Windows Hello za podjetja, strojna oprema in enotna prijava (SSO)

Če upravljate identitete v Microsoftovih okoljih, ste verjetno že slišali za Windows Hello, Windows Hello za podjetja, tipke strojna oprema in enotna prijavaVendar se je med toliko kraticami, vrstami zaupanja in zahtevami zlahka izgubiti. Poleg tega je lahko v hibridnih uvedbah s starejšim imenikom Active Directory razumevanje, kaj WHfB dejansko ponuja v primerjavi s preprosto prijavo s PIN-om ali biometričnimi podatki, tisto, kar pomeni razliko med nemotenim projektom ... in nenehnim glavobolom.

V tem članku bomo podrobno razložili, kako deluje Windows Hello za podjetja (WHfB), kakšno vlogo imajo strojni ključi, kako se doseže enotna prijava (SSO)? in kako se razlikuje od "običajnega" sistema Windows Hello za domače uporabnike. Ogledali si bomo notranje faze (registracija naprave, oskrbovanje, sinhronizacija ključev, potrdila in preverjanje pristnosti), modele uvajanja (samo v oblaku, hibridni in lokalni), vrste zaupanja, zahteve PKI, licenciranje, izzive uvajanja v resničnem svetu in kako se vse to ujema s sodobnimi pristopi, kot sta FIDO2 in varnost brez gesel.

Windows Hello v primerjavi z Windows Hello za podjetja: Kaj se resnično spremeni

Windows Hello (preprosto in preprosto) je uporabniška izkušnja za prijavo s PIN-om ali biometričnimi podatki. v napravi Windows, zasnovani tako za domača kot profesionalna okolja. Windows Hello for Business (WHfB) pa je razširitev za podjetja, ki dodaja močne zmogljivosti za identifikacijo, integrirane z Active Directory in Microsoft Entra ID.

Z obema metodama lahko uporabite Podprto s prepoznavanjem PIN-a, prstnega odtisa ali obraza TPM za prijavo v računalnik. Lahko se celo overite v klasični lokalni domeni. Velika razlika je v tem, da WHfB ustvarja in upravlja kriptografske poverilnice na ravni podjetjaPari ključev ali potrdila, povezana z uporabnikom in napravo, ki jih upravljajo pravilniki in so uporabna za enotno prijavo (SSO) v lokalnih in oblačnih virih.

Medtem ko je "običajni" Windows Hello v bistvu omejen na zamenjajte geslo s priročno gesto na tej napraviWHfB ustvari močno poverilnico, ki jo ponudnik identitete (AD, Microsoft Entra ID ali AD FS) prepozna, shrani in uporabi za izdajanje žetonov za dostop in uveljavljanje varnosti. Pogojni dostop, strogo preverjanje KDC, PRT, Kerberos v oblaku in druge napredne kontrole.

Logično vprašanje je: če že imam naprave, povezane z domeno, upravljane z Intune, s TPM in biometričnimi podatki ter enotno prijavo v oblak prek sinhronizacije zgoščenih vrednosti gesel, Kaj točno pridobim z dodajanjem WHfB? Odgovor se skriva v tem, kako so ključi zgrajeni in potrjeni, kako je naprava povezana in v možnosti razširitve te varnosti na celoten ekosistem, ne le na lokalno prijavo.

Osnovna arhitektura: faze sistema Windows Hello za podjetja

WHfB je porazdeljen sistem, ki temelji na več komponentah: naprava, TPM, ponudnik identitete, PKI, sinhronizacija imenikov in mehanizmi SSODa bi ga razumeli, ne da bi se izgubili, je koristno, da njegovo delovanje razdelimo na pet kronoloških faz izvajanja.

1. Registracija naprave

Prvi del sestavljanke je registracija naprave pri ponudniku identitete (IdP)Ta korak vam omogoča, da napravo povežete z identiteto v imeniku in ji omogočite samodejno preverjanje pristnosti ob prijavi uporabnika.

V okoljih, ki delujejo izključno v oblaku, ali hibridnih okoljih, Ponudnik identitete (IDP) je Microsoft Enter ID. in naprava se registrira pri svoji storitvi za registracijo naprav (pridružena storitvi Microsoft Entra, hibridno pridružena ali registrirana). V povsem lokalnih scenarijih je IdP običajno AD FS s svojo storitvijo registracije naprav za podjetja.

