Windows hello как включить пин код — Ваш верный помощник с OS Windows

Applies ToWindows 11 Windows 10

Windows Hello — это более личный и безопасный способ входа на устройство с Windows. Вместо пароля с Windows Hello вы можете войти с помощью распознавания лиц, отпечатков пальцев или ПИН-кода.

Эти параметры упрощают и безопаснее вход в компьютер, так как ВАШ ПИН-код связан только с одним устройством и резервную копию для восстановления с учетной записью Майкрософт.

Вы можете использовать приложение «Параметры» для настройки Windows Hello и управления ими.

В приложении «Настройки» на устройстве с Windows, выберите Учетные записи > параметры входа или воспользуйтесь следующим сочетанием клавиш:

Параметры входа
В разделе Способы входа можно выбрать три варианта входа с помощью Windows Hello:
- Выберите Распознавание лиц (Windows Hello), чтобы настроить вход с помощью инфракрасной камеры компьютера или внешней инфракрасной камеры.
- Выберите Распознавание отпечатков пальцев (Windows Hello), чтобы настроить вход с помощью сканера отпечатков пальцев.
- Выберите ПИН-код (Windows Hello), чтобы настроить вход с помощью ПИН-кода.
Картинка с сайта: support.microsoft.com

Важно: Для входа с помощью лица требуется камера, совместимая с Hello. Для входа с помощью отпечатка пальца на устройстве должно быть устройство считывания отпечатков пальцев.

Если ваше устройство не поставляются с одним из них, вы можете приобрести его, который может быть подключен к вашему устройству через USB у любого из ряда популярных розничных торговцев.
Выберите параметр , выберите Настроить
Следуйте инструкциям, чтобы завершить настройку Windows Hello

Интерфейс входа

При следующем входе на устройство вы можете использовать распознавание лиц, идентификацию отпечатков пальцев или ПИН-код вместо пароля.

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

Источник

[Windows 11/10] Настройка Windows Hello (биометрия, распознавание лица, сканер отпечатков пальцев)

Windows Hello — это более персональный и безопасный способ получить мгновенный доступ к устройствам Windows 11/10 с помощью отпечатков пальцев или распознавания лица. Вы сможете просто показать лицо или коснуться пальцем, не вводя пароль, чтобы разблокировать устройство.

Примечание: Варианты входа в Windows 11/10 могут отличаться в зависимости от разных устройств. Если Вы хотите войти с помощью отпечатков пальцев или распознавания лица, Ваш компьютер должен быть оснащен сканером отпечатков пальцев или камерой с инфракрасным (ИК) датчиком. Если Вы еще не настроили PIN-код, Вам нужно добавить PIN-код перед использованием других вариантов входа.

Пожалуйста, перейдите к соответствующей инструкции, исходя из текущей операционной системы Windows на Вашем компьютере:

Windows 11
Windows 10

Windows 11

Содержание:

Вход с помощью распознавания лица
Удалить распознавание лица
Вход с помощью отпечатка пальца
Удалить отпечаток пальца
Настроить динамическую блокировку

Войти с помощью распознавания лица

Эта функция доступна только в некоторых моделях, оснащенных ИК-камерой. Если Вы не видите параметр входа в систему по лицу или этот параметр недоступен, это означает, что на Вашем компьютере нет ИК-камеры.

Вы можете найти технические характеристики Вашего компьютера на сайте ASUS

Также Вы можете проверить Диспетчер Устройств, чтобы узнать, оснащен ли Ваш компьютер ИК-камерой. Щелкните правой кнопкой мыши значок [Пуск] на Панели Задач ① и выберите [Диспетчер Устройств] ②.

Откройте раздел [Камеры] ③, чтобы увидеть, есть ли на Вашем компьютере ИК-камера

Настройка распознавания лица

Введите и найдите [Параметры входа] ① в строке поиска Windows, затем нажмите [Открыть] ②.

Картинка с сайта: www.asus.com
Выберите [Распознавание лиц (Windows Hello)] ③ и нажмите [Настроить] ④.

Картинка с сайта: www.asus.com
Выберите [Начать] ⑤.

Картинка с сайта: www.asus.com
Введите PIN-код, который Вы используете в настоящее время для подтверждения Вашей личности ⑥.

Картинка с сайта: www.asus.com
Пожалуйста, поместите свое лицо в центр кадра, который появится на экране, чтобы камера захватила Ваши черты лица.

Картинка с сайта: www.asus.com
Распознавание Вашего лица завершено, нажмите [Закрыть] ⑦.

Картинка с сайта: www.asus.com
Настройка лицевого входа завершена. Существует еще одна опция [Улучшить распознавание] ⑧, эта функция позволяет Вам сохранять фото в очках и без них. Если во время настройки распознавания лиц Вы были в очках, выберите этот параметр, чтобы снова выполнить настройку без них. Это поможет Windows распознавать Вас независимо от того, носите Вы очки или нет.

