Биометрия Windows Hello на предприятии Windows Hello biometrics in the enterprise
Относится к: Applies to:
Windows Hello — это функция биометрической проверки подлинности, повышающая ее надежность и обеспечивающая защиту от возможного спуфинга благодаря сопоставлению отпечатков пальцев и распознаванию лиц. Windows Hello is the biometric authentication feature that helps strengthen authentication and helps to guard against potential spoofing through fingerprint matching and facial recognition.
В первых выпусках Windows 10 предоставлялись службы Microsoft Passport и Windows Hello, которые вместе обеспечивали многофакторную проверку подлинности. When Windows 10 first shipped, it included Microsoft Passport and Windows Hello, which worked together to provide multi-factor authentication. Чтобы упростить развертывание и расширить возможности поддержки, Microsoft объединила эти технологии в единое решение — Windows Hello. To simplify deployment and improve supportability, Microsoft has combined these technologies into a single solution under the Windows Hello name. Пользователи, которые уже выполнили развертывание этих технологий, не заметят никаких изменений в функционировании этих служб. Customers who have already deployed these technologies will not experience any change in functionality. Для тех клиентов, которым еще предстоит оценить работу Windows Hello, выполнить развертывание будет гораздо проще благодаря упрощенным политикам, документации и семантике. Customers who have yet to evaluate Windows Hello will find it easier to deploy due to simplified policies, documentation, and semantics.
Так как мы понимаем, что ваши сотрудники будут использовать эту новую технологию в вашей организации, мы активно работали с производителями устройств, чтобы создать рекомендации по проектированию и повышению производительности, которые помогут вам убедиться в том, что вы сможете более уверенно внедрить в вашу организацию биометрию Windows Hello. Because we realize your employees are going to want to use this new technology in your enterprise, we’ve been actively working with the device manufacturers to create strict design and performance recommendations that help to ensure that you can more confidently introduce Windows Hello biometrics into your organization.
В чем состоит принцип работы Windows Hello? How does Windows Hello work?
Windows Hello позволяет сотрудникам использовать в качестве альтернативного способа разблокировки устройства отпечатки пальцев или распознавание лиц. Windows Hello lets your employees use fingerprint or facial recognition as an alternative method to unlocking a device. В случае использования Windows Hello проверка подлинности выполняется при вводе сотрудником его/ее уникального биометрического идентификатора во время получения доступа к учетным данным Windows Hello конкретного устройства. With Windows Hello, authentication happens when the employee provides his or her unique biometric identifier while accessing the device-specific Windows Hello credentials.
Функция проверки Windows Hello используется для проверки подлинности и подтверждения доступа сотрудников к корпоративной сети. The Windows Hello authenticator works to authenticate and allow employees onto your enterprise network. Проверка подлинности не перемещается между устройствами, не является общей с сервером и не может быть легко извлечена с устройства. Authentication doesn’t roam among devices, isn’t shared with a server, and can’t easily be extracted from a device. Если одно устройство используют несколько сотрудников, то каждый из них будет получать доступ с помощью своих собственных биометрических данных. If multiple employees share a device, each employee will use his or her own biometric data on the device.
Почему сотрудникам следует разрешить использовать Windows Hello? Why should I let my employees use Windows Hello?
Windows Hello имеет множество преимуществ, в том числе следующие: Windows Hello provides many benefits, including:
Эта функция повышает уровень защиты учетных данных от кражи. It helps to strengthen your protections against credential theft. Так как у злоумышленника должно быть как устройство, так и биометрические данные или ПИН-код, гораздо сложнее получить доступ без знания сотрудника. Because an attacker must have both the device and the biometric info or PIN, it’s much more difficult to gain access without the employee’s knowledge.
Сотрудники получают простой способ проверки подлинности (резервная копия с помощью ПИН-кода), с которой всегда будут потеряны. Employees get a simple authentication method (backed up with a PIN) that’s always with them, so there’s nothing to lose. Проблема забытых паролей теперь не актуальна! No more forgetting passwords!
Поддержка Windows Hello встроена в операционную систему, поэтому добавлять дополнительные биометрические устройства и политики в рамках скоординированного выпуска или для отдельных сотрудников или групп можно с использованием групповой политики или поставщика служб конфигурации (CSP) управления мобильными устройствами (MDM). Support for Windows Hello is built into the operating system so you can add additional biometric devices and polices as part of a coordinated rollout or to individual employees or groups using Group Policy or Mobile Device Management (MDM) configurations service provider (CSP) policies.
Дополнительные сведения о доступных групповых политиках и поставщиках служб конфигурации MDM см. в разделе Развертывание Windows Hello для бизнеса в организации. For more info about the available Group Policies and MDM CSPs, see the Implement Windows Hello for Business in your organization topic.