Po zaključku te registracije IdP dodeli ekipo edinstvena identiteta, ki bo uporabljena za vzpostavitev zaupanja med imenikom naprave pri zaporednih preverjanjih pristnosti. Ta zapis je razvrščen po »vrsti povezave naprave«, ki določa, ali je naprava povezana z lokalno domeno, z Entra ID, hibridno ali preprosto registrirana kot osebna.

2. Zagotavljanje: ustvarjanje vsebnika Windows Hello

Ko je naprava registrirana, se začne faza Zagotavljanje poverilnic za Windows Hello za podjetjaTu se ustvari tako imenovani vsebnik Windows Hello, ki logično združuje vse uporabnikovo kriptografsko gradivo na tem računalniku.

Tipičen potek nabave sledi tem glavnim korakom, vedno po začetna avtentikacija s šibkimi poverilnicami (uporabniško ime in geslo):

• Uporabnik se pri IdP overi z MFA. (Microsoft Enter MFA ali druga združljiva metoda ali adapter MFA v AD FS v lokalnih okoljih).
• Ko premagate ta drugi dejavnik, boste pozvani, da konfigurirate PIN in, če je na voljo združljiva strojna oprema, biometrična gesta (odtis stopala, obraz, šarenica).
• Po potrditvi PIN-a Windows ustvari Vsebnik Windows Hello za ta račun v tej ekipi.
• Znotraj te posode, a par kriptografskih ključev (javni in zasebni), povezan s TPM-jem, če ta obstaja, ali, če ta ne obstaja, zaščiten s programsko opremo.
• La Zasebni ključ ostane v napravi in ​​ga ni mogoče izvoziti., pri čemer ostanejo zaščiteni s TPM in PIN-kodo/biometričnimi zaščitniki.
• La Javni ključ je registriran v IdP in je povezan z uporabniškim objektom: v ID-ju za prijavo v Microsoft se zapiše uporabniku, v federiranih lokalnih scenarijih pa ga AD FS prenese v imenik Active Directory.

Posoda vključuje tudi skrbniški ključTo je uporabno za scenarije, kot je ponastavitev PIN-a; v napravah s TPM-jem se shrani tudi blok podatkov, ki vsebuje potrdila TPM. Vse gradivo se odklene šele, ko uporabnik izvede gesto (PIN ali biometrične podatke), ta začetna kombinacija MFA pa vzpostavi zaupanje med uporabnikom, napravo in ponudnikom identitete.

3. Ključi znotraj vsebnika: preverjanje pristnosti in identifikator uporabnika

V vsebniku Windows Hello najdemo več vrst tipk z različnimi vlogami, vse šifrirano z zaščito na podlagi PIN-a ali biometrično zaščito:

• Ključ za preverjanje pristnostiPar asimetričnih ključev, ustvarjenih med registracijo, ki jih je treba vedno odkleniti s PIN-om ali biometrično gesto. To je osnova, na kateri se reciklirajo drugi materiali, ko se PIN-koda spremeni.
• Ključi za identifikacijo uporabnikaKljuči identitete so lahko simetrični ali asimetrični, odvisno od ponudnika identitete (IdP) in modela (ključ ali potrdilo). Uporabljajo se za podpisovanje ali šifriranje zahtev in žetonov, usmerjenih k ponudniku identitete. V poslovnih okoljih se običajno ustvarijo kot pari asimetričnih ključev, pri čemer je javni ključ registriran pri IdP.

Te ključe uporabniških identifikatorjev je mogoče pridobiti na dva glavna načina: povezani s korporativno PKI za izdajanje potrdil (na primer za VPN, RDP ali overjanje Kerberos na podlagi potrdil) ali pa jih neposredno generira IdP v scenarijih brez PKI (model čistega ključa).

Ista infrastruktura omogoča uporabo Windows Hello kot overitelj FIDO2/WebAuthn v združljivih aplikacijah in spletnih mestih. Spletna mesta lahko ustvarijo poverilnico FIDO znotraj vsebnika Windows Hello; ob naslednjih obiskih se uporabnik overi s svojo PIN-kodo ali biometričnimi podatki, ne da bi razkril gesla.

