Windows Hello для бизнеса
Обзор
Windows Hello — это технология проверки подлинности, которая позволяет пользователям входить на свои устройства Windows, используя биометрические данные или ПИН-код вместо традиционного пароля. Он обеспечивает повышенную безопасность за счет устойчивой к фишингу двухфакторной проверки подлинности и встроенной защиты от подбора. С помощью FIDO/WebAuthn Windows Hello также можно использовать для входа на поддерживаемые веб-сайты, что снижает необходимость запоминания нескольких сложных паролей.
Windows Hello для бизнеса — это расширение Windows Hello, которое предоставляет возможности безопасности и управления корпоративного уровня, включая аттестацию устройств, проверку подлинности на основе сертификатов и политики условного доступа. Параметры политики можно развернуть на устройствах, чтобы обеспечить их безопасность и соответствие требованиям организации.
В следующей таблице перечислены различия main проверки подлинности и безопасности между Windows Hello и Windows Hello для бизнеса.
Windows Hello | Windows Hello для бизнеса | |
---|---|---|
Authentication | Пользователи могут выполнять проверку подлинности для: — учетная запись Майкрософт (MSA) — Поставщики удостоверений (IDP), поддерживающие проверку подлинности FAST ID Online (FIDO) версии 2.0 . |
Пользователи могут выполнять проверку подлинности для: — учетная запись Microsoft Entra ID — учетная запись Active Directory — службы поставщика удостоверений (IdP) или проверяющей стороны (RP), поддерживающие проверку подлинности FAST ID Online (FIDO) версии 2.0 . |
Безопасность | Он использует проверку подлинности на основе ключей . Симметричный секрет (пароль) не может быть украден с сервера или фишинг у пользователя и использован удаленно. |
Он использует проверку подлинности на основе ключа или сертификата . Симметричный секрет (пароль) не может быть украден с сервера или фишинг у пользователя и использован удаленно. |
Windows Hello также можно использовать с локальными учетными записями для удобного входа вместо ввода пароля. Эта конфигурация не поддерживается асимметричным (открытым или закрытым) ключом, поэтому она не обеспечивает тот же уровень безопасности, что и проверка подлинности на основе ключей или сертификатов, доступная в учетных записях MSA или Microsoft Entra. Во всех остальных аспектах использование Windows Hello с локальной учетной записью аналогично использованию с идентификатором MSA или Entra. Для повышенной безопасности рекомендуется использовать Windows Hello с учетной записью Майкрософт (MSA) или поставщиками удостоверений (IDP), поддерживающими проверку подлинности FIDO2.
Примечание.
Проверка подлинности FIDO2 (Fast Identity Online) — это открытый стандарт проверки подлинности без пароля. Она позволяет пользователям входить в свои устройства и приложения с помощью биометрической проверки подлинности или физического ключа безопасности без необходимости в традиционном пароле. Поддержка FIDO2 в Windows Hello и Windows Hello для бизнеса обеспечивает дополнительный уровень безопасности и удобства для пользователей, а также снижает риск атак, связанных с паролем.
Преимущества
Windows Hello для бизнеса предоставляет множество преимуществ, в том числе:
- Это помогает усилить защиту от кражи учетных данных. Злоумышленник должен иметь как устройство, так и биометрические данные или ПИН-код, что значительно усложняет получение доступа без ведома пользователя.
- Так как пароли не используются, он обходит фишинговые атаки и атаки методом подбора. Самое главное, он предотвращает нарушения безопасности сервера и атаки на воспроизведение, так как учетные данные асимметричны и создаются в изолированных средах TPM.
- Пользователи получают простой и удобный метод проверки подлинности (резервная копия с ПОМОЩЬЮ ПИН-кода), который всегда у них есть, поэтому терять нечего. Использование ПИН-кода не нарушает безопасность, так как Windows Hello имеет встроенную защиту методом подбора, и ПИН-код никогда не покидает устройство.
- Вы можете добавить биометрические устройства в рамках скоординированного развертывания или для определенных пользователей, если это необходимо.
В следующем видео показано, как Windows Hello для бизнеса в действии, когда пользователь входит в систему с отпечатком пальца:
Windows Hello и двухфакторная проверка подлинности
Windows Hello для бизнеса используется двухфакторный метод проверки подлинности, который объединяет учетные данные, относящиеся к устройству, с биометрическим жестом или жестом ПИН-кода. Эти учетные данные привязаны к поставщику удостоверений, например Microsoft Entra ID или Active Directory, и могут использоваться для доступа к приложениям, веб-сайтам и службам организации.
После начальной двухфакторной проверки пользователя во время подготовки на устройстве пользователя настраивается Windows Hello, а Windows просит пользователя задать жест, который может быть биометрическим и ПИН-кодом. Пользователь делает жест для подтверждения своей личности. В дальнейшем Windows использует Windows Hello для проверки подлинности пользователей.
Windows Hello для бизнеса считается двухфакторной проверкой подлинности на основе наблюдаемых факторов проверки подлинности: то, что у вас есть, что-то известное и что-то, что является частью вас. В Windows Hello для бизнеса используется два из этих факторов: что-то, что у вас есть (закрытый ключ пользователя, защищенный модулем безопасности устройства) и что-то, что вы знаете (ваш PIN-код). Имея соответствующее оборудование, вы можете повысить комфорт своих пользователей, добавив биометрические данные. Используя биометрию, вы можете заменить известный фактор проверки подлинности на то, что является частью фактора, с гарантиями того, что пользователи могут вернуться к тому, что вы знаете фактор.
