Windows 身分識別保護
深入瞭解 Windows 中的身分識別保護技術。
警告
Windows Hello 企業版 和 FIDO2 安全性金鑰是適用於 Windows 的新式雙因素驗證方法。 建議使用虛擬智慧卡的客戶移至 Windows Hello 企業版 或 FIDO2。 針對新的 Windows 安裝,建議您 Windows Hello 企業版 或 FIDO2 安全性密鑰。
無密碼登入
| 功能名稱 | 描述 |
|---|---|
| Windows Hello 企業版 | Windows 11 裝置可以藉由移除從第一天起使用密碼的需求來保護使用者身分識別。 您可以輕鬆地開始使用適合您組織的方法。 在布建程式期間,密碼可能只需要使用一次,之後人員會使用 PIN、臉部或指紋來解除鎖定認證並登入裝置。 Windows Hello 企業版 將安全性金鑰或憑證與 PIN 或生物特徵辨識數據結合,然後在安裝期間將認證對應至用戶帳戶,以取代使用者名稱和密碼。 視組織的需求而定,有多種方式可以部署 Windows Hello 企業版。 依賴憑證的組織通常會使用內部部署公鑰基礎結構 (PKI) 透過憑證信任來支持驗證。 使用金鑰信任部署的組織需要域控制器上的憑證所提供的信任根目錄。 |
| Windows 存在感測 | Windows 目前狀態感知可為混合式背景工作角色提供另一層數據安全性保護。 Windows 11 裝置可以智慧地適應您的目前狀態,以協助您保持安全且具生產力,無論您是在家、辦公室或公用環境工作。 Windows 目前狀態感知結合了目前狀態偵測感測器與 Windows Hello 臉部辨識,以在您離開時自動鎖定您的裝置,然後在您返回時使用 Windows Hello 臉部辨識將裝置解除鎖定並登入。 需要 OEM 支援硬體。 |
| Windows Hello 企業版 增強式安全性登入 (ESS) | Windows Hello 生物特徵辨識也支援增強的登入安全性,其會使用特製化的硬體和軟體元件來提高生物特徵辨識登入的安全性列。 增強的登入安全性生物識別技術會使用 VBS 和 TPM 來隔離使用者驗證程式和數據,並保護資訊的通訊路徑。 這些特殊化元件可防範一系列的攻擊,包括生物特徵辨識範例插入、重新執行、竄改等等。 例如,指紋讀取器必須實作安全裝置連線通訊協定,此通訊協定會使用密鑰交涉和 Microsoft 發行的憑證來保護及安全地儲存使用者驗證數據。 針對臉部辨識,安全裝置 (SDEV 等元件) 數據表和使用 trustlet 處理隔離有助於防止其他類別的攻擊。 |
| Windows 無密碼體驗 | Windows 無密碼體驗是一項安全策略,旨在藉由消除特定驗證案例中密碼的需求,為已加入 Microsoft Entra 裝置建立更方便使用的體驗。 藉由啟用此原則,使用者將無法在這些案例中選擇使用密碼,這可協助組織隨著時間從密碼轉換。 |
| Passkeys | 相較於密碼,通行密鑰提供更安全且方便的方法來登入網站和應用程式。 不同於用戶必須記住並輸入的密碼,密碼會儲存為裝置上的秘密,而且可以使用裝置的解除鎖定機制 (例如生物特徵辨識或 PIN) 。 您可以使用通行密鑰,而不需要其他登入挑戰,讓驗證程式更快速、安全且更方便。 |
| FIDO2 安全性金鑰 | 快速身分識別在線 (FIDO) 定義的 CTAP 和 WebAuthN 規格,正成為開放式標準,可提供與主要平臺提供者和信賴憑證者實作相關的強身份驗證、用戶易記和隱私權。 FIDO 標準和認證正成為跨企業、政府和消費者市場建立安全驗證解決方案的領先標準。 Windows 11 除了也是 FIDO2 認證無密碼解決方案的 Windows Hello 之外,還可以使用外部 FIDO2 安全性密鑰進行驗證。 Windows 11 可用來作為許多熱門身分識別管理服務的 FIDO 驗證器。 |
| Windows 服務的智慧卡 | 組織也可以選擇使用智慧卡,這是在生物特徵辨識登入之前使用的驗證方法。 智慧卡是防竄改的可攜式存儲設備,可在驗證客戶端、簽署程式代碼、保護電子郵件,以及使用 Windows 網域帳戶登入時增強 Windows 安全性。 智慧卡只能用來登入網域帳戶,而非本機帳戶。 使用密碼登入網域帳戶時,Windows 會使用 Kerberos 第 5 版 (v5) 通訊協定進行驗證。 如果您使用智慧卡,操作系統會使用 Kerberos v5 驗證搭配 X.509 v3 憑證。 |
