Биометрическая служба windows что это за служба

Отключение некоторых функций и служб Windows 10 позволит повысить FPS в играх, увеличить скорость работы программ и требовательных приложений. Ниже мы приведем перечень функций и служб, которые можно отключить

Функции и службы, которые можно отключить в Windows 10

Содержание

Вызов списка служб
Список служб, которые можно отключить
Функция обновления файлов
Отключение уведомлений от стороннего ПО
Отключение функции Cortana
Фоновые приложения
Отключение параметров синхронизации
Отключение функции уведомлений
Предложения в меню «Пуск»
Отключения экрана блокировки
Отключение эффектов оформления

Операционная система Windows 10 насыщена различными дополнительными функциями и всевозможными утилитами, которые расширяют возможности пользователя при работе с системой. К сожалению, каждое приложение или запущенная в фоновом режиме программа, частично замедляют операционную систему, нагружая процессор, оперативную память и другие компоненты ПК.

Каждая их функций нагружает незначительную часть ресурсов, но сумма всех запущенных приложений может значительно замедлять работу. Особенно это актуально для владельцев старых ПК и слабых ноутбуков.

Ниже будут приведены встроенные функции ОС, которые можно выключить и снизить нагрузку.

Вызов списка служб

Для начала следует ознакомиться со списком служб операционной системы. Это можно сделать следующим образом:

Шаг 1. Нажимаем правой кнопкой мыши по кнопке «Пуск» и выбираем пункт «Управление компьютером».

Шаг 2. В открывшемся окне необходимо выбрать пункт «Службы и приложения» и выбрать «Службы».

Вызвать список служб также можно, вызвав окно «Выполнить» (для вызова используется комбинация клавиш Win+R) и прописав в нем команду services.msc.

В открывшемся окне будут показаны все службы и программы системы.

Для отключения любой службы, следует нажать по ней дважды левой кнопкой мыши и в открывшемся нажать по вкладке «Тип запуска» и выбрать пункт «Отключить». После этого следует нажать по кнопке «Применить», чтобы подтвердить внесенные изменения.

Следует помнить, что отключение некоторых служб, может повлиять на работу и стабильность системы, поэтому настоятельно рекомендуется создать точку восстановления Windows перед отключением. Таким образом можно обезопасить себя и в любой момент вернуть операционную систему до прежнего состояния.

Список служб, которые можно отключить

Ниже будут представлены службы, которые можно отключить без значимых последствий для стабильности и работы ОС.

Dmwappushservice – функция для телеметрических данных.
Superfetch – служба для HDD, можно отключать если в компьютере установлены только SSD-накопители.
Machine Debug Manager – утилита предназначена для программистов.
NVIDIA Stereoscopic 3D и Streamer Service – первая – служба стерео 3D изображений, вторая – предназначена для стримов изображений NVIDIA Shield.
Группировка сетевых участников – функция, необходимая для корректной работы одноранговой сети. Если локальная сеть не используется, можно смело отключать.
Браузер компьютеров – служба для локальной сети.
Брандмауэер Windows – встроенная защита ОС. Можно отключить, если используются сторонние антивирусы и фаерволы.
Диспетчер удостоверения сетевых участников – служба для работы в локальной сети.
Вторичный вход – служба, необходимая для нескольких входов в аккаунт с одного ПК. Если используется одна учетная запись, можно смело отключать.
Служба записи компакт-дисков – отключаем, если нет дисковода.
Биометрическая служба Windows – специальная служба, предназначенная для входа в систему по отпечаткам пальцев и другим биометрическим данным. Можно отключать если биометрические методы входа не используются.
Windows Search – достаточно требовательная служба для поиска файлов и папок по названию в Windows. Можно отключить, если поиск не используется.
Настройка сервера удаленных рабочих столов – функция, расширяющая возможности в локальной сети.
Прослушиватель домашней группы – необходимо для работы в домашней группе.
Служба ввода планшетного ПК – служба, необходимая для работы с графическим планшетом.
Служба поддержки Bluetooth – функция для беспроводных устройств. Можно отключить если не используется Bluetooth соединение.
Факс – можно отключить при его отсутствии.
Службы Hyper-V – весь пакет служб Hyper-V предназначен для работы с виртуальными машинами. Если таковые не используются, можно отключать все службы с названием Hyper-V.

Функция обновления файлов

Завершив отключение ненужных служб, следует приступить к отключению функций. Такой комплексный подход позволит повысить общее быстродействие и разгрузить процессор.

