Управление функцией Windows Hello для бизнеса в организации. Хелло виндовс


Windows Hello настройка: детальная инструкция

Windows Hello – это новое слово в защите компьютера или портативного устройства от взлома. Технология представляет собой средство биометрической авторизации пользователя, то есть для входа в систему будут использоваться присущие только этому человеку биологические данные вместо ввода пароля. Поддерживают функцию все версии Windows 10. Имея достаточно широкое распространение на мобильных устройствах, технология авторизации посредством биологических данных не получила большой популярности даже среди корпоративных клиентов. Возможно Microsoft удастся исправить ситуацию.

Принцип работы технологии

Под биологическими данными в Hello подразумевается использование уникального отпечатка пальца или алгоритма распознания лица/радужной оболочки глаза. В первом случае понадобится сканер отпечатков пальцев, а во втором – видеокамера, причем вход в учетную запись осуществляется сразу после того, как пользователь очутится в поле ее зрения. Полученное с камеры изображение анализируется и разбивается на множество точек. Путем их сопоставления и группировки формируются уникальные черты лица. После получения схемы точного расположения ключевых точек массиву назначается специальный тег. На экране блокировки входа, в случае с использованием камеры, она постоянно сканирует изображение, анализирует и сравнивает его с образцовым. При совпадении ключевых параметров Hello осуществит автоматический вход в систему.

Что с конфиденциальностью?

Во время получения данных с датчика для входа с камеры/сканера Windows 10 создает график, который обрабатывается специальным образом и шифруется системой. Отпечатки пальцев, снимка радужной оболочки или лица, по утверждению Microsoft, на компьютере не хранятся и, тем более, не отправляются на их серверы.

Верить этому утверждению можно с очень большими подозрениями. Единственное, что отсылается, — это количество входов в систему, число попыток авторизации и успешных входов в систему. Эти данные не раскрывают личности пользователя.

Ввиду того, что при создании файла для идентификации используются ключевые характеристики черт лица, очертаний радужной оболочки или отпечатка пальцев, воссоздание этих данных даже после похищения или отправки Майкрософт невозможно (обратный алгоритм работы исключен).

Запускаем инструмент

Для вызова Windows Hello воспользуемся меню «Параметры».

Записи

Для использования возможности авторизации посредством сканирования биологических данных необходимо задать пароль для входа в учетную запись, если он не установлен.

  • В разделе «ПИН-код» жмем «Добавить» и вводим желаемый пин-код.

Он необходим, так как механизм реализован на базе службы Passport.

  • Опускаемся ниже, к разделу «Отпечаток пальца» и жмем «Добавить» или «Добавить иной».

Добавление

Откроется окно Windows Hello с приветствием и предложением персонализировать свое устройство, сделав его уникальным и более безопасным путем авторизации при помощи отпечатка пальца, а не ввода пароля.

  • Кликаем «Начать».

Setup

  • Вводим заданный ранее Пин-код и жмем «Enter».

Проверка

  • Проводим сканирование отпечатка пальца несколько раз.

Вход

Настройка входа в аккаунт Windows 10 завершена. При следующей авторизации программа входа в учетную запись попросит приложить палец к сканеру.

  • Жмем «Закрыть» для завершения настройки Hello.

При наличии камеры после клика по кнопке «Начать» в разделе следует несколько секунд неподвижно находиться перед объективом.

Фотография

После завершения настройки Windows Hello также закрываем окно и тестируем технологию, завершив текущий сеанс. На протяжении нескольких секунд система осуществит вход в вашу учетную запись.

(Visited 11 475 times, 1 visits today)

windowsprofi.ru

Как работает Windows Hello и как ее включить?

Подробности апреля 13, 2018 Просмотров: 3226 Windows Hello

Хотите безопасно войти в свой компьютер без пароля? Встречайте Windows Hello. Технология футуристического входа в Windows добавляет биологическую аутентификацию на ваш компьютер, что приводит к более быстрому, безопасному и простому входу в систему. Попрощайтесь с тратой времени на ввод пароля с клавиатуры.

Давайте выясним, как работает Windows Hello и как начать работу?

 

Что такое Windows Hello и для чего он нужен?

Десять лет назад биометрические сканеры были научной фантастикой. Сегодня вход в компьютер под управлением Windows с помощью только вашего лица, глазного яблока или отпечатка пальца является реалистичной для потребителя. Windows Hello избавляет пользователей от утомительного ввода пароля для входа в систему. Начнем с основ.

Кто может использовать Windows Hello? Почти все, кто установил последнее обновление Windows 10! Оборудование необходимое для биологической аутентификации поставляется со многими современными компьютерами. Но даже со старыми системами несколько периферийных устройств - за небольшие деньги – позволят вам использовать Windows Hello.

Какой тип аутентификации используется? Вам нужен только один из трех методов проверки подлинности: распознавание лица, отпечаток пальца или сетчатка глаза. Но прежде чем выбирать тип проверки подлинности, узнайте, поддерживает ли ваш компьютер Windows Hello.

 

Как проверить, поддерживает ли ваш компьютер Windows Hello

Требования просты: вам необходимо обновить Windows 10 Anniversary Update (AU), а также купить сканер радужной оболочки глаза, сканер отпечатков пальцев или специальную инфракрасную 3D-камеру.

Вы можете проверить, поддерживает ли ваш компьютер Windows Hello, перейдя в «Настройки»> «Учетные записи»> «Параметры входа».

поддерживает ли ваш компьютер Windows Hello

По состоянию на апрель 2018 года только несколько мобильных устройств, таких как Nokia Lumia 2 XL, включают в себя сканирование радужной оболочки глаза (на сайте Microsoft есть список совместимых устройств). Если Windows Hello недоступна, вы увидите сообщение, в котором говорится: «Windows Hello недоступна на этом устройстве».

Если оно недоступно, вы можете приобрести периферийное устройство, которое добавит функциональность Windows Hello в вашу систему. Из этих дополнительных устройств существует два типа биометрической аутентификации. Для получения дополнительной информации см. Раздел ниже: «Windows Hello недоступен на этом устройстве».

 

Как включить Windows Hello

Если у вас есть совместимая система, ее легко настроить. Под заголовком «Распознавание лиц» нажмите «Настроить». (Если ваш компьютер использует сканирование отпечатков пальцев, вы должны выбрать «Настроить» под заголовком «Отпечаток пальца»).

Чтобы настроить распознавание лиц, Windows снимает трехмерное изображение, близкое к инфракрасному. Она учитывает такие вещи, как волосы и очки, поэтому вам может потребоваться сделать несколько снимков для калибровки механизма распознавания.

Я обнаружил, что даже носить капюшон или причесать волосы по-другому может помешать вам войти в систему. В этом случае вам просто нужно будет перепечатать ваш пароль.

 

Динамическая блокировка Windows Hello

Еще одна замечательная особенность Windows Hello - это динамическая блокировка. Это можно сделать с помощью сопряженного Bluetooth-устройства (возможно, смартфона). После сопряжения, если сопряженное устройство выходит из диапазона Bluetooth, компьютер блокируется.

Bluetooth и другие устройства

Чтобы использовать динамическую блокировку, сначала поместите смартфон или планшет в режим сопряжения Bluetooth, а затем войдите в настройки Bluetooth в Windows. Самый простой способ попасть туда – открыть поиск Windows и ввести Bluetooth.

Выберите «Bluetooth и другие устройства». Затем выберите «Добавить Bluetooth или другое устройство». Когда будет предложено выбрать устройство, выберите Bluetooth.

Добавить Bluetooth или другое устройство

Вы должны увидеть свое устройство, указанное здесь. Выберите его и инициируйте процесс сопряжения. После того, как он спарен, вы можете вернуться к настройкам Windows Hello и настроить динамическую блокировку.

