Защита идентификации Windows
Узнайте больше о технологиях защиты идентификации в Windows.
Warning
ключи безопасности Windows Hello для бизнеса и FIDO2 — это современные двухфакторные методы проверки подлинности для Windows. Клиентам, использующим виртуальные смарт-карты, рекомендуется перейти на Windows Hello для бизнеса или FIDO2. Для новых установок Windows рекомендуется Windows Hello для бизнеса или ключи безопасности FIDO2.
Вход без пароля
| Имя компонента | Описание |
|---|---|
| Windows Hello для бизнеса | Windows 11 устройства могут защищать удостоверения пользователей, устраняя необходимость использования паролей с первого дня. Вы можете легко приступить к работе с методом, подходящим для вашей организации. Пароль может потребоваться использовать только один раз во время подготовки, после чего люди используют ПИН-код, лицо или отпечаток пальца для разблокировки учетных данных и входа на устройство. Windows Hello для бизнеса заменяет имя пользователя и пароль путем объединения ключа безопасности или сертификата с ПИН-кодом или биометрическими данными, а затем сопоставляя учетные данные с учетной записью пользователя во время установки. Существует несколько способов развертывания Windows Hello для бизнеса в зависимости от потребностей вашей организации. Организации, использующие сертификаты, обычно используют локальную инфраструктуру открытых ключей (PKI) для поддержки проверки подлинности через доверие к сертификатам. Организациям, использующим развертывание доверия ключей, требуется корневой каталог доверия, предоставляемый сертификатами на контроллерах домена. |
| Датчик присутствия Windows | Датчик присутствия Windows обеспечивает еще один уровень защиты данных для гибридных рабочих ролей. Windows 11 устройства могут интеллектуально адаптироваться к вашему присутствию, чтобы обеспечить безопасность и производительность независимо от того, работаете ли вы дома, в офисе или в общественной среде. Датчик присутствия Windows объединяет датчики обнаружения присутствия с Windows Hello распознаванием лиц, чтобы автоматически блокировать устройство при выходе, а затем разблокировать устройство и выполнить вход с помощью Windows Hello распознавания лиц при возвращении. Требуется оборудование, поддерживающее OEM. |
| Windows Hello для бизнеса вход с усиленной безопасностью (ESS) | Windows Hello биометрические данные также поддерживают улучшенную безопасность входа, которая использует специализированные аппаратные и программные компоненты для повышения уровня безопасности биометрического входа. Улучшенная биометрия безопасности входа использует VBS и TPM для изоляции процессов и данных проверки подлинности пользователей и защиты пути передачи информации. Эти специализированные компоненты защищают от класса атак, включая внедрение биометрических образцов, воспроизведение, незаконное изменение и многое другое. Например, средства чтения отпечатков пальцев должны реализовать протокол безопасного подключения к устройству, который использует согласование ключей и сертификат, выданный Корпорацией Майкрософт, для защиты и безопасного хранения данных проверки подлинности пользователей. Для распознавания лиц такие компоненты, как таблица SECURE Devices (SDEV) и изоляция процессов с помощью доверенных модулей, помогают предотвратить дополнительные классы атак. |
| Интерфейс Windows без пароля | Интерфейс Windows без пароля — это политика безопасности, которая направлена на создание более удобного интерфейса для Microsoft Entra присоединенных устройств, устраняя необходимость в паролях в определенных сценариях проверки подлинности. Включив эту политику, пользователям не будет предоставлена возможность использовать пароль в этих сценариях, что помогает организациям с течением времени отказаться от паролей. |
| Ключи доступа | Ключи доступа обеспечивают более безопасный и удобный способ входа на веб-сайты и приложения по сравнению с паролями. В отличие от паролей, которые пользователи должны запомнить и ввести, ключи доступа хранятся на устройстве в виде секретов и могут использовать механизм разблокировки устройства (например, биометрию или ПИН-код). Ключи доступа можно использовать без других проблем входа, что делает процесс проверки подлинности быстрее, безопаснее и удобнее. |
| Ключ безопасности FIDO2 | Спецификации CTAP и WebAuthN, определенные Fast Identity Online (FIDO), становятся открытым стандартом для обеспечения строгой проверки подлинности, которая не является фишинговой, удобной для пользователей и с соблюдением конфиденциальности с реализацией крупных поставщиков платформ и проверяющих сторон. Стандарты и сертификаты FIDO становятся признанными ведущими стандартами для создания решений для безопасной проверки подлинности на предприятиях, государственных учреждениях и потребительских рынках. Windows 11 могут использовать внешние ключи безопасности FIDO2 для проверки подлинности вместе с или в дополнение к Windows Hello который также является сертифицированным решением FIDO2 без пароля. Windows 11 можно использовать в качестве средства проверки подлинности FIDO для многих популярных служб управления удостоверениями. |