Разработчиками Windows 10 была внедрена функция быстрого обновления файлов ОС, которая работают по принципу, схожему с работой торрентов.

Это означает, что загрузка обновлений Windows может загружаться не только с официального сайта Майкрософт, но и со сторонних ПК, которые уже были обновлены. Данная функция полезна для быстрого обновления системы, но в то же время после обновления компьютер пользователя становится раздающим, то есть с него начинается загрузка потока файлов для других пользователей. Также стоит понимать, что любая возможность скачивать что-либо с компьютера, является слабым местом в безопасности системы, чем могут воспользоваться третьи лица.

Для отключения функции обновления файлов, необходимо выполнить следующие шаги:

Шаг 1. Нажимаем ПКМ по кнопке «Пуск» и выбираем пункт «Параметры».

Шаг 2. Внизу списка открываем пункт «Обновления и безопасность».

Шаг 3. Прокручиваем бегунок до середины пункта «Центр обновления Windows» и выбираем «Дополнительные параметры».

Шаг 4. Прокручиваем окно вниз и выбираем пункт «Оптимизация доставки».

Шаг 5. Отключаем загрузку с других компьютеров в соответствующем пункте.

Отключение уведомлений от стороннего ПО

В Windows 10 каждый пользователь может получать уведомления от сторонних приложений, целевая реклама которых, создается автоматически на основе запросов с аккаунта. Чтобы отключить отслеживание и рекламные сообщения следует проследовать шагам:

Шаг 1. В меню настроек, переходим в пункт «Конфиденциальность».

Шаг 2. В пункте «Конфиденциальность» отключаем первый параметр, как показано на скриншоте.

Отключение функции Cortana

Функция «Кортана» представляет собой англоязычный голосовой помощник Windows (прямой аналог система «Сири» на устройствах Apple). Ряд функций данного ПО предназначен для сбора и анализа информации о пользователе. Данные собираются на основе запросов и различных выполненных действий (запись звуковых дорожек, создание рисунков и т.д.). Отключить её можно следующим образом:

В окне «Параметры» выбираем пункт «Персонализация» и переходим в раздел «Речь и рукописный ввод текста» и отключаем его.

Фоновые приложения

Фоновые приложение ОС могут значительно замедлять работу компьютера, поэтому следует отключить те, которые не нужны.

Для этого в разделе «Конфиденциальность» ищем пункт «Фоновые приложения» и отключаем их. В данном меню также можно выборочно отключить ненужные приложения и оставить необходимые.

Отключение параметров синхронизации

Синхронизация является удобной функцией Windows 10, которая связывает различные устройства (ПК, смартфон, планшет) при входе с единой учетной записи. К примеру, это позволяет просматривать историю браузера смартфона на компьютере, синхронизировать данные в облаке и т.д.

Если пользователь не нуждается в этом, следует отключить функцию:

В меню «Параметры» выбираем пункт «Учетные записи» и «Синхронизация ваших параметров». Отключить синхронизацию можно в окне справа.

Если пользователю необходима синхронизация только определенных параметров, их можно также выбрать в данном окне.

Отключение функции уведомлений

Уведомления Windows 10 помогают новичкам разобраться с интерфейсом, а также уведомляют о установке нежелательного или потенциально опасного ПО. Данная функция требует ресурсов ПК, поэтому опытные пользователи могут легко обойтись без неё.

Чтобы отключить уведомления, следует зайти в меню «Параметры» и выполнить следующие действия:

Шаг 1. В меню «Параметры» выбираем пункт «Система».

Шаг 2. Выбираем пункт «Уведомления и действия» после чего прокручиваем бегунок до пункта «Получать советы, подсказки…» и отключаем его.

Предложения в меню «Пуск»

Продукция из Windows Store иногда может рекламироваться в меню «Пуск», что бы убрать ненужные сообщения и отключить назойливую функцию необходимо:

Шаг 1. Зайти в меню «Параметры» и выбрать пункт «Персонализация».

Шаг 2. Переходим в пункт «Пуск» и отключаем «Иногда показывать уведомления…».

Отключения экрана блокировки

Экран блокировки является полезной функцией на смартфонах и планшетах, но на стационарном ПК или ноутбуке блокировка экрана не очень полезна. Чтобы отключить ее следует:

Шаг 1. Нажать ПКМ по кнопке «Пуск» и выбрать пункт «Выполнить». В открывшемся окне следует ввести regedit – редактор реестра.

