настройка windows hello в windows 10
Сведения о приложении Windows Hello и его настройке
Windows Hello — это индивидуально настраиваемый и более безопасный способ получить мгновенный доступ к устройствам Windows 11 с помощью ПИН-кода, распознавания лица или отпечатков пальцев. Вам потребуется настроить ПИН-код при настройке входа с использованием отпечатков пальцев или распознавания лица. Впрочем, можно входить в систему с использованием только ПИН-кода.
Эти варианты упрощают процедуру входа на ваш компьютер и делают ее безопаснее, поскольку ваш ПИН-код связан только с одним устройством, а для резервного копирования он связывается с вашей учетной записью Майкрософт.
Нажмите кнопку выше, чтобы перейти непосредственно к параметрам, или выполните следующие действия для настройки Windows Hello:
В разделе Способы входа приведены три варианта входа с помощью Windows Hello:
Выберите Распознавание лиц Windows Hello, чтобы настроить вход с использованием функции распознавания лица с помощью инфракрасной камеры вашего компьютера или внешней инфракрасной камеры.
Выберите Распознавание отпечатков пальцев Windows Hello, чтобы настроить вход с помощью сканера отпечатков пальцев.
Выберите ПИН-код Windows Hello, чтобы настроить вход с помощью ПИН-кода.
Статьи по теме
Windows Hello — это индивидуально настраиваемый и более безопасный способ получить мгновенный доступ к устройствам Windows 10 с помощью ПИН-кода, распознавания лица или отпечатков пальцев. Вам потребуется настроить ПИН-код при настройке входа с использованием отпечатков пальцев или распознавания лица. Впрочем, можно входить в систему с использованием только ПИН-кода.
Эти варианты упрощают процедуру входа на ваш компьютер и делают ее безопаснее, поскольку ваш ПИН-код связан только с одним устройством, а для резервного копирования он связывается с вашей учетной записью Майкрософт.
Нажмите кнопку выше, чтобы перейти непосредственно к параметрам, или выполните следующие действия для настройки Windows Hello:
В разделе Управление входом на устройство вы увидите три варианта входа с помощью Windows Hello:
Выберите Распознавание лиц Windows Hello, чтобы настроить вход с использованием распознавания лица с помощью инфракрасной камеры вашего компьютера или внешней инфракрасной камеры.
Выберите Распознавание отпечатков пальцев Windows Hello, чтобы настроить вход с сканера отпечатков пальцев.
Выберите ПИН-код Windows Hello, чтобы настроить вход с ПИН-кодом.
Возможности входа в Windows и защита учетных записей
Чтобы получить доступ к разным вариантам входа в систему, нажмите кнопку Пуск и выберите Параметры > Учетные записи > Параметры входа.
Или просто нажмите эту кнопку:
Изменение ПИН-кода и управление им
Чтобы изменить пароль, нажмите кнопку Пуск и выберите Параметры > Учетные записи > Варианты входа. Выберите ПИН-код (Windows Hello), затем выберите Изменить ПИН-код.
Windows Hello
Функция Windows Hello позволяет осуществлять вход в устройства, приложения, веб-службы и сети путем распознавания вашего лица, радужной оболочки глаза или отпечатков пальцев, а также с помощью ПИН-кода. Вам не обязательно использовать биометрическую функцию Windows Hello, даже если ваше устройство с Windows ее поддерживает. Если вы решите этого не делать, вы можете быть уверены, что информация, позволяющая идентифицировать ваше лицо, радужную оболочку или отпечаток пальца останется только на вашем устройстве. Windows не хранит изображения вашего лица, радужной оболочки глаз и отпечатков пальцев на устройстве или где-либо еще.
Какие данные собираются и почему
При настройке биометрической функции Windows Hello она получает данные от камеры для автопортретов, датчика радужной оболочки или отпечатка пальца и создает представление данных, то есть график, который зашифровывается перед сохранением на устройстве.
