Распространенные вопросы о Windows Hello для бизнеса

Windows Hello представляет биометрическую платформу, предоставляемую в Windows. Windows Hello позволяет пользователям использовать биометрические данные для входа на свои устройства, безопасно сохраняя свое имя пользователя и пароль и освобождая их для проверки подлинности, когда пользователь успешно идентифицирует себя с помощью биометрических данных. В Windows Hello для бизнеса используются асимметричные ключи, защищенные модулем безопасности устройства, которые требуют для проверки подлинности жеста пользователя (PIN-кода или биометрических данных).

Три main причины:

1. ПИН-код привязан к устройству: одно важное различие между сетевым паролем и ПИН-кодом Hello заключается в том, что ПИН-код привязан к конкретному устройству, на котором он настроен. ПИН-код не может использоваться без конкретного оборудования. Кто-то, кто получит ваш пароль в Интернете, может войти в вашу учетную запись из любого места, но если он получит ваш ПИН-код, ей также придется получить доступ к вашему устройству. ПИН-код нельзя использовать где-либо, кроме как на этом конкретном устройстве. Если вы хотите войти на нескольких устройствах, необходимо настроить Hello на каждом устройстве.
2. ПИН-код является локальным для устройства: на сервер передается сетевой пароль. Пароль может быть перехвачен при передаче или получен с сервера. ПИН-код является локальным для устройства, никогда нигде не передается и не хранится на сервере. При создании ПИН-кода устанавливаются доверительные отношения с поставщиком удостоверений и создается пара асимметричных ключей, используемых для проверки подлинности. При вводе ПИН-кода вы разблокируете ключ проверки подлинности, который используется для подписи запроса, отправляемого на сервер проверки подлинности. При использовании Windows Hello для бизнеса ПИН-код является предоставленной пользователем энтропией, используемой для загрузки закрытого ключа в доверенном платформенный модуль (TPM). На сервере нет копии ПИН-кода. В этом случае у клиента Windows нет копии текущего ПИН-кода. Для успешного доступа к закрытому ключу пользователь должен предоставить энтропию, ключ, защищенный доверенным платформенный платформенный модуль, и доверенный платформенный модуль, который создал этот ключ.
3. ПИН-код поддерживается оборудованием: ПИН-код Hello поддерживается микросхемой доверенного платформенного модуля (TPM), которая представляет собой защищенный криптопроцессор, предназначенный для выполнения криптографических операций. Эта микросхема содержит несколько механизмов физической защиты для предотвращения взлома, и вредоносные программы не могут обойти функции безопасности TPM. Windows не связывает локальные пароли с TPM, поэтому ПИН-коды считаются более безопасными, чем локальные пароли. Материал ключа пользователя создается и доступен в TPM устройства. TPM защищает материал ключа от злоумышленников, которые хотят захватить и повторно использовать его. Поскольку Hello использует асимметричные пары ключей, учетные данные пользователей не могут быть украдены в случаях, когда поставщик удостоверений или веб-сайты, к которому обращается пользователь, были скомпрометированы. TPM защищает от различных известных и потенциальных атак, включая атаки методом подбора ПИН-кода. После слишком большого количества неправильных предположений устройство блокируется.

Инструкция ПИН-код сильнее пароля не направлена на силу энтропии, используемой ПИН-кодом. Речь о разнице между предоставлением энтропии и продолжением использования симметричного ключа (пароля). TPM имеет функции защиты от ударов, которые сорвать атаки методом подбора ПИН-кода (непрерывная попытка злоумышленника попробовать все сочетания ПИН-кодов). Некоторые организации могут беспокоиться о серфинге на плечах. Для этих организаций вместо повышения сложности ПИН-кода реализуйте функцию многофакторной разблокировки .

Чтобы скомпрометировать учетные данные Windows Hello, которые защищает доверенный платформенный модуль, злоумышленник должен иметь доступ к физическому устройству. Затем злоумышленник должен найти способ подделать биометрические данные пользователя или угадать ПИН-код. Все эти действия необходимо выполнить до того, как защита TPM блокирует устройство.

