Windows hello как включить распознавание лица

Вход в учетную запись Майкрософт с помощью Windows Hello или ключа безопасности

Если вам надоело вспоминать или сбрасывать пароль, попробуйте использовать Windows Hello или ключ безопасности, совместимый с платформой FIDO 2, для входа в свою учетную запись Майкрософт. Для этого вам понадобится только устройство с Windows 10 версии 1809 или выше и браузер Microsoft Edge. (Эта функция пока недоступна для консолей Xbox и телефонов.)

Что такое Windows Hello?

Windows Hello — это персонализированный способ входа с помощью функции распознавания лица, отпечатка пальца или ПИН-кода. Windows Hello можно использовать для входа на устройство с экрана блокировки и для входа в учетную запись в Интернете.

Что такое ключ безопасности?

Ключ безопасности — это физическое устройство, которое можно использовать вместо имени пользователя и пароля для входа в систему. Это может быть USB-ключ, который можно хранить в связке ключей, или NFC-устройство, например смартфон или карточка доступа. Он используется в дополнение к отпечатку пальца или ПИН-коду, поэтому даже если кто-либо получит ваш ключ безопасности, он не сможет войти в систему без вашего ПИН-кода или отпечатка пальца.

Ключи безопасности обычно можно приобрести в розничных магазинах, где продаются периферийные устройства для компьютеров.

Как выполнить вход с помощью Windows Hello

Выполните описанные ниже действия, чтобы настроить Windows Hello, а затем войдите в свою учетную запись Майкрософт в браузере Microsoft Edge.

Перейдите в раздел Учетные записи > Варианты входа.

В разделе Управление входом в устройство выберите пункт Windows Hello, чтобы добавить его.

Чтобы добавить Windows Hello в качестве способа входа для своей учетной записи Майкрософт:

Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.

Выберите Безопасность > Расширенные параметры безопасности

Нажмите Добавьте новый способ входа или проверки

Выберите Используйте компьютер с Windows

Следуйте инструкциям в диалоговых окнах, чтобы настроить Windows Hello как способ входа в систему.

Как выполнить вход с помощью ключа безопасности

Существуют различные типы ключей безопасности, например USB-ключ, который подключается к устройству, или NFC-ключ, которым нужно коснуться NFC-сканера. Обязательно ознакомьтесь с типом своего ключа безопасности, прочитав прилагающееся к нему руководство от производителя.

Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.

Выберите Безопасность > Расширенные параметры безопасности

Нажмите Добавьте новый способ входа или проверки

Определите тип ключа (USB или NFC) и нажмите Далее.

Запустится процесс настройки, в ходе которого нужно будет вставить ключ или коснуться им устройства.

Создайте ПИН-код (или введите существующий ПИН-код, если вы его уже создали).

Выполните следующее действие, коснувшись кнопки или золотого диска на своем ключе (или прочтите руководство, чтобы узнать, какое действие требуется).

Присвойте ключу безопасности имя, чтобы его можно было отличить от других ключей.

Выйдите из своей учетной записи и откройте Microsoft Edge, выберите Использовать Windows Hello или ключ безопасности, затем вставьте ключ или коснитесь им устройства, чтобы выполнить вход.

Примечание: Производитель ключа безопасности может предоставить программное обеспечение, которое позволяет управлять ключом, например менять ПИН-код или создавать отпечаток пальца.

Управление ключами

Выполните описанные ниже действия, чтобы удалить ключи, настроенные для вашей учетной записи.

Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.

Выберите Безопасность > Расширенные параметры безопасности, затем в разделе Windows Hello и ключи безопасности нажмите Управление способами входа.

Источник

Windows hello как включить распознавание лица

Хотите безопасно войти в свой компьютер без пароля? Встречайте Windows Hello. Технология футуристического входа в Windows добавляет биологическую аутентификацию на ваш компьютер, что приводит к более быстрому, безопасному и простому входу в систему. Попрощайтесь с тратой времени на ввод пароля с клавиатуры.

Давайте выясним, как работает Windows Hello и как начать работу?

Что такое Windows Hello и для чего он нужен?

Десять лет назад биометрические сканеры были научной фантастикой. Сегодня вход в компьютер под управлением Windows с помощью только вашего лица, глазного яблока или отпечатка пальца является реалистичной для потребителя. Windows Hello избавляет пользователей от утомительного ввода пароля для входа в систему. Начнем с основ.

