Как в windows 7 осуществляется поддержка биометрических устройств
Обновлено: 04.07.2024
Windows Hello — это функция биометрической проверки подлинности, повышающая ее надежность и обеспечивающая защиту от возможного спуфинга благодаря сопоставлению отпечатков пальцев и распознаванию лиц.
В первых выпусках Windows 10 предоставлялись службы Microsoft Passport и Windows Hello, которые вместе обеспечивали многофакторную проверку подлинности. Чтобы упростить развертывание и расширить возможности поддержки, Microsoft объединила эти технологии в единое решение — Windows Hello. Пользователи, которые уже выполнили развертывание этих технологий, не заметят никаких изменений в функционировании этих служб. Для тех клиентов, которым еще предстоит оценить работу Windows Hello, выполнить развертывание будет гораздо проще благодаря упрощенным политикам, документации и семантике.
Так как мы понимаем, что ваши сотрудники захотят использовать эту новую технологию в вашем предприятии, мы активно работаем с производителями устройств, чтобы создать строгие рекомендации по проектированию и производительности, которые помогут вам более уверенно внедрять Windows Hello биометрии в вашу организацию.
В чем состоит принцип работы Windows Hello?
Windows Hello позволяет сотрудникам использовать в качестве альтернативного способа разблокировки устройства отпечатки пальцев или распознавание лиц. В случае использования Windows Hello проверка подлинности выполняется при вводе сотрудником его/ее уникального биометрического идентификатора во время получения доступа к учетным данным Windows Hello конкретного устройства.
Функция проверки Windows Hello используется для проверки подлинности и подтверждения доступа сотрудников к корпоративной сети. Проверка подлинности не перемещается между устройствами, не разделяется с сервером и не может быть легко извлечена с устройства. Если одно устройство используют несколько сотрудников, то каждый из них будет получать доступ с помощью своих собственных биометрических данных.
Почему сотрудникам следует разрешить использовать Windows Hello?
Windows Hello имеет множество преимуществ, в том числе следующие:
Эта функция повышает уровень защиты учетных данных от кражи. Так как злоумышленник должен иметь как устройство, так и биометрическую информацию или ПИН-код, получить доступ без ведома сотрудника гораздо сложнее.
Сотрудники получают простой метод проверки подлинности (с помощью ПИН-кода), который всегда с ними, поэтому терять нечего. Проблема забытых паролей теперь не актуальна!
Поддержка Windows Hello встроена в операционную систему, поэтому добавлять дополнительные биометрические устройства и политики в рамках скоординированного выпуска или для отдельных сотрудников или групп можно с использованием групповой политики или поставщика служб конфигурации (CSP) управления мобильными устройствами (MDM).
Дополнительные сведения о доступных групповых политиках и поставщиках служб конфигурации MDM см. в разделе Развертывание Windows Hello для бизнеса в организации.
Где хранятся Windows Hello данные?
Биометрические данные, используемые функцией Windows Hello, хранятся только на локальном устройстве. Он не перемещается и никогда не отправляется на внешние устройства или серверы. Такое разделение обеспечивает защиту от возможных атак за счет отсутствия единственной точки сбора, которая может быть скомпрометирована, в результате чего злоумышленник получит доступ к биометрическим данным. Кроме того, даже если злоумышленнику удалось получить биометрические данные с устройства, он не может быть преобразован обратно в необработанные биометрические образцы, которые можно распознать с помощью биометрического датчика.
Каждый датчик на устройстве будет иметь свой биометрический файл базы данных, в котором хранятся данные шаблона. Каждая база данных имеет уникальный, случайно созданный ключ, который шифруется в системе. Данные шаблона для датчика шифруются с помощью этого ключа для базы данных с помощью AES с режимом цепочки CBC. Hash — SHA256. Некоторые датчики отпечатков пальцев имеют возможность выполнить соответствие в модуле датчика отпечатков пальцев, а не в ОС. Эти датчики будут хранить биометрические данные в модуле отпечатков пальцев, а не в файле базы данных.
Установила ли корпорация Майкрософт какие-либо требования к устройствам для использования Windows Hello?
Мы работаем с производителями устройств, чтобы обеспечить высокий уровень производительности и защиты каждого датчика и устройства, исходя из этих требований:
Коэффициент ложного пропуска (FAR). Показатель, определяющий частоту предоставления решением для биометрической идентификации доступа лицам, не имеющим соответствующих полномочий. Как правило, это количество случаев на заданный объем выборки, например 1 к 100 000. Этот показатель также можно представить в виде процентного значения, например 0,001%. Это измерение считается наиболее важным в отношении безопасности биометрического алгоритма.