 

«Windows Hello недоступна на этом устройстве»

Windows Hello недоступна на этом устройстве

Если Windows Hello не работает, скорее всего, ваше оборудование несовместимо. Это означает, что вашей системе не хватает сканирования радужной оболочки глаза, сканирования отпечатков пальцев или инфракрасной 3D-камеры. К сожалению, сканер радужной оболочки глаза на данный момент еще не поступил в открытую продажу.

 

Добавьте сканер отпечатков пальцев в Windows 10

Самый дешевый и самый безопасный вариант - сканер отпечатков пальцев. Сканеры отпечатков пальцев распознают уникальную топографию кончика пальца или большого пальца. Все сканеры делают одно и то же, они все функционально идентичны.

сканер отпечатков пальцев

Устройство подключается к USB-порту, и после завершения установки драйверов пользователю необходимо настроить свой отпечаток пальца в Windows. С этого момента вы можете войти в свой компьютер одним касанием.

Существуют также две альтернативы USB сканеру. Microsoft выпускает биометрический сканер в сочетании с клавиатурой.

биометрический сканер в сочетании с клавиатурой

В дополнение к клавиатуре скоро появятся мыши со встроенными сканерами. К сожалению, те, что я видел на Amazon, не совместимы с Windows Hello.

В целом, сканер отпечатков пальцев обеспечивает наилучшую безопасность. В то время как камера распознавания лиц может работать и как веб-камера, но она, как правило, дороже и имеет вероятность ложной аутентификации.

Это также самый дешевый способ работы Windows Hello.

  Купить сканер отпечатков пальцев для Windows Hello на AliExpress.com

 

Добавьте камеру распознавания лиц

Сканеры распознавания лиц выпускаются в нескольких разных моделях. Веб-камеры, совместимые с Windows Hello, включают продукты от Logitech, Microsoft и т. д. Из них наименее дорогим является веб-камера Mouse или LilBit (у которой нет микрофона).

На рынке high-end существует несколько вариантов. Однако, на мой взгляд, цены Razer Stargazer чрезвычайно завышены.

Веб-камера deluxe Brio от Logitech включает в себя поддержку Windows Hello и шумоподавляющие микрофоны. Однако ее стоимость выходит за рамки большинства бюджетов. И отзывы о ней не были замечательными.

 

Насколько безопасной и приватной является Windows Hello?

Согласно политике конфиденциальности Microsoft, ваша конфиденциальность защищена двумя способами:

Во-первых, если вы используете аутентификацию отпечатка пальца или распознавания лиц, Microsoft не передает (по их словам) необработанные данные вашего отпечатка или фотографии через Интернет.

Фактически, она даже не сохраняет исходные данные. Вместо того, чтобы хранить отпечаток пальца или фотографию, Windows создает цифровую абстракцию. Эта информация не распознается людям и может быть интерпретирована только машиной.

Во-вторых, хотя некоторые пользовательские данные передаются через Интернет, они зашифровываются, поэтому их нельзя перехватить с помощью атак типа «человек в середине». Шифрование довольно сильное, поэтому даже если оно было перехвачено, злоумышленник получит доступ только к хэшу данных.

В конце концов, если вы доверяете Microsoft, и обеспокоены тем, что биометрическая информация может быть использована против вас преступниками, Windows Hello может считаться безопасной. Если вы обеспокоены тем, что Microsoft может использовать ваши данные для получения прибыли, держитесь подальше от Windows Hello. Однако, если вас это не касается, нет ничего по своей сути дефектного в том, как Microsoft хранит и передает ваши данные.

 

Стоит ли использовать Windows Hello?

Для пользователей настольных систем Windows Hello - это самый простой способ входа в ваш компьютер. Даже если у вас нет оборудования для биометрической аутентификации, его можно добавить, купив недорогой сканер отпечатков пальцев.

Для большинства пользователей я рекомендую именно сканер отпечатков пальцев. Они крошечные и подключаются к USB-портам, что делает их совместимыми практически со всеми компьютерами.

Читайте также

 

 

 

 

juice-health.ru

Что такое Windows Hello? Как включить и настроить Windows Hello?

Что такое Windows Hello? Как включить и настроить Windows Hello?

  • Пока мало кому известна программа Windows Hello. Это новшество от Microsoft которое предназначено, чтобы обезопасить личные данные пользователя. Программа будет теперь выпускаться совместно под управлением операционной системы Windows 10. Пользователи у которых на устройствах установлена программа Windows Hello теперь могут входить в компьютер при помощи лица (если точнее, то сетчатки глаза) и по отпечатку пальца. При этом пароли на компьютер можно теперь и не устанавливать можно войти в систему при помощи их двух предметов. Но это по вашему усмотрению, можно устанавливать это новшество, а можно и не устанавливать, в зависимости от важности ваших персональных данных (хотя каждый желает защитить свой компьютер от проникновения сторонних лиц) и на мой взгляд - это отличное решение. Если у вас есть Windows Hello, то включить программу можно следующим образом переходите: пуск - параметры - учетные записи - параметры входа и выбираете каким образом вы собираетесь входить в Виндовс.

    Что такое Windows Hello? Как включить и настроить Windows Hello?
  • Компания Microsoft (Микро мягких) не стоит на месте и продолжает удивлять общественность своими новыми системами доступами и девайсами. Из такого же разряда и Windows Hello - это утилита / программа, которая работает на ОС Win 10. Ее основная задача идентификация владельца ноутбука, планшета и т.п. посредством сканирования отпечатка пальца или сетчатки глаза. Да, да, технологии обыгранные в фильмах уже в домах обычных пользователей.

    Чтобы настроить Windows Hello нужно выполнить ряд действий, описанных ниже:

    Что такое Windows Hello? Как включить и настроить Windows Hello?

  • Windows Hello -это новшество, которое введено для защиты данных и безопасности информации для пользователей Windows 10. Все у кого установлена именно эта операционная система, теперь смогут входить в систему при помощи распознавания отпечатков их пальцев или же quot;фейсаquot;(лица или радужной оболочки глаз).

    Распознавание отпечатков пальцев будет на всех компьютерах , на которых есть считыватель для этого.

    А вот для распознавания лица потребуется дополнительно купить 3D-камеру , которая способна распознавать лица.

    Включить это программное обеспечение можно , зайдя в меню.Нажимаем quot;Пускquot; ,quot;Параметрыquot; ,quot;Учетные записиquot;, quot;Параметры входаquot; .

    И потом вы сможете входить , всего лишь проведя пальцем или долгим взглядом по экрану вашего компьютера.Очень удобно и более надежно.

  • Windows Hello является приложением Windows 10. Оно предназначено для защиты персональных данных. Для его использования необходимы сканер отпечатков пальцев или радужной оболочки глаза.

    При использовании функции Windows Hello для доступа к устройству не требуется ввод пароля. Вам необходимо просто провести пальцем по сканеру, но это и очень надежный способ, т.к. отпечатки пальцев индивидуальны.

    Как настроить Windows Hello?

    Через меню quot;Пускquot; выбираем quot;Параметрыquot;. После quot;Учетные записиquot; - quot;Параметры входаquot;.

    Там и задаем параметры входа с помощью Windows Hello.

  • Windows Hello - это специальный вход повышенной защиты на ваш компьютер. Для того, чтобы подключить его у вас на компьютере должен быть сканер отпечатков пальцев или специальная камера. Настроить функцию можно в параметрах входа в настройках.

  • quot;Windows Helloquot; - это дополнительная опция, которая поможет создать более наджную защиту устройства с операционной системой Windows 10 от несанкционированного доступа к нему посторонних лиц. Правда, для функционирования данной программы необходимо будет наличие на компьютере специального устройства-сканера, позволяющего идентифицировать отпечатки пальцев, либо, что ещ круче, камеры, способной quot;узнаватьquot; своего законного владельца, что называется, в лицо.