Шаг 2. В редакторе реестра необходимо перейти по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows и найти папку «Personalization». В некоторых случаях она отсутствует, поэтому ее необходимо создать вручную. Для этого создаем новый раздел, кликнув ПКМ по папке Windowsи выбрав соответствующий пункт.

Шаг 3. Созданный раздел называем Personalization, открываем его и кликаем ПКМ по пустому месту в окне справа. В открывшемся меню следует выбрать пункт «Параметр DWORD (32 бита)». Данный параметр всегда создается 32-ух битным, независимо от системы пользователя.

Шаг 4. Присваиваем новому параметру имя «NoLockScreen».

Шаг 5. Нажимаем по параметру ПКМ, выбираем пункт «Изменить» и в открывшемся окне заменяем ноль единицей.

После перезагрузки компьютера экран блокировки будет отключен.

Отключение эффектов оформления

Каждая деталь оформления окон и кнопок ОС требует определенных ресурсов от компонентов компьютера. Чтобы разгрузить систему можно прибегнуть к отключению некоторых визуальных эффектов, что положительно скажется на быстродействии.

Шаг 1. Открываем «Панель управления», нажав ПКМ по кнопке «Пуск». В открывшемся окне ставим режим отображение «Мелкие значки» и переходим к пункту «Система».

Шаг 2. В открывшемся окне выбираем «Дополнительные параметры».

Шаг 3. Выбираем вкладку «Быстродействие» и пункт «Параметры».

Шаг 4. В открывшемся окне можно убрать ненужные эффекты и тем самым разгрузить систему.

Часто задаваемые вопросы

Некоторые системные службы и функции действительно можно отключить. Однако делать это следует очень осторожно, поскольку в случае отключения критически важных служб может нарушиться работа всей операционной системы.

Чтобы отключить голосовой ассистент Cortana перейдите в «Параметры» —> «Персонализация» —> «Речь и рукописный ввод текста» и нажмите кнопку «Отключить». Включение Cortana производится аналогично.

Подключите диск к любому рабочему компьютеру, а затем воспользуйтесь программой RS Partition Recovery. Она позволяет восстановить утерянные данные после случайного удаления, форматирования, повреждений логической структуры диска и во многих других случаях.

Служб и функций Windows, которые можно отключить достаточно много. Выделить можно следующие: Cortana, Superfetch, Machine Debug Manager, NVIDIA Stereoscopic 3D и Streamer Service, Группировка сетевых участников, Диспетчер удостоверения сетевых участников и многие другие. Полный список служб и что они означают находится на нашем сайте.

Чтобы оптимизировать работу операционной системы вы можете отключить ненужные службы и функции Windows. Таким образом вы освободите немалое количество оперативной памяти. Список служб, которые можно отключить вы можете найти на нашем сайте.

Источник

Безопасность и биометрия в Windows 7

В статье будет рассмотрена технология Windows Biometric Framework и ее аппаратная поддержка в линейке ноутбуков корпорации ASUSTeK.^[1]

В современном мире вопросы информационной безопасности стоят особенно остро в силу нескольких причин. Это и важность сохраняемой информации, ее капиталоемкость, и обострение криминогенной ситуации в области защиты информации из-за имеющего места мирового финансового кризиса.

Подавляющее большинство бизнесменов и менеджеров, задействованных на ответственных должностях, ежедневно в своей работе используют портативные переносные устройства обработки информации — ноутбуки, нетбуки, КПК и коммуникаторы различного назначения. Нет нужды много говорить о важности доступа к информации, которая хранится и обрабатывается в их недрах, и о последствиях ее утраты или доступа к ней посторонних лиц. Все эти вопросы носят характер первостепенной важности.

Одна из последних операционных систем линейки Windows — Windows 7 предлагает в своём составе комплексный подход к решению данной проблемы. Одним из основных компонентов такого подхода явилась реализация Windows Biometric Framework биометрической инфраструктуры.

Например, в Windows Vista, если вы хотели использовать отпечатки пальцев для входа в систему, нужно было использовать ПО производителей датчиков, считывающих отпечатки пальцев. Новая функция безопасности в Windows 7 под названием Biometric Framework предоставляет собственную поддержку устройств считывания отпечатков пальцев и упрощает задачу внедрения биометрической безопасности в решении повседневных задач. Эта технология используется для управления считыванием отпечатков пальцев. Причём можно управлять настройками биометрических устройств из панели управления системы, а параметры можно настраивать на разрешение входа пользователей в Windows и/или в домен, используя биометрические данные. Для каждого пользователя можно даже задавать вполне определённый палец (его отпечаток).

