Распространенные вопросы о Windows Hello для бизнеса

Windows Hello представляет биометрическую платформу, предоставляемую в Windows. Windows Hello позволяет пользователям использовать биометрические данные для входа на свои устройства, безопасно сохраняя свое имя пользователя и пароль и освобождая их для проверки подлинности, когда пользователь успешно идентифицирует себя с помощью биометрических данных. В Windows Hello для бизнеса используются асимметричные ключи, защищенные модулем безопасности устройства, которые требуют для проверки подлинности жеста пользователя (PIN-кода или биометрических данных).

Три основные причины:

1. ПИН-код привязан к устройству: одно важное различие между сетевым паролем и ПИН-кодом Hello заключается в том, что ПИН-код привязан к конкретному устройству, на котором он настроен. ПИН-код не может использоваться без конкретного оборудования. Кто-то, кто получит ваш пароль в Интернете, может войти в вашу учетную запись из любого места, но если он получит ваш ПИН-код, ей также придется получить доступ к вашему устройству. ПИН-код нельзя использовать где-либо, кроме как на этом конкретном устройстве. Если вы хотите войти на нескольких устройствах, необходимо настроить Hello на каждом устройстве.
2. ПИН-код является локальным для устройства: на сервер передается сетевой пароль. Пароль может быть перехвачен при передаче или получен с сервера. ПИН-код является локальным для устройства, никогда нигде не передается и не хранится на сервере. При создании ПИН-кода устанавливаются доверительные отношения с поставщиком удостоверений и создается пара асимметричных ключей, используемых для проверки подлинности. При вводе ПИН-кода вы разблокируете ключ проверки подлинности, который используется для подписи запроса, отправляемого на сервер проверки подлинности. В Windows Hello для бизнеса ПИН-код — это предоставленная пользователем энтропия, используемая для загрузки закрытого ключа в доверенном платформенный модуль (TPM). На сервере нет копии ПИН-кода. В этом случае у клиента Windows нет копии текущего ПИН-кода. Для успешного доступа к закрытому ключу пользователь должен предоставить энтропию, ключ, защищенный доверенным платформенный платформенный модуль, и доверенный платформенный модуль, который создал этот ключ.
3. ПИН-код поддерживается оборудованием: ПИН-код Hello поддерживается микросхемой доверенного платформенного модуля (TPM), которая представляет собой защищенный криптопроцессор, предназначенный для выполнения криптографических операций. Эта микросхема содержит несколько механизмов физической защиты для предотвращения взлома, и вредоносные программы не могут обойти функции безопасности TPM. Windows не связывает локальные пароли с TPM, поэтому ПИН-коды считаются более безопасными, чем локальные пароли. Материал ключа пользователя создается и доступен в TPM устройства. TPM защищает материал ключа от злоумышленников, которые хотят захватить и повторно использовать его. Поскольку Hello использует асимметричные пары ключей, учетные данные пользователей не могут быть украдены в случаях, когда поставщик удостоверений или веб-сайты, к которому обращается пользователь, были скомпрометированы. TPM защищает от различных известных и потенциальных атак, включая атаки методом подбора ПИН-кода. После слишком большого количества неправильных предположений устройство блокируется.

Инструкция ПИН-код сильнее пароля не направлена на силу энтропии, используемой ПИН-кодом. Речь о разнице между предоставлением энтропии и продолжением использования симметричного ключа (пароля). TPM имеет функции защиты от ударов, которые сорвать атаки методом подбора ПИН-кода (непрерывная попытка злоумышленника попробовать все сочетания ПИН-кодов). Некоторые организации могут беспокоиться о серфинге на плечах. Для этих организаций вместо повышения сложности ПИН-кода реализуйте функцию многофакторной разблокировки .

Чтобы скомпрометировать учетные данные Windows Hello, которые защищает доверенный платформенный модуль, злоумышленник должен иметь доступ к физическому устройству. Затем злоумышленник должен найти способ подделать биометрические данные пользователя или угадать ПИН-код. Все эти действия необходимо выполнить до того, как защита TPM блокирует устройство.