4. Sinhronizacija ključev v hibridnih okoljih

V hibridnih arhitekturah, kjer sobivajo Microsoftov ID za prijavo in Active DirectorySamo registracija ključa v oblaku ni dovolj. Po omogočanju je treba javni ključ WHfB sinhronizirati z lokalnim imenikom, da se omogoči preverjanje pristnosti in enotna prijava (SSO) za vire na lokaciji.

V teh primerih za to poskrbi Microsoft Entra Connect Sync. kopirajte javni ključ v atribut msDS-KeyCredentialLink uporabniškega objekta v imeniku Active Directory. Ta sinhronizacija je ključna, da lahko krmilnik domene preveri podpise, ki jih ustvari naprava, z zasebnim ključem, shranjenim v modulu TPM.

5. Registracija potrdil (le kadar je to potrebno)

Pri nekaterih modelih (kot npr. zaupanje v potrdiloPoleg ključev mora organizacija uporabnikom izdati tudi potrdila za preverjanje pristnosti. V tem primeru se aktivira dodatna faza. registracija potrdil.

Po registraciji javnega ključa odjemalec ustvari zahteva za potrdilo ki pošlje zahtevo organu za registracijo potrdil, ki je običajno integriran v AD FS v združenih uvedbah. Ta CRA preveri zahtevo z uporabo korporativne PKI in Izda potrdilo, ki je shranjeno v vsebniku Hello., ki ga je mogoče ponovno uporabiti za preverjanje pristnosti v lokalnih virih, ki so še vedno odvisni od potrdil.

Avtentikacija, zasebni ključ in enotna prijava: kako se vse skupaj ujema

Ko sta fazi registracije in zagotavljanja storitev končani, se uporabnikovo vsakdanje življenje zreducira na nekaj zelo preprostega: gesta (PIN ali biometrija), ki »sprosti« zasebni ključ na napraviZanimivo je, kaj se dogaja v zakulisju.

Ko uporabnik odklene računalnik, Windows uporabi zasebni del poverilnice WHfB za kriptografsko podpisovanje podatkov, poslanih ponudniku identitetnih podatkov (IdP).To preveri podpis z uporabo javnega ključa, shranjenega v uporabniškem objektu. Ker PIN nikoli ne zapusti naprave, prav tako ne zasebni ključ, je postopek odporen na lažno predstavljanje in tradicionalno krajo poverilnic.

V scenarijih Microsoft Enter ID dokončanje te overitve povzroči Primarni osvežilni žeton (PRT)Spletni žeton JSON, ki vsebuje podatke o uporabniku in napravi. Je osnova za enotno prijavo (SSO) v aplikacije v oblaku in v kombinaciji z Microsoft Kerberos ali sinhronizacijo ključev tudi v lokalne vire.

Brez PRT, tudi če ima uporabnik veljavno poverilnico WHfB, Izgubil bi enotno prijavo. in bi bili prisiljeni nenehno preverjati pristnost v vsaki aplikaciji. Zato pravilniki o pogojnem dostopu, bodisi na podlagi naprave bodisi na podlagi tveganja, običajno upoštevajo prisotnost in veljavnost tega PRT.

Za Active Directory, pri uporabi zaupanja ključa ali potrdila, WHfB deluje kot virtualna pametna karticaUporabnik podpiše nonce ali izziv iz KDC-ja, krmilnik domene preveri potrdilo ali ključ in izda vstopnico Kerberos TGT, s čimer omogoči enotno prijavo (SSO) za lokalne storitve, integrirane s Kerberosom.

Notranja varnost: biometrija, TPM in zaščita pred napadi

Eden od stebrov WHfB je, da Biometrični podatki nikoli ne zapustijo napravePredloge, ki jih ustvarijo senzorji, so shranjene lokalno v podatkovnih baz šifrirano (na primer v poti C:\WINDOWS\System32\WinBioDatabase) z uporabo edinstvenih ključev na podatkovno bazo, zaščiteno z AES v načinu CBC in SHA-256 kot zgoščevalno funkcijo.

To pomeni, da tudi če bi napadalec pridobil dostop do teh datotek, Nisem mogel rekonstruirati slike uporabnikovega obraza ali prstnega odtisa.niti jih ni mogoče uporabiti na drugi napravi. Poleg tega vsak senzor vzdržuje svoj lasten pomnilnik, kar zmanjšuje možnost kraje biometričnih predlog z ene same centralne točke.