Какой тип аутентификации используется? Вам нужен только один из трех методов проверки подлинности: распознавание лица, отпечаток пальца или сетчатка глаза. Но прежде чем выбирать тип проверки подлинности, узнайте, поддерживает ли ваш компьютер Windows Hello.

Как проверить, поддерживает ли ваш компьютер Windows Hello

Требования просты: вам необходимо обновить Windows 10 Anniversary Update (AU), а также купить сканер радужной оболочки глаза, сканер отпечатков пальцев или специальную инфракрасную 3D-камеру.

Вы можете проверить, поддерживает ли ваш компьютер Windows Hello, перейдя в «Настройки»> «Учетные записи»> «Параметры входа».

По состоянию на апрель 2018 года только несколько мобильных устройств, таких как Nokia Lumia 2 XL, включают в себя сканирование радужной оболочки глаза (на сайте Microsoft есть список совместимых устройств). Если Windows Hello недоступна, вы увидите сообщение, в котором говорится: «Windows Hello недоступна на этом устройстве».

Если оно недоступно, вы можете приобрести периферийное устройство, которое добавит функциональность Windows Hello в вашу систему. Из этих дополнительных устройств существует два типа биометрической аутентификации. Для получения дополнительной информации см. Раздел ниже: «Windows Hello недоступен на этом устройстве».

Как включить Windows Hello

Если у вас есть совместимая система, ее легко настроить. Под заголовком «Распознавание лиц» нажмите «Настроить». (Если ваш компьютер использует сканирование отпечатков пальцев, вы должны выбрать «Настроить» под заголовком «Отпечаток пальца»).

Чтобы настроить распознавание лиц, Windows снимает трехмерное изображение, близкое к инфракрасному. Она учитывает такие вещи, как волосы и очки, поэтому вам может потребоваться сделать несколько снимков для калибровки механизма распознавания.

Я обнаружил, что даже носить капюшон или причесать волосы по-другому может помешать вам войти в систему. В этом случае вам просто нужно будет перепечатать ваш пароль.

Динамическая блокировка Windows Hello

Чтобы использовать динамическую блокировку, сначала поместите смартфон или планшет в режим сопряжения Bluetooth, а затем войдите в настройки Bluetooth в Windows. Самый простой способ попасть туда – открыть поиск Windows и ввести Bluetooth.

Выберите «Bluetooth и другие устройства». Затем выберите «Добавить Bluetooth или другое устройство». Когда будет предложено выбрать устройство, выберите Bluetooth.

Вы должны увидеть свое устройство, указанное здесь. Выберите его и инициируйте процесс сопряжения. После того, как он спарен, вы можете вернуться к настройкам Windows Hello и настроить динамическую блокировку.

«Windows Hello недоступна на этом устройстве»

Если Windows Hello не работает, скорее всего, ваше оборудование несовместимо. Это означает, что вашей системе не хватает сканирования радужной оболочки глаза, сканирования отпечатков пальцев или инфракрасной 3D-камеры. К сожалению, сканер радужной оболочки глаза на данный момент еще не поступил в открытую продажу.

Добавьте сканер отпечатков пальцев в Windows 10

Устройство подключается к USB-порту, и после завершения установки драйверов пользователю необходимо настроить свой отпечаток пальца в Windows. С этого момента вы можете войти в свой компьютер одним касанием.

Существуют также две альтернативы USB сканеру. Microsoft выпускает биометрический сканер в сочетании с клавиатурой.

В дополнение к клавиатуре скоро появятся мыши со встроенными сканерами. К сожалению, те, что я видел на Amazon, не совместимы с Windows Hello.

В целом, сканер отпечатков пальцев обеспечивает наилучшую безопасность. В то время как камера распознавания лиц может работать и как веб-камера, но она, как правило, дороже и имеет вероятность ложной аутентификации.

Это также самый дешевый способ работы Windows Hello.

Добавьте камеру распознавания лиц

Сканеры распознавания лиц выпускаются в нескольких разных моделях. Веб-камеры, совместимые с Windows Hello, включают продукты от Logitech, Microsoft и т. д. Из них наименее дорогим является веб-камера Mouse или LilBit (у которой нет микрофона).