Картинка с сайта: www.asus.com

Вернуться в начало

Удалить распознавание лица

Введите и найдите [Параметры входа] ① в строке поиска Windows, затем нажмите [Открыть] ②.

Картинка с сайта: www.asus.com
Выберите [Распознавание лиц (Windows Hello)] ③ и нажмите [Удалить] ④, функция входа по лицу будет удалена.

Картинка с сайта: www.asus.com

Вернуться в начало

Вход с помощью отпечатка пальца

Эта функция доступна только на некоторых моделях, оснащенных сканером отпечатков пальцев. Если Вы не видите параметр входа по отпечатку пальца или этот параметр недоступен, это означает, что на Вашем компьютере нет сканера отпечатков пальцев.

Пожалуйста, найдите сканер отпечатков пальцев Вашего компьютера. Сканер отпечатков пальцев большинства ноутбуков ASUS расположен на сенсорной панели.

Датчик отпечатков пальцев был интегрирован в клавишу питания на некоторых ноутбуках ASUS.

Введите и найдите [Параметры входа] ① в строке поиска Windows, затем нажмите [Открыть] ②.

Картинка с сайта: www.asus.com
Выберите [Распознавание отпечатков пальцев (Windows Hello)] ③ и нажмите [Настроить] ④.

Картинка с сайта: www.asus.com
Выберите [Начать] ⑤.

Картинка с сайта: www.asus.com
Введите PIN-код, который Вы используете в настоящее время для подтверждения Вашей личности ⑥.

Картинка с сайта: www.asus.com
Убедитесь, что Ваши пальцы чистые и сухие, затем поднимите и положите только один палец на датчик.

Картинка с сайта: www.asus.com
Следуйте инструкциям на экране, чтобы несколько раз поднять и положить палец на датчик.

Картинка с сайта: www.asus.com
Выберите [Далее] ⑦ и попробуйте использовать разные углы наклона пальца, чтобы захватить края отпечатка пальца при нажатии на датчик.

Картинка с сайта: www.asus.com
Распознавание Вашего отпечатка пальца завершено, нажмите [Закрыть] ⑧.

Картинка с сайта: www.asus.com
Настройка входа по отпечатку пальца завершена. Существует еще одна опция [Добавить палец] ⑨, Вы можете настроить отпечатки пальцев других пальцев.

Картинка с сайта: www.asus.com

Вернуться в начало

Удалите сканнер отпечатка пальца

Введите и найдите [Параметры входа] ① в строке поиска Windows, затем нажмите [Открыть] ②.

Картинка с сайта: www.asus.com
Выберите [Распознавание отпечатков пальцев (Windows Hello)] ③ и нажмите [Удалить] ④, функция входа по отпечатку пальца будет удалена.

Картинка с сайта: www.asus.com

Вернуться в начало

Настройка динамической блокировки

Динамическая блокировка позволяет использовать устройства, сопряженные с Вашим компьютером, чтобы определить, когда Вы отсутствуете, и заблокировать компьютер вскоре после того, как сопряженное устройство выйдет за пределы диапазона Bluetooth. Эта функция усложняет доступ к Вашему устройству, если Вы отойдете от компьютера и забудете заблокировать его.

Введите и найдите [Параметры входа] ① в строке поиска Windows, затем нажмите [Открыть] ②.

Картинка с сайта: www.asus.com
В параметрах входа прокрутите вниз до раздела «Динамическая блокировка» и установите флажок [Разрешить Windows автоматически блокировать устройство, когда Вас нет] ③.

Картинка с сайта: www.asus.com
Если Вы видите уведомление о том, что динамическая блокировка не работает, потому что на Вашем ПК нет сопряженного телефона ④, выберите [Bluetooth и устройства] ⑤ для сопряжения телефона с компьютером. Здесь Вы можете узнать больше о том, как установить сопряжение с Bluetooth.

Картинка с сайта: www.asus.com
После того, как сопряжение будет завершено, оно будет отображаться, как показано ниже. Пожалуйста, возьмите с собой телефон, когда уходите, и Ваш компьютер автоматически заблокируется примерно через минуту после того, как Вы выйдете из зоны действия Bluetooth.

Картинка с сайта: www.asus.com

Вернуться в начало

Windows 10

Содержание:

Вход с помощью распознавания лица
Удалить распознавание лица
Вход с помощью отпечатка пальца
Удалить отпечаток пальца
Настроить динамическую блокировку

Вход с помощью распознавания лица

Эта функция доступна только на некоторых моделях, оснащенных ИК-камерой. Если Вы не видите параметр входа в систему по лицу или этот параметр недоступен, это означает, что на Вашем компьютере нет ИК-камеры.

