Управління перевіркою особистості за допомогою Windows Hello для бізнесу

Ділимося з вами оглядовим матеріалом про службу Windows Hello, забезпечує двофакторну перевірку на Windows 10. Також ви дізнаєтеся, чим вона буде корисна для великих компаній, чому варто вибирати PIN-код, а не пароль і як її налаштувати.



Windows Hello — що це і навіщо?
У Windows 10 служба Windows Hello для бізнесу замінює паролі на сувору двофакторну перевірку автентичності на комп'ютерах і мобільних пристроях. Вона полягає у створенні нового типу облікових даних користувача в прив'язці до пристрою, використання біометричних даних або PIN-коду.

У перших версіях Windows 10 були Microsoft Passport і Windows Hello, які забезпечували багатофакторну перевірку автентичності. Щоб спростити розгортання і розширити можливості підтримки, Microsoft об'єднала ці технології в єдине рішення — Windows Hello. Якщо ви вже виконали розгортання цих технологій, то ви не помітите жодних змін у функціонуванні служб. Для тих, кому ще належить оцінити роботу Windows Hello, виконати розгортання буде набагато простіше завдяки спрощеним політикам, документації та семантиці.

Служба Hello покликана вирішувати типові проблеми користувачів, що виникають при роботі з паролями:

  • Паролі можуть бути важкі для запам'ятовування, і користувачі часто повторно використовують паролі на декількох сайтах.
  • Зломи сервера можуть розкривати симетричні мережеві облікові дані.
  • Паролі можуть підлягати атакам з повторенням пакетів.
  • Користувачі можуть ненавмисно надати свій пароль внаслідок фішингу.
Hello дозволяє виконати перевірку автентичності облікового запису Microsoft, облікового запису Active Directory облікового запису Microsoft Azure Active Directory (Azure AD) і служби постачальника посвідчень або служби перевіряє боку, які підтримують перевірку автентичності Fast ID Online (FIDO) v2.0.

Після початкової двоетапної перевірки при реєстрації на вашому пристрої налаштовується служба Hello, і ви самі встановлюєте жест, який може бути як біометричним, наприклад відбитком пальця, так і PIN-кодом. Далі необхідно зробити жест для перевірки свого посвідчення. Після цього Windows використовує Hello для перевірки і надання їм доступу до захищених ресурсів і служб.

Від імені адміністратора компанії або загальноосвітній організації можна створити політики управління Hello для використання на пристроях під управлінням Windows 10, які підключаються до вашої організації.

Різниця між Windows Hello і Windows Hello для бізнесу
Windows Hello призначена для зручного і безпечного входу користувача. Таке використання Hello забезпечує окремий рівень захисту, так як є унікальним для пристрою, на якому настроюється, однак перевірка справжності на основі сертифікатів при цьому відсутня.

Служба Windows Hello для бізнесу, яка налаштовується груповою політикою, або політикою MDM, використовує автентифікацію на основі ключа або сертифіката.

В даний час в облікові записи Active Directory з використанням Windows Hello не підтримується перевірка справжності на основі ключа або сертифіката. Ця функція повинна з'явитися в майбутньому випуску.

Чому PIN-код, а не пароль?
Паролі являють собою загальні секрети, вони вводяться на пристрої і передаються по мережі на сервер. Перехоплені ім'я і пароль облікового запису можуть бути використані ким завгодно. Наприклад, облікові дані можуть бути розкриті при зломі сервера.

У Windows 10, у процесі підготовки, служба Hello створює пару криптографічних ключів, прив'язаних до довіреній платформному модулю (TPM), якщо пристрій оснащено таким модулем, або в програмній реалізації. Доступ до цих ключів та отримання підпису для перевірки того, що користувач володіє закритим ключем, надається тільки при введенні PIN-коду або біометричного жесту. Двохетапна перевірка, яка відбувається при реєстрації в службі Hello, формує довірчі взаємини між постачальником і посвідчень користувачем, коли відкрита частина пари «відкритий/закритий ключ» постачальникові посвідчень і зв'язується з обліковим записом користувача. Коли користувач виконує жест на пристрої, постачальник посвідчень визначає комбінації ключів Hello і жесту, що це перевірена посвідчення, і надає маркер автентифікацію за допомогою якого Windows 10 одержує доступ до ресурсів і служб. Крім того, в процесі реєстрації генерується претензія по посвідченню для кожного постачальника посвідчень, щоб криптографічно підтвердити, що ключі Hello прив'язані до TPM. Якщо претензія по посвідченню під час реєстрації не виставляється постачальнику посвідчень, постачальник посвідчень повинен припускати, що ключ Hello створено програмно.