Для того, чтобы обеспечить правильную работу, определение и предотвращение мошенничества и продолжить улучшать Windows Hello, мы собираем диагностические данные о том, как люди используют эту функцию. Например, данные о том, осуществляют ли пользователи проверку подлинности с помощью лица, радужной оболочки, отпечатка пальца или PIN-кода и количестве успешных и неудачных попыток проверки подлинности, представляют собой ценную информацию, которая помогает нам улучшить продукт. Данным присваивается псевдоним, в их состав не входят биометрические данные, и они шифруются перед передачей в корпорацию Майкрософт. Вы можете в любой момент времени отключить отправку диагностических данных в корпорацию Майкрософт. Подробнее о диагностических данных в Windows
Управление функцией Windows Hello
Чтобы включить функцию Windows Hello, нажмите кнопку Start, выберите Параметры > Учетные записи > Параметры входа, выберите метод Windows Hello, который нужно настроить, затем выберите Настроить. Если вы не видите пункт Windows Hello в разделе «Варианты входа», эта функция может быть недоступна на вашем устройстве.
Чтобы удалить с устройства функцию Windows Hello и все связанные с ней биометрические идентификационные данные, нажмите кнопку Пуск и выберите Параметры > Учетные записи > Параметры входа. Выберите метод Windows Hello, который требуется удалить, и нажмите Удалить.
Использование ключа безопасности
Ключ безопасности — это устройство (как правило, в виде небольшого USB-ключа), которое можно использовать вместо имени пользователя и пароля для входа в систему в Интернете. Так как он используется в дополнение к отпечатку пальца или PIN-коду, даже если кто-либо получит ваш ключ безопасности, он не сможет войти в систему без заданного вами PIN-кода или отпечатка пальца. Ключи безопасности обычно можно приобрести в розничных магазинах, где продаются периферийные устройства для компьютеров. Подробнее о ключах безопасности
Чтобы настроить ключ безопасности, нажмите кнопку Пуск и выберите Параметры > Учетные записи > Параметры входа, затем выберите Ключ безопасности. Выберите Управление и следуйте инструкциям.
Блокировка устройства
Если вам нужно отойти от своего устройства на несколько минут, рекомендуется заблокировать его, чтобы посторонние люди не могли увидеть содержимое вашего экрана или получить к нему доступ. Нажмите клавишу Windows + L, чтобы быстро заблокировать устройство. По возвращении вам потребуется лишь пройти проверку подлинности, и вы сможете продолжить работу с того места, где остановились.
Динамическая блокировка
Windows может использовать устройства, которые связаны с вашим компьютером, чтобы определять, когда вы отошли от компьютера, и автоматически блокировать компьютер сразу после того, как вы выйдете за пределы зоны действия Bluetooth со связанным устройством. Это затрудняет получение доступа к вашему устройству, если вы отойдете от компьютера и забудете его блокировать.
На компьютере с Windows 11 нажмите кнопку Пуск и выберите Параметры > Учетные записи > Параметры входа.
В разделе Динамическая блокировка установите флажок Разрешить Windows автоматически блокировать устройство в ваше отсутствие.
Используйте Bluetooth, чтобы связать телефон с компьютером. Узнайте о том, как связать устройства через Bluetooth
Когда устройства будут связаны и вы решите уйти, возьмите свой телефон с собой и ваш компьютер будет автоматически заблокирован в течение минуты после выхода за пределы диапазона действия Bluetooth.
Другие варианты входа в систему
Управление временем входа в систему
Нажмите кнопку Пуск и выберите Параметры > Учетные записи > Параметры входа. Рядом с параметром В случае вашего отсутствия через какое время Windows должна потребовать выполнить повторный вход? выберите, когда именно система Windows должна потребовать от вас выполнить повторный вход.
Отображение сведений об учетной записи на экране входа в систему
Нажмите кнопку Пуск и выберите Параметры > Учетные записи > Параметры входа. Установите флажок Отображать сведения об учетной записи (например, мой адрес электронной почты) на экране входа.
Автоматическое завершение настройки после обновления
Нажмите кнопку Пуск и выберите Параметры > Учетные записи > Параметры входа. Установите флажок Использовать мои данные для входа, чтобы автоматически завершить настройку после обновления, если нужно использовать ваши данные для входа, чтобы автоматически завершать настройку вашего устройства после обновления или перезапуска.
Чтобы получить доступ к возможностям входа в систему, выберите Пуск > Параметры > Учетные записи > Варианты входа.
Или просто нажмите эту кнопку:
Изменение пароля или управление им
Чтобы изменить пароль, выберите Пуск > Параметры > Учетные записи > Варианты входа. Выберите Пароль, а затем — Изменить.