На рынке high-end существует несколько вариантов. Однако, на мой взгляд, цены Razer Stargazer чрезвычайно завышены.

Веб-камера deluxe Brio от Logitech включает в себя поддержку Windows Hello и шумоподавляющие микрофоны. Однако ее стоимость выходит за рамки большинства бюджетов. И отзывы о ней не были замечательными.

Насколько безопасной и приватной является Windows Hello?

Согласно политике конфиденциальности Microsoft, ваша конфиденциальность защищена двумя способами:

Во-первых, если вы используете аутентификацию отпечатка пальца или распознавания лиц, Microsoft не передает (по их словам) необработанные данные вашего отпечатка или фотографии через Интернет.

Фактически, она даже не сохраняет исходные данные. Вместо того, чтобы хранить отпечаток пальца или фотографию, Windows создает цифровую абстракцию. Эта информация не распознается людям и может быть интерпретирована только машиной.

Во-вторых, хотя некоторые пользовательские данные передаются через Интернет, они зашифровываются, поэтому их нельзя перехватить с помощью атак типа «человек в середине». Шифрование довольно сильное, поэтому даже если оно было перехвачено, злоумышленник получит доступ только к хэшу данных.

В конце концов, если вы доверяете Microsoft, и обеспокоены тем, что биометрическая информация может быть использована против вас преступниками, Windows Hello может считаться безопасной. Если вы обеспокоены тем, что Microsoft может использовать ваши данные для получения прибыли, держитесь подальше от Windows Hello. Однако, если вас это не касается, нет ничего по своей сути дефектного в том, как Microsoft хранит и передает ваши данные.

Стоит ли использовать Windows Hello?

Для большинства пользователей я рекомендую именно сканер отпечатков пальцев. Они крошечные и подключаются к USB-портам, что делает их совместимыми практически со всеми компьютерами.

Источник

Windows Hello: что это такое и как войти с помощью PIN-кода, отпечатка пальца или лица

Поскольку всегда, чтобы войти в Windows необходимо использовать логин и пароль. Или без пароля, если мы не против поставить под угрозу наши данные. Однако с появлением Windows 10 все изменилось, и вместо создания локальных пользователей система использует наши Microsoft Учетная запись с паролем для создания пользователя и входа на наш компьютер. Использование быстрого и простого пароля может поставить под угрозу нашу учетную запись, в то время как надежный пароль утомительно вводить каждый раз при входе в систему. И именно здесь Windows Hello вступает в игру.

Что такое Windows Hello?

Благодаря Windows Hello мы сможем использовать длинный, надежный и сложный пароль для защиты нашей учетной записи Microsoft, в то время как мы можем быстро войти в Windows 10 безопасно, без необходимости вводить этот сложный пароль.

Windows Hello изначально была представлена ​​как функция Windows, но сегодня многие приложения используют ее для аутентификации пользователя. Google Chrome, например, позволяет нам аутентифицироваться с помощью Hello для доступа к нашим сохраненным паролям или для оплаты без необходимости вводить какой-либо другой пароль или ключ. Dropbox и Один диск также совместимы с этой функцией безопасности.

Требования для использования этой функции безопасности

Windows Hello доступна с первой версии Windows 10, хотя сначала она была доступна только для США. Со следующими обновлениями операционной системы эта функция была доступна другим пользователям, и сегодня 100% пользователей Windows 10 имеют Windows Hello для ее использования. Поэтому, чтобы быть уверенным, первое, что мы должны убедиться, это иметь последнюю операционная система обновление установлено со всеми патчами, опубликованными на сегодняшний день.

Чтобы использовать системы аутентификации по PIN-коду или изображению, нам больше ничего не нужно. Однако, если мы хотим использовать другие системы биометрической аутентификации, необходимо иметь дополнительное оборудование. Например, чтобы разблокировать наш компьютер с помощью отпечатка пальца у нас должен быть сканер отпечатков пальцев. Современные ноутбуки обычно имеют один включенный по умолчанию. И если у нас его нет, мы можем купить его на Amazon по вполне приемлемой цене.

