Для чего нужен windows hello

Windows Hello — это индивидуально настраиваемый и более безопасный способ получить мгновенный доступ к устройствам Windows 11 с помощью ПИН-кода, распознавания лица или отпечатков пальцев. Вам потребуется настроить ПИН-код при настройке входа с использованием отпечатков пальцев или распознавания лица. Впрочем, можно входить в систему с использованием только ПИН-кода.

Эти варианты упрощают процедуру входа на ваш компьютер и делают ее безопаснее, поскольку ваш ПИН-код связан только с одним устройством, а для резервного копирования он связывается с вашей учетной записью Майкрософт.   

Настройка Windows Hello 

Нажмите кнопку выше, чтобы перейти непосредственно к Параметрам, или выполните следующие действия, чтобы настроить Windows Hello.

1. Выберите Пуск  > Параметры > Учетные записи > Параметры входа.

2. В разделе Способы входа приведены три варианта входа с помощью Windows Hello:

   • Выберите Распознавание лиц Windows Hello, чтобы настроить вход с использованием функции распознавания лица с помощью инфракрасной камеры вашего компьютера или внешней инфракрасной камеры.

   • Выберите Распознавание отпечатков пальцев Windows Hello, чтобы настроить вход с помощью сканера отпечатков пальцев.

   • Выберите ПИН-код Windows Hello, чтобы настроить вход с помощью ПИН-кода. 

Статьи по теме

Как Windows Hello обеспечивает конфиденциальность моих данных?

Сброс ПИН-кода, когда вы не выполнили вход в Windows

Изменение ПИН-кода после входа на устройство

Устранение неполадок Windows Hello

Windows Hello — это индивидуально настраиваемый и более безопасный способ получить мгновенный доступ к устройствам Windows 10 с помощью ПИН-кода, распознавания лица или отпечатков пальцев. Вам потребуется настроить ПИН-код при настройке входа с использованием отпечатков пальцев или распознавания лица. Впрочем, можно входить в систему с использованием только ПИН-кода.

Эти варианты упрощают процедуру входа на ваш компьютер и делают ее безопаснее, поскольку ваш ПИН-код связан только с одним устройством, а для резервного копирования он связывается с вашей учетной записью Майкрософт.   

Настройка Windows Hello 

Нажмите кнопку выше, чтобы перейти непосредственно к Параметрам, или выполните следующие действия, чтобы настроить Windows Hello.

1. Выберите Пуск  > Параметры > Учетные записи > Параметры входа.

2. В разделе Управление входом на устройство вы увидите три варианта входа с помощью Windows Hello:

   • Выберите Распознавание лиц Windows Hello, чтобы настроить вход с использованием распознавания лица с помощью инфракрасной камеры вашего компьютера или внешней инфракрасной камеры.

   • Выберите Распознавание отпечатков пальцев Windows Hello, чтобы настроить вход с сканера отпечатков пальцев.

   • Выберите ПИН-код Windows Hello, чтобы настроить вход с ПИН-кодом. 

Статьи по теме

Как Windows Hello обеспечивает конфиденциальность моих данных?

Сброс ПИН-кода, когда вы не выполнили вход в Windows

Изменение ПИН-кода после входа на устройство

Устранение неполадок Windows Hello

Хотите безопасно войти в свой компьютер без пароля? Встречайте Windows Hello. Технология футуристического входа в Windows добавляет биологическую аутентификацию на ваш компьютер, что приводит к более быстрому, безопасному и простому входу в систему. Попрощайтесь с тратой времени на ввод пароля с клавиатуры.

Давайте выясним, как работает Windows Hello и как начать работу?

Что такое Windows Hello и для чего он нужен?

Десять лет назад биометрические сканеры были научной фантастикой. Сегодня вход в компьютер под управлением Windows с помощью только вашего лица, глазного яблока или отпечатка пальца является реалистичной для потребителя. Windows Hello избавляет пользователей от утомительного ввода пароля для входа в систему. Начнем с основ.

Кто может использовать Windows Hello? Почти все, кто установил последнее обновление Windows 10! Оборудование необходимое для биологической аутентификации поставляется со многими современными компьютерами. Но даже со старыми системами несколько периферийных устройств — за небольшие деньги – позволят вам использовать Windows Hello.

Какой тип аутентификации используется? Вам нужен только один из трех методов проверки подлинности: распознавание лица, отпечаток пальца или сетчатка глаза. Но прежде чем выбирать тип проверки подлинности, узнайте, поддерживает ли ваш компьютер Windows Hello.

