Windows Hello 企业版

概述

Windows Hello是一种身份验证技术,允许用户使用生物识别数据或 PIN(而不是传统密码)登录到其 Windows 设备。 它通过防网络钓鱼的双因素身份验证和内置的暴力攻击保护提供增强的安全性。 使用 FIDO/WebAuthn,Windows Hello还可用于登录到支持的网站,从而减少记住多个复杂密码的需要。

Windows Hello 企业版是Windows Hello的扩展,可提供企业级安全和管理功能,包括设备证明、基于证书的身份验证和条件访问策略。 可以将策略设置部署到设备,以确保它们安全且符合组织要求。

下表列出了Windows Hello与企业Windows Hello之间的main身份验证和安全差异:

Windows Hello Windows Hello 企业版
身份验证 用户可以对以下用户进行身份验证:
- MICROSOFT帐户 (MSA)
- 支持 快速 ID Online (FIDO) v2.0 身份验证的标识提供者 (IdP)
用户可以对以下用户进行身份验证:
- Microsoft Entra ID帐户
- Active Directory 帐户
- 标识提供者 (IdP) 或信赖方 (支持 快速 ID Online (FIDO) v2.0 身份验证的 RP) 服务
安全性 它使用 基于密钥的 身份验证。
没有对称机密 (密码) 可以从服务器被盗或用户钓鱼并远程使用。
它使用 基于密钥基于证书的 身份验证。
没有对称机密 (密码) 可以从服务器被盗或用户钓鱼并远程使用。

Windows Hello还可以与本地帐户一起使用来方便登录,而不是输入密码。 此配置不受非对称 (公共/专用) 密钥的支持,因此它不提供与 MSA 或 Microsoft Entra 帐户提供的基于密钥或基于证书的身份验证相同的安全级别。 在所有其他方面,将 Windows Hello 用于本地帐户就像将其与 MSA 或 Entra ID 一起使用一样。 为了增强安全性,建议将 Windows Hello 与支持 FIDO2 身份验证的 Microsoft 帐户 (MSA) 或标识提供者 (IdP) 配合使用。

注意

FIDO2 (Fast Identity Online) 身份验证是无密码身份验证的开放标准。 它允许用户使用生物识别身份验证或物理安全密钥登录到其设备和应用,而无需使用传统密码。 Windows Hello和Windows Hello 企业版中的 FIDO2 支持为用户提供了额外的安全和便利,同时降低了密码相关攻击的风险。

优势

Windows Hello 企业版提供了许多好处,包括:

  • 它有助于加强对凭据盗用的保护。 攻击者必须同时拥有设备和生物识别或 PIN,使得在用户不知情的情况下获取访问权限更加困难
  • 由于不使用密码,因此可以规避网络钓鱼和暴力攻击。 最重要的是,它可以防止服务器泄露和重播攻击,因为凭据是非对称的,是在 TPM 的隔离环境中生成的
  • 用户可以获得一种简单方便的身份验证方法, (使用始终随附的 PIN) 进行备份,因此不会丢失任何内容。 使用 PIN 不会损害安全性,因为Windows Hello具有内置的暴力保护,并且 PIN 永远不会离开设备
  • 可以在协调推出过程中添加生物识别设备,也可以根据需要向特定用户添加生物识别设备

以下视频演示了Windows Hello 企业版操作,其中用户使用指纹登录:

Windows Hello和双因素身份验证

Windows Hello 企业版使用双重身份验证方法,该方法将特定于设备的凭据与生物识别或 PIN 手势相结合。 此凭据与标识提供者(如 Microsoft Entra ID 或 Active Directory)相关联,可用于访问组织应用、网站和服务。

在预配期间对用户进行初始双重验证后,Windows Hello在用户的设备上设置,Windows 会要求用户设置手势(可以是生物识别和 PIN)。 用户提供手势来验证身份。 然后,Windows 使用 Windows Hello 对用户进行身份验证。

根据观察到的身份验证因素,Windows Hello 企业版被视为双重身份验证:你拥有的、你知道的,以及属于你的一部分的东西。 Windows Hello 企业版包含两个这样的因素:你有的(受设备安全模块保护的用户的私钥)和你知道的(你的 PIN)信息。 搭配适当的硬件,你可以通过引入生物识别来增强用户体验。 通过使用生物识别,你可以将 你知道的 身份验证因素替换为 你因素的一部分 ,并保证用户可以回退到 你了解的因素