  • Windows Hello используется для защиты персональных данных, это биометрическая аутентификация, для которой необходим, например, отпечаток пальца или снимок радужки глаза. Для этого будут нужны дополнительные датчики. Это высшая степень безопасности, она может использоваться в крупных компаниях.

    Что такое Windows Hello? Как включить и настроить Windows Hello?

  • Windows Hello это особый персонализированный вход на устройства, где установлен Windows 10. Чтобы включить данную функцию необходимо перейти в меню quot;Пускquot;, далее quot;Параметрыquot;, quot;Учетные записиquot; и quot;Параметры входаquot;. Здесь можно включить эту функцию.

    Функция полезна только для тех у кого на компьютере есть сканер отпечатков пальцев или камера, поддерживающая quot;эутquot; функцию.

  • Windows Hello - это супер защитник Вашего компьтера. Благодаря этой программе не нужно будет вводить пароль, а достаточно будет Вашего прикосновения рук, по отпечаткам пальцев программа будет узнавать Вас. Но нужно дополнительное оснащение.

  • Новая программа от Майкрософт Windows Hello, которым можно пользоваться тем у кого установлена программа виндовс10. Данная программа предназначена для входа в ПК и заменяет пароль. Теперь по этой программе вместо пароли будет достаточно подвести свой палец для сканирования отпечатка или лицо, с лица сканируется радужная оболочка глаза.

    Что такое Windows Hello? Как включить и настроить Windows Hello?

  • info-4all.ru

    Управление проверкой личности с помощью Windows Hello для бизнеса

    Делимся с вами обзорным материалом про службу Windows Hello, обеспечивающую двухфакторную проверку на Windows 10. Также вы узнаете, чем она будет полезна для крупных компаний, почему стоит выбирать PIN-код, а не пароль и как её настроить.

    Windows Hello — что это и зачем?

    В Windows 10 служба Windows Hello для бизнеса заменяет пароли на строгую двухфакторную проверку подлинности на компьютерах и мобильных устройствах. Она заключается в создании нового типа учетных данных пользователя в привязке к устройству, использовании биометрических данных или PIN-кода.

    В первых версиях Windows 10 были службы Microsoft Passport и Windows Hello, которые обеспечивали многофакторную проверку подлинности. Чтобы упростить развертывание и расширить возможности поддержки, Microsoft объединила эти технологии в единое решение — Windows Hello. Если вы уже выполнили развертывание этих технологий, то вы не заметите никаких изменений в функционировании служб. Для тех, кому еще предстоит оценить работу Windows Hello, выполнить развертывание будет гораздо проще благодаря упрощенным политикам, документации и семантике.

    Служба Hello призвана решать типичные проблемы пользователей, возникающие при работе с паролями:

    • Пароли могут быть трудны для запоминания, и пользователи часто повторно используют пароли на нескольких сайтах.
    • Взломы сервера могут раскрывать симметричные сетевые учетные данные.
    • Пароли могут подлежать атакам с повторением пакетов.
    • Пользователи могут непреднамеренно предоставить свой пароль вследствие фишинга.
    Hello позволяет выполнить проверку подлинности учетной записи Microsoft, учетной записи Active Directory, учетной записи Microsoft Azure Active Directory (Azure AD) и службы поставщика удостоверений или службы проверяющей стороны, которые поддерживают проверку подлинности Fast ID Online (FIDO) v2.0.

    После начальной двухэтапной проверки при регистрации на вашем устройстве настраивается служба Hello, и вы сами устанавливаете жест, который может быть как биометрическим, например отпечатком пальца, так и PIN-кодом. Далее необходимо сделать жест для проверки своего удостоверения. После этого Windows использует Hello для проверки подлинности и предоставления им доступа к защищенным ресурсам и службам.

    От имени администратора компании или общеобразовательной организации можно создать политики управления Hello для использования на устройствах под управлением Windows 10, которые подключаются к вашей организации.

    Разница между Windows Hello и Windows Hello для бизнеса

    Windows Hello предназначена для удобного и безопасного входа пользователя. Такое использование Hello обеспечивает отдельный уровень защиты, так как является уникальным для устройства, на котором настраивается, однако проверка подлинности на основе сертификатов при этом отсутствует.

    Служба Windows Hello для бизнеса, которая настраивается групповой политикой или политикой MDM, использует проверку подлинности на основе ключа или сертификата.

    В настоящее время в учетных записях Active Directory с использованием Windows Hello не поддерживается проверка подлинности на основе ключа или сертификата. Эта функция должна появиться в будущем выпуске.

    Почему PIN-код, а не пароль?

    Пароли представляют собой общие секреты, они вводятся на устройстве и передаются по сети на сервер. Перехваченные имя и пароль учетной записи могут быть использованы кем угодно. Например, учетные данные могут быть раскрыты при взломе сервера.

    В Windows 10, в процессе подготовки, служба Hello создает пару криптографических ключей, привязанных к доверенному платформенному модулю (TPM), если устройство оснащено таким модулем, или в программной реализации. Доступ к этим ключам и получение подписи для проверки того, что пользователь владеет закрытым ключом, предоставляется только при вводе PIN-кода или биометрического жеста. Двухэтапная проверка, которая происходит при регистрации в службе Hello, формирует доверительные взаимоотношения между поставщиком удостоверений и пользователем, когда открытая часть пары «открытый/закрытый ключ» отправляется поставщику удостоверений и связывается с учетной записью пользователя. Когда пользователь выполняет жест на устройстве, поставщик удостоверений определяет по комбинации ключей Hello и жеста, что это проверенное удостоверение, и предоставляет маркер проверки подлинности, с помощью которого Windows 10 получает доступ к ресурсам и службам. Кроме того, в процессе регистрации генерируется претензия по удостоверению для каждого поставщика удостоверений, чтобы криптографически подтвердить, что ключи Hello привязаны к TPM. Если претензия по удостоверению во время регистрации не выставляется поставщику удостоверений, поставщик удостоверений должен предполагать, что ключ Hello создан программно.

    Представьте, что кто-то подсматривает через ваше плечо при получении денежных средств из банкомата и видит вводимый вами PIN-код. Наличие этого PIN-кода не поможет им получить доступ к учетной записи, так как у них нет банковской карты. Аналогичным образом перехват PIN-кода для устройства не позволяет злоумышленнику получить доступ к учетной записи, так как PIN-код является локальным для конкретного устройства и не обеспечивает никакого типа проверки подлинности с любого другого устройства.

    Hello как раз позволяет защищать удостоверения и учетные данные пользователей. Так как пароли не используются, фишинг и атаки методом подбора становятся бесполезными. Эта технология позволяет также предотвратить взломы серверов, так как учетные данные Hello являются асимметричной парой ключей, что предотвращает атаки с повторяющимися пакетами, так как эти ключи защищены доверенными платформенными модулями (TPM).

    Также можно использовать устройства с Windows 10 Mobile в качестве удаленных учетных данных при входе на ПК под управлением Windows 10. В процессе входа в систему ПК под управлением Windows 10 он может подключаться и получать доступ к Hello на вашем устройстве под управлением Windows 10 Mobile по Bluetooth. Поскольку мы всегда носим с собой телефон, Hello позволяет гораздо проще реализовать двухфакторную проверку подлинности.

    Функция входа через телефон в данный момент доступна только отдельным участникам программы принятия технологий (TAP).

    Так как же PIN-код помогает защитить устройство лучше, чем пароль?
    Преимущества PIN-кода в сравнении с паролем связаны не с его структурой (длиной и сложностью), а с принципом работы.

    1. PIN-код привязан к устройству. Злоумышленник, получивший доступ к паролю, может войти в учетную запись с любого устройства, но в случае кражи PIN-кода вход в учетную запись будет невозможен без доступа к соответствующему устройству.