| Смарт-карты для службы Windows | Организации также могут использовать смарт-карты, метод проверки подлинности, который предварительно датируется биометрическим вхощрем. Смарт-карты являются устойчивыми к незаконному изменению, переносимыми запоминающими устройствами, которые могут повысить безопасность Windows при проверке подлинности клиентов, подписи кода, защите электронной почты и входе с помощью учетных записей домена Windows. Смарт-карты можно использовать только для входа в учетные записи домена, но не локальные учетные записи. Если для входа в учетную запись домена используется пароль, Windows использует протокол Kerberos версии 5 (v5) для проверки подлинности. При использовании смарт-карта операционная система использует проверку подлинности Kerberos версии 5 с сертификатами X.509 версии 3. |
Расширенная защита учетных данных
| Имя компонента | Описание |
|---|---|
| Веб-вход | Веб-вход — это поставщик учетных данных, изначально представленный в Windows 10 с поддержкой только временного доступа (TAP). С выпуском Windows 11 были расширены поддерживаемые сценарии и возможности веб-входа. Например, пользователи могут войти в Windows с помощью приложения Microsoft Authenticator или с федеративным удостоверением. |
| Федеративный вход | Windows 11 для образовательных учреждений выпуски поддерживают федеративный вход с поставщиками удостоверений сторонних производителей. Федеративный вход обеспечивает безопасный вход с помощью таких методов, как QR-коды или изображения. |
| Windows LAPS | Решение windows Local Administrator Password Solution (Windows LAPS) — это функция Windows, которая автоматически управляет паролем учетной записи локального администратора и создает резервную копию пароля на устройствах, присоединенных к Microsoft Entra или Windows Server Active Directory. Вы также можете использовать Windows LAPS для автоматического управления паролем учетной записи в режиме восстановления служб каталогов (DSRM) на контроллерах домена Windows Server Active Directory. Авторизованный администратор может получить пароль DSRM и использовать его. |
| Политика блокировки учетных записей | Параметры политики блокировки учетных записей управляют пороговым значением ответа для неудачных попыток входа и действиями, выполняемыми после достижения порогового значения. |
| Улучшенная защита от фишинга с помощью SmartScreen | Пользователи, которые по-прежнему используют пароли, могут воспользоваться преимуществами эффективной защиты учетных данных. Microsoft Defender SmartScreen включает расширенную защиту от фишинга, чтобы автоматически обнаруживать, когда пользователь вводит свой пароль Майкрософт в любое приложение или веб-сайт. Затем Windows определяет, выполняется ли безопасная проверка подлинности приложения или сайта в Корпорации Майкрософт, и предупреждает, что учетные данные находятся под угрозой. Так как пользователи оповещаются в момент потенциального кражи учетных данных, они могут предпринять упреждающее действие, прежде чем пароль будет использован против них или организации. |
| контроль доступа (ACL/SACL) | Управление доступом в Windows гарантирует, что общие ресурсы будут доступны пользователям и группам, кроме владельца ресурса, и защищены от несанкционированного использования. ИТ-администраторы могут управлять доступом пользователей, групп и компьютеров к объектам и ресурсам в сети или на компьютере. После проверки подлинности пользователя операционная система Windows реализует второй этап защиты ресурсов, используя встроенные технологии авторизации и управления доступом, чтобы определить, имеет ли пользователь, прошедший проверку подлинности, правильные разрешения. контроль доступа Списки (ACL) описывают разрешения для определенного объекта, а также могут содержать system контроль доступа Списки (SACL). Списки SACL предоставляют способ аудита определенных событий системного уровня, например при попытке пользователя получить доступ к объектам файловой системы. Эти события необходимы для отслеживания действий для объектов, которые являются конфиденциальными или ценными и требуют дополнительного мониторинга. Возможность аудита при попытке ресурса прочитать или записать часть операционной системы имеет решающее значение для понимания потенциальной атаки. |
| Credential Guard | Функция Credential Guard, включенная по умолчанию в Windows 11 Корпоративная, использует аппаратное обеспечение безопасности на основе виртуализации (VBS) для защиты от кражи учетных данных. С помощью Credential Guard локальный центр безопасности (LSA) сохраняет и защищает секреты в изолированной среде, недоступной для остальной операционной системы. LSA взаимодействует с изолированным процессом LSA с помощью удаленных вызовов процедур. Защищая процесс LSA с помощью безопасности на основе виртуализации, Credential Guard защищает системы от атак с кражей учетных данных, таких как pass-the-hash или pass-the-ticket. Это также помогает предотвратить доступ вредоносных программ к системным секретам, даже если процесс выполняется с правами администратора. |
| Удаленный Credential Guard | Remote Credential Guard помогает защитить учетные данные через подключение к удаленному рабочему столу, перенаправляя запросы Kerberos обратно на устройство, которое запрашивает подключение. Он также предоставляет возможности единого входа для сеансов удаленного рабочего стола. Учетные данные администратора являются привилегированными и должны быть защищены. При использовании Remote Credential Guard для подключения во время сеансов удаленного рабочего стола учетные данные и производные учетные данные никогда не передаются по сети на целевое устройство. Если целевое устройство скомпрометировано, учетные данные не предоставляются. |