Windows Hello включает биометрический вход с помощью отпечатков пальцев, радужной оболочки или распознавания лиц. При настройке Windows Hello вам будет предложено создать ПИН-код после биометрической настройки. ПИН-код позволяет выполнить вход, если вы не можете использовать предпочтительную биометрию из-за травмы или из-за недоступности датчика или неправильной работы. Если вы только настроили биометрический вход и по какой-либо причине не смогли использовать этот метод для входа, вам придется выполнить вход с помощью учетной записи и пароля, что не обеспечивает такой же уровень защиты, как Hello.

Каждый раз, когда создается материал ключа, он должен быть защищен от атак. Самым надежным способом обеспечения такой защиты является использование специализированного оборудования. Существует долгая история использования аппаратных модулей безопасности (HSM) для создания, хранения и обработки ключей для критически важных для безопасности приложений. Смарт-карты представляют собой особый тип аппаратных модулей безопасности, как и устройства, совместимые со стандартом TPM организации TCG. Везде, где это возможно, реализация Windows Hello для бизнеса использует преимущества подключенного оборудования доверенного платформенного модуля для создания и защиты ключей. Администраторы могут разрешить операции с ключами в программном обеспечении, но рекомендуется использовать оборудование доверенного платформенного модуля. TPM защищает от множества известных и потенциальных атак, в том числе атак методом подбора PIN-кода. Кроме того, TPM обеспечивает дополнительный уровень защиты после блокировки учетной записи. Когда TPM заблокировал материал ключа, пользователю придется сбросить ПИН-код (это означает, что пользователю придется использовать MFA для повторной проверки подлинности поставщика удостоверений, прежде чем поставщик удостоверений разрешает повторную регистрацию). Сброс PIN-кода означает, что все ключи и сертификаты, зашифрованные с использованием материала старого ключа, будут удалены.

Windows Hello для бизнеса предоставляет пользовательский интерфейс кэширования ПИН-кода с помощью системы билетов. Вместо кэширования PIN-кода процессы кэшируют запрос, который они могут использовать для запроса операций с закрытым ключом. Идентификатор Microsoft Entra и ключи входа Active Directory кэшируются под блокировкой. Это означает, что ключи остаются доступными для использования без запроса, пока пользователь войдет в систему в интерактивном режиме. Ключи входа в учетную запись Майкрософт — это ключи транзакций, что означает, что пользователю всегда будет предложено получить доступ к ключу.

Windows Hello для бизнеса, используемый в качестве смарт-карты (эмуляция смарт-карт, которая включена по умолчанию), обеспечивает тот же интерфейс, что и кэширование ПИН-кодов смарт-карт по умолчанию. Каждый процесс, запрашивающий операцию закрытого ключа, запрашивает у пользователя ПИН-код при первом использовании. Последующие операции с закрытым ключом не запрашивают у пользователя ПИН-код.

Функция эмуляции смарт-карт в Windows Hello для бизнеса проверяет PIN-код, а затем удаляет его в обмен на запрос. Процесс получает не ПИН-код, а билет, который предоставляет им операции с закрытым ключом. Параметр политики для настройки кэширования отсутствует.

При регистрации в Windows Hello создается представление биометрических данных, называемое профилем регистрации. Биометрические данные профиля регистрации зависят от устройства, хранятся локально на устройстве и не покидают устройство и не перемещают его вместе с пользователем. Некоторые внешние датчики отпечатков пальцев хранят биометрические данные на самом модуле отпечатков пальцев, а не на устройстве Windows. Даже в этом случае биометрические данные хранятся локально в этих модулях, относятся к конкретному устройству, не перемещаются, никогда не покидают модуль и никогда не отправляются в облако Или внешний сервер Майкрософт. Дополнительные сведения см. в разделах Биометрия Windows Hello в корпоративной среде и Проверка подлинности лиц Windows Hello.

Биометрические данные Windows Hello хранятся на устройстве в виде зашифрованной базы данных шаблона. Данные с биометрического датчика (например, с камеры распознавания лиц или сканера отпечатков пальцев) создают представление данных или граф, которое затем шифруется перед сохранением на устройстве. Каждый биометрический датчик на устройстве, используемом Windows Hello (лицо или отпечатки пальцев), будет иметь собственный файл биометрической базы данных, в котором хранятся данные шаблона. Каждый файл базы данных биометрических данных шифруется с помощью уникального случайно созданного ключа, который шифруется в систему с помощью шифрования AES, создающего хэш SHA256.