    2. PIN-код хранится на устройстве локально. Пароль передается на сервер и может быть перехвачен в процессе передачи или украден с сервера. PIN-код задается на устройстве на локальном уровне, не передается и не хранится на сервере. При создании PIN-кода устанавливаются доверительные отношения с поставщиком удостоверений и создается пара асимметричных ключей, используемых для проверки подлинности. При вводе PIN-кода ключ проверки подлинности разблокируется и используется для подтверждения запроса, отправляемого на сервер для проверки подлинности.

    3. PIN-код поддерживается оборудованием. PIN-код Hello поддерживается микросхемой доверенного платформенного модуля (TPM), представляющей собой надежный криптографический процессор для выполнения операций шифрования. Эта микросхема содержит несколько механизмов физической защиты для предотвращения взлома, и вредоносные программы не могут обойти функции безопасности TPM. TPM применяется во всех телефонах с Windows 10 Mobile и во многих современных ноутбуках.

    Материал ключа пользователя создается и становится доступным в доверенном платформенном модуле (TPM) на устройстве пользователя, что защищает материал от перехвата и использования злоумышленниками. Поскольку технология Hello подразумевает использование пар асимметричных ключей, учетные данные пользователей не будут похищены в случае нарушения безопасности поставщика удостоверений или веб-сайтов, к которым пользователь осуществляет доступ.

    TPM защищает от множества известных и потенциальных атак, в том числе атак методом подбора PIN-кода. После определенного количества попыток ввода неправильного PIN-кода устройство блокируется.

    4. PIN-код может быть сложным. К PIN-коду Windows Hello для бизнеса применяется тот же набор политик управления ИТ, что и к паролю, в том числе сложность, длина, срок действия и история изменений. Несмотря на уверенность большинства пользователей в том, что PIN-код представляет собой простой код из 4 цифр, администраторы могут устанавливать для управляемых устройств политики, предполагающие уровень сложности PIN-кода, сопоставимый с паролем. Вы можете сделать обязательными или запретить специальные знаки, буквы в верхнем и нижнем регистрах, а также и цифры.

    Раздел меню настроек в котором задаются параметры PIN-кода и биометрия:

    Что произойдет в случае кражи ноутбука или телефона?
    Для нарушения безопасности учетных данных Windows Hello, защищаемых TPM, злоумышленнику нужно осуществить доступ к физическому устройству, найти способ похитить биометрические данные пользователя или подобрать PIN-код. Все это нужно сделать раньше, чем функциональный механизм защиты от взлома TPM заблокирует устройство. Для ноутбуков, не имеющих TPM, можно настроить дополнительную защиту, активировав BitLocker и ограничив количество неудачных попыток входа в систему.

    Настройка BitLocker без TPM

    С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику:

    Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Шифрование диска BitLocker → Диски операционной системы → Требовать дополнительной проверки подлинности при запуске

    В параметрах политики выберите Разрешить использование BitLocker без совместимого TPM, а затем нажмите кнопку ОК.

    Перейдите в меню Панель управления → Система и безопасность → Шифрование диска BitLocker и выберите диск с операционной системой, который требуется защитить.

    С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику: Конфигурация компьютера → Параметры Windows → Параметры безопасности → Политики учетных записей → Политика блокировки учетных записей → Пороговое значение блокировки.

    Установите допустимое количество неудачных попыток входа в систему и нажмите ОК.

    Как работает Windows Hello для бизнеса: основные положения

    1. Учетные данные службы Hello основаны на сертификате или асимметричной паре ключей и привязаны к устройству, как и маркер, получаемый с помощью учетных данных.

    2. Поставщик удостоверений (например, Active Directory, Azure AD или учетная запись Майкрософт) проверяет удостоверение пользователя и сопоставляет открытый ключ Hello с учетной записью пользователя на этапе регистрации.

    3. Ключи могут генерироваться в аппаратном (TPM 1.2 или 2.0 для предприятий и TPM 2.0 для потребителей) или программном обеспечении на основании политики.

    4. Проверка подлинности — это двухфакторная проверка с использованием сочетания ключа или сертификата, привязанного к устройству, и информации, известной пользователю PIN-код), или идентификационных данных пользователя (Windows Hello). Жест Hello не перемещается между устройствами и не предоставляется серверу. Он хранится локально на устройстве.

    5. Закрытый ключ никогда не покидает устройство. Проверяющий подлинность сервер имеет открытый ключ, который был сопоставлен с учетной записью пользователя во время регистрации.

    6. Ввод PIN-кода и биометрических жестов приводит к проверке удостоверения пользователя в Windows 10 и проверке подлинности с использованием ключей или сертификатов Hello.

    7. Личные (учетная запись Майкрософт) или корпоративные учетные записи (Active Directory или Azure AD) использует один контейнер для ключей. Все ключи разделены по доменам поставщиков удостоверений в целях обеспечения конфиденциальности пользователя.

    8. Закрытые ключи сертификатов могут быть защищены контейнером Hello и жестом Hello.

    Сравнение проверки подлинности на основе ключа и сертификата

    Для подтверждения личности служба Windows Hello для бизнеса может использовать ключи (аппаратный или программный) или сертификаты с ключами в аппаратном или программном обеспечении. Предприятия с инфраструктурой открытых ключей (PKI) для выпуска и управления сертификатами могут продолжать использовать PKI вместе со службой Hello. Предприятия, у которых нет PKI или которые хотят сократить объем работ, связанных с управлением сертификатами, могут использовать для службы Hello учетные данные на основе ключа.

    Аппаратные ключи, которые создаются модулем TPM, обеспечивают наиболее высокий уровень гарантии. При изготовлении в модуль TPM помещается сертификат ключа подтверждения (EK). Этот сертификат EK создает корневое доверие для всех других ключей, которые генерируются в этом модуле TPM. Сертификация EK используется для генерации сертификата ключа удостоверения подлинности (AIK), выданного службой сертификации Microsoft. Этот сертификат AIK можно использовать как претензию по удостоверению, чтобы доказать поставщикам удостоверений, что ключи Hello генерировались одним и тем же TPM. Центр сертификации Майкрософт (CA) генерирует сертификат AIK для каждого устройства, пользователя и IDP, чтобы гарантировать защиту конфиденциальности.

    Если поставщики удостоверений, например Active Directory или Azure AD, регистрируют сертификат в службе Hello, Windows 10 будет поддерживать тот же набор сценариев, что и смарт-карта. Если тип учетных данных представляет собой ключ, будет поддерживаться только доверие и операции на основе ключа.

    Мы постарались написать для вас подробный и понятный туториал по работе со службой Windows Hello. Если у вас остались вопросы, задавайте в комментариях.

    habr.com

    Компоненты Windows Hello для бизнеса

    • 3/5/2018
    • Время чтения: 6 мин
    • Соавторы
      • Mike Stephens
      • olprod

    В этой статье

    Рассмотрим следующие дополнительные функции, которые можно использовать после развертывания в организации Windows Hello для бизнеса.

    Условный доступ

    Требования:

    • Azure Active Directory
    • Гибридное развертывание Windows Hello для бизнеса

    В мире с преобладанием мобильных и облачных технологий Azure Active Directory позволяет осуществлять единых вход в устройства, приложения и службы из любого места. В связи с широким распространением устройств (включая собственные устройства сотрудников), сторонних приложений типа "ПО как услуга" и работы вне корпоративных сетей ИТ-специалисты сталкиваются с двумя противоположными задачами:

    • Обеспечение эффективной работы пользователей в любое время и в любом месте
    • Защита корпоративных ресурсов в любое время

    Чтобы повысить производительность, Azure Active Directory предоставляет пользователям широкий набор способов доступа к корпоративным ресурсам. Благодаря средствам управления доступом к приложениям, Azure Active Directory гарантирует, что только правильные пользователи получат доступ к вашим приложениям. Что делать, если требуется реализовать более строгий контроль за тем, каким образом правильные пользователи осуществляют доступ к вашим ресурсам при определенных условиях? Что если в вашей среде уже есть условия, при которых требуется блокировать доступ к определенным приложениям даже для допустимых пользователей? Например, вас может устраивать, если допустимые пользователи осуществляют доступ к конкретным приложениям из доверенной сети, но, тем не менее, вы не хотите, чтобы они осуществляли доступ к этим приложениям из сети, которой вы не доверяете. Эти задачи можно решить с помощью условного доступа.