Вы можете найти спецификацию Вашего устройства на официальном сайте ASUS

Откройте раздел [Камеры] ③, чтобы увидеть, есть ли на Вашем компьютере ИК-камера

Настройка распознавания лица

1. Укажите в поисковой строке Windows [Варианты входа] ① и нажмите [Открыть] ②.

2. Выберите [Распознавание лиц Windows Hello] ③ и нажмите [Настройка] ④.

3. Выберите [Начать] ⑤.

4. Расположите свое лицо в центре кадра, который появится на экране, и камера сохранит Ваши черты лица.

5. Распознавание Ваших черт лица завершено, выберите [настроить PIN] ⑥ чтобы создать PIN-код для входа, если функция распознавания лиц недоступна.

6. Укажите пароль от аккаунта ⑦, нажмите [OK] ⑧.

7. Пожалуйста, укажите новый PIN для настройки ⑨ и нажмите [OK] ⑩.

8. Настройка завершена. Есть еще вариант [Улучшить распознавание] ⑪, эта функция позволяет зафиксировать распознавание как в очках, так и без них. Если Вы носили очки во время настройки распознавания лиц, выберите этот параметр, чтобы снова выполнить настройку без них. Это поможет Windows узнать Вас независимо от того, в очках Вы или нет.

Вернуться в начало

Удалить распознавание лица

1. Укажите в поисковой строке Windows [Варианты входа] ① и нажмите [Открыть] ②.

2. Выберите [Распознавание лиц Windows Hello] ③ и нажмите [Удалить] ④, распознавание лица будет удалено.

Вернуться в начало

Вход с помощью отпечатка пальца

Эта функция доступна только на некоторых моделях, оснащенных сканером отпечатков пальцев. Если Вы не видите параметр входа по отпечатку пальца или этот параметр недоступен, это означает, что на Вашем компьютере нет сканера отпечатков пальцев.

Найдите сканер отпечатков пальцев на своем компьютере. Сканер отпечатков пальцев у большинства ноутбуков ASUS расположен на сенсорной панели.

Датчик отпечатков пальцев был интегрирован в клавишу питания на некоторых ноутбуках ASUS.

1. Укажите в поисковой строке Windows [Варианты входа] ① и нажмите [Открыть] ②.

2. Выберите [Распознавание отпечатков пальцев Windows Hello] ③ и нажмите [Настройка] ④.

3. Выберите [Начать] ⑤.

4. Убедитесь, что Ваши пальцы чистые и сухие, затем поднимите палец и положите его на датчик.

5. Следуйте инструкциям на экране, чтобы несколько раз приподнять и положить палец на датчик.

6. Выберите [Далее] ⑥ и попробуйте использовать разные углы Вашего пальца, чтобы захватить края Вашего отпечатка пальца при нажатии на датчик.

7. Распознавание Вашего отпечатка пальца завершено, выберите [настроить PIN] ⑦ для создания ПИН-кода для входа, если распознавание отпечатков пальцев недоступно.

8. Укажите пароль от аккаунта ⑧, затем нажмите [OK] ⑨.

9. Укажите новый PIN для настройки ⑩, нажмите [OK] ⑪.

10. Настройка входа по отпечатку пальца завершена. Есть еще вариант [Добавить еще] ⑫, Вы можете настроить отпечаток других пальцев.

Вернуться в начало

Удалить отпечаток пальца

Укажите в поисковой строке Windows [Варианты входа] ① и нажмите [Открыть] ②.

Картинка с сайта: www.asus.com
Выберите [Распознавание отпечатков пальцев Windows Hello] ③, затем выберите [Удалить] ④, возможность входа по отпечатку пальца будет удалена.

Картинка с сайта: www.asus.com

Вернуться в начало

Настроить динамическую блокировку

Динамическая блокировка позволяет Вам использовать устройства, сопряженные с Вашим компьютером, чтобы определять Ваше отсутствие и блокировать компьютер вскоре после того, как сопряженное устройство выйдет за пределы диапазона Bluetooth. Благодаря этой функции кому-либо будет сложнее получить доступ к Вашему устройству, если Вы отойдете от компьютера и забудете заблокировать его.

1. Укажите в поисковой строке Windows [Варианты входа] ① и нажмите [Открыть] ②.

2. В параметрах входа прокрутите вниз до раздела Динамическая блокировка и установите флажок [Разрешить Windows автоматически блокировать Ваше устройство, когда Вас нет] ③.

3. Если Вы видите уведомление о том, что динамическая блокировка не работает, потому что на Вашем компьютере нет сопряженного устройства, выберите [Bluetooth и другие устройства] ④, чтобы выполнить сопряжение устройства Bluetooth с Вашим компьютером. Здесь Вы можете узнать больше: Как установить сопряжение с устройством Bluetooth.

4. После завершения сопряжения блокировка будет отображаться, как показано ниже. Когда Вы отойдете от ПК, возьмите с собой устройство Bluetooth, и Ваш компьютер автоматически заблокируется примерно через минуту после того, как Вы окажетесь вне зоны действия Bluetooth.

