Политика windows hello для бизнеса включена

Доброго времени суток, Уважаемый. Сейчас я постараюсь рассказать что такое Windows Hello для бизнеса и как это настроить.

Windows Hello — это система аутентификации в Windows 10, на основе PIN кода, биометрических данных или гравифеского пароля. Приставка для бизнеса значит, что все это будет работать в домене.

Почему пароль уже не очень хорошо? Потому что! Если серьезно, то можно почитать тут.

Что нам надо?

  • Active Directory — Минимум 1 контроллер домена на базе Windows Server 2016. Уровень домена не ниже Windows Server 2012 R2.
  • Public Key Infrastructure
  • Azure Active Directory.
  • Windows 10 в качестве клиента.

Настройка сертификатов контроллера домена

Клиенты должны доверять контроллерам домена; лучший способ это обеспечить — предоставить каждому контроллеру домена сертификат проверки подлинности Kerberos. Установка сертификата на контроллер домена позволяет центру распространения ключей (KDC) подтверждать свою подлинность другим членам домена.

Войдите в центр сертификации или на рабочие станции управления, используя учетные данные, эквивалентные администратору домена.

  1. Откройте консоль управления Центр сертификации.
  2. Щелкните правой кнопкой мыши элемент Шаблоны сертификатов и затем выберите Управление.
  3. В консоли «Шаблон сертификата» щелкните правой кнопкой мыши шаблон Проверка подлинности Kerberos в области сведений, а затем щелкните Скопировать шаблон.
  4. На вкладке Совместимость снимите флажок Показать последующие изменения. Выберите Windows Server 2012 или Windows Server 2012 R2 из списка Центр сертификации. Выберите Windows Server 2012 или Windows Server 2012 R2 из списка Получатель сертификата.
  5. На вкладке Общие в поле отображаемого имени шаблона введите Проверка подлинности контроллера домена (Kerberos). Измените срок действия и период обновления в соответствии с потребностями вашей организации. Примечание: если используются другие имена шаблонов, их необходимо помнить и заменить на эти имена в разных частях лаборатории.
  6. На вкладке Субъект нажмите кнопку Строится на основе данных Active Directory, если она еще не нажата. Выберите пункт Нет в списке Формат имени субъекта. Выберите DNS-имя в списке Включить эту информацию в альтернативное имя субъекта. Снимите все остальные флажки.
  7. На вкладке Шифрование выберите Поставщик хранилища ключей из списка Категория поставщика. Из списка Имя алгоритма выберите RSA. Введите 2048 в текстовое поле Минимальный размер ключей. Выберите SHA256 из списка Хэш запроса. Нажмите кнопку OK.
  8. Закройте консоль.

Замена существующего сертификата контроллера домена

Большое количество контроллеров домена может иметь существующий сертификат контроллера домена. Службы сертификатов Active Directory предоставляют шаблона сертификата по умолчанию от контроллеров домена — шаблон сертификата контроллера домена. Более поздние версии включают новый шаблон сертификата — шаблон сертификата проверки подлинности контроллера домена. Эти шаблоны сертификатов были предоставлены до обновления спецификации Kerberos, в которой указано, что центры распространения ключей (KDC), выполняющие проверку подлинности сертификатов, должны включать расширение KDC для проверки подлинности.

Шаблон сертификата проверки подлинности Kerberos — самый новый шаблон сертификата, предназначенный для контроллеров домена, и именно его следует развернуть на всех контроллерах домена (2008 или более поздней версии). Функция автоматической регистрации в Windows позволяет легко заменить эти сертификаты контроллеров домена. Можно использовать следующую конфигурацию для замены более старых сертификатов контроллеров домена новыми сертификатами с помощью шаблона сертификата проверки подлинности Kerberos.

Войдите в центр сертификации или на рабочие станции управления, используя учетные данные, эквивалентные администратору предприятия.

  1. Откройте консоль управления Центр сертификации.
  2. Щелкните правой кнопкой мыши элемент Шаблоны сертификатов и затем выберите Управление.
  3. В консоли «Шаблоны сертификатов» щелкните правой кнопкой мыши шаблон Проверки подлинности на контроллере домена (Kerberos) (или имя шаблона сертификата, созданного в предыдущем разделе) в области сведений и нажмите кнопку Свойства.
  4. Выберите вкладку Устаревшие шаблоны. Нажмите кнопку Добавить.
  5. Из диалогового окна Добавление устаревшего шаблона выберите шаблон сертификата Контроллер домена и нажмите кнопку ОК. Нажмите Добавить.
  6. Из диалогового окна Добавление устаревшего шаблона выберите шаблон сертификата Проверка подлинности контроллера домена и нажмите кнопку ОК.
  7. Из диалогового окна Добавление устаревшего шаблона выберите шаблон сертификата Проверка подлинности Kerberos и нажмите кнопку ОК.
  8. Добавьте другие шаблоны сертификатов предприятия, настроенные ранее для контроллеров домена, на вкладку Устаревшие шаблоны.
  9. Нажмите кнопку ОК и закройте консоль Шаблоны сертификатов.

