Защита идентификации Windows

Узнайте больше о технологиях защиты идентификации в Windows.

Warning

ключи безопасности Windows Hello для бизнеса и FIDO2 — это современные двухфакторные методы проверки подлинности для Windows. Клиентам, использующим виртуальные смарт-карты, рекомендуется перейти на Windows Hello для бизнеса или FIDO2. Для новых установок Windows рекомендуется Windows Hello для бизнеса или ключи безопасности FIDO2.

Вход без пароля

Имя компонента Описание
Windows Hello для бизнеса Windows 11 устройства могут защищать удостоверения пользователей, устраняя необходимость использования паролей с первого дня. Вы можете легко приступить к работе с методом, подходящим для вашей организации. Пароль может потребоваться использовать только один раз во время подготовки, после чего люди используют ПИН-код, лицо или отпечаток пальца для разблокировки учетных данных и входа на устройство.

Windows Hello для бизнеса заменяет имя пользователя и пароль путем объединения ключа безопасности или сертификата с ПИН-кодом или биометрическими данными, а затем сопоставляя учетные данные с учетной записью пользователя во время установки. Существует несколько способов развертывания Windows Hello для бизнеса в зависимости от потребностей вашей организации. Организации, использующие сертификаты, обычно используют локальную инфраструктуру открытых ключей (PKI) для поддержки проверки подлинности через доверие к сертификатам. Организациям, использующим развертывание доверия ключей, требуется корневой каталог доверия, предоставляемый сертификатами на контроллерах домена.
Датчик присутствия Windows Датчик присутствия Windows обеспечивает еще один уровень защиты данных для гибридных рабочих ролей. Windows 11 устройства могут интеллектуально адаптироваться к вашему присутствию, чтобы обеспечить безопасность и производительность независимо от того, работаете ли вы дома, в офисе или в общественной среде. Датчик присутствия Windows объединяет датчики обнаружения присутствия с Windows Hello распознаванием лиц, чтобы автоматически блокировать устройство при выходе, а затем разблокировать устройство и выполнить вход с помощью Windows Hello распознавания лиц при возвращении. Требуется оборудование, поддерживающее OEM.
Windows Hello для бизнеса вход с усиленной безопасностью (ESS) Windows Hello биометрические данные также поддерживают улучшенную безопасность входа, которая использует специализированные аппаратные и программные компоненты для повышения уровня безопасности биометрического входа.

Улучшенная биометрия безопасности входа использует VBS и TPM для изоляции процессов и данных проверки подлинности пользователей и защиты пути передачи информации. Эти специализированные компоненты защищают от класса атак, включая внедрение биометрических образцов, воспроизведение, незаконное изменение и многое другое.

Например, средства чтения отпечатков пальцев должны реализовать протокол безопасного подключения к устройству, который использует согласование ключей и сертификат, выданный Корпорацией Майкрософт, для защиты и безопасного хранения данных проверки подлинности пользователей. Для распознавания лиц такие компоненты, как таблица SECURE Devices (SDEV) и изоляция процессов с помощью доверенных модулей, помогают предотвратить дополнительные классы атак.
Интерфейс Windows без пароля Интерфейс Windows без пароля — это политика безопасности, которая направлена на создание более удобного интерфейса для Microsoft Entra присоединенных устройств, устраняя необходимость в паролях в определенных сценариях проверки подлинности. Включив эту политику, пользователям не будет предоставлена возможность использовать пароль в этих сценариях, что помогает организациям с течением времени отказаться от паролей.
Ключи доступа Ключи доступа обеспечивают более безопасный и удобный способ входа на веб-сайты и приложения по сравнению с паролями. В отличие от паролей, которые пользователи должны запомнить и ввести, ключи доступа хранятся на устройстве в виде секретов и могут использовать механизм разблокировки устройства (например, биометрию или ПИН-код). Ключи доступа можно использовать без других проблем входа, что делает процесс проверки подлинности быстрее, безопаснее и удобнее.
Ключ безопасности FIDO2 Спецификации CTAP и WebAuthN, определенные Fast Identity Online (FIDO), становятся открытым стандартом для обеспечения строгой проверки подлинности, которая не является фишинговой, удобной для пользователей и с соблюдением конфиденциальности с реализацией крупных поставщиков платформ и проверяющих сторон. Стандарты и сертификаты FIDO становятся признанными ведущими стандартами для создания решений для безопасной проверки подлинности на предприятиях, государственных учреждениях и потребительских рынках.