Вернуться в начало

Источник

There are so many different ways to get past the lock screen in Windows 10. The unlocking methods include typing a PIN, touching the fingerprint sensor, or using the Webcam. One should always keep his/her device locked to safeguard it from any unauthorized access. However, users tend to keep their devices unlocked especially when they live alone. If you are one such user and want to know how to either enable or disable Hello Pin in Windows 10, this post is for users like you.

For this, one may use either the Local Settings app, configure the Local Group Policy, or tweak a few entries inside the registry. Let’s see which one of these methods suits you the most.

Ways to Turn On or Off Windows Hello PIN

Here we discuss three different ways to enable or disable Windows Hello PIN on your device. They are –

1] Using the Settings app

Windows Settings app provides an easy way to either turn on or off the Windows Hello PIN. Follow the below sections as per the requirement –

How to create Windows Hello PIN

Hold the Win key and press X to launch the Power Menu. Amongst the options, select Settings.
Select Account thereafter Sign-in Options from the left column.
Switch to the right pane, scroll, and locate Manage how you sign in to the device.
Click to expand Windows Hello PIN thereafter hit the Add button.

Create a password first then only you can set the four-digit login PIN. Subsequently, hit the Finish button.

Reboot the device, Windows will ask for the PIN the next time you try to log in.

Remove Windows Hello PIN

To disable the hello pin, use the following steps –

Press Windows and I hotkey to launch the Settings app.
Select Accounts thereafter Sign-in Options on the succeeding screen.
On the right pane, click Windows Hello PIN under Manage how you sign in to your device.
Now, Hit the Remove button then Remove again to completely remove the hello pin.

Restart your PC and you may sign in to Windows without entering any passcode.

Note: If you are using Windows OS prior to April 2019 update version 1903, the steps may vary. However, you do get the idea, aren’t you?

2] Enable or Disable Windows Hello PIN using Local Group Policy

Alternatively, users may also turn on or off the Windows Hello PIN using the group policy editor directly. Do note that this way is not applicable for users running their devices on Windows 10 Home Edition. All such users may skip this section and perform similar changes through the registry. Here’s how to make changes to the Group Policy –

Open the Run dialog by pressing Win + R.
In the text box, type gpedit.msc and hit the OK button.
On the upcoming window, navigate to the following destination –

Computer Configuration -> Administrative Templates -> System -> Logon

Head over to the right pane and double-click on the policy – “Turn on convenience PIN sign-in“.

Next, mark the checkbox next to Disable then OK again to save the recent changes.

Subsequently, turn off the Windows Hello PIN (if exist).

That’s it, you may now close the Group Policy and Restart your PC so that the changes made come into effect from the next login.

Tip: If you want to re-enable the Windows Hello PIN, reach out to the “convenience PIN sign-in” policy and tick the Enable button instead.

3] Enable or Disable Windows Hello PIN via Registry Editor

By default, there isn’t any Group Policy inside the Windows 10 Home Edition. As a result of this, you can’t use the above trick to enable or disable Hello PIN on your PC. If you are one such user, you may do the following changes inside the registry. Here’s what you need to do to disable or re-enable the four-digit PIN on your computer –

Note: Since this involves making changes to the registry, you must create a registry backup before proceeding ahead. You may use this if something went wrong while configuring the entries inside the registry.

Press Windows and R to launch the Run dialog.
Type “Regedit” without quotes on it and hit OK.
When the UAC window prompts, hit Yes to authorize opening the registry.
Next, navigate to this path –

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\default\Settings\ AllowSignInOptions

Head over to the right pane, and double-click on the Value entry.
Change the value data from “1” to “0” and keep the Base selected to Hexadecimal.

Hit OK to save the recent changes. From the next login, Windows won’t ask for the 4-digit PIN.

Tip: To re-enable the Hello PIN, set the DWORD key value back to “1“.

That’s it, we hope this guide helps to either enable or disable Windows Hello PIN on your device.

Источник

Время на прочтение8 мин

Количество просмотров25K

Делимся с вами обзорным материалом про службу Windows Hello, обеспечивающую двухфакторную проверку на Windows 10. Также вы узнаете, чем она будет полезна для крупных компаний, почему стоит выбирать PIN-код, а не пароль и как её настроить.

Windows Hello — что это и зачем?

В Windows 10 служба Windows Hello для бизнеса заменяет пароли на строгую двухфакторную проверку подлинности на компьютерах и мобильных устройствах. Она заключается в создании нового типа учетных данных пользователя в привязке к устройству, использовании биометрических данных или PIN-кода.