Шаблон сертификата настроен для замены всех шаблонов сертификатов, перечисленных в списке устаревших шаблонов сертификатов.

Публикация шаблонов сертификатов в центр сертификации

Центр сертификации может выдавать только сертификаты, соответствующие шаблонам сертификатов, опубликованным в этот центр сертификации.

  1. Откройте консоль управления Центр сертификации.
  2. Разверните родительский узел в области навигации.
  3. В области навигации щелкните Шаблоны сертификатов.
  4. Щелкните правой кнопкой мыши узел Шаблоны сертификатов. Выберите пункт Создать и щелкните выдаваемый Шаблон сертификата.
  5. В окне Включение шаблонов сертификатов выберите шаблон Проверка подлинности контроллера домена (Kerberos), созданный в предыдущих шагах. Нажмите кнопку ОК для публикации выбранного шаблона сертификатов в центр сертификации.
  6. Если вы опубликовали шаблон сертификата проверки подлинности контроллера домена (Kerberos), следует отменить публикацию шаблонов сертификатов, включенных в список устаревших шаблонов.
    • Чтобы отменить публикацию шаблона сертификата, щелкните правой кнопкой мыши шаблон сертификата, публикацию которого вы хотите отменить, в области сведений консоли «Центр сертификации», а затем выберите Удалить. Нажмите кнопку Да для подтверждения операции.
  7. Закройте консоль.

Настройка контроллеров домена для автоматической регистрации сертификатов

Контроллеры домена автоматически запрашивают сертификат на основе шаблона сертификата контроллера домена. Однако контроллер домена не знает о более новых шаблонах сертификатов или устаревших конфигурациях шаблонов сертификатов. Чтобы продолжить автоматическую регистрацию и обновление сертификатов контроллера домена, которые знают о более новых шаблонах сертификатов и устаревших конфигурациях шаблона сертификата, создайте и настройте объект групповой политики для автоматической регистрации сертификатов и свяжите объект групповой политики с OU контроллеров домена.

  1. Запустите Консоль управления групповыми политиками (gpmc.msc).
  2. В области навигации разверните домен и выберите узел Объект групповой политики.
  3. Щелкните правой кнопкой мыши Объект групповой политики и выберите Создать.
  4. Введите Автоматическая регистрация сертификатов контроллера домена в поле имени и нажмите кнопку ОК.
  5. Щелкните правой кнопкой мыши объект групповой политики Автоматическая регистрация сертификатов контроллера домена и щелкните Изменить.
  6. В области навигации в узле Конфигурация компьютера разверните Политики.
  7. Разверните Параметры Windows, Параметры безопасности и выберите Политики открытого ключа.
  8. В области сведений щелкните правой кнопкой мыши Клиент служб сертификации: автоматическая регистрация и выберите Свойства.
  9. В окне Модель конфигурации выберите Включено.
  10. Установите флажок Обновлять сертификаты с истекшим сроком действия или в состоянии ожидания и удалять отозванные сертификаты.
  11. Установите флажок Обновлять сертификаты, использующие шаблоны сертификатов.
  12. Нажмите кнопку OK. Закройте Редактор управления групповыми политиками.
  13. В области навигации разверните домен и узел, имя которого соответствует имени вашего домена Active Directory. Щелкните правой кнопкой мыши подразделение Контроллеры домена и щелкните Связать существующий объект групповой политики…
  14. В диалоговом окне Выбор объекта групповой политики выберите Автоматическая регистрация сертификатов контроллера домена или имя объекта групповой политики регистрации сертификата контроллера домена, созданный ранее, и нажмите кнопку ОК.

Групповая политика «Включить Windows Hello для бизнеса»

Параметр групповой политики «Включить Windows Hello для бизнеса» необходим Windows для определения того, следует ли пользователю пытаться регистрироваться в Windows Hello для бизнеса. Пользователь будет пытаться регистрироваться только в случае, если этот параметр политики включен.

Создание объекта групповой политики Windows Hello для бизнеса

Объект групповой политики содержит параметры политики, необходимые для запуска подготовки Windows Hello для бизнеса, а также для обеспечения автоматического продления сертификатов проверки подлинности Windows Hello для бизнеса.

  1. Запустите Консоль управления групповыми политиками (gpmc.msc).
  2. В области навигации разверните домен и выберите узел Объект групповой политики.
  3. Щелкните правой кнопкой мыши Объект групповой политики и выберите Создать.
  4. Введите Включить Windows Hello для бизнеса в поле имени и нажмите кнопку ОК.
  5. В области содержимого щелкните правой кнопкой мыши объект групповой политики Включить Windows Hello для бизнеса и выберите Изменить.
  6. В области навигации в узле Конфигурация пользователя разверните Политики.
  7. Разверните Административные шаблоны, Компонент Windows и выберите Windows Hello для бизнеса.
  8. В области содержимого дважды щелкните Использовать Windows Hello для бизнеса. Щелкните Включить и нажмите кнопку ОК.
  9. Закройте Редактор управления групповыми политиками.