Где хранятся данные Windows Hello? Where is Windows Hello data stored?
Биометрические данные, используемые функцией Windows Hello, хранятся только на локальном устройстве. The biometric data used to support Windows Hello is stored on the local device only. Она не перемещается и не отправляется на внешние устройства или серверы. It doesn’t roam and is never sent to external devices or servers. Такое разделение обеспечивает защиту от возможных атак за счет отсутствия единственной точки сбора, которая может быть скомпрометирована, в результате чего злоумышленник получит доступ к биометрическим данным. This separation helps to stop potential attackers by providing no single collection point that an attacker could potentially compromise to steal biometric data. Кроме того, даже если злоумышленник действительно может получить биометрические данные от устройства, его невозможно преобразовать обратно в необработанный биометрический образец, который может распознать биометрическое датчик. Additionally, even if an attacker was actually able to get the biometric data from a device, it cannot be converted back into a raw biometric sample that could be recognized by the biometric sensor.
Каждый датчик на устройстве имеет собственный файл биометрической базы данных, в котором хранятся данные шаблона. Each sensor on a device will have its own biometric database file where template data is stored. Каждая база данных имеет уникальный, случайно созданный ключ, зашифрованный для системы. Each database has a unique, randomly generated key that is encrypted to the system. Данные шаблона для датчика будут зашифрованы с помощью этого ключа на базу данных с использованием алгоритма AES с режимом цепочки CBC. The template data for the sensor will be encrypted with this per-database key using AES with CBC chaining mode. Хеш имеет значение SHA256. The hash is SHA256. Некоторые датчики отпечатков пальцев имеют возможность завершить поиск в модуле датчиков отпечатков пальцев, а не в операционной системе. Some fingerprint sensors have the capability to complete matching on the fingerprint sensor module instead of in the OS. Эти датчики будут хранить биометрические данные в модуле отпечатка пальца, а не в файле базы данных. These sensors will store biometric data on the fingerprint module instead of in the database file.
Установила ли корпорация Майкрософт какие-либо требования к устройствам для использования Windows Hello? Has Microsoft set any device requirements for Windows Hello?
Мы работаем с производителями устройств, чтобы обеспечить высокий уровень производительности и защиты при каждом датчике и устройстве, основываясь на этих требованиях: We’ve been working with the device manufacturers to help ensure a high-level of performance and protection is met by each sensor and device, based on these requirements:
Коэффициент ложного пропуска (FAR). False Accept Rate (FAR). Показатель, определяющий частоту предоставления решением для биометрической идентификации доступа лицам, не имеющим соответствующих полномочий. Represents the instance a biometric identification solution verifies an unauthorized person. Как правило, это количество случаев на заданный объем выборки, например 1 к 100 000. This is normally represented as a ratio of number of instances in a given population size, for example 1 in 100 000. Этот показатель также можно представить в виде процентного значения, например 0,001%. This can also be represented as a percentage of occurrence, for example, 0.001%. Он считается наиболее важным с точки зрения безопасности биометрического алгоритма. This measurement is heavily considered the most important with regards to the security of the biometric algorithm.
Коэффициент ложного отказа в доступе (FRR). False Reject Rate (FRR). Показатель, определяющий частоту некорректных отказов в предоставлении решением для биометрической идентификации доступа лицам, имеющим соответствующие полномочия. Represents the instances a biometric identification solution fails to verify an authorized person correctly. Обычно выражен процентным значением; сумма коэффициентов ложного пропуска и ложного отказа в допуске равна 1. Usually represented as a percentage, the sum of the True Accept Rate and False Reject Rate is 1. Может иметь или не иметь защиту от подделывания или функцию определения живучести. Can be with or without anti-spoofing or liveness detection.
Требования датчику для сканирования отпечатков пальцев Fingerprint sensor requirements
Чтобы разрешить сопоставление отпечатков пальцев, необходимо использовать устройства с датчиками для сканирования отпечатков и соответствующее программное обеспечение. To allow fingerprint matching, you must have devices with fingerprint sensors and software. Датчики отпечатков пальцев и датчики, использующие уникальный отпечаток сотрудника в качестве альтернативного варианта входа в систему, могут быть сенсорными датчиками (крупные области или небольшие области) или датчиками прокрутки. Fingerprint sensors, or sensors that use an employee’s unique fingerprint as an alternative log on option, can be touch sensors (large area or small area) or swipe sensors. Для каждого типа датчика применим собственный набор подробных требований, которые должны быть реализованы производителями; при этом все датчики должны обладать свойствами защиты от подделывания (обязательное требование). Each type of sensor has its own set of detailed requirements that must be implemented by the manufacturer, but all of the sensors must include anti-spoofing measures (required).