PIN za Windows Hello za podjetja je tudi bolje zaščiten kot tradicionalno geslo. Ne potuje po omrežju, potrjen je lokalno, TPM pa uveljavlja varnostne ukrepe. blokade zaradi preveč napačnih poskusovZaradi tega so napadi z grobo silo ali slovarski napadi neuporabni. In če nekdo ukrade PIN, bo delovalo le na tej specifični napravi, saj je poverilnica vezana na strojno opremo.

Soočanje s sodobnimi grožnjami (Kako ugotoviti, ali gre za lažno e-poštno sporočilo(ponovna uporaba gesla, množična kraja poverilnic), WHfB se zanaša na Kriptografija z javnim ključem, povezana z napravoTo se po zasnovi izogiba razkritju skupnih skrivnosti. To je popolnoma usklajeno s standardi in priporočili predpisov, kot je NIST 800-63B, in z varnostnimi modeli ničelnega zaupanja.

Modeli uvajanja: oblačni, hibridni in lokalni

WHfB je glede topologije prilagodljiv, vendar ta prilagodljivost prinaša določeno kompleksnost. Na splošno lahko govorimo o treh modelih uvajanja, ki se kombinirajo na različne načine. Microsoft Entra ID, Active Directory, PKI in federacija.

Model samo v oblaku

V organizacijah, ki živijo skoraj 100 % v Microsoft 365 in druge storitve SaaS, brez ustrezne lokalne infrastrukture, je najpreprostejši model model Samo v oblaku z napravami, povezanimi z Microsoftom. PrijavaV tem primeru:

• Vsi uporabniki in naprave se nahajajo v Microsoft Entra ID.
• Registracija naprave in ključa se izvede neposredno v oblaku.
• Podjetniški PKI ni potreben niti potrdil krmilnika domene.
• Enota za prijavo (SSO) temelji na žetonih PRT in Microsoft Entra za aplikacije.

To je najbolj neposredna možnost za podjetja, ki se osredotočajo na oblak, saj nizki stroški infrastrukture in relativno enostavna uvedba, idealno, kadar lokalni viri niso na voljo ali so omejeni.

Hibridni model: najpogostejši primer

Velika večina podjetij je nekje vmes: Zgodovinski imenik Active Directory v kombinaciji s sinhroniziranim ID-jem za prijavo v MicrosoftWHfB tukaj sije, vendar so tudi tam, kjer so težave s konfiguracijo najpogostejše, če niso dobro načrtovane.

V hibridnem okolju so identitete sinhronizirane s storitvijo Microsoft Entra Connect Sync in obstaja več možnih kombinacij model uvajanja (hibridni) in vrsta zaupanja (oblačni Kerberos, ključ ali potrdilo)Cilj je običajno ponuditi:

• Enkratna prijava (SSO) za storitve v oblaku (SharePoint Spletne aplikacije, aplikacije Teams, aplikacije OIDC/SAML).
• Transparenten dostop do lokalnih virov (delnice, aplikacije Kerberos, VPN, RDP).
• Postopna izhodna pot za gesla, hkrati pa ohranja starejše aplikacije.

Glavne vrste zaupanja v hibridnih scenarijih so:

• Kerberos v oblakuMicrosoft Entra Kerberos izdaja TGT-je za Active Directory brez potrebe po dodatni infrastrukturi javnih ključev (PKI). To je najsodobnejši in najpreprostejši hibridni model, saj izkorišča obstoječo infrastrukturo FIDO2 in ne zahteva sinhronizacije javnih ključev z Active Directory.
• Ključno zaupanjeUporabniki se overijo v imeniku Active Directory z uporabo ključa, vezanega na napravo; krmilniki domen zahtevajo posebna potrdila. PKI je potreben za krmilnike domen, ne pa za uporabniška potrdila.
• Zaupanje v certifikatPotrdila za preverjanje pristnosti uporabnikov se izdajo in uporabljajo za pridobitev Kerberos TGT. To zahteva popolno infrastrukturo javnega ključa (PKI), AD FS kot CRA in zahtevnejšo konfiguracijo.