生物识别登录

Windows Hello 基于面部识别或指纹匹配提供了可靠且完全集成的生物识别身份验证。 Windows Hello 使用特殊红外线 (IR) 相机和软件的组合来提高精确度和对欺骗的防护。 主要硬件供应商正在交付集成了Windows Hello兼容相机和指纹读取器的设备。

在支持Windows Hello的设备上,简单的生物识别手势可解锁用户的凭据:

  • 面部识别:这种类型的生物识别使用在红外光下看到的特殊相机,这使他们能够可靠地分辨照片或扫描与活人之间的差异。 多家供应商提供采用该技术的外部摄像头,许多笔记本电脑制造商将其整合到其设备中
  • 指纹识别:这种类型的生物识别使用指纹传感器来扫描指纹。 大多数现有指纹读取器都适用于 Windows,无论是外部指纹读取器还是集成到笔记本电脑或 USB 键盘中
  • 虹膜识别:这种类型的生物识别使用相机执行虹膜扫描

Windows 仅将用于实现 Windows Hello 的生物识别数据安全地存储在本地设备上。 生物识别数据不会漫游,并且永远不会发送到外部设备或服务器。 由于Windows Hello仅在设备上存储生物识别数据,因此攻击者无法入侵任何单个收集点来窃取生物识别数据。

Windows 版本和许可要求

下表列出了支持Windows Hello 企业版的 Windows 版本:

Windows 专业版 Windows 企业版 Windows 专业教育版/SE Windows 教育版

Windows Hello 企业版许可证权利由以下许可证授予:

Windows 专业版/专业教育版/SE Windows 企业版 E3 Windows 企业版 E5 Windows 教育版 A3 Windows 教育版 A5

有关 Windows 许可的详细信息,请参阅 Windows 许可概述

注意

Windows Hello 企业版不适用于Microsoft Entra 域服务

硬件要求

Microsoft与制造商合作,根据以下要求,帮助确保每个传感器和设备满足高级别的性能和保护:

  • 误接受率 (FAR) : 表示生物识别解决方案验证未经授权的人的实例。 这通常表示为给定总体大小中实例数的比率,例如 1 对 100,000。 这也可以表示为发生百分比,例如:0.001%。 这种度量在很大程度上被认为是关于生物识别算法安全性最重要的
  • 错误拒绝率 (FRR) : 表示生物识别解决方案未能正确验证授权人员的实例。 以百分比表示,True 接受率和 False 拒绝率之和为 1。 可以使用或不使用反欺骗或活动检测

指纹传感器要求

若要允许指纹匹配,设备必须具有指纹传感器和软件。 指纹传感器可以是触摸传感器, (大面积或小面积) 或轻扫传感器。 每种类型的传感器都有自己的一组详细要求,必须由制造商实施,但所有传感器都必须包括反欺骗措施。

小到大尺寸触摸传感器的可接受性能范围:

  • false 接受率 (FAR) : <0.001 - 0.002%
  • 使用反欺骗或活动检测的有效实际 FRR:<10%

轻扫传感器的可接受性能范围:

  • 错误接受率 (FAR):<0.002%
  • 使用反欺骗或活动检测的有效实际 FRR:<10%

面部识别传感器

若要允许面部识别,设备必须具有集成的特殊红外 (IR) 传感器和软件。 面部识别传感器使用在 IR 光下看到的特殊相机,在扫描员工的面部特征时,可以区分照片和活人之间的差异。 和指纹传感一样,这些传感器器也必须包括反欺骗措施(必需)和配置这些措施的方法(可选)。

  • 误接受率 (FAR) : <0.001%
  • 未使用反欺骗或活动检测的错误拒绝率 (FRR):< 5%
  • 使用反欺骗或活动检测的有效实际 FRR:<10%

注意

Windows Hello人脸身份验证不支持在注册或身份验证期间佩戴掩码。 如果工作环境不允许暂时删除掩码,请考虑使用 PIN 或指纹。

虹膜识别传感器要求

若要使用 Iris 身份验证,需要HoloLens 2设备。 所有HoloLens 2版本都配备了相同的传感器。 Iris 的实现方式与其他Windows Hello技术相同,可实现 1/100K 的生物识别安全 FAR。

有关Windows Hello的硬件要求的详细信息,请参阅Windows Hello生物识别要求

后续步骤