Поскольку биометрические данные Windows Hello хранятся в зашифрованном формате, ни один пользователь или любой другой процесс, кроме Windows Hello, не имеет к ним доступа.

Файл базы данных шаблона биометрии Windows Hello создается на устройстве только в том случае, если пользователь зарегистрирован для проверки подлинности на основе биометрии Windows Hello. ИТ-администратор может настроить параметры политики, но это всегда выбор пользователя, если он хочет использовать биометрические данные или ПИН-код. Пользователи могут проверить текущую регистрацию в биометрических данных Windows Hello, выбрав параметры входа на своем устройстве. Перейдите в раздел Пуск > Параметры > Учетные > записи Параметры входа . Если вы не видите Windows Hello в параметрах входа, она может быть недоступна для вашего устройства или заблокирована администратором с помощью политики. Администраторы могут запросить регистрацию пользователей в Windows Hello во время Autopilot или во время начальной настройки устройства. Администраторы могут запретить пользователям регистрировать биометрические данные с помощью конфигураций политик Windows Hello для бизнеса. Однако если это разрешено с помощью конфигураций политик, регистрация в биометрических данных Windows Hello всегда является необязательной для пользователей.

Чтобы удалить Windows Hello и все связанные с ним данные биометрической идентификации с устройства, откройте параметры запуска > Учетные >> записи для входа. Выберите метод биометрической проверки подлинности Windows Hello, который требуется удалить, и нажмите кнопку Удалить. Действие отменит регистрацию с биометрической проверки подлинности Windows Hello и удалит связанный файл базы данных шаблона биометрии. Дополнительные сведения см. в статье Параметры входа в Windows и защита учетных записей (microsoft.com).

Начиная с Configuration Manager версии 2203, развертывания Windows Hello для бизнеса с помощью Configuration Manager больше не поддерживаются.

Вы можете удалить контейнер Windows Hello для бизнеса, выполнив команду certutil.exe -deleteHelloContainer.

Если пользователь может войти с помощью пароля, он может сбросить СВОЙ ПИН-код, выбрав ссылку Я забыл СВОЙ ПИН-код в приложении Параметры или на экране блокировки, выбрав ссылку Я забыл СВОЙ ПИН-код в поставщике учетных данных ПИН-кода.

Для локальных развертываний устройства должны быть подключены к локальной сети (контроллерам домена и (или) центру сертификации) для сброса ПИН-кодов. Гибридные развертывания могут подключить клиент Microsoft Entra для использования службы сброса ПИН-кода Windows Hello для бизнеса для сброса ПИН-кодов. Неразрушающий сброс ПИН-кода работает без доступа к корпоративной сети. Для деструктивного сброса ПИН-кода требуется доступ к корпоративной сети. Дополнительные сведения о разрушительном и неразрушающем сбросе ПИН-кода см. в разделе Сброс ПИН-кода.

Да. Наш простой алгоритм PIN-кодов находит и запрещает любой PIN-код с постоянной разностью между соседними цифрами. Алгоритм подсчитывает количество шагов, необходимых для достижения следующей цифры, переполняя 10 ("ноль"). Пример:

• Пин-код 1111 имеет константную дельту (0,0,0), поэтому он не допускается.
• ПИН-код 1234 имеет константную дельту (1,1,1), поэтому он не допускается.
• ПИН-код 1357 имеет константную дельту (2,2,2), поэтому он не допускается.
• Пин-код 9630 имеет константную дельту (7,7,7), поэтому он не допускается.
• ПИН-код 1593 имеет константную дельту (4,4,4), поэтому он не допускается.
• Пин-код 7036 имеет константную разницу (3,3,3), поэтому он не допускается.
• ПИН-код 1231 не имеет константную дельту (1,1,2), поэтому он разрешен
• ПИН-код 1872 не имеет константную дельту (7,9,5), поэтому он разрешен

Эта проверка предотвращает повторение чисел, последовательных чисел и простых шаблонов. Это всегда приводит к выводу списка из 100 запрещенных ПИН-кодов (независимо от длины ПИН-кода). Этот алгоритм не применяется к буквенно-цифровым ПИН-кодам.