Вход с использованием биометрических данных
Windows Hello обеспечивает надежную комплексную биометрическую проверку подлинности на основе распознавания лиц или отпечатков пальцев. В Windows Hello используется сочетание из особых инфракрасных (ИК)-камер и программного обеспечения, что повышает точность и защищает от спуфинга. Основными поставщиками оборудования являются устройства доставки, которые имеют интегрированные камеры, совместимые с Windows Hello, и сканеры отпечатков пальцев.
На устройствах, поддерживающих Windows Hello, простой биометрический жест разблокирует учетные данные пользователей:
- Распознавание лиц: этот тип биометрического распознавания использует специальные камеры, которые видят в свете IR, что позволяет им надежно определить разницу между фотографией или сканированием и живым человеком. Несколько поставщиков предлагают внешние камеры, которые включают эту технологию, и многие производители ноутбуков включают ее в свои устройства
- Распознавание отпечатков пальцев. Этот тип биометрического распознавания использует емкостный датчик отпечатков пальцев для сканирования отпечатков пальцев. Большинство существующих сканеров отпечатков пальцев работают с Windows, независимо от того, являются ли они внешними или интегрированными в ноутбуки или USB-клавиатуры
- Распознавание радужной оболочки: этот тип биометрического распознавания использует камеры для сканирования радужной оболочки
Биометрические данные, используемые для реализации Windows Hello, надежно хранятся в Windows только на локальном устройстве. Биометрические данные не перемещаются и никогда не отправляются на внешние устройства или серверы. Поскольку Windows Hello хранит только биометрические данные идентификации на устройстве, нет единой точки сбора, которую злоумышленник может скомпрометировать, чтобы украсть биометрические данные.
Требования к выпуску и лицензированию Windows
В следующей таблице перечислены выпуски Windows, поддерживающие Windows Hello для бизнеса.
Windows Pro | Windows Корпоративная | Windows Pro для образовательных учреждений/SE | Windows для образовательных учреждений |
---|---|---|---|
Да | Да | Да | Да |
Windows Hello для бизнеса лицензии предоставляются следующими лицензиями:
Windows Pro/Pro для образовательных учреждений/SE | Windows Корпоративная E3 | Windows Корпоративная E5 | Windows для образовательных учреждений A3 | Windows для образовательных учреждений A5 |
---|---|---|---|---|
Да | Да | Да | Да | Да |
Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.
Примечание.
Windows Hello для бизнеса не работает с Доменные службы Microsoft Entra.
Требования к оборудованию
Корпорация Майкрософт сотрудничает с производителями, чтобы обеспечить высокий уровень производительности и защиты каждого датчика и устройства в соответствии со следующими требованиями:
- False Accept Rate (FAR): представляет экземпляр, который решение биометрической идентификации проверяет несанкционированного лица. Обычно это соотношение числа экземпляров в заданном размере совокупности, например 1 к 100 000. Этот показатель также можно представить в виде процентного значения, например 0,001%. Это измерение в значительной степени считается наиболее важным в отношении безопасности биометрического алгоритма
- Коэффициент ложного отклонения (FRR): представляет экземпляры, которые решение биометрической идентификации не может проверить авторизованное лицо правильно. Представленная в процентах сумма значений True Accept Rate и False Reject Rate составляет 1. Может быть с анти-спуфингом или обнаружением активности или без нее
Требования датчику для сканирования отпечатков пальцев
Чтобы разрешить сопоставление отпечатков пальцев, устройства должны иметь датчики отпечатков пальцев и программное обеспечение. Датчики отпечатков пальцев могут быть сенсорными датчиками (большая или небольшая область) или датчиками прокрутки. Каждый тип датчика имеет собственный набор подробных требований, которые должны быть реализованы производителем, но все датчики должны включать меры по борьбе с спуфингом.
Допустимый диапазон производительности для сенсорных датчиков небольшого и большого размера:
- False Accept Rate (FAR): <0,001 – 0,002%
- Эффективный действующий FRR с защитой от подделывания или определением живучести: <10 %
Допустимый диапазон производительности для датчиков прокрутки:
- Коэффициент ложного пропуска (FAR): <0,002 %
- Эффективный действующий FRR с защитой от подделывания или определением живучести: <10 %
Датчики распознавания лиц
Чтобы разрешить распознавание лиц, необходимо использовать устройства со специальными встроенными особенными инфракрасными датчиками (IR) и соответствующим программным обеспечением. Датчики распознавания лиц используют специальные камеры, которые видят в инфракрасном свете, позволяя им определить разницу между фотографией и живым человеком при сканировании черт лица сотрудника. Такие датчики, как и датчики для сканирования отпечатков пальцев, должны обладать свойствами защиты от подделывания (обязательное требование) и предоставлять возможность настройки (дополнительно).
- False Accept Rate (FAR): <0,001%
- Коэффициент ложного отказа в доступе (FRR) без защиты от подделывания или определения живучести: <5 %
- Эффективный действующий FRR с защитой от подделывания или определением живучести: <10 %
Примечание.
Windows Hello проверка подлинности лиц не поддерживает ношение маски во время регистрации или проверки подлинности. Если рабочая среда не позволяет временно снять маску, попробуйте использовать ПИН-код или отпечаток пальца.
Требования к датчику распознавания радужной оболочки
Для использования проверки подлинности iris требуется HoloLens 2 устройство. Все HoloLens 2 выпуски оснащены одинаковыми датчиками. Радужной оболочки реализуется так же, как и другие технологии Windows Hello, и достигает биометрической безопасности FAR 1/100K.
Дополнительные сведения о требованиях к оборудованию для Windows Hello см. в разделе Windows Hello биометрических требований.