Коэффициент ложного отказа в доступе (FRR). Показатель, определяющий частоту некорректных отказов в предоставлении решением для биометрической идентификации доступа лицам, имеющим соответствующие полномочия. Обычно выражен процентным значением; сумма коэффициентов ложного пропуска и ложного отказа в допуске равна 1. Может иметь или не иметь защиту от подделывания или функцию определения живучести.
Требования датчику для сканирования отпечатков пальцев
Чтобы разрешить сопоставление отпечатков пальцев, необходимо использовать устройства с датчиками для сканирования отпечатков и соответствующее программное обеспечение. Датчики отпечатков пальцев или датчики, которые используют уникальный отпечаток пальца сотрудника в качестве альтернативного параметра журнала, могут быть сенсорными датчиками (большая область или небольшая область) или датчиками свайпов. Для каждого типа датчика применим собственный набор подробных требований, которые должны быть реализованы производителями; при этом все датчики должны обладать свойствами защиты от подделывания (обязательное требование).
Допустимый диапазон производительности для сенсорных датчиков с любым размером области сканирования
Коэффициент ложного пропуска (FAR): <0,001–0,002 %
Эффективный действующий FRR с защитой от подделывания или определением живучести: <10 %
Допустимый диапазон производительности для датчиков с поддержкой движения пальцем
Коэффициент ложного пропуска (FAR): <0,002 %
Эффективный действующий FRR с защитой от подделывания или определением живучести: <10 %
Датчики распознавания лиц
Чтобы разрешить распознавание лиц, необходимо использовать устройства со специальными встроенными особенными инфракрасными датчиками (IR) и соответствующим программным обеспечением. Датчики распознавания лиц используют специальные камеры, которые видят в ИК-свете, позволяя им распознать разницу между фотографией и живым человеком при сканировании функций лица сотрудника. Такие датчики, как и датчики для сканирования отпечатков пальцев, должны обладать свойствами защиты от подделывания (обязательное требование) и предоставлять возможность настройки (дополнительно).
False Accept Rate (FAR): < 0.001%
Коэффициент ложного отказа в доступе (FRR) без защиты от подделывания или определения живучести: <5 %
Эффективный действующий FRR с защитой от подделывания или определением живучести: <10 %
Windows Hello проверка подлинности лица в настоящее время не поддерживает ношение маски во время регистрации или проверки подлинности. Ношение маски для регистрации является проблемой безопасности, так как другие пользователи, носив аналогичную маску, могут разблокировать устройство. Группа продуктов знает об этом поведении и изучает эту тему далее. Удалите маску, если она будет на вас при регистрации или разблокировать с помощью Windows Hello проверки подлинности. Если рабочая среда не позволяет временно удалить маску, рассмотрите возможность удаления из проверки подлинности лиц только с помощью ПИН-кода или отпечатка пальца.
Биометрические устройства компьютерной безопасности
Когда дело доходит до потребительских компьютеров, особенно ноутбуков, конечные пользователи предпочитают Windows. Поэтому настройка безопасности Windows с помощью биометрических устройств немного сложна. Большинство считывателей отпечатков пальцев снабжены сторонним программным обеспечением, которое интегрируется с системой безопасности Windows, чтобы включить аутентификацию через поддерживаемые биометрические устройства. Это связано с тем, что в Windows нет встроенной поддержки универсальных драйверов для биометрических устройств.
Существует распространенное мнение, что «мой палец со мной, поэтому никто не может скопировать мой отпечаток пальца и войти в мой компьютер». Это не верно. Это не рекомендуемая практика.
Когда компьютер загружается в безопасном режиме, загружаются только основные драйверы по умолчанию, необходимые для работы компьютеров. Драйверы биометрических устройств не являются необходимыми для функционирования компьютера и, следовательно, они не загружены. Поэтому в безопасном режиме компьютер не знает о подключении к нему биометрических устройств. На данный момент работает только традиционный пароль. Поэтому, если пароль не установлен, учетная запись пользователя не имеет никакой защиты, то есть физические хакеры могут легко войти в компьютер из безопасного режима и получить полный контроль над компьютером. Это очень просто для хакеров, потому что для учетной записи администратора не установлен пароль.
Компании обычно используют сторонние средства безопасности, которые защищают даже меню загрузки и не позволяют физическим хакерам войти в безопасный режим. Такие инструменты недоступны для потребителей, поскольку они требуют большей инфраструктуры или недоступны для отдельных пользователей.