Гид TAdviser по российским производителям гражданских БПЛА: 20 наиболее заметных игроков рынка 10.1 т

Служба Windows Biometric Service (WBS) является частью инфраструктуры, управляющей устройствами считывания отпечатков пальцев и действующей в качестве посредника ввода-вывода между приложениями и биометрическими устройствами. В этом случае приложения не имеют непосредственного доступа к данным, что и улучшает существенным образом конфиденциальность и общую безопасность при работе.

Общий обзор технологии Windows Biometric Framework

Использование сканера отпечатков пальцев основано на довольно простых методах работы. Сначала приложение сканирует один или несколько отпечатков и выделяет некоторые особенности эпидермального рисунка. В дальнейшем эта информация позволяет проверить, тот ли человек, который предоставил образцы отпечатков, пытается сканировать палец или некто пытается мистифицировать систему принятия решения. Сам процесс получения образцов отпечатков пальцев известен как Enroll. Дальнейшая повторяющаяся проверка отпечатков называется Verify. Процедура поиска пользователя по его отпечаткам — Identification. По своей сути система принятия решения об идентификации пользователя не может давать однозначного ответа на вопрос: «Действительно ли это тот самый пользователь, который нам нужен?» Оценка является вероятностной, и существует некая величина или количество баллов, которые показывают, насколько вероятна ошибка при идентификации пользователя (MatchingThreshold score).

Несмотря на то что принцип работы с отпечатками пальцев простой и единообразный для любого приложения, на данный момент не существует стандарта для универсальной работы со сканерами любого производителя. Соответственно нет и универсального комплекта средств разработки (в дальнейшем SDK), который позволил бы использовать любой имеющийся сканер. Работы по стандартизации ведутся, но стандарты пока ещё не выработаны. Между тем Microsoft вместе с Windows 7 продвигает свой стандарт — Windows Biometric Framework (WBF).

Производители сканеров, как правило, предоставляют SDK, позволяющие работать с их устройствами. На сегодняшний день стоят такие решения недёшево — в районе $1000. Что интересно, для работы с Linux, к примеру, часто есть и бесплатные версии SDK в отличие от библиотек под Windows, но они имеют ряд ограничений. Есть решения и других производителей, позволяющие использовать множество различных устройств с помощью одного и того же комплекта SDK, но для каждого конкретного сканера нужно анализировать вопросы аппаратной поддержки.

Цена сторонних решений сравнима с ценой SDK от производителей самих устройств. Тем не менее существует бесплатное решение, работающее и в Windows, — к примеру от neurotechnology.com. Это Free Fingerprint Verification SDK. Но и в этой бесплатной библиотеке не обходится без некоторых ограничений. Одно из них — существование версии, работающей только с 32-разрядными операционными системами от Microsoft. При этом данные о пользователях сохраняются только в специальном формате, предоставленном производителем. Сохранить можно данные не более чем по 10 отпечаткам. Не поддерживается режим Identification.

Можно увидеть, что такие ограничения довольно жёстки. В полноценных версиях все они сняты — библиотека работает в любой ОС, сохраняет данные об отпечатках пальцев в любой базе данных. Но и цена соответственно составит указанную ранее сумму: примерно $1000. Используя изложенные подходы, производители включают свои решения как в персональные компьютеры, так и в ноутбуки, используемые повсеместно для решения задач — от обыденных бытовых нужд до бизнес-задач уровня предприятий.

ASUS, AuthenTec и Microsoft — тройка лидеров

Общепризнанным мировым лидером в области производства не только материнских плат, но и ноутбуков является ASUSTeK Computer. Биометрическая платформа Windows7 нашла широкую поддержку среди ноутбуков от ASUS. Данный факт подтвердила и лидирующая в мире компания AuthenTec (http://www.authentec.com/) — поставщик высокоинтеллектуальных решений, основанных на технологиях анализа отпечатков пальцев. Решения AuthenTec на базе платформы Windows Biometric Framework (WBF) были интегрированы во многие модели ноутбуков от ASUS, что позволило существенно улучшить сенсорные функции работы датчиков анализа отпечатков пальцев и повысить общий уровень безопасности, удобства и персонализации.