Уявіть, що хтось підглядає через ваше плече при отриманні грошових коштів з банкомату і бачить введений вами PIN-код. Наявність цього PIN-коду не допоможе їм отримати доступ до облікового запису, так як у них немає банківської картки. Аналогічним чином перехоплення PIN-коду для пристрою не дозволяє зловмиснику отримати доступ до облікового запису, так як PIN-код є локальним для конкретного пристрою і не забезпечує ніякого типу автентифікації з будь-якого іншого пристрою.

Hello як раз дозволяє захищати посвідчення та облікові дані користувачів. Так як паролі не використовуються, фішинг і атаки методом підбору стають марними. Ця технологія дозволяє також запобігти зломи серверів, так як облікові дані Hello є асиметричною парою ключів, що запобігає атаки з повторюваними пакетами, так як ці ключі захищені довіреними платформеними модулями (TPM).

Також можна використовувати пристрої з Windows 10 Mobile в якості віддалених облікових даних при вході на ПК під управлінням Windows 10. В процесі входу в систему ПК під управлінням Windows 10 він може підключатися і отримувати доступ до Hello на вашому пристрої під управлінням Windows 10 Mobile по Bluetooth. Оскільки ми завжди носимо з собою телефон, Hello дозволяє набагато простіше реалізувати двофакторну перевірку автентичності.

Функція входу через телефон в даний момент доступна тільки окремим учасникам програми прийняття технологій (TAP).

Так як же PIN-код допомагає захистити пристрій краще, ніж пароль?

Переваги PIN-коду в порівнянні з паролем пов'язані не з його структурою (довжиною і складністю), а з принципом роботи.

1. PIN-код прив'язаний до пристрою. Зловмисник отримав доступ до паролю, може увійти в обліковий запис з будь-якого пристрою, але в разі крадіжки PIN-коду вхід в обліковий запис буде неможливий без доступу до відповідного пристрою.

2. PIN-код зберігається на пристрої локально. Пароль передається на сервер і може бути перехоплений в процесі передачі або вкрадений з сервера. PIN-код задається на пристрої на локальному рівні, не передається та не зберігається на сервері. При створенні PIN-коду встановлюються довірчі відносини з постачальником посвідчень і створюється пари асиметричних ключів, використовуваних для автентифікації. При введенні PIN-коду ключ автентифікації розблокується і використовується для підтвердження запиту, надісланого на сервер для перевірки автентичності.

3. PIN-код підтримується обладнанням. PIN-код Hello підтримується мікросхемою tpm (TPM), що представляє собою надійний криптографічний процесор для виконання операцій шифрування. Ця мікросхема містить кілька механізмів фізичного захисту для запобігання злому, і шкідливі програми не можуть обійти функції безпеки TPM. TPM застосовується у всіх телефонах з Windows 10 Mobile і в багатьох сучасних ноутбуках.

Матеріал ключа користувача створюється і стає доступним в модулі tpm (TPM) на пристрої користувача, що захищає матеріал від перехоплення і використання зловмисниками. Оскільки технологія Hello передбачає використання пар асиметричних ключів, облікові дані користувачів не будуть викрадені у разі порушення безпеки постачальника посвідчень або веб-сайтів, до яких користувач здійснює доступ.

TPM захищає від багатьох відомих і потенційних атак, в тому числі атак методом підбору PIN-коду. Після певної кількості спроб введення невірного PIN-коду пристрій блокується.

4. PIN-код може бути складним. До PIN-кодом Windows Hello для бізнесу застосовується той же набір політик управління ІТ, що і до паролю, в тому числі складність, довжина, термін дії та історія змін. Незважаючи на впевненість більшості користувачів в тому, що PIN-код являє собою простий код з 4 цифр, адміністратори можуть встановлювати для керованих пристроїв політики, які передбачають рівень складності PIN-коду, який можна порівняти з паролем. Ви можете зробити обов'язковими або заборонити спеціальні знаки, літери у верхньому та нижньому регістрах, а також та цифри.

Розділ меню налаштувань в якому задаються параметри PIN-коду і біометрія:



Що відбудеться у випадку крадіжки ноутбука або телефону?

Для порушення безпеки облікових даних Windows Hello, захищаються TPM, зловмисникові потрібно здійснити доступ до фізичного пристрою, знайти спосіб викрасти біометричні дані користувача або підібрати PIN-код. Все це потрібно зробити раніше, ніж функціональний механізм захисту від злому TPM заблокує пристрій. Для ноутбуків, які не мають TPM, можна налаштувати додатковий захист, активувавши BitLocker і обмеживши кількість невдалих спроб входу в систему.