Как проверить, поддерживает ли ваш компьютер Windows Hello

Требования просты: вам необходимо обновить Windows 10 Anniversary Update (AU), а также купить сканер радужной оболочки глаза, сканер отпечатков пальцев или специальную инфракрасную 3D-камеру.

Вы можете проверить, поддерживает ли ваш компьютер Windows Hello, перейдя в «Настройки»> «Учетные записи»> «Параметры входа».

По состоянию на апрель 2018 года только несколько мобильных устройств, таких как Nokia Lumia 2 XL, включают в себя сканирование радужной оболочки глаза (на сайте Microsoft есть список совместимых устройств). Если Windows Hello недоступна, вы увидите сообщение, в котором говорится: «Windows Hello недоступна на этом устройстве».

Если оно недоступно, вы можете приобрести периферийное устройство, которое добавит функциональность Windows Hello в вашу систему. Из этих дополнительных устройств существует два типа биометрической аутентификации. Для получения дополнительной информации см. Раздел ниже: «Windows Hello недоступен на этом устройстве».

Как включить Windows Hello

Если у вас есть совместимая система, ее легко настроить. Под заголовком «Распознавание лиц» нажмите «Настроить». (Если ваш компьютер использует сканирование отпечатков пальцев, вы должны выбрать «Настроить» под заголовком «Отпечаток пальца»).

Чтобы настроить распознавание лиц, Windows снимает трехмерное изображение, близкое к инфракрасному. Она учитывает такие вещи, как волосы и очки, поэтому вам может потребоваться сделать несколько снимков для калибровки механизма распознавания.

Я обнаружил, что даже носить капюшон или причесать волосы по-другому может помешать вам войти в систему. В этом случае вам просто нужно будет перепечатать ваш пароль.

Динамическая блокировка Windows Hello

Еще одна замечательная особенность Windows Hello — это динамическая блокировка. Это можно сделать с помощью сопряженного Bluetooth-устройства (возможно, смартфона). После сопряжения, если сопряженное устройство выходит из диапазона Bluetooth, компьютер блокируется.

Чтобы использовать динамическую блокировку, сначала поместите смартфон или планшет в режим сопряжения Bluetooth, а затем войдите в настройки Bluetooth в Windows. Самый простой способ попасть туда – открыть поиск Windows и ввести Bluetooth.

Выберите «Bluetooth и другие устройства». Затем выберите «Добавить Bluetooth или другое устройство». Когда будет предложено выбрать устройство, выберите Bluetooth.

Вы должны увидеть свое устройство, указанное здесь. Выберите его и инициируйте процесс сопряжения. После того, как он спарен, вы можете вернуться к настройкам Windows Hello и настроить динамическую блокировку.

«Windows Hello недоступна на этом устройстве»

Если Windows Hello не работает, скорее всего, ваше оборудование несовместимо. Это означает, что вашей системе не хватает сканирования радужной оболочки глаза, сканирования отпечатков пальцев или инфракрасной 3D-камеры. К сожалению, сканер радужной оболочки глаза на данный момент еще не поступил в открытую продажу.

Добавьте сканер отпечатков пальцев в Windows 10

Самый дешевый и самый безопасный вариант — сканер отпечатков пальцев. Сканеры отпечатков пальцев распознают уникальную топографию кончика пальца или большого пальца. Все сканеры делают одно и то же, они все функционально идентичны.

Устройство подключается к USB-порту, и после завершения установки драйверов пользователю необходимо настроить свой отпечаток пальца в Windows. С этого момента вы можете войти в свой компьютер одним касанием.

Существуют также две альтернативы USB сканеру. Microsoft выпускает биометрический сканер в сочетании с клавиатурой.

В дополнение к клавиатуре скоро появятся мыши со встроенными сканерами. К сожалению, те, что я видел на Amazon, не совместимы с Windows Hello.

В целом, сканер отпечатков пальцев обеспечивает наилучшую безопасность. В то время как камера распознавания лиц может работать и как веб-камера, но она, как правило, дороже и имеет вероятность ложной аутентификации.

Это также самый дешевый способ работы Windows Hello.

  Купить сканер отпечатков пальцев для Windows Hello на AliExpress.com

Добавьте камеру распознавания лиц

Сканеры распознавания лиц выпускаются в нескольких разных моделях. Веб-камеры, совместимые с Windows Hello, включают продукты от Logitech, Microsoft и т. д. Из них наименее дорогим является веб-камера Mouse или LilBit (у которой нет микрофона).

На рынке high-end существует несколько вариантов. Однако, на мой взгляд, цены Razer Stargazer чрезвычайно завышены.