Допустимый диапазон производительности для сенсорных датчиков с любым размером области сканирования Acceptable performance range for small to large size touch sensors
Коэффициент ложного пропуска (FAR): False Accept Rate (FAR):
Эффективный действующий FRR с защитой от подделывания или определением живучести: Effective, real world FRR with Anti-spoofing or liveness detection:
Допустимый диапазон производительности для датчиков с поддержкой движения пальцем Acceptable performance range for swipe sensors
Коэффициент ложного пропуска (FAR): False Accept Rate (FAR):
Эффективный действующий FRR с защитой от подделывания или определением живучести: Effective, real world FRR with Anti-spoofing or liveness detection:
Датчики распознавания лиц Facial recognition sensors
Чтобы разрешить распознавание лиц, необходимо использовать устройства со специальными встроенными особенными инфракрасными датчиками (IR) и соответствующим программным обеспечением. To allow facial recognition, you must have devices with integrated special infrared (IR) sensors and software. Сенсоры распознавания лиц используют специальные камеры, которые видны на ИК-излучени, позволяя им распознавать различия между фотографиями и живущими лицами при сканировании функций сотрудников. Facial recognition sensors use special cameras that see in IR light, letting them tell the difference between a photo and a living person while scanning an employee’s facial features. Такие датчики, как и датчики для сканирования отпечатков пальцев, должны обладать свойствами защиты от подделывания (обязательное требование) и предоставлять возможность настройки (дополнительно). These sensors, like the fingerprint sensors, must also include anti-spoofing measures (required) and a way to configure them (optional).
Ложная скорость приема (FAR) False Accept Rate (FAR):
Коэффициент ложного отказа в доступе (FRR) без защиты от подделывания или определения живучести: False Reject Rate (FRR) without Anti-spoofing or liveness detection:
Эффективный действующий FRR с защитой от подделывания или определением живучести: Effective, real world FRR with Anti-spoofing or liveness detection:
DV Team Blog
Тонкости программирования
Использование Windows Biometric Framework (WBF) в .NET приложениях
Небольшое дополнение к моей предыдущей статье
(Использование сканера отпечатков пальцев в Windows приложениях).
Microsoft вместе с Windows 7 анонсировал Windows Biometric Framework. Этот компонент призван стандартизировать работу с биометрическими данными в Windows. В настоящее время поддерживается только информация об отпечатках пальцев. Ближайшие планы включают в себя также поддержку изображений с веб-камеры.
В процессе экспериментов по добавлению идентификации по отпечатку пальца в мое приложение одним из перспективных направлений виделось использование WBF. Для того, чтобы отвязаться от оборудования и работать с любым сканером от любого производителя этот производитель должен предоставить для своего устройства специализированный драйвер, который может работать в составе WBF. Для моего сканера (Upek Eikon) такой драйвер в наличии имеется как для 32 разрядных так и для 64 разрядных систем. Документация к WBF от Microsoft к сожалению не отличается полнотой и предполагает использование C++ для разработки WBF приложений. Я работаю с C# и поэтому задался целью найти подходящий Wrapper, который я мог бы использовать в моих проектах. Относительно быстро я нашел два примера использования WBF которые включали в себя свои реализации Wrapper. Но как выяснилось реализованы были всего пара методов, необходимые для работы этих примеров.
Если внимательно почитать документацию по WBF то можно выяснить, что Framework реализован в виде нескольких «Слоёв». Каждый слой реализует какую то свою функцию а в комплексе все эти компоненты позволяют отделить реализацию обработки биометрических данных и собственно использование результатов этой обработки. То есть другими словами приложение, работающее с WBF как правило не имеет непосредственного доступа к биометрическим данным а может только просить Windows выполнить некоторые операции, такие как получить данные со сканера, проверить соответствуют ли эти данные данным текущего пользователя и т.п. Весь процесс тесно интегрирован с системой безопасности Windows. Это основной режим работы.
Однако приложения могут работать и в другом режиме, в котором у них есть возможность перевести сканер в монопольный режим и получать данные со сканера напрямую. Хранение этих данных перекладывается на плечи самого приложения, эти сохраненные данные в дальнейшем могут использоваться для идентификации пользователя внутри приложения (при помощи вызовов методов WBF или своими силами).
В конце концов мне удалось найти подходящий Wrapper, в котором реализованы все необходимые функции. Скачать его можно вот по этой ссылке. Однако как выяснилось позднее, драйвер моего сканера не реализует методы для прямой работы со сканером и мне пришлось искать другие пути поддержки биометрических данных в моем приложении. Но возможно кому то повезет больше чем мне и Wrapper будет ему полезен.