Windows 标识保护
详细了解 Windows 中的标识保护技术。
警告
Windows Hello 企业版和 FIDO2 安全密钥是适用于 Windows 的新式双因素身份验证方法。 建议使用虚拟智能卡的客户迁移到 Windows Hello 企业版 或 FIDO2。 对于新的 Windows 安装,建议Windows Hello 企业版或 FIDO2 安全密钥。
无密码登录
| 功能名称 | 描述 |
|---|---|
| Windows Hello 企业版 | Windows 11设备从第一天起就无需使用密码,从而保护用户标识。 可以轻松开始使用适合组织的方法。 在预配过程中,密码可能只需要使用一次,之后人们使用 PIN、人脸或指纹来解锁凭据并登录到设备。 Windows Hello 企业版将安全密钥或证书与 PIN 或生物识别数据相结合,然后在设置过程中将凭据映射到用户帐户来替换用户名和密码。 有多种方法可以部署Windows Hello 企业版,具体取决于组织的需求。 依赖于证书的组织通常使用本地公钥基础结构 (PKI) 来支持通过证书信任进行身份验证。 使用密钥信任部署的组织要求域控制器上的证书提供信任根。 |
| Windows 状态感知 | Windows 状态感知为混合辅助角色提供另一层数据安全保护。 Windows 11设备可以智能地适应你的状态,从而帮助你保持安全和高效,无论你是在家工作、办公室还是公共环境。 Windows 状态感知将状态检测传感器与Windows Hello人脸识别相结合,在你离开时自动锁定设备,然后在你返回时使用Windows Hello面部识别解锁设备并登录你。 需要 OEM 支持的硬件。 |
| Windows Hello 企业版增强的安全登录 (ESS) | Windows Hello生物识别还支持增强的登录安全性,它使用专用硬件和软件组件提高生物识别登录的安全标准。 增强的登录安全生物识别使用 VBS 和 TPM 来隔离用户身份验证过程和数据,并保护信息通信所使用的路径。 这些专用组件可防范一类攻击,包括生物识别样本注入、重播、篡改等。 例如,指纹读取器必须实现安全设备连接协议,该协议使用密钥协商和 Microsoft 颁发的证书来保护并安全地存储用户身份验证数据。 对于面部识别,安全设备 (SDEV 等组件) 表和带有 trustlet 的进程隔离有助于防止其他类别的攻击。 |
| Windows 无密码体验 | Windows 无密码体验是一种安全策略,旨在通过消除某些身份验证方案中的密码需求,为加入Microsoft Entra的设备创建更用户友好的体验。 启用此策略后,用户将不会获得在这些方案中使用密码的选项,这有助于组织随着时间的推移从密码中转换。 |
| Passkeys | 与密码相比,密钥提供了一种更安全、更方便的登录网站和应用程序的方法。 与用户必须记住和键入的密码不同,密码作为机密存储在设备上,可以使用设备的解锁机制 (生物识别或 PIN) 。 无需进行其他登录质询即可使用密钥,从而使身份验证过程更快、更安全、更方便。 |
| FIDO2 安全密钥 | Fast Identity Online (FIDO) 定义的 CTAP 和 WebAuthN 规范正在成为提供强身份验证的开放标准,这些身份验证是不可钓鱼的、用户友好的,并且尊重主要平台提供商和信赖方的实现。 FIDO 标准和认证正逐渐成为跨企业、政府和消费者市场创建安全身份验证解决方案的领先标准。 Windows 11可以将外部 FIDO2 安全密钥与身份验证一起使用,或者除了Windows Hello这也是 FIDO2 认证的无密码解决方案。 Windows 11可用作许多常用标识管理服务的 FIDO 验证器。 |
| Windows 服务的智能卡 | 组织还可以选择使用智能卡,这是一种在生物识别登录前的身份验证方法。 智能卡是防篡改的便携式存储设备,可在对客户端进行身份验证、对代码进行签名、保护电子邮件以及使用 Windows 域帐户登录时增强 Windows 安全性。 智能卡只能用于登录域帐户,不能登录本地帐户。 使用密码登录到域帐户时,Windows 使用 Kerberos 版本 5 (v5) 协议进行身份验证。 如果使用智能卡,则操作系统使用带有 X.509 v3 证书的 Kerberos v5 身份验证。 |