Примечание: Чтобы изменить пароль, если вы используете рабочую или учебную учетную запись, нажмите клавиши CTRL+ALT+DEL и выберите Сменить пароль.
Windows Hello
Функция Windows Hello позволяет осуществлять вход в устройства, приложения, веб-службы и сети путем распознавания вашего лица, радужной оболочки глаза или отпечатков пальцев, а также с помощью ПИН-кода. Вам не обязательно использовать биометрическую функцию Windows Hello, даже если ваше устройство с Windows ее поддерживает. Если вы решите этого не делать, вы можете быть уверены, что информация, позволяющая идентифицировать ваше лицо, радужную оболочку или отпечаток пальца останется только на вашем устройстве. Windows не хранит изображения вашего лица, радужной оболочки глаз и отпечатков пальцев на устройстве или где-либо еще.
Какие данные собираются и почему
При настройке биометрической функции Windows Hello она получает данные от камеры для автопортретов, датчика радужной оболочки или отпечатка пальца и создает представление данных, то есть график, который зашифровывается перед сохранением на устройстве.
Для того, чтобы обеспечить правильную работу, определение и предотвращение мошенничества и продолжить улучшать Windows Hello, мы собираем диагностические данные о том, как люди используют эту функцию. Например, данные о том, осуществляют ли пользователи проверку подлинности с помощью лица, радужной оболочки, отпечатка пальца или PIN-кода и количестве успешных и неудачных попыток проверки подлинности, представляют собой ценную информацию, которая помогает нам улучшить продукт. Данным присваивается псевдоним, в их состав не входят биометрические данные, и они шифруются перед передачей в корпорацию Майкрософт. Вы можете в любой момент времени отключить отправку диагностических данных в корпорацию Майкрософт. Подробнее о диагностических данных в Windows
Управление функцией Windows Hello
Чтобы включить функцию Windows Hello, перейдите в меню Пуск > Параметры > Учетные записи > Параметры входа и выберите метод Windows Hello, который требуется настроить, а затем нажмите Настроить. Если вы не видите пункт Windows Hello в разделе «Варианты входа», эта функция может быть недоступна на вашем устройстве.
Чтобы удалить функцию Windows Hello и все связанные с ней биометрические идентификационные данные с устройства, перейдите в меню Пуск > Параметры > Учетные записи > Параметры входа. Выберите метод Windows Hello, который требуется удалить, и нажмите Удалить.
Использование ключа безопасности
Ключ безопасности — это устройство (как правило, в виде небольшого USB-ключа), которое можно использовать вместо имени пользователя и пароля для входа в систему в Интернете. Так как он используется в дополнение к отпечатку пальца или PIN-коду, даже если кто-либо получит ваш ключ безопасности, он не сможет войти в систему без заданного вами PIN-кода или отпечатка пальца. Ключи безопасности обычно можно приобрести в розничных магазинах, где продаются периферийные устройства для компьютеров. Подробнее о ключах безопасности
Для настройки ключа безопасности выберите Пуск > Параметры > Учетные записи > Варианты входа и нажмите Ключ безопасности. Выберите Управление и следуйте инструкциям.
Блокировка устройства
Если вам нужно отойти от своего устройства на несколько минут, рекомендуется заблокировать его, чтобы посторонние люди не могли увидеть содержимое вашего экрана или получить к нему доступ. Нажмите клавишу Windows + L, чтобы быстро заблокировать устройство. По возвращении вам потребуется лишь пройти проверку подлинности, и вы сможете продолжить работу с того места, где остановились.
Динамическая блокировка
Windows может использовать устройства, которые связаны с вашим компьютером, чтобы определять, когда вы отошли от компьютера, и автоматически блокировать компьютер сразу после того, как вы выйдете за пределы зоны действия Bluetooth со связанным устройством. Это затрудняет получение доступа к вашему устройству, если вы отойдете от компьютера и забудете его блокировать.
На компьютере с Windows 10 выберите Пуск > Параметры > Учетные записи > Варианты входа.
В разделе Динамическая блокировка установите флажок Разрешить Windows автоматически блокировать устройство в ваше отсутствие.