    Ознакомьтесь с разделом Условный доступ в Azure Active Directory для получения дополнительных сведений об условном доступе. Затем ознакомьтесь с разделом Начало работы с условным доступом Azure Active Directory, чтобы приступить к развертыванию механизма условного доступа.

    Динамическая блокировка

    Требования:

    • Windows10 версии1703

    Динамическая блокировка позволяет настраивать автоматическую блокировку устройств с Windows 10, когда уровень сигнала Bluetooth сопряженного устройства становится ниже максимального значения индикатора силы полученного сигнала (RSSI). Настройка политики динамической блокировки выполняется с помощью групповой политики. Параметр политики находится в папке Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Windows Hello для бизнеса. Именем политики является Настройка факторов динамической блокировки.

    Когда политика активирована, редактор групповых политик создает политику правила сигнала по умолчанию со следующим значением:

    Важно!

    Корпорация Майкрософт рекомендует использовать значения по умолчанию для параметров этой политики. Измерения являются относительными и основаны на изменяющихся условиях каждой среды. Поэтому одинаковые значения могут приводить к разным результатам. Перед широким развертыванием параметра следует протестировать параметры политики в каждой среде.

    <rule schemaVersion="1.0"> <signal type="bluetooth" scenario="Dynamic Lock" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/> </rule>

    Для этого параметра политики значения атрибутов type и scenario являются статическими и их изменить нельзя. Для атрибута classofDevice значением по умолчанию является Phones и он использует значения из следующей таблицы

    Описание Значение
    Прочее 0
    Компьютер 256
    Телефон 512
    Точка доступа к сети/локальной сети 768
    Аудио/видео 1024
    Периферийные устройства 1280
    Обработка изображений 1536
    Носимые устройства 1792
    Игрушка 2048
    Работоспособность 2304
    Без категории 7936

    Значение атрибута rssiMin показывает необходимый уровень сигнала, чтобы устройство считалось "находящимся в радиусе действия". Значение по умолчанию -10 позволяет пользователю перемещаться по офису среднего размера или рабочему кабинету, и при этом Windows не будет активировать блокировку устройства. Атрибут rssiMaxDelta имеет значение по умолчанию -10. В этом случае Windows 10 будет блокировать устройство, когда уровень сигнала станет меньше 10.

    Измерения RSSI относительны и снижаются по мере уменьшения уровня сигналов Bluetooth между двумя сопряженными устройствами. Поэтому показатель равный 0 надежнее, чем -10, который, в свою очередь, надежнее, чем -60, который указывает на то, что устройства отдаляются друг от друга.

    Сброс PIN-кода

    Гибридные развертывания

    Требования:

    • Azure Active Directory
    • Гибридное развертывание Windows Hello для бизнеса
    • Современные средства управления: Microsoft Intune или совместимая система управления мобильными устройствами (MDM)
    • Удаленный сброс PIN-кода — Windows 10 версии 1703
    • Сброс PIN-кода на экране блокировки — Windows 10 версии 1709

    Службы сброса PIN-кода корпорации Майкрософт позволяют помогать пользователям, которые забыли свой PIN-код. С помощью Microsoft Intune или совместимой системы MDM можно настроить Windows 10 для безопасного использования службы сброса PIN-кода корпорации Майкрософт, которая позволяет удаленно сбросить PIN-код, а также позволяет пользователям восстановить забытый PIN-код на экране блокировки без необходимости в повторной регистрации устройства.

    Подключение службы сброса PIN-кода корпорации Майкрософт к клиенту Intune

    Перед чем можно будет удаленно сбрасывать PIN-коды, необходимо подключить службу сброса PIN-кода корпорации Майкрософт к клиенту Intune или MDM и настроить устройства, которыми вы управляете. Выполните следующие действия, чтобы произвести настройку.

    Подключение Intune к службе сброса PIN-кодов
    1. Посетите веб-сайт интеграции службы сброса PIN-кодов корпорации Майкрософти выполните вход с помощью учетной записи администратора клиента, которую вы используете для управления клиентом Intune.
    2. После входа щелкните Принять, чтобы предоставлять согласие на доступ службе сброса PIN-кода к вашей учетной записи.Страница разрешений службы сброса PIN-кода
    3. На портале Azure можно проверить, что Intune и служба сброса PIN-кода были интегрированы из корпоративных приложений — строка "Все приложения", как показано на следующем снимке экрана:Приложение службы сброса PIN-кода в Azure
    4. Войдите на этот веб-сайт, используя учетные данные администратора клиента Intune и еще раз нажмите Принять, чтобы предоставлять согласие на доступ службе к вашей учетной записи.
    Настройка использования службы сброса PIN-кода для устройств с Windows

    Чтобы настроить сброс PIN-кода на управляемых вами устройствах с Windows, используйте настраиваемую политику устройств Intune для Windows 10 для включения компонента. Настройте политику, используя следующий поставщик служб конфигурации политик Windows (CSP):

    • Для устройств - ./Device/Vendor/MSFT/PassportForWork/ИД клиента/Policies/EnablePinRecovery

    ИД клиента — это ваш идентификатор каталога в Azure Active Directory, который можно получить на странице Свойства в Azure Active Directory.

    Задайте значение для этого поставщика CSP равным True.

    Ознакомьтесь с разделом Действия для сброса пароля, чтобы удаленно сбросить PIN-код на устройстве, управляемом Intune.

    Локальные развертывания

    Требования

    • Active Directory
    • Локальное развертывание Windows Hello для бизнеса
    • Сброс PIN-кода на странице параметров — Windows 10 версии 1703
    • Сброс PIN-кода на экране блокировки — Windows 10 версии 1709

    Локальные развертывания предоставляют пользователям возможность сбрасывать забытые PIN-коды на странице параметров или на экране блокировки пользователя. Пользователи должны знать или предоставить свой пароль для прохождения проверки подлинности, выполнить идентификацию по второму фактору, а затем выполнить повторную подготовку Windows Hello для бизнеса.

    Важно!

    Чтобы сбросить свои PIN-коды, у пользователей должно быть установлено подключение между корпоративной сетью и контроллерами домена, а также сервером AD FS.

    Сброс PIN-кода на странице "Параметры"
    1. Войдите в Windows 10 версии 1703 или более поздней с помощью альтернативных учетных данных.
    2. Откройте раздел Параметры, нажмите кнопку Учетные записи и щелкните Параметры входа.
    3. В разделе PIN-код нажмите кнопку Я не помню свой PIN-код и следуйте инструкциям.
    Сброс PIN-кода на экране блокировки
    1. В Windows 10 версии 1709 нажмите кнопку Я не помню свой PIN-код на экране входа в систему Windows
    2. Введите пароль и нажмите клавишу ВВОД.
    3. Следуйте инструкциям, предоставляемым в процессе подготовки
    4. По завершении разблокируйте рабочий стол с помощью вновь созданного PIN-кода.

    Примечание

    Посетите раздел Вопросы и ответы на странице Windows Hello для бизнеса и посмотрите видео Что произойдет, если пользователь забудет свой PIN-код?.

    Привилегированные учетные данные

    Требования

    • Гибридное и локальное развертывание Windows Hello для бизнеса
    • Устройства, присоединенные к домену, или гибридные устройства, присоединенные к Azure
    • Windows10 версии1709

    Сценарий с привилегированными учетными данными позволяет администраторам выполнять административные действия с повышенными привилегиями путем регистрации как непривилегированных, так и привилегированных учетных данных на своем устройстве.