Windows Hello включает биометрический вход с помощью отпечатков пальцев, радужной оболочки или распознавания лиц. При настройке Windows Hello вам будет предложено создать ПИН-код после биометрической настройки. ПИН-код позволяет выполнить вход, если вы не можете использовать предпочтительную биометрию из-за травмы или из-за недоступности датчика или неправильной работы. Если вы только настроили биометрический вход и по какой-либо причине не смогли использовать этот метод для входа, вам придется выполнить вход с помощью учетной записи и пароля, что не обеспечивает такой же уровень защиты, как Hello.

Каждый раз, когда создается материал ключа, он должен быть защищен от атак. Самым надежным способом обеспечения такой защиты является использование специализированного оборудования. Существует долгая история использования аппаратных модулей безопасности (HSM) для создания, хранения и обработки ключей для критически важных для безопасности приложений. Смарт-карты представляют собой особый тип аппаратных модулей безопасности, как и устройства, совместимые со стандартом TPM организации TCG. Везде, где это возможно, реализация Windows Hello для бизнеса использует преимущества подключенного оборудования доверенного платформенного модуля для создания и защиты ключей. Администраторы могут разрешить операции с ключами в программном обеспечении, но рекомендуется использовать оборудование доверенного платформенного модуля. TPM защищает от множества известных и потенциальных атак, в том числе атак методом подбора PIN-кода. Кроме того, TPM обеспечивает дополнительный уровень защиты после блокировки учетной записи. Когда TPM заблокировал материал ключа, пользователю придется сбросить ПИН-код (это означает, что пользователю придется использовать MFA для повторной проверки подлинности поставщика удостоверений, прежде чем поставщик удостоверений разрешает повторную регистрацию). Сброс PIN-кода означает, что все ключи и сертификаты, зашифрованные с использованием материала старого ключа, будут удалены.

Windows Hello для бизнеса обеспечивает кэширование ПИН-кода с помощью системы билетов. Вместо кэширования PIN-кода процессы кэшируют запрос, который они могут использовать для запроса операций с закрытым ключом. Microsoft Entra ID и ключи входа Active Directory кэшируются под блокировкой. Это означает, что ключи остаются доступными для использования без запроса, пока пользователь войдет в систему в интерактивном режиме. Ключи входа в учетную запись Майкрософт — это ключи транзакций, что означает, что пользователю всегда будет предложено получить доступ к ключу.

Windows Hello для бизнеса, используемый в качестве интеллектуальной карта (эмуляция смарт-карта, которая включена по умолчанию), обеспечивает тот же интерфейс, что и кэширование ПИН-кода смарт-карта по умолчанию. Каждый процесс, запрашивающий операцию закрытого ключа, запрашивает у пользователя ПИН-код при первом использовании. Последующие операции с закрытым ключом не запрашивают у пользователя ПИН-код.

Функция эмуляции смарт-карт в Windows Hello для бизнеса проверяет PIN-код, а затем удаляет его в обмен на запрос. Процесс получает не ПИН-код, а билет, который предоставляет им операции с закрытым ключом. Параметр политики для настройки кэширования отсутствует.

При регистрации в Windows Hello создается представление биометрических данных, называемое профилем регистрации, дополнительные сведения о Windows Hello проверке подлинности лиц. Биометрические данные профиля регистрации относятся к конкретному устройству, хранятся локально на устройстве и не покидают устройство и не перемещают его вместе с пользователем. Некоторые внешние датчики отпечатков пальцев хранят биометрические данные на самом модуле отпечатков пальцев, а не на устройстве Windows. Даже в этом случае биометрические данные хранятся локально в этих модулях, относятся к конкретному устройству, не перемещаются, никогда не покидают модуль и никогда не отправляются в облако Или внешний сервер Майкрософт. Дополнительные сведения см. в разделе Windows Hello биометрии на предприятии.

Windows Hello биометрические данные хранятся на устройстве в виде зашифрованной базы данных шаблона. Данные с биометрического датчика (например, с камеры распознавания лиц или сканера отпечатков пальцев) создают представление данных или граф, которое затем шифруется перед сохранением на устройстве. Каждый биометрический датчик на устройстве, который используется Windows Hello (лицо или отпечаток пальца), будет иметь собственный файл биометрической базы данных, в котором хранятся данные шаблона. Каждый файл базы данных биометрических данных шифруется с помощью уникального случайно созданного ключа, который шифруется в систему с помощью шифрования AES, создающего хэш SHA256.