В первых версиях Windows 10 были службы Microsoft Passport и Windows Hello, которые обеспечивали многофакторную проверку подлинности. Чтобы упростить развертывание и расширить возможности поддержки, Microsoft объединила эти технологии в единое решение — Windows Hello. Если вы уже выполнили развертывание этих технологий, то вы не заметите никаких изменений в функционировании служб. Для тех, кому еще предстоит оценить работу Windows Hello, выполнить развертывание будет гораздо проще благодаря упрощенным политикам, документации и семантике.

Служба Hello призвана решать типичные проблемы пользователей, возникающие при работе с паролями:

Пароли могут быть трудны для запоминания, и пользователи часто повторно используют пароли на нескольких сайтах.
Взломы сервера могут раскрывать симметричные сетевые учетные данные.
Пароли могут подлежать атакам с повторением пакетов.
Пользователи могут непреднамеренно предоставить свой пароль вследствие фишинга.

Hello позволяет выполнить проверку подлинности учетной записи Microsoft, учетной записи Active Directory, учетной записи Microsoft Azure Active Directory (Azure AD) и службы поставщика удостоверений или службы проверяющей стороны, которые поддерживают проверку подлинности Fast ID Online (FIDO) v2.0.

После начальной двухэтапной проверки при регистрации на вашем устройстве настраивается служба Hello, и вы сами устанавливаете жест, который может быть как биометрическим, например отпечатком пальца, так и PIN-кодом. Далее необходимо сделать жест для проверки своего удостоверения. После этого Windows использует Hello для проверки подлинности и предоставления им доступа к защищенным ресурсам и службам.

От имени администратора компании или общеобразовательной организации можно создать политики управления Hello для использования на устройствах под управлением Windows 10, которые подключаются к вашей организации.

Разница между Windows Hello и Windows Hello для бизнеса

Windows Hello предназначена для удобного и безопасного входа пользователя. Такое использование Hello обеспечивает отдельный уровень защиты, так как является уникальным для устройства, на котором настраивается, однако проверка подлинности на основе сертификатов при этом отсутствует.

Служба Windows Hello для бизнеса, которая настраивается групповой политикой или политикой MDM, использует проверку подлинности на основе ключа или сертификата.

В настоящее время в учетных записях Active Directory с использованием Windows Hello не поддерживается проверка подлинности на основе ключа или сертификата. Эта функция должна появиться в будущем выпуске.

Почему PIN-код, а не пароль?

Пароли представляют собой общие секреты, они вводятся на устройстве и передаются по сети на сервер. Перехваченные имя и пароль учетной записи могут быть использованы кем угодно. Например, учетные данные могут быть раскрыты при взломе сервера.

В Windows 10, в процессе подготовки, служба Hello создает пару криптографических ключей, привязанных к доверенному платформенному модулю (TPM), если устройство оснащено таким модулем, или в программной реализации. Доступ к этим ключам и получение подписи для проверки того, что пользователь владеет закрытым ключом, предоставляется только при вводе PIN-кода или биометрического жеста. Двухэтапная проверка, которая происходит при регистрации в службе Hello, формирует доверительные взаимоотношения между поставщиком удостоверений и пользователем, когда открытая часть пары «открытый/закрытый ключ» отправляется поставщику удостоверений и связывается с учетной записью пользователя. Когда пользователь выполняет жест на устройстве, поставщик удостоверений определяет по комбинации ключей Hello и жеста, что это проверенное удостоверение, и предоставляет маркер проверки подлинности, с помощью которого Windows 10 получает доступ к ресурсам и службам. Кроме того, в процессе регистрации генерируется претензия по удостоверению для каждого поставщика удостоверений, чтобы криптографически подтвердить, что ключи Hello привязаны к TPM. Если претензия по удостоверению во время регистрации не выставляется поставщику удостоверений, поставщик удостоверений должен предполагать, что ключ Hello создан программно.

Представьте, что кто-то подсматривает через ваше плечо при получении денежных средств из банкомата и видит вводимый вами PIN-код. Наличие этого PIN-кода не поможет им получить доступ к учетной записи, так как у них нет банковской карты. Аналогичным образом перехват PIN-кода для устройства не позволяет злоумышленнику получить доступ к учетной записи, так как PIN-код является локальным для конкретного устройства и не обеспечивает никакого типа проверки подлинности с любого другого устройства.

Hello как раз позволяет защищать удостоверения и учетные данные пользователей. Так как пароли не используются, фишинг и атаки методом подбора становятся бесполезными. Эта технология позволяет также предотвратить взломы серверов, так как учетные данные Hello являются асимметричной парой ключей, что предотвращает атаки с повторяющимися пакетами, так как эти ключи защищены доверенными платформенными модулями (TPM).

Также можно использовать устройства с Windows 10 Mobile в качестве удаленных учетных данных при входе на ПК под управлением Windows 10. В процессе входа в систему ПК под управлением Windows 10 он может подключаться и получать доступ к Hello на вашем устройстве под управлением Windows 10 Mobile по Bluetooth. Поскольку мы всегда носим с собой телефон, Hello позволяет гораздо проще реализовать двухфакторную проверку подлинности.