Веб-камера deluxe Brio от Logitech включает в себя поддержку Windows Hello и шумоподавляющие микрофоны. Однако ее стоимость выходит за рамки большинства бюджетов. И отзывы о ней не были замечательными.

Насколько безопасной и приватной является Windows Hello?

Согласно политике конфиденциальности Microsoft, ваша конфиденциальность защищена двумя способами:

Во-первых, если вы используете аутентификацию отпечатка пальца или распознавания лиц, Microsoft не передает (по их словам) необработанные данные вашего отпечатка или фотографии через Интернет.

Фактически, она даже не сохраняет исходные данные. Вместо того, чтобы хранить отпечаток пальца или фотографию, Windows создает цифровую абстракцию. Эта информация не распознается людям и может быть интерпретирована только машиной.

Во-вторых, хотя некоторые пользовательские данные передаются через Интернет, они зашифровываются, поэтому их нельзя перехватить с помощью атак типа «человек в середине». Шифрование довольно сильное, поэтому даже если оно было перехвачено, злоумышленник получит доступ только к хэшу данных.

В конце концов, если вы доверяете Microsoft, и обеспокоены тем, что биометрическая информация может быть использована против вас преступниками, Windows Hello может считаться безопасной. Если вы обеспокоены тем, что Microsoft может использовать ваши данные для получения прибыли, держитесь подальше от Windows Hello. Однако, если вас это не касается, нет ничего по своей сути дефектного в том, как Microsoft хранит и передает ваши данные.

Стоит ли использовать Windows Hello?

Для пользователей настольных систем Windows Hello — это самый простой способ входа в ваш компьютер. Даже если у вас нет оборудования для биометрической аутентификации, его можно добавить, купив недорогой сканер отпечатков пальцев.

Для большинства пользователей я рекомендую именно сканер отпечатков пальцев. Они крошечные и подключаются к USB-портам, что делает их совместимыми практически со всеми компьютерами.

Читайте также

Зачем мне использовать Windows Hello? Если вы устали от использования пароля для входа в свою учетную запись Windows (или если у вас возникли проблемы с его запоминанием), биометрическая альтернатива может быть лучше. Биометрические логины также предлагают дополнительный уровень безопасности, поскольку вы должны физически присутствовать во время входа в систему.

Что не так с Windows Hello?

Могут быть аппаратные обновления драйверов, которые доступны или в ожидании перезапуска. Обновление вашей поверхности может исправить проблемы с Windows Hello. Чтобы проверить для обновлений, выберите «Пуск»> «Настройки»> «Обновление и безопасность»> «Обновление Windows»> «Проверьте для обновлений». Установите все обновления, которые вам нужны.

Как узнать, есть ли у моего компьютера привет Hello?

Проверьте на наличие Windows Hello Compatibility

в панели поиска Cortana в левом нижнем углу вашего типа экрана «Параметры входа» или просто нажмите на значок микрофона и Спросите Cortana для вариантов входа. Как только вы на экране «Параметры входа», вы увидите доступные параметры Hello Windows.

Могу ли я удалить Windows Hello Face?

В меню «Настройки» нажмите «Параметры входа». В окна Hello область распознавания лица распознавание, Нажмите Удалить . В области вывода нажмите «Удалить», а затем нажмите «Удалить», чтобы подтвердить.

Что такое Microsoft Hello Face?

Authentication Windows Hello Face Authentication использует камеру , специально настроенную для ближней инфракрасной (IR) изображения для аутентификации и разблокировки устройств Windows, а также разблокировать паспорт Microsoft.

Будет ли Windows 11?

Windows 11 здесь, и если у вас есть ПК, вам может быть интересно, пора ли обновить свою операционную систему. В конце концов, вы, вероятно, получите это новое программное обеспечение бесплатно. Microsoft впервые показала свою новую операционную систему в июне, первое крупное обновление программного обеспечения за шесть лет.

Как мне использовать Windows Hello Face?

Если у вас есть правильное оборудование, вот как вы можете настроить логин лица Hello Windows:

1. Откройте настройки и выберите учетные записи.
2. Нажмите «Параметры входа» на боковой панели и прокрутите вниз до Windows Hello. …
3. Нажмите на начало.
4. Введите свой PIN -код.
5. Смотрите в веб -камеру, пока Windows Hello сканирует ваше лицо.

Как мне установить Hello Face?