Корпорации ASUS удалось очень удачно реализовать в своих решениях плод совместной работы AuthenTec и Microsoft. На сегодняшний день миллионы современных ноутбуков и ПК включают интеллектуальные датчики отпечатков пальцев от AuthenTec в рамках реализации операционной системы Windows7, обеспечивающие наивысшие уровни безопасности, удобства и персонализации. А аппаратной реализацией таких решений как раз и занимается ASUS, предоставляя свою платформу для Microsoft. Coвместные усилия этих гигантов компьютерной индустрии обеспечивают чрезвычайно точные и надежные механизмы анализа отпечатков пальцев по их заранее отснятым изображениям. Датчики AuthenTec способны в своей работе считывать информацию, находящуюся ниже первого слоя поверхности кожи, обеспечивая тем самым работу с областями «не изменяющегося» эпидермиса и многократно увеличивая вероятность правильного принятия решения на этапе анализа данных.

«ASUS еще раз продемонстрировала свое лидерство в области IT-рынка, предлагая технические решения, включающие самые современные технологии. К их числу можно отнести анонс новой линейки ноутбуков, которые используют технологии, известные как Windows Biometric Framework, предлагаемые AuthenTec совместно с разработчиками Windows», — неоднократно говорил на различных презентациях Джеймс Тун, заместитель директора ASUS по продукции.

«Мы были в числе первых производителей ноутбуков в мире, использующих интеграцию новой архитектуры WBF и решений AuthenTec, и очень рады продолжать внедрение этих технологий и дальше, используя сенсорные особенности датчиков AuthenTec и WBF решения от Microsoft», — продолжал он.

А вот мнение другого лидера: «ASUSTeK продолжает дифференцировать свои продукты с добавлением новых функций и возможностей, в том числе новой технологии Windows Biometric Framework», — сказал Том Эбли, вице-президент AuthenTec. Продолжая основную тему, он добавил: «ASUS предложил WBF интегрированное решение на ноутбуках задолго до остальных игроков в этой отрасли. Мы рассчитываем и дальше на поддержку интеграции WBF в Centrino 2 ноутбуках от ASUS, а также их применение в моделях ноутбуков следующего поколения с новыми процессорами Intel».

На сегодняшний день одним из ярких примеров ноутбуков с поддержкой технологии Windows Biometric Framework может стать модель серии F8, которая представляет собой оптимальное сочетание мобильности и производительности с полноценной системой безопасности, защищающая ноутбук и хранимые на нём данные. Конфиденциальность данных обеспечивается встроенным сканером отпечатка пальца AuthenTec с технологией TruePrint®, благодаря которой сканер считывает рисунок живого слоя кожи и точность распознавания не ухудшается, даже если поверхность пальца загрязнена или повреждена. Кроме этого, встроенный аппаратный модуль TPM (название спецификации, детализирующей криптопроцессор, в котором хранятся криптографические ключи для защиты информации) позволяет предотвратить атаки хакеров, ищущих пароли и шифровальные ключи к конфиденциальным данным. Помимо указанной серии корпорация ASUS предоставляет самый широкий диапазон решений подобного рода. Конечно, как всегда, выбор остаётся за пользователем, но он уже кажется очевидным, и этот выбор нужно реализовывать здесь, на официальном сайте ASUS.

Выводы

На сегодняшний день несомненным лидером в производстве системного программного продукта является корпорация Microsoft, а в области аппаратной реализации и поддержки этих программных продуктов — ASUSTeK Computer. Реализация в линейке ноутбуков от ASUS технологии Windows Biometric Framework существенно повышает общий уровень безопасности, удобства и персонализации при работе с цифровой информацией любого вида. Очевидно, что будущее при выборе серьёзных устройств для работы с цифровой информацией любого рода лежит в поле компетенции ASUS и ее аппаратных продуктов.

Примечания

↑ Безопасность и биометрия в Windows 7

Источник

Modern days laptop and PC comes with a built-in face or fingerprint scanner. Windows Biometric Service or WbioSrvc is used to manage this feature and allow client applications to capture, compare, manipulate, as well as store biometric data. The service doesn’t need to gain direct access to any biometric hardware or samples for this. The service is hosted in a privileged SVCHOST process and Enabling this will allow the system to run this data.

Though the service is often useful, some people don’t use it much so they want to keep it disabled. Also, the service sometimes found to cause high CPU along with disk usage. Path to this executable is C:\WINDOWS\system32\svchost.exe -k WbioSvcGroup.

Enable/disable Windows Biometric Service in Windows 10 or 11

Here is how to How to Enable / disable Windows Biometric Service in Windows 11 or 10 –

Press – Windows + S.
Type in – services.
Hit – Enter.
From the available list, find – Windows Biometric Service.
Double-click the same.