Поскольку Windows Hello биометрические данные хранятся в зашифрованном формате, ни один пользователь или любой другой процесс, кроме Windows Hello, не имеет к ним доступа.

Windows Hello файл базы данных шаблона биометрии создается на устройстве только в том случае, если пользователь зарегистрирован в Windows Hello проверке подлинности на основе биометрии. ИТ-администратор может настроить параметры политики, но это всегда выбор пользователя, если он хочет использовать биометрические данные или ПИН-код. Пользователи могут проверка свою текущую регистрацию в Windows Hello биометрии, перейдя к параметрам входа на своем устройстве. Перейдите в раздел Пуск > Параметры > Учетные > записи Параметры входа . Если вы не видите Windows Hello в параметрах входа, они могут быть недоступны для вашего устройства или заблокированы администратором с помощью политики. Администраторы могут запросить регистрацию пользователей в Windows Hello во время Autopilot или во время начальной настройки устройства. Администраторы могут запретить пользователям регистрировать биометрические данные с помощью конфигураций политики Windows Hello для бизнеса. Однако если это разрешено с помощью конфигураций политик, регистрация в Windows Hello биометрии всегда является необязательной для пользователей.

Чтобы удалить Windows Hello и все связанные с ним биометрические идентификационные данные с устройства, откройте меню Параметры запуска > Учетные >> записи для входа. Выберите Windows Hello метод проверки подлинности биометрии, который требуется удалить, и нажмите кнопку Удалить. Действие отменяет регистрацию из Windows Hello проверки подлинности биометрических данных и удаляет связанный файл базы данных шаблона биометрии. Дополнительные сведения см. в статье Параметры входа в Windows и защита учетных записей (microsoft.com).

Начиная с Configuration Manager версии 2203 Windows Hello для бизнеса развертывания с использованием Configuration Manager больше не поддерживаются.

Контейнер Windows Hello для бизнеса можно удалить, выполнив команду certutil.exe -deleteHelloContainer.

Если пользователь может войти с помощью пароля, он может сбросить СВОЙ ПИН-код, выбрав ссылку Я забыл СВОЙ ПИН-код в приложении Параметры или на экране блокировки, выбрав ссылку Я забыл СВОЙ ПИН-код в поставщике учетных данных ПИН-кода.

Для локальных развертываний устройства должны быть подключены к локальной сети (контроллерам домена и (или) центру сертификации) для сброса ПИН-кодов. Гибридные развертывания могут подключить клиент Microsoft Entra для использования службы сброса ПИН-кода Windows Hello для бизнеса для сброса ПИН-кодов. Неразрушающий сброс ПИН-кода работает без доступа к корпоративной сети. Для деструктивного сброса ПИН-кода требуется доступ к корпоративной сети. Дополнительные сведения о разрушительном и неразрушающем сбросе ПИН-кода см. в разделе Сброс ПИН-кода.

Да. Наш простой алгоритм PIN-кодов находит и запрещает любой PIN-код с постоянной разностью между соседними цифрами. Алгоритм подсчитывает количество шагов, необходимых для достижения следующей цифры, переполняя 10 ("ноль"). Пример:

• Пин-код 1111 имеет константную дельту (0,0,0), поэтому он не допускается.
• ПИН-код 1234 имеет константную дельту (1,1,1), поэтому он не допускается.
• ПИН-код 1357 имеет константную дельту (2,2,2), поэтому он не допускается.
• Пин-код 9630 имеет константную дельту (7,7,7), поэтому он не допускается.
• ПИН-код 1593 имеет константную дельту (4,4,4), поэтому он не допускается.
• Пин-код 7036 имеет константную разницу (3,3,3), поэтому он не допускается.
• ПИН-код 1231 не имеет константную дельту (1,1,2), поэтому он разрешен
• ПИН-код 1872 не имеет константную дельту (7,9,5), поэтому он разрешен

Это проверка предотвращает повторение чисел, последовательных чисел и простых шаблонов. Это всегда приводит к выводу списка из 100 запрещенных ПИН-кодов (независимо от длины ПИН-кода). Этот алгоритм не применяется к буквенно-цифровым ПИН-кодам.