Используйте Bluetooth, чтобы связать телефон с компьютером. Узнайте о том, как связать устройства через Bluetooth
Когда устройства будут связаны и вы решите уйти, возьмите свой телефон с собой и ваш компьютер будет автоматически заблокирован в течение минуты после выхода за пределы диапазона действия Bluetooth.
Другие варианты входа в систему
Управление временем входа в систему
Выберите Пуск > Параметры > Учетные записи > Варианты входа. В разделе Требуется вход выберите подходящий вариант для тех случаев, когда Windows будет требовать от вас снова войти в систему.
Отображение сведений об учетной записи на экране входа в систему
Выберите Пуск > Параметры > Учетные записи > Варианты входа. В разделе Конфиденциальность включите первый параметр, если требуется отображать сведения об учетной записи на экране входа.
Автоматическое завершение настройки после обновления
Выберите Пуск > Параметры > Учетные записи > Варианты входа. В разделе Конфиденциальность включите второй параметр, если вы хотите использовать данные для входа, чтобы автоматически завершить настройку устройства после обновления или перезапуска.
Устранение неполадок Windows Hello
Если у вас возникли проблемы со входом на устройство с Windows 11 с помощью Windows Hello, попробуйте сделать следующее.
Перед началом
Убедитесь, что вы настроили Windows Hello на устройстве. Дополнительные сведения о том, как это сделать, см. в статье Сведения о приложении Windows Hello и его настройке.
Проверьте наличие обновлений
Установка обновлений Windows может устранить проблемы с Windows Hello. Нажмите Пуск > Параметры > Центр обновления Windows > Проверить наличие обновлений.
Установите все необходимые обновления. Может потребоваться перезапустить устройство. Теперь снова попробуйте войти в систему с помощью Windows Hello.
Примечание: Если вы настроили несколько методов входа (например, пароль, ПИН-код или Windows Hello), то система Windows будет отображать эти варианты на экране входа. Выберите нужный вариант для входа.
Windows Hello не распознает меня, или при попытке входа отображается сообщение об ошибке
Если системе не удается правильно отсканировать ваше лицо или отпечаток пальца (или вы используете не тот палец для входа), то при попытке входа с помощью Windows Hello появится сообщение об ошибке. В этом случае попробуйте войти с помощью ПИН-кода или пароля, а затем снова настройте Windows Hello.
Если вы видите сообщение об ошибке Не удалось распознать вас. Выполните вход с помощью ПИН-кода при попытке войти с помощью Windows Hello, выполните следующие действия, чтобы улучшить распознавание. Это сообщение об ошибке может возникать, если вы носите очки, но не настроили функцию распознавания лиц, чтобы она распознавала вас в очках и без очков. Это также может произойти, если устройство было перемещено, а в новом месте условия освещения значительно отличаются от прежних.
Чтобы улучшить распознавание, нажмите Пуск > Параметры > Учетные записи > Варианты входа > Распознавание лиц (Windows Hello) и выберите Улучшить распознавание.
Статьи по теме
Если у вас возникли проблемы со входом на устройство с Windows 10 с помощью Windows Hello, попробуйте сделать следующее.
Перед началом
Убедитесь, что вы настроили Windows Hello на устройстве. Дополнительные сведения о том, как это сделать, см. в статье Сведения о приложении Windows Hello и его настройке.
Проверьте наличие обновлений
Установка обновлений Windows может устранить проблемы с Windows Hello. Нажмите Пуск > Параметры > Обновление и безопасность > Центр обновления Windows > Проверить наличие обновлений.
Установите все необходимые обновления. Может потребоваться перезапустить устройство. Теперь снова попробуйте войти в систему с помощью Windows Hello.
Примечание: Если вы настроили несколько методов входа (например, пароль, ПИН-код или Windows Hello), то система Windows будет отображать эти варианты на экране входа. Выберите нужный вариант для входа.
Windows Hello не распознает меня, или при попытке входа отображается сообщение об ошибке
Если системе не удается правильно отсканировать ваше лицо или отпечаток пальца (или вы используете не тот палец для входа), то при попытке входа с помощью Windows Hello появится сообщение об ошибке. В этом случае попробуйте войти с помощью ПИН-кода или пароля, а затем снова настройте Windows Hello.
