Windows Hello for Business

В тази статия

В Windows 10 Windows Hello for Business замества паролите със силно двуфакторно удостоверяване на компютри и мобилни устройства. За удостоверяване в този случай се използва нов тип потребителски идентификационни данни, обвързани с устройството и базирани на биометрични данни или ПИН.
Windows Hello for Business позволява на потребителите да се удостоверяват срещу акаунт в Active Directory или Azure Active Directory.

Windows Hello решава следните проблеми с паролата:

  • Силните пароли са трудни за запомняне, така че едни и същи пароли често се използват в множество сайтове.
  • Когато сървърът е компрометиран, хакерите могат да получат достъп до симетрични мрежови идентификационни данни (пароли).
  • Паролите могат да бъдат обект на атаки за повторно възпроизвеждане на пакети.
  • Потребителите могат по невнимание да разкрият паролата си поради фишинг.

Предпоставки

Изключително внедряване в облак

  • Windows10 версия 1511 или по-нова
  • Акаунт в Microsoft Azure
  • Azure Active Directory
  • Azure многофакторно удостоверяване
  • Съвременни инструменти за управление (Intune или поддържано MDM решение на трети страни), по избор
  • Абонамент за Azure AD Premium - по избор, необходим за автоматично записване в MDM, когато устройството се присъедини към Azure Active Directory

Хибридни разполагания

Таблицата изброява минималните изисквания за всяко внедряване.

Локални разполагания

Таблицата изброява минималните изисквания за всяко внедряване.

Въпроси и отговори

Можете ли да внедрите Windows Hello for Business с System Center Configuration Manager?

Какво е стратегия без парола?

Вижте презентацията на старши мениджър на програмата Каранбир Сингх със заглавие Ръководство на Microsoft за избягване на пароли на конференцията Ignite 2017

Как работи потребителският опит в Windows Hello for Business?

След като разположите Windows Hello for Business във вашата среда, потребителският опит в Windows Hello for Business се появява, след като потребителят влезе.

Какво се случва, ако потребителят забрави своя ПИН?

Ако потребителят може да влезе с парола, той може да нулира своя ПИН, като щракне върху връзката Забравих си ПИН в раздела за опции. Започвайки с Fall Creators Update, потребителите могат да нулират своя ПИН в горната част на заключения екран, като следват връзката „Забравих си ПИН“ в доставчика на идентификационни данни за ПИН.

За да нулирате ПИН кода при локално внедряване, устройствата трябва да бъдат надеждно свързани към локалната мрежа (контролери на домейни и CA). Хибридните клиенти могат да регистрират клиент на Azure, за да използват услугата за нулиране на ПИН за Windows Hello for Business, за да нулират своя ПИН без достъп до корпоративната мрежа.

Задължително ли е да имате Windows Server 2016 домейн контролери?

Има много опции за разполагане, от които можете да избирате. Някои от тези опции изискват достатъчен брой контролери на домейни на Windows Server 2016 в сайта, където сте разположили Windows Hello for Business. Има и други опции за внедряване, които използват съществуващите контролери на домейн на Windows Server 2008 R2 или по-нова версия. Изберете опцията за внедряване, която най-добре отговаря на вашата среда.

Предоставя ли Windows Hello for Business удостоверяване с много фактори?

Windows Hello for Business реализира двуфакторно удостоверяване въз основа на следните фактори за идентичност: нещо, което притежавате; нещо, което знаете; и нещо, което е част от вас. Windows Hello for Business използва два от тези фактори: нещо, което имате (частният ключ на потребителя, защитен от модула за защита на устройството) и нещо, което знаете (вашия ПИН). С подходящото оборудване можете да подобрите комфорта на потребителите си, като добавите биометрични данни. Когато използвате биометрични данни, е възможно да замените фактора „нещо, което знаете“ с „нещо, което е част от вас“ за фактор идентичност, като гарантирате, че потребителите могат да се върнат към фактора „нещо, което знаете“, когато е необходимо.

Мога ли да използвам ПИН и биометрични данни за отключване на устройството?

От Windows 10, версия 1709, можете да използвате многофакторно отключване, при което потребителят трябва да предостави допълнителна информация за отключване на устройството. Удостоверяването остава двуфакторно, но преди Windows да даде достъп на потребителя до работния плот, трябва да се осигури допълнителен фактор. За повече информация относно многофакторното отключване вижте Windows Hello for Business Components

Каква е разликата между Windows Hello и Windows Hello for Business?

Windows Hello е биометрична платформа, предоставена в Windows 10. Windows Hello позволява на потребителите да използват биометрични данни за влизане в своите устройства, като съхраняват потребителското си име и парола и ги представят за удостоверяване, след като потребителят успешно се удостовери с биометрични данни. Windows Hello for Business използва асиметрични ключове, защитени от модула за защита на устройството, които изискват потребителски жест (ПИН или биометричен) за удостоверяване.

Мигрирахме от Active Directory към Azure Active Directory. Можем ли да използваме локален модел за внедряване?

Не. Ако вашата организация има федерация или уеб услуги като Office365 или OneDrive, трябва да използвате хибриден модел за внедряване. Локалните внедрявания са предназначени само за организации, които се нуждаят от повече време за мигриране към облака и които използват изключително Active Directory.

Предотвратява ли Windows Hello for Business прости PIN кодове?

Да. Нашият прост ПИН алгоритъм намира и забранява всеки ПИН с постоянна разлика между съседните цифри. Това предотвратява използването на повтарящи се и последователни числа, както и прости комбинации. Пример:

  • 1111 има постоянна разлика от 0, така че е забранено
  • 1234 има постоянна разлика 1, така че е забранено
  • 1357 има постоянна разлика от 2, така че е забранено
  • 9630 има постоянна разлика от -3, така че е забранено
  • 1231 няма постоянна разлика, така че е разрешена
  • 1593 няма постоянна разлика, така че е разрешена

Този алгоритъм не се прилага за буквено-цифрови ПИН кодове.

Как работи кеширането с ПИН с Windows Hello for Business?

Windows Hello for Business предоставя на потребителите кеширане с ПИН с помощта на инструмент за проследяване на технически проблеми. Вместо кеширане на ПИН, обработва кеширане на заявка, която те могат да използват за заявяване на операции с частен ключ. Ключовете за влизане в Azure AD и Active Directory се кешират в режим на блокиране. Това означава, че ключовете остават достъпни за използване без подкана, ако потребителят е влязъл онлайн. Ключовете за влизане в акаунт в Microsoft се считат за транзакционни, което означава, че когато има достъп до ключ, потребителят винаги се подканва.

Мога ли да изключа своя ПИН, когато използвам Windows Hello for Business?

Не. Отхвърлянето на пароли се постига чрез постепенно намаляване на честотата на използване на паролата. Ако не можете да удостоверите с биометрични данни, се нуждаете от механизъм за възстановяване без парола. ПИН кодът е такъв механизъм. Деактивирането или скриването на доставчика на ПИН е забранило възможността за използване на биометрични данни.