Аналогично, если мы хотим использовать распознавание лиц, нам понадобится веб-камера, которая поддерживает эту функцию. Любая камера бесполезна, так как для точного и надежного обнаружения нам нужна камера инфракрасный система . Эти камеры несколько дороже, чем сканер отпечатков пальцев, хотя некоторые относительно новые ноутбуки уже обычно приносят на экран камеру, поддерживающую эту технологию.

И наконец, если мы собираемся использовать ключи безопасности для аутентификации себя на компьютере, нам также необходимо иметь ключ с надежными сертификатами и протоколами, такими как FIDO ключ .

Как настроить Windows Hello

Чтобы войти в настройки Windows Hello, мы должны открыть Windows 10 Настройки меню (сочетание клавиш Windows + I) и перейдите к Учетные записи > Варианты входа раздел.

Здесь мы можем настроить каждый из параметров входа, которые предлагает нам Windows Hello.

Установить PIN-код

Мы выберем вариант настройки PIN-кода для входа в систему, и мастер проведет нас через шаги, которые мы должны выполнить. По сути, мы должны ввести PIN-код в появившемся окне и повторить его в нижнем окне. Если мы хотим использовать буквы или символы, нам необходимо установить флажок, который отображается под полями для PIN-кода.

Когда мы введем PIN-код, наша Windows 10 уже будет защищена им.

Настройте распознавание лиц

В случае наличия совместимой камеры мы сможем использовать эту систему аутентификации. Все, что нам нужно сделать, это выбрать эту опцию в конфигурации Windows Hello и запустить мастер, который поможет нам реализовать эту меру безопасности.

После запроса нашего пароля (или PIN-кода, если мы уже его активировали) камера подключится и попросит нас несколько секунд смотреть на него. Мы должны держать свое лицо внутри поля, которое будет отображаться на экране, пока оно не узнает нас. При настройке этой функции важно иметь хорошее освещение, чтобы избежать ошибок распознавания.

Когда мы закончим, мы уже настроим эту функцию, и Windows сможет распознать нас своим «глазом», не делая ничего. Если у нас нет настроенного PIN-кода, нам придется настроить его перед закрытием мастера для безопасности.

Установить отпечаток пальца

После аутентификации с помощью ПИН-кода (или пароля, если мы еще не настроили ПИН-код), мы просто должны выполнить шаги, которые появляются на экране, чтобы настроить наш палец. По сути, все дело в том, чтобы положить палец на считыватель и снять его и перемещать до тех пор, пока вы полностью его не узнаете.

Когда закончите, как и с веб-камерой, это заставит нас настроить PIN-код, если мы не сделали этого раньше. И мы уже можем начать вход в систему с помощью сканера отпечатков пальцев в Windows 10. Также укажите, что мы можем добавить нужные нам отпечатки пальцев, что-то полезное, если, например, мы поделились компьютером с другими доверенными людьми.

Установить ключ безопасности

Когда процесс заканчивается, мы можем использовать этот USB-ключ для входа в систему вместо PIN-кода, пароля или любой другой биометрической системы.

Установить пароль

Этот параметр не является методом аутентификации как таковым, но он позволяет нам легко изменить пароль нашей учетной записи Microsoft, а вместе с ним и пароль пользователя Windows.

Установить пароль для изображения

Наконец, эта система аутентификации позволяет нам использовать изображение, чтобы на основе шаблонов мы могли разблокировать компьютер без использования пароля. Для этого нам нужно выбрать эту опцию в меню Windows Hello и настроить шаблон, который мы хотим выполнить. Мы можем оставить фотографию Windows 10 по умолчанию или выбрать любое изображение, которое мы сохранили на компьютере.

Этот метод не является одним из самых безопасных, но он очень удобен, если на нашем компьютере есть сенсорный экран.

Как удалить ПИН-код Windows 10 (отключить Windows Hello)

Если через некоторое время мы не хотим продолжать использовать эти системы аутентификации и хотим вернуться к обычному имени пользователя и паролю, Windows 10 позволяет нам отключить все эти параметры Windows Hello без труда.

Для этого мы должны вернуться в раздел параметров входа (Настройки> Учетные записи> Параметры входа) и выбрать элемент, который мы хотим отключить.

Windows 10 попросит нас ввести PIN-код (в случае деактивации биометрических систем) или пароль учетной записи Microsoft (в случае, если мы удаляем PIN-код), чтобы продемонстрировать, что это мы и, что очень важно, что мы ее помним.