Чтобы помочь корпорации Майкрософт обеспечить правильную работу, выявить и предотвратить мошенничество, а также продолжать совершенствовать Windows Hello, собираются диагностические данные о том, как люди используют Windows Hello. Пример:

• Данные о том, входят ли пользователи с лицом, радужной оболочкой глаза, отпечатком пальца или ПИН-кодом
• Количество раз, когда он используется
• Работает ли это или нет. Все это ценная информация, которая помогает Корпорации Майкрософт создавать лучший продукт. Данные псевдонимизированы, не включают биометрические данные и шифруются перед их передачей в корпорацию Майкрософт. Вы можете прекратить отправку диагностических данных в корпорацию Майкрософт в любое время. Дополнительные сведения о диагностических данных в Windows.

Нет. Отказ от паролей обеспечивается постепенным сокращением частоты использования пароля. В ситуациях, когда вы не можете пройти проверку подлинности с помощью биометрии, вам нужен резервный механизм, который не является паролем. ПИН-код является резервным механизмом. Отключение или скрытие поставщика учетных данных ПИН-кода приведет к отключению использования биометрии.

Несанкционированный пользователь не сможет использовать какие-либо биометрические параметры и будет иметь единственную возможность ввести ПИН-код.

Если пользователь пытается разблокировать устройство, вводя случайные ПИН-коды, после трех неудачных попыток поставщик учетных данных отобразит следующее сообщение: Вы несколько раз ввели неправильный ПИН-код. Чтобы повторить попытку, введите A1B2C3 ниже. После ввода заверяемой фразы A1B2C3 пользователю будет предоставлена еще одна возможность ввести ПИН-код. В случае неудачи поставщик будет отключен, в результате чего у пользователя будет единственный вариант перезагрузки устройства. После перезагрузки указанный выше шаблон повторяется.

Если неудачные попытки продолжатся, устройство перейдет в состояние блокировки в течение 1 минуты после первой перезагрузки, 2 минуты после четвертой перезагрузки и 10 минут после пятой перезагрузки. Продолжительность каждой блокировки увеличивается соответственно. Это поведение является результатом функции защиты от молотка доверенного платформенного модуля 2.0. Дополнительные сведения о функции защиты от молотка доверенного платформенного модуля см. в разделе Защита от молотка TPM 2.0.

Да. Вы можете использовать локальное развертывание Windows Hello для бизнеса и объединить его с поставщиком MFA сторонних поставщиков, который не требует подключения к Интернету для Windows Hello для бизнеса развертывания.

Максимальное число поддерживаемых регистраций на одном устройстве — 10. Это позволяет 10 пользователям регистрировать свое лицо и до 10 отпечатков пальцев. Для устройств с более чем 10 пользователями или для пользователей, которые входят на многие устройства (например, технический специалист службы поддержки), рекомендуется использовать ключи безопасности FIDO2.

Нет. Если в вашей организации используются облачные службы Майкрософт, необходимо использовать модель гибридного развертывания. Локальные развертывания предназначены исключительно для организаций, которым требуется больше времени, прежде чем перейти в облако, и они используют исключительно Active Directory.

Список атрибутов, синхронизируемых с Microsoft Entra ID, см. в Microsoft Entra Connect Sync: атрибуты, синхронизированные с Microsoft Entra ID. Базовыми сценариями, включающими Windows Hello для бизнеса, являются сценарий Windows 10 и сценарий обратной записи устройства. Ваша среда может содержать другие атрибуты.

Да, если вы используете федеративное гибридное развертывание, вы можете использовать любой сервер, не относящийся к корпорации Майкрософт, который предоставляет адаптер MFA AD FS. Список адаптеров MFA, отличных от Майкрософт, можно найти здесь.

Windows Hello для бизнеса работает с любыми серверами федерации сторонних поставщиков, которые поддерживают протоколы, используемые во время подготовки.

Windows Hello для бизнеса не предназначен для работы с локальными учетными записями.

Дополнительные сведения см. в Windows Hello биометрических требований.

