多重解锁
Windows Hello 企业版支持使用单个凭据 (PIN 和生物识别) 解锁设备。 因此,如果这些凭据中的任何一个被盗(窃取),则攻击者可以获得系统的访问权限。
Windows Hello 企业版可以通过扩展具有受信任信号的Windows Hello来配置多重解锁。 管理员可以配置设备,以请求因素和受信任信号的组合来解锁它们。
多重解锁非常适合组织:
- 表示单靠 PIN 无法满足其安全需求
- 想要阻止信息工作者共享凭据
- 希望其组织遵守法规双重身份验证策略
- 想要保留熟悉的 Windows 登录用户体验,而不满足于自定义解决方案
工作原理
第一个解锁因素凭据提供程序 和第 二个解锁凭据提供程序 负责大部分配置。 其中每个组件都包含表示不同 Windows 凭据提供程序的全局唯一标识符 (GUID) 。 启用策略设置后,用户在 Windows 允许用户转到其桌面之前,使用每个类别中的至少一个凭据提供程序解锁设备。
该策略设置具有三个组件:
- 第一个解锁因素凭据提供程序
- 第二个解锁因素凭据提供程序
- 设备解锁的信号规则
配置解锁因素
注意
启用 DontDisplayLastUserName 安全策略后,已知会干扰使用多重解锁的功能。
策略设置的第一个解锁因素凭据提供程序和第二个解锁因素凭据提供程序部分均包含逗号分隔的凭据提供程序列表。
受支持的凭据供应程序包括:
| 凭据提供程序 | GUID |
|---|---|
| PIN | {D6886603-9D2F-4EB2-B667-1971041FA96B} |
| 指纹 | {BEC09223-B018-416D-A0AC-523971B639F5} |
| 人脸识别 | {8AF662BF-65A0-4D0A-A540-A338A999D36F} |
| 受信任信号 (手机邻近感应、网络位置) |
{27FBDB57-B613-4AF2-9D7E-4FA7A66C21AD} |
注意
多重解锁不支持非 Microsoft 凭据提供程序或上表中未列出的凭据提供程序。
第一个解锁因素凭据提供程序的默认凭据提供程序包括:
- PIN
- 指纹
- 人脸识别
第二个解锁因素凭据提供程序的默认凭据提供程序包括:
- 受信任信号
- PIN
配置想用作第一个和第二个解锁因素的凭据提供程序 GUID 的列表(以逗号分隔)。 虽然凭据提供程序可以同时显示在两个列表中,但该提供程序支持的凭据只能满足其中一个解锁因素。 列出的凭据提供程序不需要按任何特定顺序排列。
例如,如果同时在第一个和第二个因素列表中加入了 PIN 和指纹凭据提供程序,则用户可将指纹或 PIN 用作第一个解锁因素。 使用满足第一个解锁因子的任一因素都不能用于满足第二个解锁因子。 因此,每个因素只能使用一次。 受信任的信号提供程序仅可指定为属于第二个解锁因素凭据提供程序列表。
配置受信任信号凭据提供程序的信号规则
设备解锁的信号规则设置包含受信任信号凭据提供程序用于满足设备解锁的规则。
规则元素
你来展示 XML 中的信号规则。 每个信号规则都有一个起始和结束 rule 元素,其中包含 schemaVersion 属性和值。 当前支持的架构版本为 1.0。
示例
<rule schemaVersion="1.0">
</rule>
信号元素
每个规则元素都有一个 signal 元素。 所有信号元素都具有 type 元素 和 value。 支持的值包括:
- 蓝牙
- ipConfig
- WLAN
蓝牙
在信号元素中使用更多属性定义蓝牙信号。 蓝牙配置不使用任何其他元素。 可以使用短结束标记 />结束信号元素。
| 属性 | 值 | 必需 |
|---|---|---|
| 类型 | bluetooth |
是 |
| 方案 | Authentication |
是 |
| classOfDevice | “数字” | 否 |
| rssiMin | “数字” | 否 |
| rssiMaxDelta | “数字” | 否 |
例如:
<rule schemaVersion="1.0">
<signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</rule>
classofDevice 属性默认为 Phone,并使用下表中的值:
| 描述 | 值 |
|---|---|
| 其他 | 0 |
| 计算机 | 256 |
| 手机 | 512 |
| LAN/网络访问点 | 768 |
| 音频/视频 | 1024 |
| 外设 | 1280 |
| 图像处理 | 1536 |
| 可穿戴设备 | 1792 |
| 玩具 | 2048 |
| 运行状况 | 2304 |
| 未分类 | 7936 |
指示被视为“范围内”的设备所需强度的 rssiMin 属性值信号。 默认值 -10 使用户可以在办公室或隔间平均大小的范围内移动,而不会触发 Windows 锁定设备。 rssiMaxDelta 的默认值为 -10,指示 Windows 在信号强度减弱超过 10 时锁定设备。
RSSI 度量是相对的,并且会降低,因为两个配对设备之间的蓝牙信号会减少。 度量值 0 强于 -10。 -10 的度量值比 -60 强,表示设备彼此之间正在进一步分离。
重要提示
Microsoft 建议为此策略设置使用默认值。 测量值是相对值,具体取决于每个环境的不同条件。 因此,这些相同值可能会产生不同的结果。 在广泛部署该设置之前,请在每个环境中测试策略设置。 使用由组策略管理编辑器创建的 XML 文件中的 rssiMIN 和 rssiMaxDelta 值,或者同时删除两个属性以使用默认值。