Чтобы помочь корпорации Майкрософт правильно работать, выявлять и предотвращать мошенничество, а также продолжать улучшать Windows Hello, собираются диагностические данные о том, как люди используют Windows Hello. Пример:

• Данные о том, входят ли пользователи с лицом, радужной оболочкой глаза, отпечатком пальца или ПИН-кодом
• Количество раз, когда он используется
• Работает ли это или нет. Все это ценная информация, которая помогает Корпорации Майкрософт создавать лучший продукт. Данные псевдонимизированы, не включают биометрические данные и шифруются перед их передачей в корпорацию Майкрософт. Вы можете прекратить отправку диагностических данных в корпорацию Майкрософт в любое время. Дополнительные сведения о диагностических данных в Windows.

Нет. Отказ от паролей обеспечивается постепенным сокращением частоты использования пароля. В ситуациях, когда вы не можете пройти проверку подлинности с помощью биометрии, вам нужен резервный механизм, который не является паролем. ПИН-код является резервным механизмом. Отключение или скрытие поставщика учетных данных ПИН-кода приведет к отключению использования биометрии.

Несанкционированный пользователь не сможет использовать какие-либо биометрические параметры и будет иметь единственную возможность ввести ПИН-код.

Если пользователь пытается разблокировать устройство, вводя случайные ПИН-коды, после трех неудачных попыток поставщик учетных данных отобразит следующее сообщение: Вы несколько раз ввели неправильный ПИН-код. Чтобы повторить попытку, введите A1B2C3 ниже. После ввода заверяемой фразы A1B2C3 пользователю будет предоставлена еще одна возможность ввести ПИН-код. В случае неудачи поставщик будет отключен, в результате чего у пользователя будет единственный вариант перезагрузки устройства. После перезагрузки указанный выше шаблон повторяется.

Если неудачные попытки продолжатся, устройство перейдет в состояние блокировки в течение 1 минуты после первой перезагрузки, 2 минуты после четвертой перезагрузки и 10 минут после пятой перезагрузки. Продолжительность каждой блокировки увеличивается соответственно. Это поведение является результатом функции защиты от молотка доверенного платформенного модуля 2.0. Дополнительные сведения о функции защиты от молотка доверенного платформенного модуля см. в разделе Защита от молотка TPM 2.0.

Да. Вы можете использовать локальное развертывание Windows Hello для бизнеса и объединить его с поставщиком MFA сторонних поставщиков, для которых не требуется подключение к Интернету для развертывания Windows Hello для бизнеса.

Максимальное число поддерживаемых регистраций на одном устройстве — 10. Это позволяет 10 пользователям регистрировать свое лицо и до 10 отпечатков пальцев. Для устройств с более чем 10 пользователями или для пользователей, которые входят на многие устройства (например, технический специалист службы поддержки), рекомендуется использовать ключи безопасности FIDO2.

Нет. Если в вашей организации используются облачные службы Майкрософт, необходимо использовать модель гибридного развертывания. Локальные развертывания предназначены исключительно для организаций, которым требуется больше времени, прежде чем перейти в облако, и они используют исключительно Active Directory.

Список атрибутов, которые синхронизируются на основе сценариев, см. в статье Microsoft Entra Connect Sync: атрибуты, синхронизированные с идентификатором Microsoft Entra . Базовыми сценариями, включающими Windows Hello для бизнеса, являются сценарий Windows 10 и сценарий обратной записи устройств . Ваша среда может содержать другие атрибуты.

Да, если вы используете федеративное гибридное развертывание, вы можете использовать любой сервер, не относящийся к корпорации Майкрософт, который предоставляет адаптер MFA AD FS. Список адаптеров MFA, отличных от Майкрософт, можно найти здесь.

Windows Hello для бизнеса работает с любыми серверами федерации сторонних поставщиков, которые поддерживают протоколы, используемые во время подготовки.

Windows Hello для бизнеса не предназначен для работы с локальными учетными записями.

Дополнительные сведения см. в статье Требования к биометрическим данным Windows Hello .