Настройка безопасности в объекте групповой политики Windows Hello для бизнеса

Самый лучший способ развертывания объекта групповой политики Windows Hello для бизнеса— это использование фильтрации по группам безопасности. Благодаря этому можно легко управлять пользователями, которые должны получить Windows Hello для бизнеса, просто добавляя их в группу. Это позволяет развернуть Windows Hello для бизнеса в несколько этапов.

  1. Запустите Консоль управления групповыми политиками (gpmc.msc).
  2. В области навигации разверните домен и выберите узел Объект групповой политики.
  3. Дважды щелкните объект групповой политики Включить Windows Hello для бизнеса.
  4. В разделе Фильтрация ограничений безопасности области содержимого нажмите кнопку Добавить. Введите Пользователи Windows Hello для бизнеса или имя ранее созданной группы безопасности и нажмите кнопку ОК.
  5. Перейдите на вкладку Делегирование, выберите Прошедшие проверку и нажмите кнопку Дополнительно.
  6. В списке Группы или пользователи выберите Прошедшие проверку. В списке Разрешения для прошедших проверку пользователей снимите флажок Разрешить для разрешения Применить групповую политику. Нажмите кнопку OK.

Развертывание объекта групповой политики Windows Hello для бизнеса

При применении объекта групповой политики Windows Hello для бизнеса используется фильтрация по группам безопасности. Это позволяет привязать объект групповой политики к домену, что гарантирует, что объект групповой политики будет находиться в пределах области для всех пользователей. Тем не менее, фильтрация по группам безопасности гарантирует, что только пользователи, входящие в глобальную группу Пользователи Windows Hello для бизнеса, будут получать и применять объект групповой политики, что приводит к подготовке Windows Hello для бизнеса.

  1. Запустите Консоль управления групповыми политиками (gpmc.msc).
  2. В области навигации разверните домен, щелкните правой кнопкой мыши узел с именем вашего домена Active Directory и выберите Связать существующий объект групповой политики…
  3. В диалоговом окне Выбор объекта групповой политики выберите Включить Windows Hello для бизнеса или имя ранее созданного объекта групповой политики Windows Hello для бизнеса и нажмите кнопку ОК.

Azure Active Directory

Теперь важно обновить структуру синхронизации Active Directory с Azure Active Directory. Если этого не сделать, то при вводе PIN кода, пользователи будут видеть ошибку вида «функция (входа по PIN коду) временно недоступна».

Windows 10

Можно приступать к настроке PIN кода, отпечатка пальцев и т.д.

Время на прочтение
8 мин

Количество просмотров 21K

Делимся с вами обзорным материалом про службу Windows Hello, обеспечивающую двухфакторную проверку на Windows 10. Также вы узнаете, чем она будет полезна для крупных компаний, почему стоит выбирать PIN-код, а не пароль и как её настроить.

Windows Hello — что это и зачем?

В Windows 10 служба Windows Hello для бизнеса заменяет пароли на строгую двухфакторную проверку подлинности на компьютерах и мобильных устройствах. Она заключается в создании нового типа учетных данных пользователя в привязке к устройству, использовании биометрических данных или PIN-кода.

В первых версиях Windows 10 были службы Microsoft Passport и Windows Hello, которые обеспечивали многофакторную проверку подлинности. Чтобы упростить развертывание и расширить возможности поддержки, Microsoft объединила эти технологии в единое решение — Windows Hello. Если вы уже выполнили развертывание этих технологий, то вы не заметите никаких изменений в функционировании служб. Для тех, кому еще предстоит оценить работу Windows Hello, выполнить развертывание будет гораздо проще благодаря упрощенным политикам, документации и семантике.

Служба Hello призвана решать типичные проблемы пользователей, возникающие при работе с паролями:

  • Пароли могут быть трудны для запоминания, и пользователи часто повторно используют пароли на нескольких сайтах.
  • Взломы сервера могут раскрывать симметричные сетевые учетные данные.
  • Пароли могут подлежать атакам с повторением пакетов.
  • Пользователи могут непреднамеренно предоставить свой пароль вследствие фишинга.

Hello позволяет выполнить проверку подлинности учетной записи Microsoft, учетной записи Active Directory, учетной записи Microsoft Azure Active Directory (Azure AD) и службы поставщика удостоверений или службы проверяющей стороны, которые поддерживают проверку подлинности Fast ID Online (FIDO) v2.0.

После начальной двухэтапной проверки при регистрации на вашем устройстве настраивается служба Hello, и вы сами устанавливаете жест, который может быть как биометрическим, например отпечатком пальца, так и PIN-кодом. Далее необходимо сделать жест для проверки своего удостоверения. После этого Windows использует Hello для проверки подлинности и предоставления им доступа к защищенным ресурсам и службам.