Функция входа через телефон в данный момент доступна только отдельным участникам программы принятия технологий (TAP).

Так как же PIN-код помогает защитить устройство лучше, чем пароль?

Преимущества PIN-кода в сравнении с паролем связаны не с его структурой (длиной и сложностью), а с принципом работы.

1. PIN-код привязан к устройству. Злоумышленник, получивший доступ к паролю, может войти в учетную запись с любого устройства, но в случае кражи PIN-кода вход в учетную запись будет невозможен без доступа к соответствующему устройству.

2. PIN-код хранится на устройстве локально. Пароль передается на сервер и может быть перехвачен в процессе передачи или украден с сервера. PIN-код задается на устройстве на локальном уровне, не передается и не хранится на сервере. При создании PIN-кода устанавливаются доверительные отношения с поставщиком удостоверений и создается пара асимметричных ключей, используемых для проверки подлинности. При вводе PIN-кода ключ проверки подлинности разблокируется и используется для подтверждения запроса, отправляемого на сервер для проверки подлинности.

3. PIN-код поддерживается оборудованием. PIN-код Hello поддерживается микросхемой доверенного платформенного модуля (TPM), представляющей собой надежный криптографический процессор для выполнения операций шифрования. Эта микросхема содержит несколько механизмов физической защиты для предотвращения взлома, и вредоносные программы не могут обойти функции безопасности TPM. TPM применяется во всех телефонах с Windows 10 Mobile и во многих современных ноутбуках.

Материал ключа пользователя создается и становится доступным в доверенном платформенном модуле (TPM) на устройстве пользователя, что защищает материал от перехвата и использования злоумышленниками. Поскольку технология Hello подразумевает использование пар асимметричных ключей, учетные данные пользователей не будут похищены в случае нарушения безопасности поставщика удостоверений или веб-сайтов, к которым пользователь осуществляет доступ.

TPM защищает от множества известных и потенциальных атак, в том числе атак методом подбора PIN-кода. После определенного количества попыток ввода неправильного PIN-кода устройство блокируется.

4. PIN-код может быть сложным. К PIN-коду Windows Hello для бизнеса применяется тот же набор политик управления ИТ, что и к паролю, в том числе сложность, длина, срок действия и история изменений. Несмотря на уверенность большинства пользователей в том, что PIN-код представляет собой простой код из 4 цифр, администраторы могут устанавливать для управляемых устройств политики, предполагающие уровень сложности PIN-кода, сопоставимый с паролем. Вы можете сделать обязательными или запретить специальные знаки, буквы в верхнем и нижнем регистрах, а также и цифры.

Раздел меню настроек в котором задаются параметры PIN-кода и биометрия:

Что произойдет в случае кражи ноутбука или телефона?

Для нарушения безопасности учетных данных Windows Hello, защищаемых TPM, злоумышленнику нужно осуществить доступ к физическому устройству, найти способ похитить биометрические данные пользователя или подобрать PIN-код. Все это нужно сделать раньше, чем функциональный механизм защиты от взлома TPM заблокирует устройство. Для ноутбуков, не имеющих TPM, можно настроить дополнительную защиту, активировав BitLocker и ограничив количество неудачных попыток входа в систему.

Настройка BitLocker без TPM

С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику:

Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Шифрование диска BitLocker → Диски операционной системы → Требовать дополнительной проверки подлинности при запуске

В параметрах политики выберите Разрешить использование BitLocker без совместимого TPM, а затем нажмите кнопку ОК.

Перейдите в меню Панель управления → Система и безопасность → Шифрование диска BitLocker и выберите диск с операционной системой, который требуется защитить.

С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику: Конфигурация компьютера → Параметры Windows → Параметры безопасности → Политики учетных записей → Политика блокировки учетных записей → Пороговое значение блокировки.

Установите допустимое количество неудачных попыток входа в систему и нажмите ОК.

Как работает Windows Hello для бизнеса: основные положения

1. Учетные данные службы Hello основаны на сертификате или асимметричной паре ключей и привязаны к устройству, как и маркер, получаемый с помощью учетных данных.

2. Поставщик удостоверений (например, Active Directory, Azure AD или учетная запись Майкрософт) проверяет удостоверение пользователя и сопоставляет открытый ключ Hello с учетной записью пользователя на этапе регистрации.

3. Ключи могут генерироваться в аппаратном (TPM 1.2 или 2.0 для предприятий и TPM 2.0 для потребителей) или программном обеспечении на основании политики.

4. Проверка подлинности — это двухфакторная проверка с использованием сочетания ключа или сертификата, привязанного к устройству, и информации, известной пользователю PIN-код), или идентификационных данных пользователя (Windows Hello). Жест Hello не перемещается между устройствами и не предоставляется серверу. Он хранится локально на устройстве.