Enable

Click the drop-down for – Startup type.
Choose – Automatic.
Hit – Start.

Disable

Again, click the dropdown beside – Startup type.
Select – Disabled.
Click – Stop.

Lastly, hit Apply followed by OK.

That’s all!!

Источник

Время на прочтение8 мин

Количество просмотров25K

Делимся с вами обзорным материалом про службу Windows Hello, обеспечивающую двухфакторную проверку на Windows 10. Также вы узнаете, чем она будет полезна для крупных компаний, почему стоит выбирать PIN-код, а не пароль и как её настроить.

Windows Hello — что это и зачем?

В Windows 10 служба Windows Hello для бизнеса заменяет пароли на строгую двухфакторную проверку подлинности на компьютерах и мобильных устройствах. Она заключается в создании нового типа учетных данных пользователя в привязке к устройству, использовании биометрических данных или PIN-кода.

В первых версиях Windows 10 были службы Microsoft Passport и Windows Hello, которые обеспечивали многофакторную проверку подлинности. Чтобы упростить развертывание и расширить возможности поддержки, Microsoft объединила эти технологии в единое решение — Windows Hello. Если вы уже выполнили развертывание этих технологий, то вы не заметите никаких изменений в функционировании служб. Для тех, кому еще предстоит оценить работу Windows Hello, выполнить развертывание будет гораздо проще благодаря упрощенным политикам, документации и семантике.

Служба Hello призвана решать типичные проблемы пользователей, возникающие при работе с паролями:

Пароли могут быть трудны для запоминания, и пользователи часто повторно используют пароли на нескольких сайтах.
Взломы сервера могут раскрывать симметричные сетевые учетные данные.
Пароли могут подлежать атакам с повторением пакетов.
Пользователи могут непреднамеренно предоставить свой пароль вследствие фишинга.

Hello позволяет выполнить проверку подлинности учетной записи Microsoft, учетной записи Active Directory, учетной записи Microsoft Azure Active Directory (Azure AD) и службы поставщика удостоверений или службы проверяющей стороны, которые поддерживают проверку подлинности Fast ID Online (FIDO) v2.0.

После начальной двухэтапной проверки при регистрации на вашем устройстве настраивается служба Hello, и вы сами устанавливаете жест, который может быть как биометрическим, например отпечатком пальца, так и PIN-кодом. Далее необходимо сделать жест для проверки своего удостоверения. После этого Windows использует Hello для проверки подлинности и предоставления им доступа к защищенным ресурсам и службам.

От имени администратора компании или общеобразовательной организации можно создать политики управления Hello для использования на устройствах под управлением Windows 10, которые подключаются к вашей организации.

Разница между Windows Hello и Windows Hello для бизнеса

Windows Hello предназначена для удобного и безопасного входа пользователя. Такое использование Hello обеспечивает отдельный уровень защиты, так как является уникальным для устройства, на котором настраивается, однако проверка подлинности на основе сертификатов при этом отсутствует.

Служба Windows Hello для бизнеса, которая настраивается групповой политикой или политикой MDM, использует проверку подлинности на основе ключа или сертификата.

В настоящее время в учетных записях Active Directory с использованием Windows Hello не поддерживается проверка подлинности на основе ключа или сертификата. Эта функция должна появиться в будущем выпуске.

Почему PIN-код, а не пароль?

Пароли представляют собой общие секреты, они вводятся на устройстве и передаются по сети на сервер. Перехваченные имя и пароль учетной записи могут быть использованы кем угодно. Например, учетные данные могут быть раскрыты при взломе сервера.

В Windows 10, в процессе подготовки, служба Hello создает пару криптографических ключей, привязанных к доверенному платформенному модулю (TPM), если устройство оснащено таким модулем, или в программной реализации. Доступ к этим ключам и получение подписи для проверки того, что пользователь владеет закрытым ключом, предоставляется только при вводе PIN-кода или биометрического жеста. Двухэтапная проверка, которая происходит при регистрации в службе Hello, формирует доверительные взаимоотношения между поставщиком удостоверений и пользователем, когда открытая часть пары «открытый/закрытый ключ» отправляется поставщику удостоверений и связывается с учетной записью пользователя. Когда пользователь выполняет жест на устройстве, поставщик удостоверений определяет по комбинации ключей Hello и жеста, что это проверенное удостоверение, и предоставляет маркер проверки подлинности, с помощью которого Windows 10 получает доступ к ресурсам и службам. Кроме того, в процессе регистрации генерируется претензия по удостоверению для каждого поставщика удостоверений, чтобы криптографически подтвердить, что ключи Hello привязаны к TPM. Если претензия по удостоверению во время регистрации не выставляется поставщику удостоверений, поставщик удостоверений должен предполагать, что ключ Hello создан программно.