От имени администратора компании или общеобразовательной организации можно создать политики управления Hello для использования на устройствах под управлением Windows 10, которые подключаются к вашей организации.

Разница между Windows Hello и Windows Hello для бизнеса

Windows Hello предназначена для удобного и безопасного входа пользователя. Такое использование Hello обеспечивает отдельный уровень защиты, так как является уникальным для устройства, на котором настраивается, однако проверка подлинности на основе сертификатов при этом отсутствует.

Служба Windows Hello для бизнеса, которая настраивается групповой политикой или политикой MDM, использует проверку подлинности на основе ключа или сертификата.

В настоящее время в учетных записях Active Directory с использованием Windows Hello не поддерживается проверка подлинности на основе ключа или сертификата. Эта функция должна появиться в будущем выпуске.

Почему PIN-код, а не пароль?

Пароли представляют собой общие секреты, они вводятся на устройстве и передаются по сети на сервер. Перехваченные имя и пароль учетной записи могут быть использованы кем угодно. Например, учетные данные могут быть раскрыты при взломе сервера.

В Windows 10, в процессе подготовки, служба Hello создает пару криптографических ключей, привязанных к доверенному платформенному модулю (TPM), если устройство оснащено таким модулем, или в программной реализации. Доступ к этим ключам и получение подписи для проверки того, что пользователь владеет закрытым ключом, предоставляется только при вводе PIN-кода или биометрического жеста. Двухэтапная проверка, которая происходит при регистрации в службе Hello, формирует доверительные взаимоотношения между поставщиком удостоверений и пользователем, когда открытая часть пары «открытый/закрытый ключ» отправляется поставщику удостоверений и связывается с учетной записью пользователя. Когда пользователь выполняет жест на устройстве, поставщик удостоверений определяет по комбинации ключей Hello и жеста, что это проверенное удостоверение, и предоставляет маркер проверки подлинности, с помощью которого Windows 10 получает доступ к ресурсам и службам. Кроме того, в процессе регистрации генерируется претензия по удостоверению для каждого поставщика удостоверений, чтобы криптографически подтвердить, что ключи Hello привязаны к TPM. Если претензия по удостоверению во время регистрации не выставляется поставщику удостоверений, поставщик удостоверений должен предполагать, что ключ Hello создан программно.

Представьте, что кто-то подсматривает через ваше плечо при получении денежных средств из банкомата и видит вводимый вами PIN-код. Наличие этого PIN-кода не поможет им получить доступ к учетной записи, так как у них нет банковской карты. Аналогичным образом перехват PIN-кода для устройства не позволяет злоумышленнику получить доступ к учетной записи, так как PIN-код является локальным для конкретного устройства и не обеспечивает никакого типа проверки подлинности с любого другого устройства.

Hello как раз позволяет защищать удостоверения и учетные данные пользователей. Так как пароли не используются, фишинг и атаки методом подбора становятся бесполезными. Эта технология позволяет также предотвратить взломы серверов, так как учетные данные Hello являются асимметричной парой ключей, что предотвращает атаки с повторяющимися пакетами, так как эти ключи защищены доверенными платформенными модулями (TPM).

Также можно использовать устройства с Windows 10 Mobile в качестве удаленных учетных данных при входе на ПК под управлением Windows 10. В процессе входа в систему ПК под управлением Windows 10 он может подключаться и получать доступ к Hello на вашем устройстве под управлением Windows 10 Mobile по Bluetooth. Поскольку мы всегда носим с собой телефон, Hello позволяет гораздо проще реализовать двухфакторную проверку подлинности.

Функция входа через телефон в данный момент доступна только отдельным участникам программы принятия технологий (TAP).

Так как же PIN-код помогает защитить устройство лучше, чем пароль?

Преимущества PIN-кода в сравнении с паролем связаны не с его структурой (длиной и сложностью), а с принципом работы.

1. PIN-код привязан к устройству. Злоумышленник, получивший доступ к паролю, может войти в учетную запись с любого устройства, но в случае кражи PIN-кода вход в учетную запись будет невозможен без доступа к соответствующему устройству.

2. PIN-код хранится на устройстве локально. Пароль передается на сервер и может быть перехвачен в процессе передачи или украден с сервера. PIN-код задается на устройстве на локальном уровне, не передается и не хранится на сервере. При создании PIN-кода устанавливаются доверительные отношения с поставщиком удостоверений и создается пара асимметричных ключей, используемых для проверки подлинности. При вводе PIN-кода ключ проверки подлинности разблокируется и используется для подтверждения запроса, отправляемого на сервер для проверки подлинности.