5. Закрытый ключ никогда не покидает устройство. Проверяющий подлинность сервер имеет открытый ключ, который был сопоставлен с учетной записью пользователя во время регистрации.

6. Ввод PIN-кода и биометрических жестов приводит к проверке удостоверения пользователя в Windows 10 и проверке подлинности с использованием ключей или сертификатов Hello.

7. Личные (учетная запись Майкрософт) или корпоративные учетные записи (Active Directory или Azure AD) использует один контейнер для ключей. Все ключи разделены по доменам поставщиков удостоверений в целях обеспечения конфиденциальности пользователя.

8. Закрытые ключи сертификатов могут быть защищены контейнером Hello и жестом Hello.

Сравнение проверки подлинности на основе ключа и сертификата

Для подтверждения личности служба Windows Hello для бизнеса может использовать ключи (аппаратный или программный) или сертификаты с ключами в аппаратном или программном обеспечении. Предприятия с инфраструктурой открытых ключей (PKI) для выпуска и управления сертификатами могут продолжать использовать PKI вместе со службой Hello. Предприятия, у которых нет PKI или которые хотят сократить объем работ, связанных с управлением сертификатами, могут использовать для службы Hello учетные данные на основе ключа.

Аппаратные ключи, которые создаются модулем TPM, обеспечивают наиболее высокий уровень гарантии. При изготовлении в модуль TPM помещается сертификат ключа подтверждения (EK). Этот сертификат EK создает корневое доверие для всех других ключей, которые генерируются в этом модуле TPM. Сертификация EK используется для генерации сертификата ключа удостоверения подлинности (AIK), выданного службой сертификации Microsoft. Этот сертификат AIK можно использовать как претензию по удостоверению, чтобы доказать поставщикам удостоверений, что ключи Hello генерировались одним и тем же TPM. Центр сертификации Майкрософт (CA) генерирует сертификат AIK для каждого устройства, пользователя и IDP, чтобы гарантировать защиту конфиденциальности.

Если поставщики удостоверений, например Active Directory или Azure AD, регистрируют сертификат в службе Hello, Windows 10 будет поддерживать тот же набор сценариев, что и смарт-карта. Если тип учетных данных представляет собой ключ, будет поддерживаться только доверие и операции на основе ключа.

Мы постарались написать для вас подробный и понятный туториал по работе со службой Windows Hello. Если у вас остались вопросы, задавайте в комментариях.

Источник

Windows 11 Hello setup
(Image credit: Mauro Huculak)

On Windows 11, in addition to signing in with your Microsoft or local account password, you can also configure one of the Windows Hello authentication methods for a more secure experience.

Windows Hello is a feature that allows you to use biometric authentication (such as fingerprint or face recognition) or a PIN instead of a traditional password.

Perhaps the most important aspect of this feature is security since biometric authentication is generally more secure because it’s based on your unique physical characteristics. Also, since the information is stored securely on your computer rather than a server, it’s less vulnerable to attacks. Furthermore, signing in with your face, fingerprint, or PIN is faster and easier than typing in a password.

On Windows 11, you can configure one or more Windows Hello authentication methods and choose which method to use on the sign-in screen.

In this how-to guide, I will outline the different ways you can configure Windows Hello on Windows 11, depending on the biometric hardware supported by your device.

How to set up PIN authentication on Windows 11

On Windows 11, the system will prompt you to set up at least one of the Windows Hello authentication methods available, depending on the device’s capabilities. The most common method is the PIN method since it doesn’t require special biometric hardware.

If your computer doesn’t have a PIN, you can create one using the steps below. You can always change or remove it completely.

All the latest news, reviews, and guides for Windows and Xbox diehards.

Create PIN

To create a PIN for a Windows 11 account, use these steps:

Open Settings.
Click on Accounts.
Click the Sign-in options page from the right side.

(Image credit: Mauro Huculak)

Click the «PIN (Windows Hello)» setting under the «Ways to sign in» section.
Click the Set up button.

(Image credit: Mauro Huculak)

Click the Next button.
Confirm the new PIN.

(Image credit: Mauro Huculak)

Click the OK button.

Once you complete the steps, the next time you log in, the system will default to the PIN authentication method instead of a password.

Change PIN

To change the PIN on your account, use these steps:

Open Settings.
Click on Accounts.
Click the Sign-in options page from the right side.

(Image credit: Mauro Huculak)

Click the «PIN (Windows Hello)» setting under the «Ways to sign in» section.
Click the Change PIN button.

(Image credit: Mauro Huculak)

Confirm your current PIN.
Create your new PIN.

(Image credit: Mauro Huculak)

Quick tip: If you click the «Include letters and symbols» option, you can create a PIN similar to a password that is only locally relevant to the computer.

Click the OK button.

After you complete the steps, you can start using the new PIN in the login.