Если вы видите сообщение об ошибке Не удалось распознать вас. Выполните вход с помощью ПИН-кода при попытке войти с помощью Windows Hello, выполните следующие действия, чтобы улучшить распознавание. Это сообщение об ошибке может возникать, если вы носите очки, но не настроили функцию распознавания лиц, чтобы она распознавала вас в очках и без очков. Это также может произойти, если устройство было перемещено, а в новом месте условия освещения значительно отличаются от прежних.
Чтобы улучшить распознавание, нажмите Пуск > Параметры > Учетные записи > Варианты входа > Распознавание лиц Windows Hello и выберите Улучшить распознавание.
Управление проверкой личности с помощью Windows Hello для бизнеса
Делимся с вами обзорным материалом про службу Windows Hello, обеспечивающую двухфакторную проверку на Windows 10. Также вы узнаете, чем она будет полезна для крупных компаний, почему стоит выбирать PIN-код, а не пароль и как её настроить.
Windows Hello — что это и зачем?
В Windows 10 служба Windows Hello для бизнеса заменяет пароли на строгую двухфакторную проверку подлинности на компьютерах и мобильных устройствах. Она заключается в создании нового типа учетных данных пользователя в привязке к устройству, использовании биометрических данных или PIN-кода.
В первых версиях Windows 10 были службы Microsoft Passport и Windows Hello, которые обеспечивали многофакторную проверку подлинности. Чтобы упростить развертывание и расширить возможности поддержки, Microsoft объединила эти технологии в единое решение — Windows Hello. Если вы уже выполнили развертывание этих технологий, то вы не заметите никаких изменений в функционировании служб. Для тех, кому еще предстоит оценить работу Windows Hello, выполнить развертывание будет гораздо проще благодаря упрощенным политикам, документации и семантике.
Служба Hello призвана решать типичные проблемы пользователей, возникающие при работе с паролями:
После начальной двухэтапной проверки при регистрации на вашем устройстве настраивается служба Hello, и вы сами устанавливаете жест, который может быть как биометрическим, например отпечатком пальца, так и PIN-кодом. Далее необходимо сделать жест для проверки своего удостоверения. После этого Windows использует Hello для проверки подлинности и предоставления им доступа к защищенным ресурсам и службам.
От имени администратора компании или общеобразовательной организации можно создать политики управления Hello для использования на устройствах под управлением Windows 10, которые подключаются к вашей организации.
Разница между Windows Hello и Windows Hello для бизнеса
Windows Hello предназначена для удобного и безопасного входа пользователя. Такое использование Hello обеспечивает отдельный уровень защиты, так как является уникальным для устройства, на котором настраивается, однако проверка подлинности на основе сертификатов при этом отсутствует.
Служба Windows Hello для бизнеса, которая настраивается групповой политикой или политикой MDM, использует проверку подлинности на основе ключа или сертификата.
В настоящее время в учетных записях Active Directory с использованием Windows Hello не поддерживается проверка подлинности на основе ключа или сертификата. Эта функция должна появиться в будущем выпуске.
Почему PIN-код, а не пароль?
Пароли представляют собой общие секреты, они вводятся на устройстве и передаются по сети на сервер. Перехваченные имя и пароль учетной записи могут быть использованы кем угодно. Например, учетные данные могут быть раскрыты при взломе сервера.
В Windows 10, в процессе подготовки, служба Hello создает пару криптографических ключей, привязанных к доверенному платформенному модулю (TPM), если устройство оснащено таким модулем, или в программной реализации. Доступ к этим ключам и получение подписи для проверки того, что пользователь владеет закрытым ключом, предоставляется только при вводе PIN-кода или биометрического жеста. Двухэтапная проверка, которая происходит при регистрации в службе Hello, формирует доверительные взаимоотношения между поставщиком удостоверений и пользователем, когда открытая часть пары «открытый/закрытый ключ» отправляется поставщику удостоверений и связывается с учетной записью пользователя. Когда пользователь выполняет жест на устройстве, поставщик удостоверений определяет по комбинации ключей Hello и жеста, что это проверенное удостоверение, и предоставляет маркер проверки подлинности, с помощью которого Windows 10 получает доступ к ресурсам и службам. Кроме того, в процессе регистрации генерируется претензия по удостоверению для каждого поставщика удостоверений, чтобы криптографически подтвердить, что ключи Hello привязаны к TPM. Если претензия по удостоверению во время регистрации не выставляется поставщику удостоверений, поставщик удостоверений должен предполагать, что ключ Hello создан программно.