Представьте, что кто-то подсматривает через ваше плечо при получении денежных средств из банкомата и видит вводимый вами PIN-код. Наличие этого PIN-кода не поможет им получить доступ к учетной записи, так как у них нет банковской карты. Аналогичным образом перехват PIN-кода для устройства не позволяет злоумышленнику получить доступ к учетной записи, так как PIN-код является локальным для конкретного устройства и не обеспечивает никакого типа проверки подлинности с любого другого устройства.

Hello как раз позволяет защищать удостоверения и учетные данные пользователей. Так как пароли не используются, фишинг и атаки методом подбора становятся бесполезными. Эта технология позволяет также предотвратить взломы серверов, так как учетные данные Hello являются асимметричной парой ключей, что предотвращает атаки с повторяющимися пакетами, так как эти ключи защищены доверенными платформенными модулями (TPM).

Также можно использовать устройства с Windows 10 Mobile в качестве удаленных учетных данных при входе на ПК под управлением Windows 10. В процессе входа в систему ПК под управлением Windows 10 он может подключаться и получать доступ к Hello на вашем устройстве под управлением Windows 10 Mobile по Bluetooth. Поскольку мы всегда носим с собой телефон, Hello позволяет гораздо проще реализовать двухфакторную проверку подлинности.

Функция входа через телефон в данный момент доступна только отдельным участникам программы принятия технологий (TAP).

Так как же PIN-код помогает защитить устройство лучше, чем пароль?

Преимущества PIN-кода в сравнении с паролем связаны не с его структурой (длиной и сложностью), а с принципом работы.

1. PIN-код привязан к устройству. Злоумышленник, получивший доступ к паролю, может войти в учетную запись с любого устройства, но в случае кражи PIN-кода вход в учетную запись будет невозможен без доступа к соответствующему устройству.

2. PIN-код хранится на устройстве локально. Пароль передается на сервер и может быть перехвачен в процессе передачи или украден с сервера. PIN-код задается на устройстве на локальном уровне, не передается и не хранится на сервере. При создании PIN-кода устанавливаются доверительные отношения с поставщиком удостоверений и создается пара асимметричных ключей, используемых для проверки подлинности. При вводе PIN-кода ключ проверки подлинности разблокируется и используется для подтверждения запроса, отправляемого на сервер для проверки подлинности.

3. PIN-код поддерживается оборудованием. PIN-код Hello поддерживается микросхемой доверенного платформенного модуля (TPM), представляющей собой надежный криптографический процессор для выполнения операций шифрования. Эта микросхема содержит несколько механизмов физической защиты для предотвращения взлома, и вредоносные программы не могут обойти функции безопасности TPM. TPM применяется во всех телефонах с Windows 10 Mobile и во многих современных ноутбуках.

Материал ключа пользователя создается и становится доступным в доверенном платформенном модуле (TPM) на устройстве пользователя, что защищает материал от перехвата и использования злоумышленниками. Поскольку технология Hello подразумевает использование пар асимметричных ключей, учетные данные пользователей не будут похищены в случае нарушения безопасности поставщика удостоверений или веб-сайтов, к которым пользователь осуществляет доступ.

TPM защищает от множества известных и потенциальных атак, в том числе атак методом подбора PIN-кода. После определенного количества попыток ввода неправильного PIN-кода устройство блокируется.

4. PIN-код может быть сложным. К PIN-коду Windows Hello для бизнеса применяется тот же набор политик управления ИТ, что и к паролю, в том числе сложность, длина, срок действия и история изменений. Несмотря на уверенность большинства пользователей в том, что PIN-код представляет собой простой код из 4 цифр, администраторы могут устанавливать для управляемых устройств политики, предполагающие уровень сложности PIN-кода, сопоставимый с паролем. Вы можете сделать обязательными или запретить специальные знаки, буквы в верхнем и нижнем регистрах, а также и цифры.

Раздел меню настроек в котором задаются параметры PIN-кода и биометрия:

Что произойдет в случае кражи ноутбука или телефона?