Когда мы закончим, PIN-код, отпечаток пальца или элемент, который мы сказали удалить, будут отключены. Мы можем проверить это, нажав Windows + L, чтобы заблокировать сеанс и проверив доступные системы аутентификации.

Благодаря Windows Hello безопасное использование Windows 10 стало намного проще, чем когда-либо.

Источник

Управление проверкой личности с помощью Windows Hello для бизнеса

Делимся с вами обзорным материалом про службу Windows Hello, обеспечивающую двухфакторную проверку на Windows 10. Также вы узнаете, чем она будет полезна для крупных компаний, почему стоит выбирать PIN-код, а не пароль и как её настроить.

Windows Hello — что это и зачем?

В Windows 10 служба Windows Hello для бизнеса заменяет пароли на строгую двухфакторную проверку подлинности на компьютерах и мобильных устройствах. Она заключается в создании нового типа учетных данных пользователя в привязке к устройству, использовании биометрических данных или PIN-кода.

В первых версиях Windows 10 были службы Microsoft Passport и Windows Hello, которые обеспечивали многофакторную проверку подлинности. Чтобы упростить развертывание и расширить возможности поддержки, Microsoft объединила эти технологии в единое решение — Windows Hello. Если вы уже выполнили развертывание этих технологий, то вы не заметите никаких изменений в функционировании служб. Для тех, кому еще предстоит оценить работу Windows Hello, выполнить развертывание будет гораздо проще благодаря упрощенным политикам, документации и семантике.

Служба Hello призвана решать типичные проблемы пользователей, возникающие при работе с паролями:

После начальной двухэтапной проверки при регистрации на вашем устройстве настраивается служба Hello, и вы сами устанавливаете жест, который может быть как биометрическим, например отпечатком пальца, так и PIN-кодом. Далее необходимо сделать жест для проверки своего удостоверения. После этого Windows использует Hello для проверки подлинности и предоставления им доступа к защищенным ресурсам и службам.

От имени администратора компании или общеобразовательной организации можно создать политики управления Hello для использования на устройствах под управлением Windows 10, которые подключаются к вашей организации.

Разница между Windows Hello и Windows Hello для бизнеса

Windows Hello предназначена для удобного и безопасного входа пользователя. Такое использование Hello обеспечивает отдельный уровень защиты, так как является уникальным для устройства, на котором настраивается, однако проверка подлинности на основе сертификатов при этом отсутствует.

Служба Windows Hello для бизнеса, которая настраивается групповой политикой или политикой MDM, использует проверку подлинности на основе ключа или сертификата.

В настоящее время в учетных записях Active Directory с использованием Windows Hello не поддерживается проверка подлинности на основе ключа или сертификата. Эта функция должна появиться в будущем выпуске.

Почему PIN-код, а не пароль?

Пароли представляют собой общие секреты, они вводятся на устройстве и передаются по сети на сервер. Перехваченные имя и пароль учетной записи могут быть использованы кем угодно. Например, учетные данные могут быть раскрыты при взломе сервера.

В Windows 10, в процессе подготовки, служба Hello создает пару криптографических ключей, привязанных к доверенному платформенному модулю (TPM), если устройство оснащено таким модулем, или в программной реализации. Доступ к этим ключам и получение подписи для проверки того, что пользователь владеет закрытым ключом, предоставляется только при вводе PIN-кода или биометрического жеста. Двухэтапная проверка, которая происходит при регистрации в службе Hello, формирует доверительные взаимоотношения между поставщиком удостоверений и пользователем, когда открытая часть пары «открытый/закрытый ключ» отправляется поставщику удостоверений и связывается с учетной записью пользователя. Когда пользователь выполняет жест на устройстве, поставщик удостоверений определяет по комбинации ключей Hello и жеста, что это проверенное удостоверение, и предоставляет маркер проверки подлинности, с помощью которого Windows 10 получает доступ к ресурсам и службам. Кроме того, в процессе регистрации генерируется претензия по удостоверению для каждого поставщика удостоверений, чтобы криптографически подтвердить, что ключи Hello привязаны к TPM. Если претензия по удостоверению во время регистрации не выставляется поставщику удостоверений, поставщик удостоверений должен предполагать, что ключ Hello создан программно.