Безопасная Windows с биометрическими устройствами
Шаги по созданию пароля для учетной записи пользователя можно найти ниже:
Для Windows 7
1. Откройте учетные записи пользователей, нажав кнопку «Пуск»> «Панель управления»> «Учетные записи пользователей и безопасность семьи», а затем нажмите «Учетные записи пользователей».
2. Нажмите Создать пароль.
3. Введите пароль в поле «Новый пароль», а затем снова введите пароль в поле «Подтвердить новый пароль».
4. Если вы хотите использовать подсказку для пароля, введите подсказку в поле Подсказка для пароля. Убедитесь, что подсказка не поможет другим угадать пароль.
5. Нажмите Создать пароль.
Для Windows 8, Windows 8.1, Windows 10
Решение проблемы с кодировкой символов на сайте (UTF-8). Отображает иероглифы или знаки вопроса
Биометрические устройства - это устройства, которые могут использоваться для распознавания наших уникальных идентификаторов, таких как отпечатки пальцев или шаблоны сетчатки глаза. В начале, когда этот тип мер безопасности был введен, только крупные организации использовали их для защиты данных от кражи или неправильного использования. В сегодняшнем мире биометрические устройства обнаруживаются даже в потребительских ноутбуках (в частности, сканерах для печати пальцев). Но стоит ли использовать биометрические устройства? Это действительно безопасно? Ответы на эти вопросы обсуждаются в следующих параграфах.
Биометрические устройства компьютерной безопасности
Когда речь идет о потребительских компьютерах, особенно ноутбуках, конечные пользователи предпочитают Windows. Поэтому настройка безопасности Windows с помощью биометрических устройств немного сложна. Большинство считывателей отпечатков пальцев снабжены сторонним программным обеспечением, которое интегрируется с безопасностью Windows, чтобы обеспечить аутентификацию через поддерживаемые биометрические устройства. Это связано с тем, что в Windows нет встроенной поддержки общих драйверов для биометрических устройств.
Конечные пользователи (здесь сосредоточены потребители) возбуждаются, когда они настраивают Windows на использование биометрических устройств, поскольку аутентификация - это только их палец. Большинство пользователей настраивают безопасность Windows только на этом уровне и не беспокоятся о создании текстового пароля (традиционный метод).
Существует общее представление о том, что «мой палец со мной, поэтому никто не может скопировать мой палец распечатать и войти в мой компьютер ». Это не верно. Это не рекомендуется.
Когда компьютер загружается в безопасном режиме, загружаются только базовые драйверы по умолчанию, необходимые для работы компьютеров. Драйверы биометрических устройств не являются существенными для функционирования компьютера, и, следовательно, они не загружаются. Поэтому в безопасном режиме компьютер не знает о подключении биометрических устройств к компьютеру. На данный момент работает только традиционный пароль. Поэтому, если пароль не установлен, учетная запись пользователя не имеет защиты, то есть физические хакеры могут легко войти в компьютер из безопасного режима и получить полный контроль над компьютером. Это очень просто для хакеров, потому что для учетной записи администратора не установлен пароль.
Обычно компании используют сторонний инструмент безопасности, который защищает даже меню загрузки и не позволяет физическим хакерам попасть в безопасный режим. Такие инструменты недоступны для потребителей, потому что они требуют более крупной инфраструктуры или недоступны для отдельных пользователей.
Защита Windows с помощью биометрических устройств
Чтобы действительно защитить компьютеры с помощью биометрических устройств, необходимо также включить пароль. Большинство программ имеют возможность устанавливать пароль как необязательный - в случае, если палец ранен. Расширенные меры безопасности могут быть, позволяя двухфакторную аутентификацию, а также использование комбинации паролей и отпечатков пальцев.
Шаги по созданию пароля для учетной записи пользователя можно найти ниже:
Для Windows 7
1. Откройте «Учетные записи пользователей», нажав кнопку «Пуск»> «Панель управления»> «Учетные записи пользователей» и «Семейная безопасность», а затем «Учетные записи пользователей».
2. Нажмите «Создать пароль».
3. Введите пароль в поле «Новый пароль», а затем введите пароль еще раз в поле «Подтвердить новый пароль».
4. Если вы хотите использовать подсказку для пароля, введите подсказку в поле подсказки пароля. Убедитесь, что подсказка не помогает другим угадать пароль.
5. Нажмите «Создать пароль».