高级凭据保护
| 功能名称 | 描述 |
|---|---|
| Web 登录 | Web 登录是最初在 Windows 10 中引入的凭据提供程序,仅支持临时访问 (TAP) 。 随着 Windows 11 的发布,Web 登录支持的方案和功能已得到扩展。 例如,用户可以使用 Microsoft Authenticator 应用或使用联合标识登录到 Windows。 |
| 联合登录 | Windows 11 教育版版本支持与非 Microsoft 标识提供者的联合登录。 联合登录通过 QR 码或图片等方法实现安全登录。 |
| Windows LAPS | Windows 本地管理员密码解决方案 (Windows LAPS) 是一项 Windows 功能,可自动管理和备份已加入Microsoft Entra或已加入Windows Server Active Directory的设备上的本地管理员帐户的密码。 还可以使用 Windows LAPS 在Windows Server Active Directory域控制器上自动管理和备份目录服务还原模式 (DSRM) 帐户密码。 授权管理员可以检索 DSRM 密码并使用它。 |
| 帐户锁定策略 | 帐户锁定策略设置控制失败登录尝试的响应阈值,以及达到阈值后要执行的操作。 |
| 使用 SmartScreen 增强的钓鱼防护 | 仍在使用密码的用户可以从强大的凭据保护中受益。 Microsoft Defender SmartScreen 包括增强的钓鱼防护,可自动检测用户何时将 Microsoft 密码输入到任何应用或网站。 然后,Windows 会识别应用或站点是否正在向 Microsoft 进行安全身份验证,并在凭据存在风险时发出警告。 由于用户在潜在的凭据被盗时会发出警报,因此他们可以在对其或组织使用密码之前采取先发制人的措施。 |
| 访问控制 (ACL/SACL) | Windows 中的访问控制可确保共享资源可供资源所有者以外的用户和组使用,并受到保护,防止未经授权的使用。 IT 管理员可以管理用户、组和计算机对网络或计算机上的对象和资产的访问权限。 对用户进行身份验证后,Windows 操作系统将使用内置授权和访问控制技术实现保护资源的第二阶段,以确定经过身份验证的用户是否具有正确的权限。 访问控制 Lists (ACL) 描述特定对象的权限,还可以包含系统访问控制 Lists (SACL) 。 ACL 提供了一种审核特定系统级别事件的方法,例如当用户尝试访问文件系统对象时。 这些事件对于跟踪敏感或有价值且需要额外监视的对象的活动至关重要。 能够审核资源何时尝试读取或写入操作系统的一部分,对于了解潜在攻击至关重要。 |
| Credential Guard | 默认情况下,Credential Guard 在 Windows 11 企业版 中启用,它使用硬件支持的、基于虚拟化的安全性 (VBS) 来防止凭据被盗。 使用 Credential Guard,本地安全机构 (LSA) 在操作系统的其余部分无法访问的隔离环境中存储和保护机密。 LSA 使用远程过程调用来与隔离的 LSA 进程进行通信。 通过基于虚拟化的安全性保护 LSA 进程,Credential Guard 可保护系统免受凭据盗窃攻击技术(如哈希传递或票证传递)的侵害。 它还有助于防止恶意软件访问系统机密,即使进程以管理员权限运行也是如此。 |
| 远程 Credential Guard | 远程凭据防护通过将 Kerberos 请求重定向回请求的设备,帮助你通过远程桌面连接保护凭据。 它还为远程桌面会话提供单一登录体验。 管理员凭据具有很高的特权,必须受到保护。 当你在远程桌面会话期间使用远程 Credential Guard 进行连接时,你的凭据和凭据派生永远不会通过网络传递给目标设备。 如果目标设备遭到入侵,则不会公开凭据。 |
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