Ношение маски для регистрации является проблемой безопасности, так как другие пользователи, одетые в аналогичную маску, могут иметь возможность разблокировать ваше устройство. Удалите маску, если вы носите ее при регистрации или разблокировке с помощью проверки подлинности лица Windows Hello. Если ваша рабочая среда не позволяет временно удалить маску, рекомендуется отменить регистрацию от проверки подлинности лица и использовать только ПИН-код или отпечаток пальца.

Пользователю будет предложено настроить ключ Windows Hello для бизнеса на зарегистрированных устройствах Microsoft Entra, если эта функция включена политикой. Если у пользователя есть контейнер Windows Hello, ключ Windows Hello для бизнеса будет зарегистрирован в этом контейнере и будет защищен с помощью существующих жестов.

Если пользователь вошел в зарегистрированное устройство Microsoft Entra с помощью Windows Hello, его ключ Windows Hello для бизнеса будет использоваться для проверки подлинности рабочего удостоверения пользователя при попытке использовать ресурсы Microsoft Entra. Ключ Windows Hello для бизнеса соответствует требованиям многофакторной проверки подлинности Microsoft Entra (MFA) и сокращает количество запросов MFA, которые пользователи увидят при доступе к ресурсам.

Microsoft Entra может зарегистрировать присоединенное к домену устройство. Если устройство, присоединенное к домену, имеет удобный ПИН-код, вход с помощью удобного ПИН-кода больше не будет работать. Эта конфигурация не поддерживается Windows Hello для бизнеса.

Дополнительные сведения см. в разделе Зарегистрированные устройства Microsoft Entra.

Windows Hello для бизнеса — это функция платформы Windows.

Нет, доменные службы Microsoft Entra — это отдельная управляемая среда в Azure, и регистрация гибридного устройства с помощью облачного идентификатора Microsoft Entra не доступна через Microsoft Entra Connect. Таким образом, Windows Hello для бизнеса не работает с доменными службами Microsoft Entra.

Windows Hello для бизнеса — это двухфакторная проверка подлинности, основанная на наблюдаемых факторах проверки подлинности: то, что у вас есть, что-то известное и что-то, что является частью вас. В Windows Hello для бизнеса используется два из этих факторов: что-то, что у вас есть (закрытый ключ пользователя, защищенный модулем безопасности устройства) и что-то, что вы знаете (ваш PIN-код). Имея соответствующее оборудование, вы можете повысить комфорт своих пользователей, добавив биометрические данные. Используя биометрические данные, вы можете заменить фактор проверки подлинности "то, что вы знаете" на фактор "то, что является частью вас", с гарантией того, что пользователи могут вернуться к "что-то, что вы знаете фактор".

Оба типа проверки подлинности обеспечивают одинаковую безопасность; один из них не более защищен, чем другой. Модели доверия развертывания определяют способ проверки подлинности в Active Directory. Доверие к ключу и сертификату используют одни и те же двухфакторные учетные данные с аппаратной поддержкой. Разница между двумя типами доверия заключается в выдаче сертификатов конечной сущности:

• Модель доверия к ключам выполняет проверку подлинности в Active Directory с помощью необработанного ключа. Для доверия к ключу не требуется сертификат, выданный предприятием, поэтому вам не нужно выдавать сертификаты пользователям (сертификаты контроллера домена по-прежнему необходимы).
• Модель доверия сертификатов выполняет проверку подлинности в Active Directory с помощью сертификата. Поэтому необходимо выдавать сертификаты пользователям. Сертификат, используемый в сертификате доверия, использует закрытый ключ, защищенный TPM, для запроса сертификата из выдающего ЦС предприятия.

Удобный ПИН-код обеспечивает более простой способ входа в Windows, чем пароли, но он по-прежнему использует пароль для проверки подлинности. Если в Windows указан правильный удобный ПИН-код, сведения о пароле загружаются из кэша и проходят проверку подлинности пользователя. Организациям, использующим удобные ПИН-коды, следует перейти на Windows Hello для бизнеса. Новые развертывания Windows должны развертывать Windows Hello для бизнеса, а не удобные ПИН-коды.

Нет. Хотя можно задать удобный ПИН-код на устройствах, присоединенных к Microsoft Entra, и устройствах с гибридным присоединением к Microsoft Entra, удобный ПИН-код не поддерживается для учетных записей пользователей Microsoft Entra (включая синхронизированные удостоверения). Удобный ПИН-код поддерживается только для локальных пользователей Active Directory и пользователей локальных учетных записей.