Windows 11 могут использовать внешние ключи безопасности FIDO2 для проверки подлинности вместе с или в дополнение к Windows Hello который также является сертифицированным решением FIDO2 без пароля. Windows 11 можно использовать в качестве средства проверки подлинности FIDO для многих популярных служб управления удостоверениями.
Смарт-карты для службы Windows Организации также могут использовать смарт-карты, метод проверки подлинности, который предварительно датируется биометрическим вхощрем. Смарт-карты являются устойчивыми к незаконному изменению, переносимыми запоминающими устройствами, которые могут повысить безопасность Windows при проверке подлинности клиентов, подписи кода, защите электронной почты и входе с помощью учетных записей домена Windows. Смарт-карты можно использовать только для входа в учетные записи домена, но не локальные учетные записи. Если для входа в учетную запись домена используется пароль, Windows использует протокол Kerberos версии 5 (v5) для проверки подлинности. При использовании смарт-карта операционная система использует проверку подлинности Kerberos версии 5 с сертификатами X.509 версии 3.

Расширенная защита учетных данных

Имя компонента Описание
Веб-вход Веб-вход — это поставщик учетных данных, изначально представленный в Windows 10 с поддержкой только временного доступа (TAP). С выпуском Windows 11 были расширены поддерживаемые сценарии и возможности веб-входа. Например, пользователи могут войти в Windows с помощью приложения Microsoft Authenticator или с федеративным удостоверением.
Федеративный вход Windows 11 для образовательных учреждений выпуски поддерживают федеративный вход с поставщиками удостоверений сторонних производителей. Федеративный вход обеспечивает безопасный вход с помощью таких методов, как QR-коды или изображения.
Windows LAPS Решение windows Local Administrator Password Solution (Windows LAPS) — это функция Windows, которая автоматически управляет паролем учетной записи локального администратора и создает резервную копию пароля на устройствах, присоединенных к Microsoft Entra или Windows Server Active Directory. Вы также можете использовать Windows LAPS для автоматического управления паролем учетной записи в режиме восстановления служб каталогов (DSRM) на контроллерах домена Windows Server Active Directory. Авторизованный администратор может получить пароль DSRM и использовать его.
Политика блокировки учетных записей Параметры политики блокировки учетных записей управляют пороговым значением ответа для неудачных попыток входа и действиями, выполняемыми после достижения порогового значения.
Улучшенная защита от фишинга с помощью SmartScreen Пользователи, которые по-прежнему используют пароли, могут воспользоваться преимуществами эффективной защиты учетных данных. Microsoft Defender SmartScreen включает расширенную защиту от фишинга, чтобы автоматически обнаруживать, когда пользователь вводит свой пароль Майкрософт в любое приложение или веб-сайт. Затем Windows определяет, выполняется ли безопасная проверка подлинности приложения или сайта в Корпорации Майкрософт, и предупреждает, что учетные данные находятся под угрозой. Так как пользователи оповещаются в момент потенциального кражи учетных данных, они могут предпринять упреждающее действие, прежде чем пароль будет использован против них или организации.
контроль доступа (ACL/SACL) Управление доступом в Windows гарантирует, что общие ресурсы будут доступны пользователям и группам, кроме владельца ресурса, и защищены от несанкционированного использования. ИТ-администраторы могут управлять доступом пользователей, групп и компьютеров к объектам и ресурсам в сети или на компьютере. После проверки подлинности пользователя операционная система Windows реализует второй этап защиты ресурсов, используя встроенные технологии авторизации и управления доступом, чтобы определить, имеет ли пользователь, прошедший проверку подлинности, правильные разрешения.

контроль доступа Списки (ACL) описывают разрешения для определенного объекта, а также могут содержать system контроль доступа Списки (SACL). Списки SACL предоставляют способ аудита определенных событий системного уровня, например при попытке пользователя получить доступ к объектам файловой системы. Эти события необходимы для отслеживания действий для объектов, которые являются конфиденциальными или ценными и требуют дополнительного мониторинга. Возможность аудита при попытке ресурса прочитать или записать часть операционной системы имеет решающее значение для понимания потенциальной атаки.
Credential Guard Функция Credential Guard, включенная по умолчанию в Windows 11 Корпоративная, использует аппаратное обеспечение безопасности на основе виртуализации (VBS) для защиты от кражи учетных данных. С помощью Credential Guard локальный центр безопасности (LSA) сохраняет и защищает секреты в изолированной среде, недоступной для остальной операционной системы. LSA взаимодействует с изолированным процессом LSA с помощью удаленных вызовов процедур.

Защищая процесс LSA с помощью безопасности на основе виртуализации, Credential Guard защищает системы от атак с кражей учетных данных, таких как pass-the-hash или pass-the-ticket. Это также помогает предотвратить доступ вредоносных программ к системным секретам, даже если процесс выполняется с правами администратора.
Удаленный Credential Guard Remote Credential Guard помогает защитить учетные данные через подключение к удаленному рабочему столу, перенаправляя запросы Kerberos обратно на устройство, которое запрашивает подключение. Он также предоставляет возможности единого входа для сеансов удаленного рабочего стола.

Учетные данные администратора являются привилегированными и должны быть защищены. При использовании Remote Credential Guard для подключения во время сеансов удаленного рабочего стола учетные данные и производные учетные данные никогда не передаются по сети на целевое устройство. Если целевое устройство скомпрометировано, учетные данные не предоставляются.