Ношение маски для регистрации является проблемой безопасности, так как другие пользователи, одетые в аналогичную маску, могут иметь возможность разблокировать ваше устройство. Удалите маску, если вы носите ее при регистрации или разблокировке с помощью Windows Hello проверки подлинности лица. Если ваша рабочая среда не позволяет временно удалить маску, рекомендуется отменить регистрацию от проверки подлинности лица и использовать только ПИН-код или отпечаток пальца.

Пользователю будет предложено настроить ключ Windows Hello для бизнеса на Microsoft Entra зарегистрированных устройствах, если эта функция включена политикой. Если у пользователя есть контейнер Windows Hello, ключ Windows Hello для бизнеса будет зарегистрирован в этом контейнере и будет защищен с помощью существующих жестов.

Если пользователь вошел в свое Microsoft Entra зарегистрированное устройство с помощью Windows Hello, его Windows Hello для бизнеса ключ будет использоваться для проверки подлинности рабочего удостоверения пользователя при попытке использовать Microsoft Entra ресурсы. Ключ Windows Hello для бизнеса соответствует Microsoft Entra требованиям многофакторной проверки подлинности (MFA) и сокращает количество запросов MFA, которые пользователи увидят при доступе к ресурсам.

Можно Microsoft Entra зарегистрировать присоединенное к домену устройство. Если устройство, присоединенное к домену, имеет удобный ПИН-код, вход с помощью удобного ПИН-кода больше не будет работать. Эта конфигурация не поддерживается Windows Hello для бизнеса.

Дополнительные сведения см. в разделе Microsoft Entra зарегистрированных устройств.

Windows Hello для бизнеса — это функция платформы Windows.

Нет, Доменные службы Microsoft Entra — это отдельная управляемая среда в Azure, и регистрация гибридного устройства с помощью облачной Microsoft Entra ID недоступна через Microsoft Entra Connect. Таким образом, Windows Hello для бизнеса не работает с Доменные службы Microsoft Entra.

Windows Hello для бизнеса — это двухфакторная проверка подлинности, основанная на наблюдаемых факторах проверки подлинности: то, что у вас есть, что-то известное и что-то, что является частью вас. В Windows Hello для бизнеса используется два из этих факторов: что-то, что у вас есть (закрытый ключ пользователя, защищенный модулем безопасности устройства) и что-то, что вы знаете (ваш PIN-код). Имея соответствующее оборудование, вы можете повысить комфорт своих пользователей, добавив биометрические данные. Используя биометрические данные, вы можете заменить фактор проверки подлинности "то, что вы знаете" на фактор "то, что является частью вас", с гарантией того, что пользователи могут вернуться к "что-то, что вы знаете фактор".

Оба типа проверки подлинности обеспечивают одинаковую безопасность; один из них не более защищен, чем другой. Модели доверия развертывания определяют способ проверки подлинности в Active Directory. Доверие к ключу и сертификату используют одни и те же двухфакторные учетные данные с аппаратной поддержкой. Разница между двумя типами доверия заключается в выдаче сертификатов конечной сущности:

• Модель доверия к ключам выполняет проверку подлинности в Active Directory с помощью необработанного ключа. Для доверия к ключу не требуется сертификат, выданный предприятием, поэтому вам не нужно выдавать сертификаты пользователям (сертификаты контроллера домена по-прежнему необходимы).
• Модель доверия сертификатов выполняет проверку подлинности в Active Directory с помощью сертификата. Поэтому необходимо выдавать сертификаты пользователям. Сертификат, используемый в сертификате доверия, использует закрытый ключ, защищенный TPM, для запроса сертификата из выдающего ЦС предприятия.

Удобный ПИН-код обеспечивает более простой способ входа в Windows, чем пароли, но он по-прежнему использует пароль для проверки подлинности. Если в Windows указан правильный удобный ПИН-код, сведения о пароле загружаются из кэша и проходят проверку подлинности пользователя. Организациям, использующим удобные ПИН-коды, следует перейти на Windows Hello для бизнеса. Новые развертывания Windows должны развертывать Windows Hello для бизнеса, а не удобные ПИН-коды.

Нет. Хотя можно задать удобный ПИН-код для присоединенных Microsoft Entra и Microsoft Entra гибридных присоединенных устройств, удобный ПИН-код не поддерживается для учетных записей пользователей Microsoft Entra (включая синхронизированные удостоверения). Удобный ПИН-код поддерживается только для пользователей локальная служба Active Directory и пользователей локальных учетных записей.