進階認證保護
| 功能名稱 | 描述 |
|---|---|
| Web 登入 | Web 登入是一開始在 Windows 10 中引進的認證提供者,僅支持臨時存取傳遞 (TAP) 。 隨著 Windows 11 的發行,Web 登入的支援案例和功能已擴充。 例如,使用者可以使用 Microsoft Authenticator 應用程式或同盟身分識別登入 Windows。 |
| 同盟登入 | Windows 11 教育版 版本支援與非 Microsoft 身分識別提供者的同盟登入。 同盟登入可讓您透過 QR 代碼或圖片等方法安全地登入。 |
| Windows LAPS | Windows 本機系統管理員密碼解決方案 (Windows LAPS) 是 Windows 功能,可在已加入或已加入 Microsoft Entra Windows Server Active Directory 的裝置上,自動管理和備份本機系統管理員帳戶的密碼。 您也可以使用 Windows LAPS 自動管理和備份 Windows Server Active Directory 域控制器上的目錄服務還原模式 (DSRM) 帳戶密碼。 授權的系統管理員可以擷取 DSRM 密碼並加以使用。 |
| 帳戶鎖定原則 | 帳戶鎖定原則設定可控制登入嘗試失敗的回應閾值,以及達到閾值之後要採取的動作。 |
| 使用 SmartScreen 增強網路釣魚保護 | 仍在使用密碼的使用者可以受益於強大的認證保護。 Microsoft Defender SmartScreen 包含增強的網路釣魚保護,可在使用者將 Microsoft 密碼輸入任何應用程式或網站時自動偵測。 Windows 接著會識別應用程式或網站是否安全地向 Microsoft 進行驗證,並在認證有風險時發出警告。 由於使用者在可能遭到認證竊取時會收到警示,因此他們可以先採取先佔式動作,再對使用者或其組織使用密碼。 |
| 存取控制 (ACL/SACL) | Windows 中的訪問控制可確保共用資源可供資源擁有者以外的使用者和群組使用,並防止未經授權的使用。 IT 系統管理員可以管理使用者、群組和計算機對網路或計算機上對象和資產的存取權。 驗證用戶之後,Windows 操作系統會使用內建授權和訪問控制技術,來實作保護資源的第二個階段,以判斷已驗證的使用者是否具有正確的許可權。 存取控制 清單 (ACL) 描述特定物件的許可權,也可以包含系統 存取控制 清單 (SACL) 。 SACL 提供一種方式來稽核特定系統層級事件,例如當使用者嘗試存取檔系統物件時。 這些事件對於追蹤敏感性或有價值且需要額外監視之對象的活動而言是不可或缺的。 能夠在資源嘗試讀取或寫入操作系統的一部分時進行稽核,對於瞭解潛在攻擊至關重要。 |
| Credential Guard | Credential Guard 預設會在 Windows 11 企業版 中啟用,使用硬體支持的虛擬化型安全 (VBS) 來防範認證竊取。 使用 Credential Guard,本地安全機構 (LSA) 在作業系統其餘部分無法存取的隔離環境中儲存及保護秘密。 LSA 使用遠端程序呼叫,與隔離的 LSA 程序進行通訊。 藉由使用虛擬化型安全性來保護 LSA 程式,Credential Guard 可保護系統免於遭受認證竊取攻擊技術,例如傳遞哈希或傳遞票證。 它也有助於防止惡意代碼存取系統秘密,即使此程式是以系統管理員許可權執行。 |
| Remote Credential Guard | Remote Credential Guard 可將 Kerberos 要求重新導向回要求連線的裝置,以協助您透過遠端桌面連線保護您的認證。 它也提供遠端桌面會話的單一登錄體驗。 系統管理員認證具有高度特殊許可權,而且必須受到保護。 當您在遠端桌面會話期間使用遠端 Credential Guard 進行連線時,您的認證和認證衍生項目永遠不會透過網路傳遞至目標裝置。 如果目標裝置遭到入侵,就不會公開您的認證。 |
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應