Налаштування BitLocker без TPM
За допомогою редактора локальних групових політик (gpedit.msc) активуйте наступну політику:

Конфігурація комп'ютераАдміністративні шаблониКомпоненти WindowsШифрування диска BitLockerДиски операційної системиВимагати додаткової перевірки автентичності при запуску

В параметрах політики виберіть Дозволити використання BitLocker без сумісного TPM, а потім натисніть кнопку OK.



Перейдіть в меню Панель управлінняСистема та безпекаШифрування диска BitLocker і виберіть диск з операційною системою, який потрібно захистити.

За допомогою редактора локальних групових політик (gpedit.msc) активуйте наступну політику: Конфігурація комп'ютераПараметри WindowsПараметри безпекиПолітики облікових записівПолітика блокування облікових записівПорогове значення блокування.

Встановіть допустима кількість невдалих спроб входу в систему і натисніть OK.



Як працює Windows Hello для бізнесу: основні положення
1. Облікові дані служби Hello засновані на сертифікаті або асиметричної пари ключів і прив'язані до пристрою, як і маркер, одержуваний за допомогою облікових даних.

2. Постачальник посвідчень (наприклад, Active Directory, Microsoft AD або обліковий запис Microsoft) перевіряє посвідчення користувача і порівнює відкритий ключ Hello з обліковим записом користувача на етапі реєстрації.

3. Ключі можуть генеруватися в апаратному (TPM 1.2 або 2.0 для підприємств і TPM 2.0 для споживачів) або програмному забезпеченні на підставі політики.

4. Перевірка достовірності — це двофакторна перевірка з використанням комбінації ключа або сертифіката, прив'язаного до пристрою, та інформації, відомої користувачеві PIN-код), або ідентифікаційних даних користувача (Windows Hello). Жест Hello не переміщується між пристроями і не надається сервера. Він зберігається локально на вашому пристрої.

5. Закритий ключ ніколи не покидає пристрій. Перевіряє справжність сервер має відкритий ключ, який був зіставлений з обліковим записом користувача під час реєстрації.

6. Введення PIN-коду і біометричних жестів призводить до перевірки посвідчення користувача в Windows 10 і автентифікації з використанням ключів або сертифікатів Hello.

7. Особисті (обліковий запис Microsoft) або корпоративні облікові записи Active Directory або Azure AD) використовує один контейнер для ключів. Всі ключі розділені по доменах постачальників посвідчень в цілях забезпечення конфіденційності користувача.

8. Закриті ключі сертифікатів можуть бути захищені контейнером Hello і жестом Hello.

Порівняння автентифікації на основі ключа та сертифіката
Для підтвердження особи служба Windows Hello для бізнесу може використовувати ключі (апаратний або програмний) або сертифікати з ключами в апаратному або програмному забезпеченні. Підприємства з інфраструктурою відкритих ключів (PKI) для випуску і управління сертифікатами можуть продовжувати використовувати PKI разом зі службою Hello. Підприємства, у яких немає PKI або які хочуть скоротити обсяг робіт, пов'язаних з управлінням сертифікатами, можуть використовувати для служби Hello облікові дані на основі ключа.

Апаратні ключі, які створюються модулем TPM, забезпечують найбільш високий рівень гарантії. При виготовленні в модуль TPM поміщається сертифікат ключа підтвердження (EK). Цей сертифікат EK створює кореневе довіру для всіх інших ключів, які генеруються в цьому модулі TPM. Сертифікація EK використовується для генерації сертифіката ключа посвідчення автентичності (AIK), виданого службою сертифікації Microsoft. Цей сертифікат AIK можна використовувати як претензію по посвідченню, щоб довести постачальникам посвідчень, що ключі Hello генерувалися одним і тим же TPM. Центр сертифікації Microsoft (CA) генерує сертифікат AIK для кожного пристрою, користувача і IDP, щоб гарантувати захист конфіденційності.

Якщо постачальники посвідчень, наприклад, Active Directory або Microsoft AD, реєструють сертифікат в службі Hello, Windows 10 підтримуватиме той же набір сценаріїв, що і смарт-карта. Якщо тип облікових даних являє собою ключ, буде підтримуватися тільки довіра і операції на основі ключа.

Ми постаралися написати для вас докладний і зрозумілий туторіал по роботі зі службою Windows Hello. Якщо у вас залишилися питання, задавайте в коментарях.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.