Убедитесь, что Windows Hello Face установлена ​​

1. Перейдите в настройки, нажмите на приложения и выберите приложения и функции.
2. Затем перейдите к дополнительным функциям.
3. Найдите опцию Hello Face Windows.
4. Если эта опция отсутствует, нажмите «Добавить функцию».
5. Поиск Windows Hello Face и установите функцию на вашем компьютере.

Можно ли использовать Windows Hello Face на всех компьютерах?

Hello Windows позволяет войти в Windows 10 с распознаванием лица, булавом или отпечатком пальца. Не все компьютеры Windows 10 совместимы с Windows Hello , но можно добавить совместимость. Использование Windows Hello, как правило, проще, быстрее и безопаснее, чем набирать пароль.

Зачем мне нужен пин -код для Windows?

Когда вы настраиваете Windows Hello, вас сначала просят создать PIN -код. Этот вывод позволяет вам войти в систему, используя PIN -код, когда вы не можете использовать предпочтительный биометрический из -за травмы или потому, что датчик недоступен или не работает должным образом.

Насколько безопасно распознавание лица?

Как сообщил Wired, исследователям из компании по безопасности Cyberark удалось обмануть систему распознавания лиц Hello, используя изображения лица Computer владельца. … Команда Cyberark решила поставить Windows Hello под пристальным вниманием, потому что это одна из наиболее широко используемых систем аутентификации без паролей.

.

Какие устройства совместимы с Windows Hello?

Эти устройства используют распознавание лица со встроенной камерой, чтобы войти в систему с Windows Hello:

• Dell Inspiron 13 5000 2-in-1-499 долларов. Dell XPS 13 9365 2-в-1-999 долларов.
• Кривая зависти HP AIO 34 – 1499 долларов. HP Spectre x360 – 749,99 долл. США.
• Asus Transformer Mini T102HA – 349 долларов. Asus Zenbook Flip UX360 â 499 долларов.
• Notebook Samsung 9 – $ 999.

Сколько отпечатков пальцев может магазин Windows Hello?

нет такого ограничения , однако вы не можете настроить печати пальца под одной учетной записью. Как только вы достигли ряда максимальных неудачных попыток, Windows Hello заблокировал это, и вам нужно было использовать низкое число вокруг 3 до 5 в качестве пароля.

Как остановить Windows Hello Pin?

Как отключить настройку Hello PIN -код Windows в Windows 10

1. Нажмите клавишу Windows + R, чтобы открыть диалоговое окно Run, введите gpedit. …
2. Перейдите к: Computing Configuration / Administrative Semplates / Components / Windows Hello для бизнеса. …
3. Выберите отключен. …
4. Перезагрузите компьютер, чтобы применить изменения.

Как мне заблокировать лицо в Windows 10?

Как войти в Windows 10 с вашим лицом

1. Перейдите в настройки> учетные записи> Параметры входа.
2. Установите пароль учетной записи и PIN.
3. Нажмите кнопку «Настройка» для лица под Windows Hello.
4. Нажмите кнопку «Начни», введите свой PIN -код и сядьте перед камерой, в то время как Windows занимает несколько секунд, чтобы сканировать ваше лицо.

Какая камера требуется для Windows Hello Face?

Функция Windows 10 и 11 Hello распознавание лица требует Intel RealSense или 3D -камеры для поддержки функций разблокировки лица. Примечание. На многих компьютерах IR или 3D -камеры являются дополнительным элементом.

Получу Windows 11 бесплатно?

Windows 11 – бесплатная загрузка, но может не работать на всех компьютерах . … Бесплатный инструмент, выпущенный Microsoft, называемый PC Health Check (доступен для загрузки здесь), помогает определить, может ли ваш компьютер запустить новое программное обеспечение.

Когда Windows 11 вышла?

После нескольких месяцев тестирования операционная система Microsoft Windows 11 (OS) начала развертываться на основных персональных компьютерах (ПК) в 5 октября .

Windows 12 Out?

Microsoft выпустит новый Windows 12 в 2021 году со многими новыми функциями. Как ранее говорило, что Microsoft выпустит Windows 12 в следующие годы, а именно в апреле и октябре. … Первый путь, как обычно, – это то, где вы можете обновить из Windows, будь то через обновление Windows или использование ISO -файла Windows 12.

Что вам нужно для Windows Hello?

Как проверить, поддерживает ли ваш компьютер Hello Hello. Требования просты: вам нужно Anniversary Update Windows 10 (AU) и либо сканер радужной оболочки, считыватель отпечатков пальцев, либо специальную 3D-камеру, ближняя инфракрасная.

Что такое булавка Hello Windows?