3. PIN-код поддерживается оборудованием. PIN-код Hello поддерживается микросхемой доверенного платформенного модуля (TPM), представляющей собой надежный криптографический процессор для выполнения операций шифрования. Эта микросхема содержит несколько механизмов физической защиты для предотвращения взлома, и вредоносные программы не могут обойти функции безопасности TPM. TPM применяется во всех телефонах с Windows 10 Mobile и во многих современных ноутбуках.

Материал ключа пользователя создается и становится доступным в доверенном платформенном модуле (TPM) на устройстве пользователя, что защищает материал от перехвата и использования злоумышленниками. Поскольку технология Hello подразумевает использование пар асимметричных ключей, учетные данные пользователей не будут похищены в случае нарушения безопасности поставщика удостоверений или веб-сайтов, к которым пользователь осуществляет доступ.

TPM защищает от множества известных и потенциальных атак, в том числе атак методом подбора PIN-кода. После определенного количества попыток ввода неправильного PIN-кода устройство блокируется.

4. PIN-код может быть сложным. К PIN-коду Windows Hello для бизнеса применяется тот же набор политик управления ИТ, что и к паролю, в том числе сложность, длина, срок действия и история изменений. Несмотря на уверенность большинства пользователей в том, что PIN-код представляет собой простой код из 4 цифр, администраторы могут устанавливать для управляемых устройств политики, предполагающие уровень сложности PIN-кода, сопоставимый с паролем. Вы можете сделать обязательными или запретить специальные знаки, буквы в верхнем и нижнем регистрах, а также и цифры.

Раздел меню настроек в котором задаются параметры PIN-кода и биометрия:

Что произойдет в случае кражи ноутбука или телефона?

Для нарушения безопасности учетных данных Windows Hello, защищаемых TPM, злоумышленнику нужно осуществить доступ к физическому устройству, найти способ похитить биометрические данные пользователя или подобрать PIN-код. Все это нужно сделать раньше, чем функциональный механизм защиты от взлома TPM заблокирует устройство. Для ноутбуков, не имеющих TPM, можно настроить дополнительную защиту, активировав BitLocker и ограничив количество неудачных попыток входа в систему.

Настройка BitLocker без TPM

С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику:

Конфигурация компьютераАдминистративные шаблоныКомпоненты WindowsШифрование диска BitLockerДиски операционной системыТребовать дополнительной проверки подлинности при запуске

В параметрах политики выберите Разрешить использование BitLocker без совместимого TPM, а затем нажмите кнопку ОК.

Перейдите в меню Панель управленияСистема и безопасностьШифрование диска BitLocker и выберите диск с операционной системой, который требуется защитить.

С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику: Конфигурация компьютераПараметры WindowsПараметры безопасностиПолитики учетных записейПолитика блокировки учетных записейПороговое значение блокировки.

Установите допустимое количество неудачных попыток входа в систему и нажмите ОК.

Как работает Windows Hello для бизнеса: основные положения

1. Учетные данные службы Hello основаны на сертификате или асимметричной паре ключей и привязаны к устройству, как и маркер, получаемый с помощью учетных данных.

2. Поставщик удостоверений (например, Active Directory, Azure AD или учетная запись Майкрософт) проверяет удостоверение пользователя и сопоставляет открытый ключ Hello с учетной записью пользователя на этапе регистрации.

3. Ключи могут генерироваться в аппаратном (TPM 1.2 или 2.0 для предприятий и TPM 2.0 для потребителей) или программном обеспечении на основании политики.

4. Проверка подлинности — это двухфакторная проверка с использованием сочетания ключа или сертификата, привязанного к устройству, и информации, известной пользователю PIN-код), или идентификационных данных пользователя (Windows Hello). Жест Hello не перемещается между устройствами и не предоставляется серверу. Он хранится локально на устройстве.

5. Закрытый ключ никогда не покидает устройство. Проверяющий подлинность сервер имеет открытый ключ, который был сопоставлен с учетной записью пользователя во время регистрации.

6. Ввод PIN-кода и биометрических жестов приводит к проверке удостоверения пользователя в Windows 10 и проверке подлинности с использованием ключей или сертификатов Hello.

7. Личные (учетная запись Майкрософт) или корпоративные учетные записи (Active Directory или Azure AD) использует один контейнер для ключей. Все ключи разделены по доменам поставщиков удостоверений в целях обеспечения конфиденциальности пользователя.

8. Закрытые ключи сертификатов могут быть защищены контейнером Hello и жестом Hello.

Сравнение проверки подлинности на основе ключа и сертификата

Для подтверждения личности служба Windows Hello для бизнеса может использовать ключи (аппаратный или программный) или сертификаты с ключами в аппаратном или программном обеспечении. Предприятия с инфраструктурой открытых ключей (PKI) для выпуска и управления сертификатами могут продолжать использовать PKI вместе со службой Hello. Предприятия, у которых нет PKI или которые хотят сократить объем работ, связанных с управлением сертификатами, могут использовать для службы Hello учетные данные на основе ключа.