    По умолчанию Windows 10 не перечисляет всех пользователей Windows Hello для бизнеса в рамках сеанса пользователя. С помощью параметра групповой политики компьютера "Разрешить перечисление эмулированных смарт-карт для всех пользователей" можно настроить устройство для данного перечисления на отдельных устройствах.

    С помощью этого параметра пользователи с правами администратора могут осуществлять вход в Windows 10 версии 1709 с помощью непривилегированных учетных данных для Windows Hello для бизнеса с целью выполнения стандартных рабочих действий, например, для работы с электронной почтой. Однако они также могут запускать консоли управления Microsoft (MMC), клиенты служб удаленных рабочих столов и другие приложения, выбрав параметр Запуск от имени другого пользователя или Запуск от имени администратора, учетную запись привилегированного пользователя и предоставив свой PIN-код. Администраторы также могут пользоваться преимуществами этого компонента при работе с приложениями командной строки путем использования runas.exe в сочетании с аргументом /smartcard. Это позволяет администраторам выполнять свои повседневные задачи без необходимости входа в систему и выхода из нее или быстро переключаться между пользователями при попеременной работе с привилегированными и непривилегированными рабочими нагрузками.

    docs.microsoft.com

    Управление функцией Windows Hello в организации (Windows 10)

    • 10/18/2017
    • Время чтения: 7 мин
    • Соавторы
      • Dani Halfin
      • olprod

    В этой статье

    Относится к:

    • Windows10
    • Windows 10 Mobile

    Вы можете создать групповую политику или политику управления мобильными устройствами (MDM), которая внедрит функцию Windows Hello на устройства с Windows 10.

    Важно!

    Параметр групповой политики Включить вход с помощью ПИН-кода не относится к Windows Hello для бизнеса. Но он позволяет запретить или разрешить создать удобный PIN-код для Windows 10 версий 1507 и 1511.

    Начиная с версии 1607, использование Windows Hello как более удобного PIN-кода отключено по умолчанию на всех компьютерах, входящих в состав домена. Чтобы включить удобный PIN-код для Windows 10 версии 1607, включите параметр групповой политики Включение входа в систему с помощью удобного PIN-кода.

    Используйте параметры политики Сложность PIN-кода для управления PIN-кодами в Windows Hello для бизнеса.

    Параметры групповой политики для Windows Hello для бизнеса

    В приведенной ниже таблице перечислены параметры групповой политики, которые можно настроить для использования Windows Hello на рабочем месте. Эти параметры доступны в разделах Конфигурация пользователя и Конфигурация компьютера, в списках Политики > Административные шаблоны > Компоненты Windows > Windows Hello для бизнеса.

    Политика Параметры
    Использовать Windows Hello для бизнеса

    Не задано: пользователи могут подготовить Windows Hello для бизнеса к работе для шифрования пароля в домене.

    Включено: устройство подготавливает Windows Hello для бизнеса к работе с помощью ключей или сертификатов для всех пользователей.

    Отключено: устройство не подготавливает Windows Hello для бизнеса к работе для пользователей.

    Использование устройства аппаратной защиты

    Не задано: функция Windows Hello для бизнеса будет подготовлена к работе с помощью доверенного платформенного модуля, если он доступен, и с помощью программного обеспечения, если он недоступен.

    Включено: функция Windows Hello для бизнеса будет подготовлена к работе с помощью доверенного платформенного модуля.

    Отключено: функция Windows Hello для бизнеса будет подготовлена к работе с помощью доверенного платформенного модуля, если он доступен, и с помощью программного обеспечения, если он недоступен.

    Использование биометрии

    Не задано: биометрию можно использовать в качестве жеста вместо ПИН-кода.

    Включено: биометрию можно использовать в качестве жеста вместо ПИН-кода.

    Отключено: в качестве жеста можно использовать только ПИН-код.

    Сложность ПИН-кода Использование цифр

    Не задано: пользователи должны включить цифру в ПИН-код.

    Включено: пользователи должны включить цифру в ПИН-код.

    Отключено: пользователи не могут использовать цифры в ПИН-коде.

    Использование строчных букв

    Не задано: пользователи не могут использовать строчные буквы в ПИН-коде.

    Включено: пользователи должны включить в ПИН-код по крайней мере одну строчную букву.

    Отключено: пользователи не могут использовать строчные буквы в ПИН-коде.

    Максимальная длина PIN-кода

    Не задано: в ПИН-код не может быть больше 127 символов.

    Включено: в ПИН-коде не может быть больше указанного количества символов.

    Отключено: в ПИН-код не может быть больше 127 символов.

    Минимальная длина PIN-кода

    Не задано: в ПИН-коде не может быть меньше 4 символов.

    Включено: в ПИН-коде не может быть меньше указанного количества символов.

    Отключено: в ПИН-коде не может быть меньше 4 символов.

    Срок действия

    Не задано: ПИН-код действует бессрочно.

    Включено: задается срок действия ПИН-кода в днях (от 1 до 730). Чтобы ПИН-код действовал бессрочно, задайте этой политике значение 0.

    Отключено: ПИН-код действует бессрочно.

    Журнал

    Не задано: предыдущие ПИН-коды не сохраняются.

    Включено: задается количество предыдущих ПИН-кодов, связанных с учетной записью пользователя, повторное использование которых недопустимо.

    Отключено: предыдущие ПИН-коды не сохраняются.

    Примечание. Текущий ПИН-код включен в журнал ПИН-кодов.

    Использование специальных символов

    Не задано: пользователи не могут включать специальные знаки в ПИН-код.

    Включено: пользователи должны включить в ПИН-код по крайней мере один специальный знак.

    Отключено: пользователи не могут включать специальные знаки в ПИН-код.

    Использование прописных букв

    Не задано: пользователи не могут включать прописные буквы в ПИН-код.

    Включено: пользователи должны включить в ПИН-код по крайней мере одну прописную букву.

    Отключено: пользователи не могут включать прописные буквы в ПИН-код.

    >Вход на телефоне

    Использовать функцию входа на телефоне

    В настоящее время не поддерживается.

    Параметры политики MDM для Windows Hello для бизнеса

    В указанной ниже таблице представлены параметры политики управления мобильными устройствами (MDM), которые можно настроить для использования Windows Hello для бизнеса на рабочем месте. Для этих параметров политики MDM используется поставщик службы конфигурации (CSP) PassportForWork.

    Важно!

    Начиная с Windows 10 версии 1607, все устройства имеют только один PIN-код, связанный с Windows Hello для бизнеса. Это означает, что на любой PIN-код на устройстве будет распространяться действие политик, указанных в поставщике служб конфигурации PassportForWork. Указанные значения имеют приоритет перед правилами любой сложности, заданными с помощью Exchange ActiveSync (EAS) или поставщика служб конфигурации DeviceLock.

    Политика Область применения По умолчанию Параметры
    UsePassportForWork Устройство True

    True: функция Windows Hello для бизнеса будет подготовлена к работе для всех пользователей устройства.

    False: пользователи не смогут подготовить Windows Hello для бизнеса к работе.

    Примечание. Если вы включите функцию Windows Hello для бизнеса, а затем отключите ее, пользователи, которые уже настроили Windows Hello для бизнеса, смогут пользоваться ей и дальше, но не смогут настроить ее на других устройствах.

    RequireSecurityDevice Устройство False

    True: функция Windows Hello для бизнеса будет подготовлена к работе с помощью доверенного платформенного модуля.

    False: функция Windows Hello для бизнеса будет подготовлена к работе с помощью доверенного платформенного модуля, если он доступен, и с помощью программного обеспечения, если он недоступен.