Microsoft Windows Hello Login Personal Identification Number (PIN -код) – это легко запомнить секретный код входа в систему . … Если кто -то видит ваш PIN -код, когда вы разблокируете свой компьютер, он может получить доступ только к этому компьютеру. PIN -код не разблокирует вашу учетную запись Microsoft Login на любом другом компьютере. PIN -код работает только на одном компьютере.

Как мне выключить Hello Face?

Как отключить Windows Hello Face. Если вы больше не хотите разблокировать Windows 10 с помощью вашего лица, откройте приложение настроек и перейдите на учетные записи. В левом столбце нажмите или нажмите «Параметры регистрации». Справа выберите Windows Hello Face , а затем нажмите кнопку «Удалить».

Время на прочтение
8 мин

Количество просмотров 21K

Делимся с вами обзорным материалом про службу Windows Hello, обеспечивающую двухфакторную проверку на Windows 10. Также вы узнаете, чем она будет полезна для крупных компаний, почему стоит выбирать PIN-код, а не пароль и как её настроить.

Windows Hello — что это и зачем?

В Windows 10 служба Windows Hello для бизнеса заменяет пароли на строгую двухфакторную проверку подлинности на компьютерах и мобильных устройствах. Она заключается в создании нового типа учетных данных пользователя в привязке к устройству, использовании биометрических данных или PIN-кода.

В первых версиях Windows 10 были службы Microsoft Passport и Windows Hello, которые обеспечивали многофакторную проверку подлинности. Чтобы упростить развертывание и расширить возможности поддержки, Microsoft объединила эти технологии в единое решение — Windows Hello. Если вы уже выполнили развертывание этих технологий, то вы не заметите никаких изменений в функционировании служб. Для тех, кому еще предстоит оценить работу Windows Hello, выполнить развертывание будет гораздо проще благодаря упрощенным политикам, документации и семантике.

Служба Hello призвана решать типичные проблемы пользователей, возникающие при работе с паролями:

• Пароли могут быть трудны для запоминания, и пользователи часто повторно используют пароли на нескольких сайтах.
• Взломы сервера могут раскрывать симметричные сетевые учетные данные.
• Пароли могут подлежать атакам с повторением пакетов.
• Пользователи могут непреднамеренно предоставить свой пароль вследствие фишинга.

Hello позволяет выполнить проверку подлинности учетной записи Microsoft, учетной записи Active Directory, учетной записи Microsoft Azure Active Directory (Azure AD) и службы поставщика удостоверений или службы проверяющей стороны, которые поддерживают проверку подлинности Fast ID Online (FIDO) v2.0.

После начальной двухэтапной проверки при регистрации на вашем устройстве настраивается служба Hello, и вы сами устанавливаете жест, который может быть как биометрическим, например отпечатком пальца, так и PIN-кодом. Далее необходимо сделать жест для проверки своего удостоверения. После этого Windows использует Hello для проверки подлинности и предоставления им доступа к защищенным ресурсам и службам.

От имени администратора компании или общеобразовательной организации можно создать политики управления Hello для использования на устройствах под управлением Windows 10, которые подключаются к вашей организации.

Разница между Windows Hello и Windows Hello для бизнеса

Windows Hello предназначена для удобного и безопасного входа пользователя. Такое использование Hello обеспечивает отдельный уровень защиты, так как является уникальным для устройства, на котором настраивается, однако проверка подлинности на основе сертификатов при этом отсутствует.

Служба Windows Hello для бизнеса, которая настраивается групповой политикой или политикой MDM, использует проверку подлинности на основе ключа или сертификата.

В настоящее время в учетных записях Active Directory с использованием Windows Hello не поддерживается проверка подлинности на основе ключа или сертификата. Эта функция должна появиться в будущем выпуске.

Почему PIN-код, а не пароль?

Пароли представляют собой общие секреты, они вводятся на устройстве и передаются по сети на сервер. Перехваченные имя и пароль учетной записи могут быть использованы кем угодно. Например, учетные данные могут быть раскрыты при взломе сервера.