Аппаратные ключи, которые создаются модулем TPM, обеспечивают наиболее высокий уровень гарантии. При изготовлении в модуль TPM помещается сертификат ключа подтверждения (EK). Этот сертификат EK создает корневое доверие для всех других ключей, которые генерируются в этом модуле TPM. Сертификация EK используется для генерации сертификата ключа удостоверения подлинности (AIK), выданного службой сертификации Microsoft. Этот сертификат AIK можно использовать как претензию по удостоверению, чтобы доказать поставщикам удостоверений, что ключи Hello генерировались одним и тем же TPM. Центр сертификации Майкрософт (CA) генерирует сертификат AIK для каждого устройства, пользователя и IDP, чтобы гарантировать защиту конфиденциальности.

Если поставщики удостоверений, например Active Directory или Azure AD, регистрируют сертификат в службе Hello, Windows 10 будет поддерживать тот же набор сценариев, что и смарт-карта. Если тип учетных данных представляет собой ключ, будет поддерживаться только доверие и операции на основе ключа.

Мы постарались написать для вас подробный и понятный туториал по работе со службой Windows Hello. Если у вас остались вопросы, задавайте в комментариях.

  • Remove From My Forums
  • Question

  • Добрый день. Не получается довести до ума авторизацию по пин-коду в локальном развертывании WinHello с доверием на основе сертификатов.

    Настраиваю все по статье майкрософт:
    https://learn.microsoft.com/ru-ru/windows/security/identity-protection/hello-for-business/hello-deployment-cert-trust

    Имеется доменная среда AD на win server 2019. Имеется PKI и ADFS тоже на 2019 win server, подняты на отдельных виртуальных машинах. Согласно статье на PKI создал новые шаблоны. Раздал нужные права для этих шаблонов и опубликовал их.
    Согласно политики, контролеры домена успешно выпустили себе сертификаты kerberos. На ADFS была включена проверка подлинности на основе сертификатов. Задана настройка центра регистрации сертификатов на ADFS командой в PowerShell, что указанно
    в инструкции. Так же в дополнительных методах проверки пользователей на ADFS поставил галку Проверка подлинности сертификата. Как понимаю это нужно что бы ADFS выступал как MFA на основе сертификатов. В ранее созданную группу WinHello был добавлен
    пользователь и тестовые компьютеры. Эта группа по инструкции имеет разрешение выпуска сертификата на шаблон проверки подлинности winhello. Учетная запись adfs, которая стартует саму службу федерации, так же имеет права на выпуск сертификатов
    для шаблона агента регистрации. Была создана политика согласно инструкции, которая включает winhelo и распространяется на тестового пользователя и рабочие станции. Политика на компе и пользователе применяется, видно через gpresult. Но подготовка
    WinHello не запускается при логировании пользователя. Тесты проводил как и на физической станции (ноут, свежий, имеется TPM 2.0) так и на виртуальной машине(добавлял модуль TPM, в устройствах отображается).

    Пробовал в политике включать winhelo не только для пользователя, но и для компьютера. Включал абсолютно все в плане, пин кода, биометрии и тд. Тоже не помогло. Если зайти настройки вариантов входа, то при выборе ПИН-код для WInHello пишет
    ошибку, что устройство не соответствует требованием вашей организации Win Hello. Так же в зависимости от применых политик бывает ошибка «Этот вариант входа доступен только при подключении к сети организации». 

    В логах на ADFS в журналах/AD FS/Admin есть собития 1021. 

    Во время запроса маркера OAuth возникла ошибка. 

    Дополнительные данные 

    Сведения об исключениях: 
    Microsoft.IdentityServer.Web.Protocols.OAuth.Exceptions.OAuthJWTBearerException: MSIS9426: получен недопустимый запрос JWT Bearer OAuth. Полезные данные JWT Bearer должны содержать «scope».
       в Microsoft.IdentityServer.Web.Protocols.OAuth.OAuthToken.OAuthJWTBearerRequestContext.ValidateJWTBearer()
       в Microsoft.IdentityServer.Web.Protocols.OAuth.OAuthToken.OAuthJWTBearerRequestContext.ValidateCore()

    В логан на машине пользователя в журналах/Microsoft/Windows/User Device Registration/Admin есть события 360

    Подготовка Windows Hello для бизнеса не будет запущена. 
    Устройство присоединено к службе AAD (AADJ или DJ++): Yes 
    Пользователь вошел в систему с помощью учетных данных AAD: Yes 
    Политика Windows Hello для бизнеса включена: Yes 
    Включена подготовка после входа для компонента «Windows Hello для бизнеса»: Yes 
    Локальный компьютер соответствует требованиям к оборудованию Windows Hello для бизнеса: Yes 
    Пользователь не подключен к компьютеру через удаленный рабочий стол: Yes 
    Сертификат пользователя для локальной политики проверки подлинности включен: Yes 
    К компьютеру применяется политика enrollment authority. 
    Облачное доверие для локальной политики проверки подлинности включено: No 
    У учетной записи пользователя есть облачный TGT: Not Tested 
    Дополнительные сведения см. на странице https://go.microsoft.com/fwlink/?linkid=832647.

