PIN-кода не поможет им получить доступ к учетной записи, так как у них нет банковской карты. Аналогичным образом перехват PIN-кода устройства не позволяет злоумышленнику получить доступ к учетной записи, так как PIN-код привязан к конкретному устройству и не обеспечивает никакой проверки подлинности при попытке доступа с других устройств.

Windows Hello защищает удостоверения и учетные данные пользователей. Поскольку пользователь не вводит пароль (за исключением этапа подготовки), можно предотвратить фишинговые атаки и атаки методом подбора. Эта технология также позволяет предотвратить взломы серверов, так как учетные данные Windows Hello являются асимметричной парой ключей. Поскольку эти ключи защищены доверенными платформенными модулями (TPM), снижается угроза атак с повторением пакетов.

Требования к выпуску и лицензированию Windows

В следующей таблице перечислены выпуски Windows, поддерживающие Windows Hello для бизнеса.

Windows Pro Windows Корпоративная Windows Pro для образовательных учреждений/SE Windows для образовательных учреждений
Да Да Да Да

Windows Hello для бизнеса лицензии предоставляются следующими лицензиями:

Windows Pro/Pro для образовательных учреждений/SE Windows Корпоративная E3 Windows Корпоративная E5 Windows для образовательных учреждений A3 Windows для образовательных учреждений A5
Да Да Да Да Да

Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.

Как работает Windows Hello для бизнеса: основные положения

  • Учетные данные службы Windows Hello основаны на сертификате или асимметричной паре ключей. Учетные данные Windows Hello привязаны к устройству так же, как и маркер, получаемый с помощью этих учетных данных.

  • Поставщик удостоверений проверяет удостоверение пользователя и сопоставляет Windows Hello открытый ключ с учетной записью пользователя на этапе регистрации. Примерами поставщиков являются Active Directory, идентификатор Microsoft Entra или учетная запись Майкрософт.

  • Ключи могут генерироваться в аппаратном (TPM 1.2 или 2.0 для предприятий и TPM 2.0 для потребителей) или программном обеспечении на основании политики. Чтобы гарантировать, что ключи создаются на оборудовании, необходимо задать политику.

  • Проверка подлинности — это двухфакторная проверка подлинности с сочетанием ключа или сертификата, привязанного к устройству, и что-то, что человек знает (ПИН-код) или что-то, что он является (биометрия). Жест Windows Hello не перемещается между устройствами и не предоставляется серверу. Шаблоны биометрии хранятся локально на устройстве. ПИН-код никогда не хранится и не предоставляется совместно.

  • Закрытый ключ никогда не покидает устройство при использовании доверенного платформенного модуля. На проверяющем подлинность сервере хранится открытый ключ, который был сопоставлен с учетной записью пользователя во время регистрации.

  • Ввод ПИН-кода и биометрический жест активируют Windows 10 и более поздних версий для использования закрытого ключа для шифрования данных, отправляемых поставщику удостоверений. Поставщик удостоверений проверяет удостоверение пользователя и подтверждает его подлинность.

  • Личные (учетная запись Майкрософт) и корпоративные учетные записи (Active Directory или Microsoft Entra ID) используют один контейнер для ключей. Все ключи разделены по доменам поставщиков удостоверений в целях обеспечения конфиденциальности пользователя.

  • Закрытые ключи сертификатов могут быть защищены контейнером Windows Hello и жестом Windows Hello.

Подробные сведения см. в разделе Принципы работы Windows Hello для бизнеса.

Сравнение проверки подлинности на основе ключа и сертификата

Для подтверждения личности служба Windows Hello для бизнеса может использовать ключи (аппаратные или программные) или сертификаты в аппаратном или программном обеспечении. Предприятия, имеющие инфраструктуру открытых ключей (PKI) для выдачи сертификатов конечных пользователей и управления ими, могут продолжать использовать PKI в сочетании с Windows Hello для бизнеса. Предприятия, которые не используют PKI или хотят сократить усилия, связанные с управлением сертификатами пользователей, могут полагаться на учетные данные на основе ключей для Windows Hello. Эта функция по-прежнему использует сертификаты на контроллерах домена в качестве корня доверия. Начиная с Windows 10 версии 21H2, существует функция, называемая облачным доверием Kerberos для гибридных развертываний, которая использует идентификатор Microsoft Entra в качестве корня доверия. Cloud Kerberos trust использует учетные данные на основе ключа для Windows Hello, но не требует сертификатов на контроллере домена.

Windows Hello для бизнеса с ключом, включая облачное доверие Kerberos, не поддерживает предоставленные учетные данные для RDP. RDP не поддерживает проверку подлинности с помощью ключа или самозаверяющий сертификат. RDP с Windows Hello для бизнеса поддерживается развертываниями на основе сертификатов в качестве предоставленных учетных данных. Windows Hello для бизнеса с учетными данными ключа можно использовать с remote Credential Guard.

Подробнее

Реализация строгой проверки подлинности пользователей с помощью Windows Hello для бизнеса

Реализация Windows Hello для бизнеса в корпорации Майкрософт

Windows Hello для бизнеса: проверка подлинности. В этом видео вы узнаете о Windows Hello для бизнеса и о том, как она используется для входа и доступа к ресурсам.

Проверка подлинности по фотографии Windows Hello