Представьте, что кто-то подсматривает через ваше плечо при получении денежных средств из банкомата и видит вводимый вами PIN-код. Наличие этого PIN-кода не поможет им получить доступ к учетной записи, так как у них нет банковской карты. Аналогичным образом перехват PIN-кода для устройства не позволяет злоумышленнику получить доступ к учетной записи, так как PIN-код является локальным для конкретного устройства и не обеспечивает никакого типа проверки подлинности с любого другого устройства.
Hello как раз позволяет защищать удостоверения и учетные данные пользователей. Так как пароли не используются, фишинг и атаки методом подбора становятся бесполезными. Эта технология позволяет также предотвратить взломы серверов, так как учетные данные Hello являются асимметричной парой ключей, что предотвращает атаки с повторяющимися пакетами, так как эти ключи защищены доверенными платформенными модулями (TPM).
Также можно использовать устройства с Windows 10 Mobile в качестве удаленных учетных данных при входе на ПК под управлением Windows 10. В процессе входа в систему ПК под управлением Windows 10 он может подключаться и получать доступ к Hello на вашем устройстве под управлением Windows 10 Mobile по Bluetooth. Поскольку мы всегда носим с собой телефон, Hello позволяет гораздо проще реализовать двухфакторную проверку подлинности.
Функция входа через телефон в данный момент доступна только отдельным участникам программы принятия технологий (TAP).
Так как же PIN-код помогает защитить устройство лучше, чем пароль?
Преимущества PIN-кода в сравнении с паролем связаны не с его структурой (длиной и сложностью), а с принципом работы.
1. PIN-код привязан к устройству. Злоумышленник, получивший доступ к паролю, может войти в учетную запись с любого устройства, но в случае кражи PIN-кода вход в учетную запись будет невозможен без доступа к соответствующему устройству.
2. PIN-код хранится на устройстве локально. Пароль передается на сервер и может быть перехвачен в процессе передачи или украден с сервера. PIN-код задается на устройстве на локальном уровне, не передается и не хранится на сервере. При создании PIN-кода устанавливаются доверительные отношения с поставщиком удостоверений и создается пара асимметричных ключей, используемых для проверки подлинности. При вводе PIN-кода ключ проверки подлинности разблокируется и используется для подтверждения запроса, отправляемого на сервер для проверки подлинности.
3. PIN-код поддерживается оборудованием. PIN-код Hello поддерживается микросхемой доверенного платформенного модуля (TPM), представляющей собой надежный криптографический процессор для выполнения операций шифрования. Эта микросхема содержит несколько механизмов физической защиты для предотвращения взлома, и вредоносные программы не могут обойти функции безопасности TPM. TPM применяется во всех телефонах с Windows 10 Mobile и во многих современных ноутбуках.
Материал ключа пользователя создается и становится доступным в доверенном платформенном модуле (TPM) на устройстве пользователя, что защищает материал от перехвата и использования злоумышленниками. Поскольку технология Hello подразумевает использование пар асимметричных ключей, учетные данные пользователей не будут похищены в случае нарушения безопасности поставщика удостоверений или веб-сайтов, к которым пользователь осуществляет доступ.
TPM защищает от множества известных и потенциальных атак, в том числе атак методом подбора PIN-кода. После определенного количества попыток ввода неправильного PIN-кода устройство блокируется.
4. PIN-код может быть сложным. К PIN-коду Windows Hello для бизнеса применяется тот же набор политик управления ИТ, что и к паролю, в том числе сложность, длина, срок действия и история изменений. Несмотря на уверенность большинства пользователей в том, что PIN-код представляет собой простой код из 4 цифр, администраторы могут устанавливать для управляемых устройств политики, предполагающие уровень сложности PIN-кода, сопоставимый с паролем. Вы можете сделать обязательными или запретить специальные знаки, буквы в верхнем и нижнем регистрах, а также и цифры.
Раздел меню настроек в котором задаются параметры PIN-кода и биометрия:
Что произойдет в случае кражи ноутбука или телефона?