    И так же там имеется ошибка 362

    Подготовка Windows Hello для бизнеса не будет запущена. 
    Устройство присоединено к службе AAD (AADJ или DJ++): Yes 
    Пользователь вошел в систему с помощью учетных данных AAD: Yes 
    Включена политика использования функции «Windows Hello для бизнеса»: Yes 
    Включена подготовка после входа для функции «Windows Hello для бизнеса»: Yes 
    Локальный компьютер соответствует требованиям к оборудованию, предусмотренным для функции «Windows Hello для бизнеса»: Yes 
    Пользователь не подключен к компьютеру через функцию удаленного рабочего стола: Yes 
    Включена политика применения сертификата пользователя для локальной проверки подлинности: Yes 
    Конечная точка регистрации сертификата для входа пользователя предприятия готова: Not Tested 
    Шаблон сертификата для входа пользователя предприятия: No ( 2 : StateNoTemplate )  
    Пользователь успешно прошел проверку подлинности в корпоративной службе маркеров безопасности: Yes 
    Метод регистрации сертификата: enrollment authority 
    Подробные сведения см. здесь: https://go.microsoft.com/fwlink/?linkid=832647.

    • Edited by

      Wednesday, May 24, 2023 10:31 AM

Некоторые пользователи Windows искали способы отключения Windows Hello, увидев предупреждение в средстве просмотра событий, в котором говорится, что «подготовка Windows Hello для бизнеса не будет запущена ». Затронутые пользователи сообщают, что они видят постоянные ошибки такого рода (независимо от того, используется Windows Hello или нет). Эта проблема не относится к конкретной версии Windows, так как она, как сообщается, возникает в Windows 7, Windows 8.1 и Windows 10.

Подготовка Windows Hello для бизнеса не будет запущена

Что вызывает « инициализация Windows Hello для бизнеса не будет запущена »?

Мы исследовали эту конкретную проблему, изучив различные пользовательские отчеты и стратегии исправления, которые наиболее уязвимые пользователи использовали для разрешения этого конкретного сообщения об ошибке в средстве просмотра событий. Основываясь на наших исследованиях, есть несколько различных сценариев, которые, как известно, вызывают эту конкретную проблему:

  • Политика Windows Hello для бизнеса включена. Известно, что эта локальная групповая политика вызывает постоянные ошибки средства просмотра событий, связанные с Windows Hello. Большинство затронутых пользователей сообщают, что ошибки перестали появляться после того, как они использовали редактор локальной групповой политики или редактор реестра, чтобы отключить его.
  • Предоставление журнала включено для Windows Hello — необходимо включить поставщика журналов, чтобы генерировались события ошибок. Вы также можете избавиться от сообщений об ошибках, связанных с Windows Hello, отключив подготовку журнала. Но делать это равносильно маскировке проблемы, а не лечить ее.

Если вы ищете способ, который предотвратит ошибку «Заполнение Windows Hello для бизнеса не будет заполнено» при заполнении вашего средства просмотра событий, эта статья предоставит вам несколько стратегий устранения неполадок. Ниже вы найдете несколько различных стратегий восстановления, которые другие пользователи в аналогичной ситуации использовали для решения проблемы.

Для достижения наилучших результатов следуйте методам в том порядке, в котором они представлены, поскольку они упорядочены по эффективности и серьезности. Один из них должен решить проблему в вашем конкретном сценарии.

Способ 1: изменить политику Windows Hello

Как сообщают некоторые пользователи, существует один метод, который позволит вам применить политику на вашем компьютере, которая будет гарантировать, что ошибка «Подготовка Windows Hello для бизнеса не будет запущена » больше не будет заполнять вашу программу просмотра событий .

Существует две разные политики, которые необходимо настроить, чтобы гарантировать, что проблема решена. Вот как можно изменить политику WIndows Hello, чтобы предотвратить повторное появление сообщения средства просмотра событий:

  1. Нажмите клавишу Windows + R, чтобы открыть диалоговое окно « Выполнить ». Затем введите « gpedit.msc » и нажмите Enter, чтобы открыть редактор локальной групповой политики . Введите gpedit.msc и нажмите Enter, чтобы открыть редактор групповой политики.

    Примечание. Если во время ввода этой команды появляется сообщение об ошибке, возможно, это связано с тем, что в вашей версии Windows нет редактора групповой политики. В этом случае вы можете следовать этой статье ( здесь ), чтобы установить редактор локальной групповой политики в Windows 10.

  2. Как только вы попадете в редактор локальной групповой политики, используйте левую панель, чтобы перейти к следующему местоположению:

    Конфигурация компьютера> Административные шаблоны> Компоненты Windows> Microsoft Passport для работы (или Windows Hello для бизнеса). Затем переместите курсор на правую панель и дважды щелкните « Использовать Microsoft Passport для работы» (или « Использовать Windows Hello для бизнеса» ) и установите для политики значение « Отключено».