В Windows 10, в процессе подготовки, служба Hello создает пару криптографических ключей, привязанных к доверенному платформенному модулю (TPM), если устройство оснащено таким модулем, или в программной реализации. Доступ к этим ключам и получение подписи для проверки того, что пользователь владеет закрытым ключом, предоставляется только при вводе PIN-кода или биометрического жеста. Двухэтапная проверка, которая происходит при регистрации в службе Hello, формирует доверительные взаимоотношения между поставщиком удостоверений и пользователем, когда открытая часть пары «открытый/закрытый ключ» отправляется поставщику удостоверений и связывается с учетной записью пользователя. Когда пользователь выполняет жест на устройстве, поставщик удостоверений определяет по комбинации ключей Hello и жеста, что это проверенное удостоверение, и предоставляет маркер проверки подлинности, с помощью которого Windows 10 получает доступ к ресурсам и службам. Кроме того, в процессе регистрации генерируется претензия по удостоверению для каждого поставщика удостоверений, чтобы криптографически подтвердить, что ключи Hello привязаны к TPM. Если претензия по удостоверению во время регистрации не выставляется поставщику удостоверений, поставщик удостоверений должен предполагать, что ключ Hello создан программно.

Представьте, что кто-то подсматривает через ваше плечо при получении денежных средств из банкомата и видит вводимый вами PIN-код. Наличие этого PIN-кода не поможет им получить доступ к учетной записи, так как у них нет банковской карты. Аналогичным образом перехват PIN-кода для устройства не позволяет злоумышленнику получить доступ к учетной записи, так как PIN-код является локальным для конкретного устройства и не обеспечивает никакого типа проверки подлинности с любого другого устройства.

Hello как раз позволяет защищать удостоверения и учетные данные пользователей. Так как пароли не используются, фишинг и атаки методом подбора становятся бесполезными. Эта технология позволяет также предотвратить взломы серверов, так как учетные данные Hello являются асимметричной парой ключей, что предотвращает атаки с повторяющимися пакетами, так как эти ключи защищены доверенными платформенными модулями (TPM).

Также можно использовать устройства с Windows 10 Mobile в качестве удаленных учетных данных при входе на ПК под управлением Windows 10. В процессе входа в систему ПК под управлением Windows 10 он может подключаться и получать доступ к Hello на вашем устройстве под управлением Windows 10 Mobile по Bluetooth. Поскольку мы всегда носим с собой телефон, Hello позволяет гораздо проще реализовать двухфакторную проверку подлинности.

Функция входа через телефон в данный момент доступна только отдельным участникам программы принятия технологий (TAP).

Так как же PIN-код помогает защитить устройство лучше, чем пароль?

Преимущества PIN-кода в сравнении с паролем связаны не с его структурой (длиной и сложностью), а с принципом работы.

1. PIN-код привязан к устройству. Злоумышленник, получивший доступ к паролю, может войти в учетную запись с любого устройства, но в случае кражи PIN-кода вход в учетную запись будет невозможен без доступа к соответствующему устройству.

2. PIN-код хранится на устройстве локально. Пароль передается на сервер и может быть перехвачен в процессе передачи или украден с сервера. PIN-код задается на устройстве на локальном уровне, не передается и не хранится на сервере. При создании PIN-кода устанавливаются доверительные отношения с поставщиком удостоверений и создается пара асимметричных ключей, используемых для проверки подлинности. При вводе PIN-кода ключ проверки подлинности разблокируется и используется для подтверждения запроса, отправляемого на сервер для проверки подлинности.

3. PIN-код поддерживается оборудованием. PIN-код Hello поддерживается микросхемой доверенного платформенного модуля (TPM), представляющей собой надежный криптографический процессор для выполнения операций шифрования. Эта микросхема содержит несколько механизмов физической защиты для предотвращения взлома, и вредоносные программы не могут обойти функции безопасности TPM. TPM применяется во всех телефонах с Windows 10 Mobile и во многих современных ноутбуках.

Материал ключа пользователя создается и становится доступным в доверенном платформенном модуле (TPM) на устройстве пользователя, что защищает материал от перехвата и использования злоумышленниками. Поскольку технология Hello подразумевает использование пар асимметричных ключей, учетные данные пользователей не будут похищены в случае нарушения безопасности поставщика удостоверений или веб-сайтов, к которым пользователь осуществляет доступ.

TPM защищает от множества известных и потенциальных атак, в том числе атак методом подбора PIN-кода. После определенного количества попыток ввода неправильного PIN-кода устройство блокируется.

4. PIN-код может быть сложным. К PIN-коду Windows Hello для бизнеса применяется тот же набор политик управления ИТ, что и к паролю, в том числе сложность, длина, срок действия и история изменений. Несмотря на уверенность большинства пользователей в том, что PIN-код представляет собой простой код из 4 цифр, администраторы могут устанавливать для управляемых устройств политики, предполагающие уровень сложности PIN-кода, сопоставимый с паролем. Вы можете сделать обязательными или запретить специальные знаки, буквы в верхнем и нижнем регистрах, а также и цифры.

Раздел меню настроек в котором задаются параметры PIN-кода и биометрия:

Что произойдет в случае кражи ноутбука или телефона?