Представьте, что кто-то подсматривает через ваше плечо при получении денежных средств из банкомата и видит вводимый вами PIN-код. Наличие этого PIN-кода не поможет им получить доступ к учетной записи, так как у них нет банковской карты. Аналогичным образом перехват PIN-кода для устройства не позволяет злоумышленнику получить доступ к учетной записи, так как PIN-код является локальным для конкретного устройства и не обеспечивает никакого типа проверки подлинности с любого другого устройства.

Hello как раз позволяет защищать удостоверения и учетные данные пользователей. Так как пароли не используются, фишинг и атаки методом подбора становятся бесполезными. Эта технология позволяет также предотвратить взломы серверов, так как учетные данные Hello являются асимметричной парой ключей, что предотвращает атаки с повторяющимися пакетами, так как эти ключи защищены доверенными платформенными модулями (TPM).

Также можно использовать устройства с Windows 10 Mobile в качестве удаленных учетных данных при входе на ПК под управлением Windows 10. В процессе входа в систему ПК под управлением Windows 10 он может подключаться и получать доступ к Hello на вашем устройстве под управлением Windows 10 Mobile по Bluetooth. Поскольку мы всегда носим с собой телефон, Hello позволяет гораздо проще реализовать двухфакторную проверку подлинности.

Функция входа через телефон в данный момент доступна только отдельным участникам программы принятия технологий (TAP).

Так как же PIN-код помогает защитить устройство лучше, чем пароль?

Преимущества PIN-кода в сравнении с паролем связаны не с его структурой (длиной и сложностью), а с принципом работы.

1. PIN-код привязан к устройству. Злоумышленник, получивший доступ к паролю, может войти в учетную запись с любого устройства, но в случае кражи PIN-кода вход в учетную запись будет невозможен без доступа к соответствующему устройству.

2. PIN-код хранится на устройстве локально. Пароль передается на сервер и может быть перехвачен в процессе передачи или украден с сервера. PIN-код задается на устройстве на локальном уровне, не передается и не хранится на сервере. При создании PIN-кода устанавливаются доверительные отношения с поставщиком удостоверений и создается пара асимметричных ключей, используемых для проверки подлинности. При вводе PIN-кода ключ проверки подлинности разблокируется и используется для подтверждения запроса, отправляемого на сервер для проверки подлинности.

3. PIN-код поддерживается оборудованием. PIN-код Hello поддерживается микросхемой доверенного платформенного модуля (TPM), представляющей собой надежный криптографический процессор для выполнения операций шифрования. Эта микросхема содержит несколько механизмов физической защиты для предотвращения взлома, и вредоносные программы не могут обойти функции безопасности TPM. TPM применяется во всех телефонах с Windows 10 Mobile и во многих современных ноутбуках.

Материал ключа пользователя создается и становится доступным в доверенном платформенном модуле (TPM) на устройстве пользователя, что защищает материал от перехвата и использования злоумышленниками. Поскольку технология Hello подразумевает использование пар асимметричных ключей, учетные данные пользователей не будут похищены в случае нарушения безопасности поставщика удостоверений или веб-сайтов, к которым пользователь осуществляет доступ.

TPM защищает от множества известных и потенциальных атак, в том числе атак методом подбора PIN-кода. После определенного количества попыток ввода неправильного PIN-кода устройство блокируется.

4. PIN-код может быть сложным. К PIN-коду Windows Hello для бизнеса применяется тот же набор политик управления ИТ, что и к паролю, в том числе сложность, длина, срок действия и история изменений. Несмотря на уверенность большинства пользователей в том, что PIN-код представляет собой простой код из 4 цифр, администраторы могут устанавливать для управляемых устройств политики, предполагающие уровень сложности PIN-кода, сопоставимый с паролем. Вы можете сделать обязательными или запретить специальные знаки, буквы в верхнем и нижнем регистрах, а также и цифры.

Раздел меню настроек в котором задаются параметры PIN-кода и биометрия:

Что произойдет в случае кражи ноутбука или телефона?