    Установка политики Использовать Windows Hello для бизнеса на Отключено

    Примечание. Чтобы предотвратить повторное появление ошибки, отключите ее также в следующем месте: Конфигурация пользователя> Административные шаблоны> Компоненты Windows> Microsoft Passport для работы (или Windows Hello для бизнеса)

  3. Перезагрузите компьютер и проверьте, перестала ли ваша программа просмотра событий отображать ошибки, связанные с Windows Hello для бизнеса.

Если вы все еще видите новые сообщения об ошибке «Подготовка Windows Hello для бизнеса не будет запущена » или этот метод неприменим, перейдите к следующему способу ниже.

Способ 2. Использование редактора реестра для отключения политики PassportforWork

Если первый метод неприменим или вы не хотите использовать утилиту GPedit, вы можете повторить этот же шаг в редакторе реестра. Таким образом, вы убедитесь, что не увидите никаких новых событий средства просмотра событий с ошибкой «Подготовка Windows Hello для бизнеса не будет запущена ».

Но имейте в виду, что изменение будет применяться только к одному компьютеру. Если вы столкнулись с ошибкой на нескольких компьютерах из одной сети, предпочтительнее использовать метод 1 .

Вот что нужно сделать, чтобы отключить политику PasswordforWork с помощью редактора реестра:

  1. Нажмите клавишу Windows + R, чтобы открыть диалоговое окно « Выполнить ». Затем введите «regedit» и нажмите Enter, чтобы открыть редактор реестра . В ответ на запрос UAC (Контроль учетных записей) нажмите Да, чтобы предоставить административные привилегии. Запуск редактора реестра
  2. Как только вы попадете в редактор реестра, используйте левую сторону, чтобы перейти к следующему местоположению:

    Компьютер \ HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft

  3. Когда вы дойдете до этого места, перейдите на правую панель, щелкните правой кнопкой мыши на свободном месте и выберите New> Dword (32-bit) значение и назовите его PassportForWork . Создание политики PassportForWork
  4. Дважды щелкните PasswordForWork и установите значение данных на 0, чтобы отключить Windows Hello для бизнеса, и нажмите кнопку « ОК» для подтверждения. Установка значения данных PassportForWork в 0
  5. Закройте редактор реестра и перезагрузите компьютер, чтобы проверить, прошла ли эта процедура успешно.

При следующем запуске проверьте вашу программу просмотра событий и посмотрите, есть ли новая ошибка «Подготовка Windows Hello для бизнеса не будет запущена ». Если вы все еще видите новые события ошибок, перейдите к следующему способу ниже.

Способ 3: отключение поставщика журналов для Windows Hello

Другая причина, по которой вы можете видеть постоянные события средства просмотра событий с сообщением об ошибке «Подготовка Windows Hello для бизнеса не будет запущена », заключается в том, что на вашем компьютере нет необходимого оборудования для входа в систему с помощью Hello.

В этом случае единственный применимый метод состоит в том, чтобы выполнить следующие шаги, чтобы отключить поставщика журналов для Windows Hello. Это предотвратит запись всех связанных событий, что избавит вас от получения новых сообщений об ошибках в Event Viewer.

Примечание. Имейте в виду, что этот метод будет только маскировать проблему, а не исправлять ее. Таким образом, даже если вы перестанете получать ошибки «Подготовка Windows Hello для бизнеса не будет запущена », это будет связано с тем, что «Предоставление журнала» будет отключено, а не потому, что проблема была решена.

Вот краткое руководство по отключению поставщика журналов для Windows Hello через редактор реестра:

  1. Нажмите клавишу Windows + R, чтобы открыть диалоговое окно « Выполнить ». Затем введите «regedit» и нажмите Enter, чтобы открыть редактор реестра . Запуск редактора реестра
  2. Внутри редактора реестра используйте панель навигации (панель слева), чтобы вставить следующее местоположение и сразу перейти к нему, либо перейдите к нему вручную:

    Компьютер \ HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ WMI \ Autologger \ EventLog-Application \ {23b8d46b-67dd-40a3-b636-d43e50552c6d}

  3. Как только вы туда доберетесь, перейдите на правую сторону и дважды щелкните на « Включить DWORD». Затем установите для параметра « Включить DWORD» значение 0, чтобы отключить поставщика журналов для Windows Hello. Установите значение данных провайдера журналов на 0
  4. Закройте редактор реестра и перезагрузите компьютер, чтобы изменения вступили в силу.
  5. При следующем запуске вы больше не увидите новых ошибок средства просмотра событий, связанных с Windows Hello.

  • Полная настройка windows 10 после установки
  • Показать все файлы в папке windows 10
  • Политика kaspersky security для windows server
  • Показать все рабочие столы windows 10
  • Полная инструкция по установке windows 10