    Biometrics

    UseBiometrics

    Устройство False

    True: биометрию можно использовать в качестве жеста вместо ПИН-кода для входа в домен.

    False: в качестве жеста для входа в домен можно использовать только ПИН-код.

    FacialFeaturesUser

    EnhancedAntiSpoofing

    Устройство Не задано

    Не настроено: пользователи могут выбрать, включить улучшенную защиту от подделок или нет.

    True: улучшенная защита от подделок требуется на устройствах, которые поддерживают эту функцию.

    False: пользователи не смогут включать улучшенную защиту от подделок.

    PINComplexity
    Цифры Устройство или пользователь 2

    1: использование цифр не допускается;

    2: требуется по крайней мере одна цифра.

    Строчные буквы Устройство или пользователь 1

    1: строчные буквы не разрешены;

    2: требуется по крайней мере одна строчная буква.

    Максимальная длина ПИН-кода Устройство или пользователь 127

    Максимальная длина, которую можно установить, равна 127. Максимальная длина не может быть меньше установленной минимальной.

    Минимальная длина PIN-кода Устройство или пользователь 4

    Минимальная длина, которую можно установить, равна 4. Минимальная длина не может превышать установленную максимальную.

    Срок действия Устройство или пользователь 0

    Целое число, представляющее собой период в днях, в течение которого используется ПИН-код, прежде чем для пользователя отобразится запрос о его изменении. Максимальное значение для этого параметра политики— 730. Минимальное значение для этого параметра политики — 0. Если значение этой политики равно 0, ПИН-код пользователя будет действовать бессрочно.

    Журнал Устройство или пользователь 0

    Целое число, которое определяет количество прошлых ПИН-кодов, связанных с учетной записью пользователя, повторное использование которых недопустимо. Максимальное значение для этого параметра политики— 50. Минимальное значение для этого параметра политики — 0. Если значение этой политики равно 0, предыдущие ПИН-коды не сохраняются.

    Специальные знаки Устройство или пользователь 1

    1: специальные знаки не разрешены;

    2: требуется по крайней мере один специальный знак.

    Прописные буквы Устройство или пользователь 1

    1: прописные буквы не разрешены;

    2: требуется по крайней мере одна прописная буква.

    Remote

    UseRemotePassport

    Устройство или пользователь False

    В настоящее время не поддерживается.

    Примечание

    Если политика не настроена на то, чтобы явно требовать ввода букв или специальных знаков, пользователи смогут создавать только цифровые ПИН-коды.

    Использование Windows Hello для бизнеса с Azure Active Directory

    Существует 3 сценария использования Windows Hello для бизнеса в организациях, где имеется только Azure AD.

    • Организации, использующие версию Azure AD, включенную в Office 365. Для этих организаций никакой дополнительной работы не требуется. Когда ОС Windows 10 стала общедоступной, компания Майкрософт изменила поведение стека Azure AD Office 365. Если пользователь решает присоединиться к сети на месте работы или учебы, то устройство автоматически присоединяется к разделу каталога клиента Office 365. Устройству выдается сертификат, действительный для системы управления мобильными устройствами (MDM) Office 365, если у клиента есть подписка на эту функцию. Кроме того, пользователю будет предложено выполнить вход и, если многофакторная проверка подлинности (MFA) включена, ввести подтверждение MFA, которое Azure AD отправляет на телефон пользователя.
    • Организации, использующие бесплатный уровень Azure AD. Для этих организаций компания Майкрософт не включила автоматическое присоединение домена к Azure AD. Организации, подписавшиеся на бесплатный уровень, могут включать или отключать эту функцию по своему усмотрению, т. е. автоматическое присоединение домена отсутствует, пока его не включат администраторы организации. Если эта функция включена, то устройства, которые присоединяются к домену Azure AD в диалоговом окне "Подключение к месту работы или учебы", будут автоматически зарегистрированы в Windows Hello для бизнеса, но устройства, присоединившиеся ранее, зарегистрированы не будут.
    • Организации, подписавшиеся на Azure AD Premium, имеют доступ ко всему набору функций Azure AD MDM. Эти функции включают в себя инструменты управления службой Windows Hello для бизнеса. Вы можете настроить политики для отключения или принудительного использования Windows Hello для бизнеса. Также можно сделать обязательным использование доверенного платформенного модуля (TPM) и контролировать длину и надежность ПИН-кодов, созданных на устройстве.

    Если вы хотите использовать Windows Hello для бизнеса с сертификатами, вам потребуется система регистрации устройств. Это означает, что вы должны настроить Configuration Manager, Microsoft Intune или совместимую стороннюю систему MDM и разрешить регистрацию устройств. Это обязательное предварительное условие использования Windows Hello для бизнеса с сертификатами, независимо от поставщика удостоверений (IDP), поскольку система регистрации должна подготавливать устройства с необходимыми сертификатами.

    Статьи по теме

    docs.microsoft.com

    Что такое Windows Hello (система биометрической безопасности)?

    Windows Hello

    Microsoft объяснила что такое Windows Hello (система биометрической безопасности)?

    Windows Hello предоставляет пользователям Windows 10 альтернативный способ входа в свои устройства и приложения с использованием отпечатка пальца, диафрагмы или распознавания лиц. Вот что делает технология, которая использует ее и необходимое оборудование.

    Windows Hello - это технология на основе биометрии, которая позволяет пользователям операционной системы Windows (Windows 10) аутентифицировать безопасный доступ к своим устройствам, приложениям, онлайн-сервисам и сетям с помощью всего лишь отпечатка пальца, сканирования диафрагмы или распознавания лиц. Механизм входа в систему, по сути, является альтернативой паролям и широко рассматривается как более удобный, безопасный и надежный способ доступа к критическим устройствам, услугам и данным, чем традиционные логины с использованием паролей.

    «Windows Hello решает несколько проблем: безопасность и неудобства», - сказал Патрик Мурхед (Patrick Moorhead), президент и главный аналитик Moor Insights & Strategy. «Традиционные пароли небезопасны, поскольку их трудно запомнить, и поэтому люди либо выбирают легко угадываемые пароли, либо записывают свои пароли».

    Люди нередко используют один и тот же пароль (или варианты) для нескольких сайтов и приложений. Windows Hello и другие функции биометрической аутентификации, такие как идентификатор лица Apple или Touch ID, предназначены для того, чтобы предлагать альтернативу паролям, которые являются уникальными и более безопасными, поскольку они полагаются на технологии, которые сложнее сломать.

    Как работает Windows Hello

    Windows Hello ограничивает поверхность атаки для Windows 10, устраняя необходимость в паролях и других методах, при которых идентификаторы, скорее всего, будут украдены. «Windows Hello позволяет пользователю аутентифицировать учетную запись Microsoft или службу, отличную от Microsoft, которая поддерживает Fast Identity Online (FIDO), если пользователь настроил жест», например, лицевое сканирование, сканирование диафрагмы или отпечаток пальца для входа в устройство. Аноош Сабури, старший менеджер по программам, возглавляет Microsoft.

    «Windows Hello использует 3D-структурированный свет для создания модели лица кого-то, а затем использует методы защиты от спуфинга, чтобы ограничить успех людей, создающих поддельную голову или маску для подмены системы», - сказал Мурхед.

    Пользователи Windows 10 могут настроить Windows Hello в параметрах входа в настройки учетной записи. Для начала пользователям необходимо установить сканирование лица, диафрагму или отпечаток пальца, но они всегда могут улучшить эти сканирование и добавлять или удалять дополнительные отпечатки пальцев. После настройки взгляд на их устройство или сканирование пальца откроет доступ к учетным записям Microsoft, основным приложениям и сторонним приложениям, использующим API.

    «Приняв спецификацию FIDO, партнеры будут поставлять дифференцированные и инновационные вспомогательные устройства Windows Hello, которые отвечают потребностям как потребителей, так и бизнеса, в том числе в сильно регулируемых отраслях», - сказал Сабури.