Izbira prave vrste zaupanja je ključnega pomena: noben ni sam po sebi "varnejši"Vendar se razlikujejo po stroških, kompleksnosti in zahtevah glede infrastrukture. Zanašanje na Kerberos v oblaku je pogosto najboljša možnost za nove uvedbe, pod pogojem, da odjemalske in strežniške različice sistema Windows izpolnjujejo minimalne zahteve.

Čisti lokalni model

Organizacije z močnimi regulativnimi omejitvami ali z malo ali nično uporabo oblaka se lahko odločijo za uvedbo WHfB. 100 % lokalno, podprto z Active Directory in AD FSV tem modelu:

• Registracija naprave je upravljana AD FS.
• Avtentikacija je lahko na podlagi ključa ali potrdila, vendar je vedno podprta z podjetniška PKI.
• Možnosti MFA vključujejo adapterje za AD FS ali rešitve, kot je strežnik Azure MFA (že starejši), integriran na lokaciji.

Ta pristop daje popoln nadzor nad podatki za preverjanje pristnostiVendar pa zahteva precejšen vzdrževalni napor (PKI, AD FS, objavljanje seznamov CRL, do katerih lahko dostopajo računalniki, ki niso povezani z domeno, itd.), kar dolgoročno niso pripravljene prevzeti vse organizacije.

Dostopna PKI, potrdila krmilnika domene in seznami CRL

V modelih, ki se zanašajo na potrdila (bodisi za uporabnike, krmilnike domen ali oboje), postane PKI srce zaupanja. WHfB zahteva stroga validacija KDC-jev ko naprava, povezana z Microsoft Enter, preveri pristnost v lokalni domeni.

V praksi to pomeni, da mora potrdilo krmilnika domene izpolnjevati številne tehnične pogoje: izdano s strani zaupanja vrednega korenskega overitelja potrdil za napravo, na podlagi predloge za preverjanje pristnosti Kerberos, z EKU-jem »KDC overjanje«, pravilnim imenom DNS, RSA 2048 in SHA-256 kot algoritmom za podpismed drugimi zahtevami.

Poleg tega je bistveno, da lahko naprava preverite preklic potrdilTukaj se skriva klasična težava s seznami CRL: naprava, ki je povezana samo z Microsoft Entro, ne more brati poti LDAP v imeniku Active Directory, če še ni bila overjena, zato je treba objaviti distribucijsko točko seznama CRL v URL HTTP, dostopen brez preverjanja pristnosti.

To vključuje pripravo spletnega strežnika (na primer IIS), ustvarjanje virtualnega imenika (cdp) in prilagajanje dovoljenj. NTFS in iz skupnih virov onemogočite shranjevanje V predpomnjenju brez povezave konfigurirajte CA tako, da objavi CRL na tem skupnem viru in ga izpostavi prek HTTP. Ko končate, morate Obnovitev potrdil krmilnika domene vključiti nov CDP in zagotoviti, da je korensko potrdilo podjetja nameščeno v napravah, ki so povezane z Microsoft Entro (npr. z Intune in profilom »zaupanja vrednega potrdila«).

Sinhronizacija imenikov, večfaktorska autentifikacija in konfiguracija naprav

Izkušnja končnega uporabnika s programom Windows Hello za podjetja je v veliki meri odvisna od Kako so integrirani sinhronizacija imenikov, večfaktorska autentifikacija in konfiguracija pravilnikov.

V hibridnih uvedbah Microsoft Entra Connect Sync ne sinhronizira le računov, temveč lahko sinhronizira tudi kritični atributi, kot je msDS-KeyCredentialLinkki vsebuje javni ključ WHfB, potreben za preverjanje pristnosti v AD. V lokalnih okoljih s strežnikom Azure MFA se sinhronizacija uporablja za uvoz uporabnikov na strežnik MFA, ki nato v storitvi v oblaku zahteva preverjanje.

Kar zadeva večfaktorsko avtentikacijo, imajo organizacije več možnosti: Microsoft Entra MFA za scenarije v oblaku ali hibridne scenarijeZunanje metode, integrirane prek zunanjega preverjanja pristnosti v Entra ID ali prek federacije, in adapterji MFA drugih ponudnikov za AD FS v lokalnih okoljih. Zastavica FederatedIdpMfaBehavior v federiranih domenah določa, ali Entra ID sprejema, zahteva ali ignorira MFA, ki ga izvaja federirani ponudnik identitet, kar je lahko ključnega pomena za pravilno delovanje zagotavljanja WHfB.