IP 配置
使用一个或多个 ipConfiguration 元素定义 IP 配置信号。 每个元素都具有字符串值。 IpConfiguration 元素没有属性或嵌套元素。
IPv4Prefix
按 Internet 标准点分十进制表示法表示的 IPv4 网络前缀。 需要在网络字符串中包含使用无类别域际路由 (CIDR) 表示法的网络前缀。 网络字符串中不可包含网络端口。 一个信号元素仅可包含一个 ipv4Prefix 元素。 例如:
<ipv4Prefix>192.168.100.0/24</ipv4Prefix>
在 192.168.100.1 到 192.168.100.254 范围内分配的 IPv4 地址与此信号配置相匹配。
IPv4Gateway
按 Internet 标准点分十进制表示法表示的 IPv4 网络网关。 网络字符串中不可包含网络端口和前缀。 一个信号元素仅可包含一个 ipv4Gateway 元素。 例如:
<ipv4Gateway>192.168.100.10</ipv4Gateway>
IPv4DhcpServer
按 Internet 标准点分十进制表示法表示的 IPv4 DHCP 服务器。 网络字符串中不可包含网络端口和前缀。 一个信号元素仅可包含一个 ipv4DhcpServer 元素。 例如:
<ipv4DhcpServer>192.168.100.10</ipv4DhcpServer>
IPv4DnsServer
按 Internet 标准点分十进制表示法表示的 IPv4 DNS 服务器。 网络字符串中不可包含网络端口和前缀。信号元素可能包含一个或多个 ipv4DnsServer 元素。
示例:
<ipv4DnsServer>192.168.100.10</ipv4DnsServer>
IPv6Prefix
使用 Internet 标准十六进制编码的 IPv6 网络中表示的 IPv6 网络前缀。 网络字符串中需包含 CIDR 表示法中的网络前缀。 网络字符串中不可包含网络端口和范围 ID。 一个信号元素仅可包含一个 ipv6Prefix 元素。 例如:
<ipv6Prefix>21DA:D3::/48</ipv6Prefix>
IPv6Gateway
按 Internet 标准十六进制编码表示的 IPv6 网络网关。 网络字符串中可能存在 IPv6 范围 ID。 网络字符串中不可包含网络端口和前缀。 一个信号元素仅可包含一个 ipv6Gateway 元素。 例如:
<ipv6Gateway>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6Gateway>
IPv6DhcpServer
按 Internet 标准十六进制编码表示的 IPv6 DNS 服务器。 网络字符串中可能存在 IPv6 范围 ID。 网络字符串中不可包含网络端口和前缀。 一个信号元素仅可包含一个 ipv6DhcpServer 元素。 例如:
<ipv6DhcpServer>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6DhcpServer
IPv6DnsServer
按 Internet 标准十六进制编码表示的 IPv6 DNS 服务器。 网络字符串中可能存在 IPv6 范围 ID。 网络字符串中不可包含网络端口和前缀。 一个信号元素可能包含一个或多个 ipv6DnsServer 元素。 例如:
<ipv6DnsServer>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6DnsServer>
dnsSuffix
组织的内部 DNS 后缀的完全限定域名,此设置中完全限定的域名的任何部分都存在于计算机的主 DNS 后缀中。 一个信号元素可能包含一个或多个 dnsSuffix 元素。 例如:
<dnsSuffix>corp.contoso.com</dnsSuffix>
WLAN
使用一个或多个 wifi 元素定义 Wi-Fi 信号。 每个元素都具有字符串值。 Wifi 元素没有属性或嵌套元素。
Ssid
包含无线网络的 SSID) (服务集标识符。 SSID 是无线网络的名称。 SSID 元素是必需的。 例如:
<ssid>corpnetwifi</ssid>
BSSID
包含无线接入点的基本服务集标识符 (BSSID) 。 BSSID 是无线接入点的 mac 地址。 BSSID 元素是可选的。 例如:
<bssid>12-ab-34-ff-e5-46</bssid>
安全性
包含客户端在连接到无线网络时使用的安全性类型。 安全元素是必需的,并且必须包含以下值之一:
| 值 | 描述 |
|---|---|
| Open | 无线网络是不需要任何身份验证或加密的开放网络。 |
| Wep | 无线网络使用有线等效隐私进行保护。 |
| WPA-Personal | 无线网络使用 Wi-Fi 受保护的访问进行保护。 |
| WPA-Enterprise | 无线网络使用 Wi-Fi 受保护的 Access-Enterprise 进行保护。 |
| WPA2-Personal | 无线网络使用 Wi-Fi 受保护的访问 2 进行保护,后者通常使用预共享密钥。 |
| WPA2-Enterprise | 无线网络使用 Wi-Fi 受保护的访问 2-Enterprise 进行保护。 |
例如:
<security>WPA2-Enterprise</security>
TrustedRootCA