Для нарушения безопасности учетных данных Windows Hello, защищаемых TPM, злоумышленнику нужно осуществить доступ к физическому устройству, найти способ похитить биометрические данные пользователя или подобрать PIN-код. Все это нужно сделать раньше, чем функциональный механизм защиты от взлома TPM заблокирует устройство. Для ноутбуков, не имеющих TPM, можно настроить дополнительную защиту, активировав BitLocker и ограничив количество неудачных попыток входа в систему.

Настройка BitLocker без TPM

С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику:

Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Шифрование диска BitLocker → Диски операционной системы → Требовать дополнительной проверки подлинности при запуске

В параметрах политики выберите Разрешить использование BitLocker без совместимого TPM, а затем нажмите кнопку ОК.

Перейдите в меню Панель управления → Система и безопасность → Шифрование диска BitLocker и выберите диск с операционной системой, который требуется защитить.

С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику: Конфигурация компьютера → Параметры Windows → Параметры безопасности → Политики учетных записей → Политика блокировки учетных записей → Пороговое значение блокировки.

Установите допустимое количество неудачных попыток входа в систему и нажмите ОК.

Как работает Windows Hello для бизнеса: основные положения

1. Учетные данные службы Hello основаны на сертификате или асимметричной паре ключей и привязаны к устройству, как и маркер, получаемый с помощью учетных данных.

2. Поставщик удостоверений (например, Active Directory, Azure AD или учетная запись Майкрософт) проверяет удостоверение пользователя и сопоставляет открытый ключ Hello с учетной записью пользователя на этапе регистрации.

3. Ключи могут генерироваться в аппаратном (TPM 1.2 или 2.0 для предприятий и TPM 2.0 для потребителей) или программном обеспечении на основании политики.

4. Проверка подлинности — это двухфакторная проверка с использованием сочетания ключа или сертификата, привязанного к устройству, и информации, известной пользователю PIN-код), или идентификационных данных пользователя (Windows Hello). Жест Hello не перемещается между устройствами и не предоставляется серверу. Он хранится локально на устройстве.

5. Закрытый ключ никогда не покидает устройство. Проверяющий подлинность сервер имеет открытый ключ, который был сопоставлен с учетной записью пользователя во время регистрации.

6. Ввод PIN-кода и биометрических жестов приводит к проверке удостоверения пользователя в Windows 10 и проверке подлинности с использованием ключей или сертификатов Hello.

7. Личные (учетная запись Майкрософт) или корпоративные учетные записи (Active Directory или Azure AD) использует один контейнер для ключей. Все ключи разделены по доменам поставщиков удостоверений в целях обеспечения конфиденциальности пользователя.

8. Закрытые ключи сертификатов могут быть защищены контейнером Hello и жестом Hello.

Сравнение проверки подлинности на основе ключа и сертификата

Для подтверждения личности служба Windows Hello для бизнеса может использовать ключи (аппаратный или программный) или сертификаты с ключами в аппаратном или программном обеспечении. Предприятия с инфраструктурой открытых ключей (PKI) для выпуска и управления сертификатами могут продолжать использовать PKI вместе со службой Hello. Предприятия, у которых нет PKI или которые хотят сократить объем работ, связанных с управлением сертификатами, могут использовать для службы Hello учетные данные на основе ключа.

Аппаратные ключи, которые создаются модулем TPM, обеспечивают наиболее высокий уровень гарантии. При изготовлении в модуль TPM помещается сертификат ключа подтверждения (EK). Этот сертификат EK создает корневое доверие для всех других ключей, которые генерируются в этом модуле TPM. Сертификация EK используется для генерации сертификата ключа удостоверения подлинности (AIK), выданного службой сертификации Microsoft. Этот сертификат AIK можно использовать как претензию по удостоверению, чтобы доказать поставщикам удостоверений, что ключи Hello генерировались одним и тем же TPM. Центр сертификации Майкрософт (CA) генерирует сертификат AIK для каждого устройства, пользователя и IDP, чтобы гарантировать защиту конфиденциальности.

Если поставщики удостоверений, например Active Directory или Azure AD, регистрируют сертификат в службе Hello, Windows 10 будет поддерживать тот же набор сценариев, что и смарт-карта. Если тип учетных данных представляет собой ключ, будет поддерживаться только доверие и операции на основе ключа.

Мы постарались написать для вас подробный и понятный туториал по работе со службой Windows Hello. Если у вас остались вопросы, задавайте в комментариях.