Konfiguracijo WHfB na opremi je mogoče izvesti z skupinski pravilnik (GPO) ali CSP prek MDM (na primer Intune). V sodobnih organizacijah je običajno omogočiti samodejno registracijo WHfB, vsiliti MFA ob prvi prijavi, določiti pravilnike o kompleksnosti PIN-a in nadzorovati, katere biometrične metode so sprejete (samo certificirani senzorji, IR kamere itd.).

Vzporedno je bistveno upoštevati izkušnjo okrevanja: samopostrežna ponastavitev PIN-a, alternativne metode, kot so ključi FIDO2, in Šifriranje BitLocker za zaščito podatkov v mirovanju, če je naprava izgubljena ali ukradena.

Licence, sistemske zahteve in praktične omejitve

Eden od pogostih mitov je, da morate vedno uporabljati WHfB. Microsoft Enter ID P1 ali P2V resnici je osnovna funkcionalnost WHfB na voljo z brezplačnim paketom Entra ID, večfaktorsko preverjanje pristnosti, potrebno za omogočanje brez gesla, pa je mogoče omogočiti tudi brez premium licenc, čeprav funkcije, kot so samodejni vpis v MDM, napredni pogojni dostop ali odloženo pisanje naprav, zahtevajo višje pakete.

Kar zadeva operacijski sistem, praktično vse sodobne odjemalske različice sistema Windows podpirajo WHfB, vendar ... Zaupanje v Kerberos v oblaku zahteva konkretne minimalne standarde. (na primer Windows 10 21H2 z določenimi popravki ali specifičnimi različicami Windows 11Na strani strežnika lahko katera koli podprta različica sistema Windows Server na splošno deluje kot krmilnik domene, čeprav del Kerberos v oblaku zahteva posebne različice in posodobitve krmilnikov domene.

Poleg tehničnih vidikov obstajajo tudi zelo praktični izzivi: skupna oprema, kjer WHfB se, ker je specifičen za napravo in uporabnika, redno prilega; strojna oprema brez TPM 2.0 ali biometričnih senzorjev; ali okolja, kjer stroški obnove starih voznih parkov, uvajanja PKI in nadgradnje krmilnikov domen iz leta 2012 kratkoročno otežujejo popolno uvedbo WHfB.

V primerih razumna pot vključuje združite WHfB z drugimi dejavniki brez gesel (ključi FIDO2, pametne kartice, telefonska avtentikacija) za kritje skupnih delovnih postaj, platform, ki niso Windows, ali zelo mobilnih uporabnikov, pri čemer WHfB ostane primarni overitelj v prenosni podjetja, povezana z Entro, ali hibridi.

Če pogledamo celotno sliko, Windows Hello za podjetja ponuja veliko več kot le "lep PIN": uvaja asimetrične poverilnice, vezane na strojno opremo, strogo preverjanje KDC, globoka integracija z Microsoft Entra ID in Active Directory ter robusten okvir za varno enotno prijavo (SSO). tako v oblaku kot na lokaciji. Vendar pa je njegova dejanska vrednost v primerjavi z osnovnim sistemom Windows Hello odvisna od vašega izhodišča: v sodobnih okoljih, ki so usmerjena v oblak, ali hibridnih okoljih s posodobljeno PKI in DC, preskok v varnosti in upravljanju očitno odtehta trud; v zelo starih domenah, z malo pripravljene infrastrukture in brez načrtov za posodobitev, je morda bolj smiselno najprej napredovati pri strojni opremi, PKI in nadzoru dostopa, preden izkoristite polni potencial WHfB.

Povezani članek:

Kako ugotoviti, katere aplikacije imajo dostop do vaše kamere, mikrofona ali lokacije v sistemu Windows 11

Isaac

Strasten pisec o svetu bajtov in tehnologije nasploh. Rad delim svoje znanje s pisanjem in to je tisto, kar bom počel v tem blogu, saj vam bom pokazal vse najbolj zanimive stvari o pripomočkih, programski opremi, strojni opremi, tehnoloških trendih in še več. Moj cilj je, da vam pomagam krmariti po digitalnem svetu na preprost in zabaven način.