Для нарушения безопасности учетных данных Windows Hello, защищаемых TPM, злоумышленнику нужно осуществить доступ к физическому устройству, найти способ похитить биометрические данные пользователя или подобрать PIN-код. Все это нужно сделать раньше, чем функциональный механизм защиты от взлома TPM заблокирует устройство. Для ноутбуков, не имеющих TPM, можно настроить дополнительную защиту, активировав BitLocker и ограничив количество неудачных попыток входа в систему.

Настройка BitLocker без TPM

С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику:

Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Шифрование диска BitLocker → Диски операционной системы → Требовать дополнительной проверки подлинности при запуске

В параметрах политики выберите Разрешить использование BitLocker без совместимого TPM, а затем нажмите кнопку ОК.

Перейдите в меню Панель управления → Система и безопасность → Шифрование диска BitLocker и выберите диск с операционной системой, который требуется защитить.

С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику: Конфигурация компьютера → Параметры Windows → Параметры безопасности → Политики учетных записей → Политика блокировки учетных записей → Пороговое значение блокировки.

Установите допустимое количество неудачных попыток входа в систему и нажмите ОК.

Как работает Windows Hello для бизнеса: основные положения

1. Учетные данные службы Hello основаны на сертификате или асимметричной паре ключей и привязаны к устройству, как и маркер, получаемый с помощью учетных данных.

2. Поставщик удостоверений (например, Active Directory, Azure AD или учетная запись Майкрософт) проверяет удостоверение пользователя и сопоставляет открытый ключ Hello с учетной записью пользователя на этапе регистрации.

3. Ключи могут генерироваться в аппаратном (TPM 1.2 или 2.0 для предприятий и TPM 2.0 для потребителей) или программном обеспечении на основании политики.

4. Проверка подлинности — это двухфакторная проверка с использованием сочетания ключа или сертификата, привязанного к устройству, и информации, известной пользователю PIN-код), или идентификационных данных пользователя (Windows Hello). Жест Hello не перемещается между устройствами и не предоставляется серверу. Он хранится локально на устройстве.

5. Закрытый ключ никогда не покидает устройство. Проверяющий подлинность сервер имеет открытый ключ, который был сопоставлен с учетной записью пользователя во время регистрации.

6. Ввод PIN-кода и биометрических жестов приводит к проверке удостоверения пользователя в Windows 10 и проверке подлинности с использованием ключей или сертификатов Hello.

7. Личные (учетная запись Майкрософт) или корпоративные учетные записи (Active Directory или Azure AD) использует один контейнер для ключей. Все ключи разделены по доменам поставщиков удостоверений в целях обеспечения конфиденциальности пользователя.

8. Закрытые ключи сертификатов могут быть защищены контейнером Hello и жестом Hello.

Сравнение проверки подлинности на основе ключа и сертификата

Для подтверждения личности служба Windows Hello для бизнеса может использовать ключи (аппаратный или программный) или сертификаты с ключами в аппаратном или программном обеспечении. Предприятия с инфраструктурой открытых ключей (PKI) для выпуска и управления сертификатами могут продолжать использовать PKI вместе со службой Hello. Предприятия, у которых нет PKI или которые хотят сократить объем работ, связанных с управлением сертификатами, могут использовать для службы Hello учетные данные на основе ключа.

Аппаратные ключи, которые создаются модулем TPM, обеспечивают наиболее высокий уровень гарантии. При изготовлении в модуль TPM помещается сертификат ключа подтверждения (EK). Этот сертификат EK создает корневое доверие для всех других ключей, которые генерируются в этом модуле TPM. Сертификация EK используется для генерации сертификата ключа удостоверения подлинности (AIK), выданного службой сертификации Microsoft. Этот сертификат AIK можно использовать как претензию по удостоверению, чтобы доказать поставщикам удостоверений, что ключи Hello генерировались одним и тем же TPM. Центр сертификации Майкрософт (CA) генерирует сертификат AIK для каждого устройства, пользователя и IDP, чтобы гарантировать защиту конфиденциальности.

Если поставщики удостоверений, например Active Directory или Azure AD, регистрируют сертификат в службе Hello, Windows 10 будет поддерживать тот же набор сценариев, что и смарт-карта. Если тип учетных данных представляет собой ключ, будет поддерживаться только доверие и операции на основе ключа.

Мы постарались написать для вас подробный и понятный туториал по работе со службой Windows Hello. Если у вас остались вопросы, задавайте в комментариях.

Источник