Для нарушения безопасности учетных данных Windows Hello, защищаемых TPM, злоумышленнику нужно осуществить доступ к физическому устройству, найти способ похитить биометрические данные пользователя или подобрать PIN-код. Все это нужно сделать раньше, чем функциональный механизм защиты от взлома TPM заблокирует устройство. Для ноутбуков, не имеющих TPM, можно настроить дополнительную защиту, активировав BitLocker и ограничив количество неудачных попыток входа в систему.
Настройка BitLocker без TPM
С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику:
Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Шифрование диска BitLocker → Диски операционной системы → Требовать дополнительной проверки подлинности при запуске
В параметрах политики выберите Разрешить использование BitLocker без совместимого TPM, а затем нажмите кнопку ОК.
Перейдите в меню Панель управления → Система и безопасность → Шифрование диска BitLocker и выберите диск с операционной системой, который требуется защитить.
С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику: Конфигурация компьютера → Параметры Windows → Параметры безопасности → Политики учетных записей → Политика блокировки учетных записей → Пороговое значение блокировки.
Установите допустимое количество неудачных попыток входа в систему и нажмите ОК.
Как работает Windows Hello для бизнеса: основные положения
1. Учетные данные службы Hello основаны на сертификате или асимметричной паре ключей и привязаны к устройству, как и маркер, получаемый с помощью учетных данных.
2. Поставщик удостоверений (например, Active Directory, Azure AD или учетная запись Майкрософт) проверяет удостоверение пользователя и сопоставляет открытый ключ Hello с учетной записью пользователя на этапе регистрации.
3. Ключи могут генерироваться в аппаратном (TPM 1.2 или 2.0 для предприятий и TPM 2.0 для потребителей) или программном обеспечении на основании политики.
4. Проверка подлинности — это двухфакторная проверка с использованием сочетания ключа или сертификата, привязанного к устройству, и информации, известной пользователю PIN-код), или идентификационных данных пользователя (Windows Hello). Жест Hello не перемещается между устройствами и не предоставляется серверу. Он хранится локально на устройстве.
5. Закрытый ключ никогда не покидает устройство. Проверяющий подлинность сервер имеет открытый ключ, который был сопоставлен с учетной записью пользователя во время регистрации.
6. Ввод PIN-кода и биометрических жестов приводит к проверке удостоверения пользователя в Windows 10 и проверке подлинности с использованием ключей или сертификатов Hello.
7. Личные (учетная запись Майкрософт) или корпоративные учетные записи (Active Directory или Azure AD) использует один контейнер для ключей. Все ключи разделены по доменам поставщиков удостоверений в целях обеспечения конфиденциальности пользователя.
8. Закрытые ключи сертификатов могут быть защищены контейнером Hello и жестом Hello.
Сравнение проверки подлинности на основе ключа и сертификата
Для подтверждения личности служба Windows Hello для бизнеса может использовать ключи (аппаратный или программный) или сертификаты с ключами в аппаратном или программном обеспечении. Предприятия с инфраструктурой открытых ключей (PKI) для выпуска и управления сертификатами могут продолжать использовать PKI вместе со службой Hello. Предприятия, у которых нет PKI или которые хотят сократить объем работ, связанных с управлением сертификатами, могут использовать для службы Hello учетные данные на основе ключа.
Аппаратные ключи, которые создаются модулем TPM, обеспечивают наиболее высокий уровень гарантии. При изготовлении в модуль TPM помещается сертификат ключа подтверждения (EK). Этот сертификат EK создает корневое доверие для всех других ключей, которые генерируются в этом модуле TPM. Сертификация EK используется для генерации сертификата ключа удостоверения подлинности (AIK), выданного службой сертификации Microsoft. Этот сертификат AIK можно использовать как претензию по удостоверению, чтобы доказать поставщикам удостоверений, что ключи Hello генерировались одним и тем же TPM. Центр сертификации Майкрософт (CA) генерирует сертификат AIK для каждого устройства, пользователя и IDP, чтобы гарантировать защиту конфиденциальности.
Если поставщики удостоверений, например Active Directory или Azure AD, регистрируют сертификат в службе Hello, Windows 10 будет поддерживать тот же набор сценариев, что и смарт-карта. Если тип учетных данных представляет собой ключ, будет поддерживаться только доверие и операции на основе ключа.
Мы постарались написать для вас подробный и понятный туториал по работе со службой Windows Hello. Если у вас остались вопросы, задавайте в комментариях.