包含无线网络的受信任根证书的指纹。 可以使用任何有效的受信任的根证书。 该值表示为十六进制字符串,其中字符串中的每个字节由单个空格分隔。 元素是可选的。 例如:
<trustedRootCA>a2 91 34 aa 22 3a a2 3a 4a 78 a2 aa 75 a2 34 2a 3a 11 4a aa</trustedRootCA>
Sig_quality
包含介于 0 到 100 的数值,表示需要被视为受信任信号的无线网络信号强度。
例如:
<sig_quality>80</sig_quality>
受信任的信号配置示例
重要提示
这些示例换行显示,以增加可读性。 正常格式化之后,所有 XML 内容均必须单行显示。
示例 1
以下示例使用 Ipv4Prefix、Ipv4DnsServer 和 DnsSuffix 元素配置 IPConfig 信号类型。
<rule schemaVersion="1.0">
<signal type="ipConfig">
<ipv4Prefix>10.10.10.0/24</ipv4Prefix>
<ipv4DnsServer>10.10.0.1</ipv4DnsServer>
<ipv4DnsServer>10.10.0.2</ipv4DnsServer>
<dnsSuffix>corp.contoso.com</dnsSuffix>
</signal>
</rule>
示例 2
以下示例使用 dnsSuffix 元素和手机蓝牙信号配置 IpConfig 信号类型。 该示例意味着 IpConfig 或 蓝牙规则的计算结果必须为 true,生成的信号求值为 true。
注意
用逗号分隔每个规则元素。
<rule schemaVersion="1.0">
<signal type="ipConfig">
<dnsSuffix>corp.contoso.com</dnsSuffix>
</signal>
</rule>,
<rule schemaVersion="1.0">
<signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</rule>
示例 3
以下示例使用复合 and 元素配置与示例 2 相同的 。 该示例意味着 IpConfig 和 蓝牙规则的计算结果必须为 true,生成的信号求值为 true。
<rule schemaVersion="1.0">
<and>
<signal type="ipConfig">
<dnsSuffix>corp.microsoft.com</dnsSuffix>
</signal>
<signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</and>
</rule>
示例 4
以下示例将 Wi-Fi 配置为受信任的信号。
<rule schemaVersion="1.0">
<signal type="wifi">
<ssid>contoso</ssid>
<bssid>12-ab-34-ff-e5-46</bssid>
<security>WPA2-Enterprise</security>
<trustedRootCA>a2 91 34 aa 22 3a a2 3a 4a 78 a2 aa 75 a2 34 2a 3a 11 4a aa</trustedRootCA>
<sig_quality>80</sig_quality>
</signal>
</rule>
配置多重解锁
若要配置多重解锁,可以使用:
- Microsoft Intune/CSP
- 组策略
重要提示
- PIN 必须至少位于一个组中
- 受信任信号必须与其他凭据提供程序结合使用
- 不能使用相同的解锁因子来满足这两个类别。 因此,如果在两个类别中包含任何凭据提供程序,则意味着它可以满足任一类别,但不能同时满足这两个类别
以下说明详细介绍了如何配置设备。 选择最适合你需求的选项。
Intune/CSP
Gpo若要使用Microsoft Intune配置设备,请创建设置目录策略并使用以下设置:
| 类别 | 设置名称 |
|---|---|
| 管理模板>Windows Hello 企业版 | 设备解锁插件 |
- 使用配置解锁因子中的信息配置第一和第二 个解锁因子
- 如果使用受信任的信号,请使用为受信任的信号凭据提供程序配置信号规则中的信息配置解锁因子使用的受信任信号
将策略分配给一个组,该组包含要配置的设备或用户作为成员。
或者,可以使用 PassportForWork CSP 的自定义策略配置设备。
| 设置 |
|---|
| ./Device/Vendor/MSFT/PassportForWork/DeviceUnlock |
重要提示
应删除所有非 Microsoft 凭据提供程序,以确保如果用户没有所需因素,则无法解锁其设备。 回退选项使用的是密码或智能卡(两者可根据需要禁用)。
用户体验
下面是一个简短的视频,展示了启用多重解锁时的用户体验:
- 用户首先使用指纹 + 蓝牙配对的手机登录
- 然后,用户使用指纹 + PIN 登录
疑难解答
多重解锁将事件写入应用程序 和服务日志\Microsoft\Windows\HelloForBusiness 下的事件日志,类别为 “设备解锁”。
事件
| 事件 ID | 详细信息 |
|---|---|
| 3520 | 已启动解锁尝试 |
| 5520 | 未配置解锁策略 |
| 6520 | 警告事件 |
| 7520 | 错误事件 |
| 8520 | 成功事件 |
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