Разработчики Windows регулярно выпускают новые интересные опции для пользователей своей операционной системы. Одна из них — Windows Hello. Данная возможность впервые была представлена в 2015 году. Но не все клиенты Windows знают о ней. Рассмотрим назначение и настройку этой опции.

Исходя из названия, можно предположить, что функция Windows Hello — встроенный сервис, который должен приветствовать пользователя в системе. В действительности, так и есть. Когда человек входит в свою учётную запись на ПК или просто запускает устройство, система здоровается с ним и просит пройти идентификацию. Последняя происходит за счёт распознавания отпечатка пальца человека, который владеет данной учётной записью. Кроме того, идентификация может быть по лицу или радужной оболочке глаза.

Такой тип идентификации призван обеспечить пользователя Windows максимально надёжной защитой от несанкционированного доступа к его учётной записи. Человек, который захочет зайти в ПК, просто не сможет этого сделать без вас: подделать лицо, отпечаток пальца и радужную оболочку глаза невозможно.

Плюс данной технологии также в том, что она избавит от необходимости придумывать пароль, запоминать его, а потом каждый раз вводить.

Какие устройства поддерживают функцию Windows Hello

Многие современные устройства, в том числе ноутбуки и смартфоны, оснащены специальными 3D-камерами, которые способны распознавать лица, и сканером отпечатков пальцев (на ноутбуках это обычно какая-либо из клавиш).

Если у вас нет встроенной 3D-камеры, вы можете отдельно её приобрести, например, аксессуар под названием RealScene 3D, чтобы пользоваться этой функцией.

Windows Hello работает на следующих ноутбуках:

Новая опция для идентификации пользователя доступна также на планшетах и смартфонах с операционной системой Windows 10, в частности, на современных телефонах Lumia и планшетах-трансформерах Windows Surface Pro.

Как включить и настроить Windows Hello на Windows 10

Активировать и настроить режим идентификации Windows Hello можно следующим образом:

1. Запустите системное меню «Пуск». Отыщите иконку в виде шестерёнки нажмите на неё, чтобы вызвать окно «Параметры Windows». Значок располагается над кнопкой выключения устройства.
2. Откройте блок «Учётные записи», щёлкнув по нему один раз левой кнопкой мыши.
3. Появится вкладка под названием «Ваши данные».
4. Она нам не нужна, поэтому сразу кликните по третьей вкладке «Параметры входа». Здесь и находится опция Windows Hello. В одноимённом разделе может быть сообщение о том, что функция недоступна на вашем компьютере в данный момент. Это будет означать только одно: ваше устройство не поддерживает опцию. Вы не сможете ей пользоваться, пока не приобретёте специальную камеру с функцией распознавания.
5. Если ваш ПК поддерживает данную технологию, в разделе Windows Hello вы увидите блок под названием «Распознавание лица». Под ним будет кнопка «Настроить» или Set up. Щёлкните по ней.
6. Должен запуститься мастер настройки этой опции. Нажмите на кнопку «Начать» или Get started.
7. Введите предварительно установленный ПИН-код, который защищает компьютер от несанкционированного входа. Это необходимо для того, чтобы устройство удостоверилось, что изменения в настройки вносите именно вы, а не кто-то другой.
8. Теперь в течение нескольких секунд нужно посидеть перед компьютером. При этом нельзя двигаться. Неподвижными должны быть даже глаза. Смотрите на экран. Система считает информацию с вашего лица и занесёт эти данные в базу.
9. После этой небольшой процедуры кликните по «Закрыть». На этом настройка завершена. При следующем входе в вашу учётную запись Windows Hello попросит посмотреть на экран для идентификации личности.
10. Если вы хотите улучшить распознавание, кликните по соответствующей кнопке для повторения процедуры.
11. Вместо раздела «Распознавание лица», можно увидеть опцию для идентификации отпечатка пальца или радужной оболочки глаза. В случае последней вам также нужно будет посмотреть на экран, чтобы система запомнила радужную оболочку.
12. Если будет раздел «Отпечаток пальца» (Fingerprint), нужно будет приложить палец несколько раз к сканеру, чтобы программа запомнила его отпечаток.

Видео: как внести свой отпечаток пальца в базу Windows Hello

Если на устройстве есть камера с функцией распознавания лица или даже радужной оболочки глаза либо сканер отпечатков пальцев, воспользуйтесь опцией биометрической идентификации Windows Hello, чтобы защитить данные, хранящиеся на ПК, от посторонних лиц. И тогда никто, кроме вас, не сможет работать в этом устройстве. При этом придумывать сложный пароль не придётся.