Для Windows 8, Windows 8.1, Windows 10
Отверстия для защиты веб-сайтов делают случай защиты
Распространенность уязвимостей на проверенных веб-сайтах показывает, почему вы не можете просто смотреть, где вы занимаетесь серфингом и безопасно в Интернете.
Инструменты для параноидальных: 5 бесплатных средств защиты для защиты ваших данных
Будем ли мы работать с коммерческой тайной или просто предпочитаем держите наши биржевые сделки в секрете, у всех нас есть данные, которые для нас неоценимы, и ценные для онлайн-злодеев. PCWorld раскрывает пять бесплатных инструментов для защиты паролей, анонимного просмотра и шифрования наших самых ценных документов.
Защищенная цифровая карта Windows Phone
Эта статья поможет вам понять, как устройства Windows Phone 7 используют SD-карты, требования к производительности SD-карт для Устройства Windows Phone 7.
В современном мире вопросы информационной безопасности стоят особенно остро в силу нескольких причин. Это и важность сохраняемой информации, ее капиталоемкость, и обострение криминогенной ситуации в области защиты информации из-за имеющего места мирового финансового кризиса.
Подавляющее большинство бизнесменов и менеджеров, задействованных на ответственных должностях, ежедневно в своей работе используют портативные переносные устройства обработки информации - ноутбуки, нетбуки, КПК и коммуникаторы различного назначения. Нет нужды много говорить о важности доступа к информации, которая хранится и обрабатывается в их недрах, и о последствиях ее утраты или доступа к ней посторонних лиц. Все эти вопросы носят характер первостепенной важности.
Одна из последних операционных систем линейки Windows - Windows 7 предлагает в своём составе комплексный подход к решению данной проблемы. Одним из основных компонентов такого подхода явилась реализация Windows Biometric Framework биометрической инфраструктуры.
Например, в Windows Vista, если вы хотели использовать отпечатки пальцев для входа в систему, нужно было использовать ПО производителей датчиков, считывающих отпечатки пальцев. Новая функция безопасности в Windows 7 под названием Biometric Framework предоставляет собственную поддержку устройств считывания отпечатков пальцев и упрощает задачу внедрения биометрической безопасности в решении повседневных задач. Эта технология используется для управления считыванием отпечатков пальцев. Причём можно управлять настройками биометрических устройств из панели управления системы, а параметры можно настраивать на разрешение входа пользователей в Windows и/или в домен, используя биометрические данные. Для каждого пользователя можно даже задавать вполне определённый палец (его отпечаток).
Служба Windows Biometric Service (WBS) является частью инфраструктуры, управляющей устройствами считывания отпечатков пальцев и действующей в качестве посредника ввода-вывода между приложениями и биометрическими устройствами. В этом случае приложения не имеют непосредственного доступа к данным, что и улучшает существенным образом конфиденциальность и общую безопасность при работе.
Общий обзор технологии Windows Biometric Framework
Использование сканера отпечатков пальцев основано на довольно простых методах работы. Сначала приложение сканирует один или несколько отпечатков и выделяет некоторые особенности эпидермального рисунка. В дальнейшем эта информация позволяет проверить, тот ли человек, который предоставил образцы отпечатков, пытается сканировать палец или некто пытается мистифицировать систему принятия решения. Сам процесс получения образцов отпечатков пальцев известен как Enroll. Дальнейшая повторяющаяся проверка отпечатков называется Verify. Процедура поиска пользователя по его отпечаткам - Identification. По своей сути система принятия решения об идентификации пользователя не может давать однозначного ответа на вопрос: "Действительно ли это тот самый пользователь, который нам нужен?" Оценка является вероятностной, и существует некая величина или количество баллов, которые показывают, насколько вероятна ошибка при идентификации пользователя (MatchingThreshold score).
Несмотря на то что принцип работы с отпечатками пальцев простой и единообразный для любого приложения, на данный момент не существует стандарта для универсальной работы со сканерами любого производителя. Соответственно нет и универсального комплекта средств разработки (в дальнейшем SDK), который позволил бы использовать любой имеющийся сканер. Работы по стандартизации ведутся, но стандарты пока ещё не выработаны. Между тем Microsoft вместе с Windows 7 продвигает свой стандарт - Windows Biometric Framework (WBF).
Производители сканеров, как правило, предоставляют SDK, позволяющие работать с их устройствами. На сегодняшний день стоят такие решения недёшево - в районе $1000. Что интересно, для работы с Linux, к примеру, часто есть и бесплатные версии SDK в отличие от библиотек под Windows, но они имеют ряд ограничений. Есть решения и других производителей, позволяющие использовать множество различных устройств с помощью одного и того же комплекта SDK, но для каждого конкретного сканера нужно анализировать вопросы аппаратной поддержки.