Remove PIN

To remove the PIN authentication, use these steps:

Open Settings.
Click on Accounts.
Click the Sign-in options page from the right side.

(Image credit: Mauro Huculak)

Click the «PIN (Windows Hello)» setting under the «Ways to sign in» section.
Click the Remove button for the «Remove this sign-in option» setting.

(Image credit: Mauro Huculak)

Click the Remove button again to confirm.
Confirm your Microsoft account password.
Click the OK button.

Once you complete the steps, the system will default to the next available authentication method, the password, if you don’t have another Windows Hello feature enabled.

How to set up Fingerprint authentication on Windows 11

You can configure the Fingerprint authentication method if you have a device such as a keyboard or a fingerprint reader.

This authentication method requires a fingerprint reader. Usually, this hardware comes built on certain laptops and keyboards, and you can also purchase a USB fingerprint reader.

Create Fingerprint

To configure Windows 11 to sign in with a fingerprint, use these steps:

Open Settings.
Click on Accounts.
Click the Sign-in options page from the right side.

(Image credit: Mauro Huculak)

Click the «Fingerprint recognition (Windows Hello)» setting under the «Ways to sign in» section.
Click the Set up button.
Click the Get started button.
Confirm your account password (if applicable).

(Image credit: Mauro Huculak)

After you complete the steps, you can proceed to use your fingerprint to sign in to Windows 11.

Add Fingerprint

To register additional fingerprints, use these steps.

Open Settings.
Click on Accounts.
Click the Sign-in options page from the right side.

(Image credit: Mauro Huculak)

Click the «Fingerprint recognition (Windows Hello)» setting under the «Ways to sign in» section.
Click the Add a finger button.

(Image credit: Mauro Huculak)

Click the Get started button.

(Image credit: Mauro Huculak)

Confirm your account credentials.
Continue with the on-screen directions.

(Image credit: Mauro Huculak)

Once you complete the steps, you can sign in using another finger.

Remove Fingerprint

To remove the Fingerprint feature on Windows 11, use these steps:

Open Settings.
Click on Accounts.
Click the Sign-in options page from the right side.

(Image credit: Mauro Huculak)

Click the «Fingerprint recognition (Windows Hello)» setting under the «Ways to sign in» section.
Click the Remove button.

(Image credit: Mauro Huculak)

Click the Remove button again.

After you complete the steps, you can continue to sign in to your account using another Windows Hello method or password.

How to set up Face authentication on Windows 11

Windows 11 also includes support for signing in with your face if the computer has a camera that supports Windows Hello.

This authentication method requires a camera supporting Windows Hello. Usually, devices like a Surface Pro and Surface Laptop come with this capability built-in, but you can find external cameras like the Logitech BRIO webcam that comes with facial recognition support.

Create Face

To set up a Face authentication method, use these steps:

Open Settings.
Click on Accounts.
Click the Sign-in options page from the right side.

(Image credit: Mauro Huculak)

Click the «Facial recognition (Windows Hello)» setting under the «Ways to sign in» section.
Click the Set up button.

(Image credit: Mauro Huculak)

Click the Get started button.
Confirm your account credentials.
Create your facial authentication as indicated on the screen.

(Image credit: Mauro Huculak)

Click the Close button.

Once you complete the steps, you can sign in to Windows 11 by just looking at the camera on your computer.

Improve recognition

To improve the accuracy of the face recognition, use these steps:

Open Settings.
Click on Accounts.
Click the Sign-in options page from the right side.

(Image credit: Mauro Huculak)

Click the «Facial recognition (Windows Hello)» setting under the «Ways to sign in» section.
Click the Improve recognition button.

(Image credit: Mauro Huculak)

Click the Get started button.
Confirm your account credentials.
Continue with the on-screen directions.

(Image credit: Mauro Huculak)

Click the Close button.

After you complete the steps, the Windows Hello Face method should sign you in more accurately.

Remove Face

To remove the Windows Hello Face authentication from your computer, use these steps:

Open Settings.
Click on Accounts.
Click the Sign-in options page from the right side.

(Image credit: Mauro Huculak)

Click the «Facial recognition (Windows Hello)» setting under the «Ways to sign in» section.
Click the Remove button.

(Image credit: Mauro Huculak)

Once you complete the steps, you can continue to access your Windows 11 account using a password or another Windows Hello authentication.

More resources

For more helpful articles, coverage, and answers to common questions about Windows 10 and Windows 11, visit the following resources:

Windows 11 on Windows Central — All you need to know
Windows 10 on Windows Central — All you need to know

Mauro Huculak has been a Windows How-To Expert contributor for WindowsCentral.com for nearly a decade and has over 15 years of experience writing comprehensive guides. He also has an IT background and has achieved different professional certifications from Microsoft, Cisco, VMware, and CompTIA. He has been recognized as a Microsoft MVP for many years.

Источник