Windows Hello для бизнеса — это современная двухфакторная проверка подлинности для Windows. Клиентам, использующим виртуальные смарт-карты, настоятельно рекомендуется перейти на Windows Hello для бизнеса.

Список необходимых URL-адресов см. в статье Microsoft 365 Common и Office Online.

Если в вашей среде используется Microsoft Intune, см . раздел Сетевые конечные точки для Microsoft Intune.

Да, вы можете использовать внешнюю камеру, совместимую с Windows Hello, если на устройстве есть внутренняя камера Windows Hello. При наличии обеих камер внешняя камера используется для проверки подлинности лиц. Дополнительные сведения см. в статье «ИТ-средства поддержки Windows 10 версии 21H1». Если включена служба ESS, см. статью Расширенная безопасность входа в Windows Hello.

Некоторые ноутбуки и планшеты с закрывающимися клавиатурами могут не использовать внешнюю камеру, совместимую с Windows Hello, или другие аксессуары, совместимые с Windows Hello, если компьютер закреплен с закрытой крышкой. Проблема устранена в Windows 11 версии 22H2.

Учетным данным Windows Hello для бизнеса требуется доступ к состоянию устройства, которое недоступно в режиме частного браузера или режиме инкогнито. Поэтому его нельзя использовать в режиме частного браузера или инкогнито.

Вы можете использовать многофакторную разблокировку , чтобы требовать от пользователей предоставления дополнительного фактора для разблокировки устройства. Проверка подлинности остается двухфакторной, но прежде чем Windows предоставит пользователю доступ к рабочему столу, необходимо предоставить дополнительный фактор проверки. Дополнительные сведения см. в разделе Многофакторная разблокировка.

Доверие Kerberos в облаке Windows Hello для бизнеса — это модель доверия, которая позволяет развертывать Windows Hello для бизнеса с помощью инфраструктуры, представленной для поддержки входа с помощью ключа безопасности на устройствах с гибридным присоединением к Microsoft Entra и локальном доступе к ресурсам на устройствах, присоединенных к Microsoft Entra. Облачная модель доверия Kerberos — это предпочтительная модель развертывания, если вам не требуется поддержка сценариев проверки подлинности сертификатов. Дополнительные сведения см. в статье Развертывание доверия в облаке Kerberos.

Эта функция не работает в чисто локальной среде доменных служб AD.

Windows Hello for Business Cloud Kerberos trust ищет записываемый контроллер домена для обмена частичным TGT. При наличии по крайней мере одного записываемого контроллера домена на сайт будет работать вход с облачным доверием Kerberos.

Windows Hello для бизнеса доверия Kerberos в облаке требует прямой видимости для контроллера домена, когда:

• пользователь впервые входит в систему или разблокирует windows Hello для бизнеса после подготовки.
• попытка доступа к локальным ресурсам, защищенным Active Directory

Доверие Kerberos в облаке Windows Hello для бизнеса нельзя использовать в качестве предоставленных учетных данных с помощью RDP/VDI. Как и доверие к ключам, для RDP можно использовать облачное доверие Kerberos, если сертификат зарегистрирован в Windows Hello для бизнеса для этой цели. В качестве альтернативы рассмотрите возможность использования Remote Credential Guard , для которого не требуется развертывание сертификатов.

Нет, только число, необходимое для обработки нагрузки со всех облачных устройств доверия Kerberos.

В гибридном развертывании открытый ключ пользователя должен синхронизироваться с Идентификатором Microsoft Entra с Active Directory, прежде чем его можно будет использовать для проверки подлинности на контроллере домена. Эта синхронизация обрабатывается Microsoft Entra Connect и выполняется в течение обычного цикла синхронизации.

Протокол удаленного рабочего стола (RDP) не поддерживает использование проверки подлинности на основе ключа в качестве предоставленных учетных данных. Однако вы можете развернуть сертификаты в модели доверия ключей, чтобы включить протокол RDP. Дополнительные сведения см. в статье Развертывание сертификатов для пользователей с ключевым доверием для включения RDP. В качестве альтернативы рассмотрите возможность использования Remote Credential Guard , для которого не требуется развертывание сертификатов.