Windows Hello для бизнеса — это современная двухфакторная проверка подлинности для Windows. Клиентам, использующим виртуальные смарт-карты, настоятельно рекомендуется перейти на Windows Hello для бизнеса.

Список необходимых URL-адресов см. в статье Microsoft 365 Common и Office Online.

Если в вашей среде используется Microsoft Intune, см. раздел Сетевые конечные точки для Microsoft Intune.

Да, вы можете использовать внешнюю Windows Hello совместимую камеру, если на устройстве есть внутренняя Windows Hello камера. При наличии обеих камер внешняя камера используется для проверки подлинности лиц. Дополнительные сведения см. в статье «ИТ-средства поддержки Windows 10 версии 21H1». Если служба ESS включена, см. раздел Windows Hello расширенной безопасности входа.

Некоторые ноутбуки и планшеты с закрывающимися клавиатурами могут не использовать внешнюю Windows Hello совместимую камеру или другие Windows Hello совместимые аксессуары, если компьютер закреплен крышкой. Проблема устранена в Windows 11 версии 22H2.

Windows Hello для бизнеса учетным данным требуется доступ к состоянию устройства, которое недоступно в режиме частного браузера или режиме инкогнито. Поэтому его нельзя использовать в режиме частного браузера или инкогнито.

Вы можете использовать многофакторную разблокировку , чтобы требовать от пользователей предоставления дополнительного фактора для разблокировки устройства. Проверка подлинности остается двухфакторной, но прежде чем Windows предоставит пользователю доступ к рабочему столу, необходимо предоставить дополнительный фактор проверки. Дополнительные сведения см. в разделе Многофакторная разблокировка.

Windows Hello для бизнеса облачное доверие Kerberos — это модель доверия, которая позволяет Windows Hello для бизнеса развертывание с использованием инфраструктуры, представленной для поддержки входа с помощью ключа безопасности на Microsoft Entra устройствах с гибридным присоединением и локальном доступе к ресурсам на Microsoft Entra присоединенных устройств. Облачная модель доверия Kerberos — это предпочтительная модель развертывания, если вам не требуется поддержка сценариев проверки подлинности сертификатов. Дополнительные сведения см. в статье Развертывание доверия в облаке Kerberos.

Эта функция не работает в чисто локальной среде доменных служб AD.

Windows Hello для бизнеса облачное доверие Kerberos ищет доступный для записи контроллер домена для обмена частичным TGT. При наличии по крайней мере одного записываемого контроллера домена на сайт будет работать вход с облачным доверием Kerberos.

Windows Hello для бизнеса облачное доверие Kerberos требует прямой видимости для контроллера домена, когда:

• пользователь впервые входит в систему или разблокирует с помощью Windows Hello для бизнеса после подготовки
• попытка доступа к локальным ресурсам, защищенным Active Directory

Windows Hello для бизнеса облачное доверие Kerberos нельзя использовать в качестве предоставленных учетных данных с RDP/VDI. Как и доверие к ключу, для RDP можно использовать облачное доверие Kerberos, если сертификат зарегистрирован в Windows Hello для бизнеса для этой цели. В качестве альтернативы рассмотрите возможность использования Remote Credential Guard , для которого не требуется развертывание сертификатов.

Нет, только число, необходимое для обработки нагрузки со всех облачных устройств доверия Kerberos.

В гибридном развертывании открытый ключ пользователя должен синхронизироваться с Microsoft Entra ID с Active Directory, прежде чем его можно будет использовать для проверки подлинности на контроллере домена. Эта синхронизация обрабатывается Microsoft Entra Connect и выполняется в течение обычного цикла синхронизации.

Протокол удаленного рабочего стола (RDP) не поддерживает использование проверки подлинности на основе ключа в качестве предоставленных учетных данных. Однако вы можете развернуть сертификаты в модели доверия ключей, чтобы включить протокол RDP. Дополнительные сведения см. в статье Развертывание сертификатов для пользователей с ключевым доверием для включения RDP. В качестве альтернативы рассмотрите возможность использования Remote Credential Guard , для которого не требуется развертывание сертификатов.