Для нарушения безопасности учетных данных Windows Hello, защищаемых TPM, злоумышленнику нужно осуществить доступ к физическому устройству, найти способ похитить биометрические данные пользователя или подобрать PIN-код. Все это нужно сделать раньше, чем функциональный механизм защиты от взлома TPM заблокирует устройство. Для ноутбуков, не имеющих TPM, можно настроить дополнительную защиту, активировав BitLocker и ограничив количество неудачных попыток входа в систему.

Настройка BitLocker без TPM

С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику:

Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Шифрование диска BitLocker → Диски операционной системы → Требовать дополнительной проверки подлинности при запуске

В параметрах политики выберите Разрешить использование BitLocker без совместимого TPM, а затем нажмите кнопку ОК.

Перейдите в меню Панель управления → Система и безопасность → Шифрование диска BitLocker и выберите диск с операционной системой, который требуется защитить.

С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику: Конфигурация компьютера → Параметры Windows → Параметры безопасности → Политики учетных записей → Политика блокировки учетных записей → Пороговое значение блокировки.

Установите допустимое количество неудачных попыток входа в систему и нажмите ОК.

Как работает Windows Hello для бизнеса: основные положения

1. Учетные данные службы Hello основаны на сертификате или асимметричной паре ключей и привязаны к устройству, как и маркер, получаемый с помощью учетных данных.

2. Поставщик удостоверений (например, Active Directory, Azure AD или учетная запись Майкрософт) проверяет удостоверение пользователя и сопоставляет открытый ключ Hello с учетной записью пользователя на этапе регистрации.

3. Ключи могут генерироваться в аппаратном (TPM 1.2 или 2.0 для предприятий и TPM 2.0 для потребителей) или программном обеспечении на основании политики.

4. Проверка подлинности — это двухфакторная проверка с использованием сочетания ключа или сертификата, привязанного к устройству, и информации, известной пользователю PIN-код), или идентификационных данных пользователя (Windows Hello). Жест Hello не перемещается между устройствами и не предоставляется серверу. Он хранится локально на устройстве.

5. Закрытый ключ никогда не покидает устройство. Проверяющий подлинность сервер имеет открытый ключ, который был сопоставлен с учетной записью пользователя во время регистрации.

6. Ввод PIN-кода и биометрических жестов приводит к проверке удостоверения пользователя в Windows 10 и проверке подлинности с использованием ключей или сертификатов Hello.

7. Личные (учетная запись Майкрософт) или корпоративные учетные записи (Active Directory или Azure AD) использует один контейнер для ключей. Все ключи разделены по доменам поставщиков удостоверений в целях обеспечения конфиденциальности пользователя.

8. Закрытые ключи сертификатов могут быть защищены контейнером Hello и жестом Hello.

Сравнение проверки подлинности на основе ключа и сертификата

Для подтверждения личности служба Windows Hello для бизнеса может использовать ключи (аппаратный или программный) или сертификаты с ключами в аппаратном или программном обеспечении. Предприятия с инфраструктурой открытых ключей (PKI) для выпуска и управления сертификатами могут продолжать использовать PKI вместе со службой Hello. Предприятия, у которых нет PKI или которые хотят сократить объем работ, связанных с управлением сертификатами, могут использовать для службы Hello учетные данные на основе ключа.

Аппаратные ключи, которые создаются модулем TPM, обеспечивают наиболее высокий уровень гарантии. При изготовлении в модуль TPM помещается сертификат ключа подтверждения (EK). Этот сертификат EK создает корневое доверие для всех других ключей, которые генерируются в этом модуле TPM. Сертификация EK используется для генерации сертификата ключа удостоверения подлинности (AIK), выданного службой сертификации Microsoft. Этот сертификат AIK можно использовать как претензию по удостоверению, чтобы доказать поставщикам удостоверений, что ключи Hello генерировались одним и тем же TPM. Центр сертификации Майкрософт (CA) генерирует сертификат AIK для каждого устройства, пользователя и IDP, чтобы гарантировать защиту конфиденциальности.

Если поставщики удостоверений, например Active Directory или Azure AD, регистрируют сертификат в службе Hello, Windows 10 будет поддерживать тот же набор сценариев, что и смарт-карта. Если тип учетных данных представляет собой ключ, будет поддерживаться только доверие и операции на основе ключа.

Мы постарались написать для вас подробный и понятный туториал по работе со службой Windows Hello. Если у вас остались вопросы, задавайте в комментариях.

Источник