    Спецификация FIDO была разработана в 2014 году Альянсом FIDO, который в настоящее время включает более 250 компаний, но был основан PayPal, Lenovo, Nok Nok Labs, датчиками достоверности, Infineon и Agnitio. По данным группы, сегодня технология аутентификации FIDO доступна на сотнях устройств.

    Кто использует Windows Hello?

    Windows Hello предназначен как для предприятий, так и для потребителей, и набирает обороты на обоих фронтах. Во время конференции Microsoft Ignite 2017 в сентябре компания объявила, что более 37 миллионов человек уже используют Windows Hello, и более 200 компаний развернули Windows Hello for Business. По данным компании, в то время крупнейшее развертывание предприятия за пределами ИТ-команды Microsoft насчитывало более 25 000 пользователей.

    «Биометрическое сканирование отпечатков пальцев распространено на предприятии, но проблема в том, что он не всегда используется», - сказал Мурхед. По мнению Moorhead, у каждого крупного поставщика есть системы с использованием Windows Hello, но проникновение на рынок намного ниже, чем необходимо, чтобы начать процесс замены паролей для всех пользователей Windows 10.

    Хотя Windows Hello имеет значительную базу пользователей, она затмевается массивной базой Windows 10. Если Microsoft сможет конвертировать большинство пользователей Windows 10 в Windows Hello, это будет решающим моментом в битве против неуклюжих паролей.

    Зачем вам Windows Hello?

    Пароли, короче говоря, являются перетаскиванием. В этом возрасте изобилия паролей (и человеческая забывчивость) пользователи, ориентированные на безопасность, понимают, что отпечаток пальца, распознавание лица или диафрагма для получения доступа к устройствам, важные учетные записи и данные скорее всего станут более безопасным вариантом. Тем не менее, пароль «остается наиболее часто используемым механизмом входа в систему, но также является источником разочарования для конечных пользователей», - сказал Рауль Кастаньон-Мартинес, старший аналитик 451 Research.

    Переход от традиционных паролей к более сильным формам аутентификации - «одна из больших проблем, с которой мы сталкиваемся в онлайн-вычислениях», - сказал Сабури. «[Microsoft] охватывает будущее без паролей, создавая Windows Hello в качестве платформы и позволяя многофакторную аутентификацию в приложениях первой и третьей сторон».

    Microsoft работает с растущим числом поставщиков услуг, чтобы предоставить своим пользователям более бесшовный метод аутентификации нескольких важных учетных записей с помощью Windows Hello. В настоящее время на рынке существует небольшая группа приложений, совместимых с Windows, но Microsoft заявляет, что все больше. Среди приложений, которые могут использовать Windows Hello, теперь являются Dropbox, Enpass, OneDrive, One Messenger и OneLocker Password Manager.

    Каковы требования к оборудованию?

    Windows Hello имеет относительно низкий барьер для входа, но в нем есть конкретные требования к оборудованию. Microsoft Surface Pro, Surface Book и большинство ПК с Windows 10, оснащенных сканерами отпечатков пальцев или камерами, которые могут захватывать двумерную инфракрасную спектроскопию, совместимы с Windows Hello. Совместимые устройства от других производителей включают HP Spectre X360 13, ASUS Transformer Mini T102HA и Dell XPS 13 9360.

    Microsoft также работает с производителями устройств для обеспечения постоянной производительности и безопасности для всех пользователей Windows Hello, а также для установки базовых показателей и эталонных образцов высокого уровня для установления базовых требований.

    По мнению Microsoft, допустимый диапазон рабочих характеристик датчиков отпечатков пальцев - это коэффициент ложного приема менее 0,002 процента, а приемлемый диапазон для датчиков распознавания лиц - это показатель ложного приема менее 0,001 процента. Это переводит в 1 из 100 000 для отпечатков пальцев и половину этой скорости для распознавания лиц. (Для сравнения, Apple заявляет, что вероятность обмана его идентификатора лица составляет 1 в 1 миллион, а шансы обмана его Touch ID составляют 1 из 50 000.)

    Кроме того, ложные показатели отклонения для сканеров отпечатков пальцев и лицевого распознавания без обнаружения с помощью спуфинга или обоняния должны упасть ниже 5%. Согласно требованиям Microsoft, коэффициенты ложного отклонения для сканеров отпечатков пальцев и распознавания лиц с анти-спуфинговой технологией должны упасть ниже 10%.

    Для тех, кто не знаком с технологией, обнаружение присутствия делает в значительной степени то, на что это похоже: оно определяет, что пользователь является живым существом, прежде чем разблокировать устройство или приложение. Все датчики должны включать в себя меры защиты от спуфинга, такие как обнаружение присутствия, но конфигурация этих функций защиты от спуфинга является необязательной и варьируется в зависимости от разных систем.

    В дополнение к встроенной опции сторонние устройства позволяют добавить Windows Hello к другому оборудованию Windows 10 .

    Как Windows Hello складывается против Face ID?

    Windows Hello не имеет прямых конкурентов из-за своей исключительности для устройств Windows 10, но сталкивается с косвенной конкуренцией со стороны таких компаний, как Apple, Samsung и других, которые предоставляют аналогичную технологию для своих устройств и связанных с ними экосистем. Идентификатор лица Apple теперь используется на популярном iPhone X X, и ожидается, что он появится на других устройствах в 2018 году, в том числе, возможно, iPad и менее дорогие телефоны следующей осенью.

    «Windows Hello существует уже с 2015 года, но, как обычно, только после того, как Apple выпустила аналогичную функцию, эта технология получила больше внимания», - сказал Кастаньон-Мартинес. По словам Кастаньона-Мартинеса, отсроченное признание может принести пользу Microsoft, потому что Apple уделяет больше внимания Face ID и помогает пользователям стать более знакомыми или удобными с технологией.

    «Первоначальная реакция на Face ID кажется скептицизмом и недостаточным доверием со стороны пользователей», - сказал Кастаньон-Мартинес. Это не редкость для новой технологии. По его словам, больше людей, вероятно, будут использовать биометрию распознавания лиц, поскольку все новые устройства с технологией внедряются и продаются.

    Согласно Moorhead, Apple Face ID и сканеры отпечатков пальцев являются наиболее очевидными конкурентами Windows Hello. «Face ID работает с очками, Windows Hello не .... Windows Hello хорошо работает в темноте. Идентификатор лица, не так много, - сказал он. «Ни Windows Hello, ни Face ID не работают в очень ярком свете, но сканеры отпечатков пальцев работают в ярком свете и в темноте».

    Что будет дальше для Windows Hello на предприятии?

    Несмотря на медленный запуск Windows Hello и задержку в использовании, Castañon-Martinez убежден, что он станет стандартной функцией, доступной на всех устройствах.

    «По мере того, как потребители и предприятия модернизируют свои устройства и программное обеспечение, вопрос будет заключаться в том, хотят ли они использовать его или нет», - сказал он. «ИТ может подготовиться, ознакомившись с технологией и ее стандартами безопасности. Скорее всего, после того, как пользователи станут с ним комфортно, они предпочтут этот тип механизма входа ».

    Морххед сказал, что бремя ответственности за то, что компания вынуждена добиваться большего усыновления.

    «Предприятиям необходимо перестать жаловаться на безопасность и начать что-то делать с этим. Технология существует, им просто нужно начать ее принимать », - сказал он. «Многофакторная биометрическая аутентификация легко доступна и протестирована, поэтому я думаю, что настало время реализовать ее не только для доступа к устройствам, но и для приложений».

    Источник: https://www.itworld.com/article/3244347/microsoft-windows/what-is-windows-hello-microsofts-biometrics-security-system-explained.html

    novinkiit.ru


    Смотрите также