Можно увидеть, что такие ограничения довольно жёстки. В полноценных версиях все они сняты - библиотека работает в любой ОС, сохраняет данные об отпечатках пальцев в любой базе данных. Но и цена соответственно составит указанную ранее сумму: примерно $1000. Используя изложенные подходы, производители включают свои решения как в персональные компьютеры, так и в ноутбуки, используемые повсеместно для решения задач - от обыденных бытовых нужд до бизнес-задач уровня предприятий.
ASUS, AuthenTec и Microsoft - тройка лидеров
Корпорации ASUS удалось очень удачно реализовать в своих решениях плод совместной работы AuthenTec и Microsoft. На сегодняшний день миллионы современных ноутбуков и ПК включают интеллектуальные датчики отпечатков пальцев от AuthenTec в рамках реализации операционной системы Windows7, обеспечивающие наивысшие уровни безопасности, удобства и персонализации. А аппаратной реализацией таких решений как раз и занимается ASUS, предоставляя свою платформу для Microsoft. Coвместные усилия этих гигантов компьютерной индустрии обеспечивают чрезвычайно точные и надежные механизмы анализа отпечатков пальцев по их заранее отснятым изображениям. Датчики AuthenTec способны в своей работе считывать информацию, находящуюся ниже первого слоя поверхности кожи, обеспечивая тем самым работу с областями "не изменяющегося" эпидермиса и многократно увеличивая вероятность правильного принятия решения на этапе анализа данных.
"ASUS еще раз продемонстрировала свое лидерство в области IT-рынка, предлагая технические решения, включающие самые современные технологии. К их числу можно отнести анонс новой линейки ноутбуков, которые используют технологии, известные как Windows Biometric Framework, предлагаемые AuthenTec совместно с разработчиками Windows", - неоднократно говорил на различных презентациях Джеймс Тун, заместитель директора ASUS по продукции.
"Мы были в числе первых производителей ноутбуков в мире, использующих интеграцию новой архитектуры WBF и решений AuthenTec, и очень рады продолжать внедрение этих технологий и дальше, используя сенсорные особенности датчиков AuthenTec и WBF решения от Microsoft", - продолжал он.
А вот мнение другого лидера: "ASUSTeK продолжает дифференцировать свои продукты с добавлением новых функций и возможностей, в том числе новой технологии Windows Biometric Framework", - сказал Том Эбли, вице-президент AuthenTec. Продолжая основную тему, он добавил: "ASUS предложил WBF интегрированное решение на ноутбуках задолго до остальных игроков в этой отрасли. Мы рассчитываем и дальше на поддержку интеграции WBF в Centrino 2 ноутбуках от ASUS, а также их применение в моделях ноутбуков следующего поколения с новыми процессорами Intel".
На сегодняшний день одним из ярких примеров ноутбуков с поддержкой технологии Windows Biometric Framework может стать модель серии F8, которая представляет собой оптимальное сочетание мобильности и производительности с полноценной системой безопасности, защищающая ноутбук и хранимые на нём данные. Конфиденциальность данных обеспечивается встроенным сканером отпечатка пальца AuthenTec с технологией TruePrint®, благодаря которой сканер считывает рисунок живого слоя кожи и точность распознавания не ухудшается, даже если поверхность пальца загрязнена или повреждена. Кроме этого, встроенный аппаратный модуль TPM (название спецификации, детализирующей криптопроцессор, в котором хранятся криптографические ключи для защиты информации) позволяет предотвратить атаки хакеров, ищущих пароли и шифровальные ключи к конфиденциальным данным. Помимо указанной серии корпорация ASUS предоставляет самый широкий диапазон решений подобного рода. Конечно, как всегда, выбор остаётся за пользователем, но он уже кажется очевидным, и этот выбор нужно реализовывать здесь, на официальном сайте ASUS.
Выводы
На сегодняшний день несомненным лидером в производстве системного программного продукта является корпорация Microsoft, а в области аппаратной реализации и поддержки этих программных продуктов - ASUSTeK Computer. Реализация в линейке ноутбуков от ASUS технологии Windows Biometric Framework существенно повышает общий уровень безопасности, удобства и персонализации при работе с цифровой информацией любого вида. Очевидно, что будущее при выборе серьёзных устройств для работы с цифровой информацией любого рода лежит в поле компетенции ASUS и ее аппаратных продуктов.
Читайте также: