Windows Hello for Business：适用于 Windows 商店的无密码身份验证

微软通过 Windows Hello for Business 为 Windows 10 商业和企业用户带来了生物识别登录功能。以下是它的工作原理以及如何将其部署到您的用户。

微软正试图废除每个人办公室显示器上都贴着的便签。你知道的，就是上面写着密码的便签。便签上所有的旧密码都被一个接一个地划掉，每个密码都与上一个略有不同——感叹号变成了“和”，1 变成了 2。

企业确实已经自食恶果。大多数组织要求的密码必须非常复杂，由一长串数字和特殊大小写的短语组成，并带有一些（但不是全部！天哪，不是你想要的）符号，很难记住。除了把它们写下来，别无他法。然后你必须时不时地重置它们。然后它们会被循环使用。如此循环往复。

[ 下载我们编辑的 PDF企业和个人密码管理器购买指南今天！ ]

对于 Windows 商店来说幸运的是，微软推出了一种企业级方法，使用生物特征识别和身份验证，而无需购买高端硬件 - 而且它直接融入到 Windows 10 和 11 中。

在这篇文章中，我想介绍一下这项名为 Windows Hello for Business (WHFB) 的创新，解释它的工作原理，并展示如何使用它来保护您的企业，同时消除用户处理繁琐密码的需要。

Windows Hello 企业版的工作原理

是 Windows 支持的最常见和最广为人知的生物特征身份验证方案。它允许拥有带指纹读取器或特殊摄像头的设备的 Windows 10 和 11 用户通过指纹或面部识别登录 Windows。Windows Hello 的消费者版本是一种特定于设备的机制，不会在用户的设备之间传输，因此他们需要在他们想要使用的每台设备上输入 PIN 或手势。

Windows Hello 企业版采用 Hello 理念并将其与管理工具和实施技术捆绑在一起，以确保统一的安全配置文件和企业安全态势。WHFB 使用组策略或移动设备管理 (MDM) 策略，通常通过以下方式实施微软 Intune，用于管理和执行，并在大多数以云为中心的场景中利用基于密钥和证书的身份验证来实现最大程度的保护。用户创建的 PIN 和手势可在 WFHB 模型中跨设备使用。

Windows Hello 有两个功能：一是可以扫描指纹，二是可以拍摄用户面部的红外照片并进行分析。（Hello 还支持虹膜扫描，但由于虹膜相机更适合手机而非笔记本电脑或台式机显示器，因此前两种方法对企业来说更为实用。）

它将每个用户的独特物理属性与加密密钥配对，以替代密码作为身份验证方法。这些密钥存储在专门的安全硬件中，或在软件中加密，并且只有在 Windows 认为它们真实可信后才会解锁。对于对生物识别不感兴趣的组织，Windows Hello 还支持使用 PIN 来替代通过网络传输的密码。

Windows Hello 保护 Microsoft 帐户（用于登录 Microsoft 云服务、Xbox、Microsoft 365 等的帐户）、属于企业 Active Directory 部署的域帐户、加入 Azure Active Directory 域的域帐户（这些帐户相对较新）以及受支持 Fast ID Online 2.0 的联合身份提供者保护的帐户（FIDO2）协议。

为什么 Windows Hello 被认为比传统密码更安全？首先，安全性总是三者兼备 — 最佳身份验证方法是提供您拥有的东西、您知道的东西和您的身份。在这种情况下，Windows Hello 可以通过满足所有三个规则来验证用户身份：您拥有的东西（您的私钥，受设备的安全模块保护）、您知道的东西（Windows Hello 从注册开始默认使用的 PIN）和您的身份（您的脸，很难复制和恶意使用，或您的指纹，同样，如果不删除数字，很难复制和恶意使用）。

最有趣的是，所有这些生物识别信息都仅存储在本地设备上，并未集中到目录或其他身份验证源中；这意味着凭据收集攻击对启用 Windows Hello 的帐户无效，因为凭据并不存在于可能被黑客入侵的地方。虽然从技术上讲，每台设备的受信任平台模块 (TPM) 都可能被黑客入侵，但攻击者必须破解每个用户的机器，而不是简单地对单个易受攻击的域控制器执行成功攻击。

Hello 的生物特征验证需要专门的硬件：网络摄像头或红外摄像头可以识别出人的照片与真实存在之间的差异。大多数笔记本电脑制造商现在都在其企业设备系列中加入了兼容 Hello 的摄像头。您也可以单独购买这些兼容摄像头，从而实现分阶段推出。

当然，指纹读取器已经存在多年了。基本上，与任何 Windows 版本兼容的所有指纹读取器都可以与 Windows Hello 一起使用；然而，微软表示，最新一代读取器在第一次触摸或滑动时就能读取更多数据，无需像以前的一些型号那样反复滑动。

值得注意的是，您可以在组织中使用指纹传感器、面部摄像头、PIN 输入或多种方法的组合。事实上，用户可以在同一设备上注册指纹、面部打印和 PIN，这样他们就可以选择登录时要使用的身份验证方法。这些身份验证方法中的每一种都称为“手势”，手势操作是开始解锁公钥和私钥以及验证用户身份的关键。

WHFB 部署模型

部署 WHFB 时，组织可以从三种不同的部署模型中进行选择：纯云、混合和本地。

纯云部署模型是为仅拥有云身份、不依赖本地资源的组织量身定制的。在此模型中，设备主要连接到云，用户仅与基于云的资产（如 SharePoint 和 OneDrive）交互。值得注意的是，无需证书即可访问本地资源或 VPN 等服务，因为所有必需的资源都托管在 Azure 中。这在 Microsoft 术语中有时被称为“云 Kerberos 信任”模型，于 2022 年初推出。

混合部署模型特别适合满足特定标准的组织：对于采用联合 Azure Active Directory、通过 Azure Active Directory Connect 将身份同步到 Azure AD、使用 Azure AD 中托管的应用程序并旨在为本地和 Azure AD 资源提供统一的单一登录体验的组织来说，它是理想的选择。

此外，此模型还支持证书信任和密钥信任模型的非破坏性 PIN 重置功能。要求包括 Microsoft PIN 重置服务（对于 Windows 10 版本 1709 至 1809 企业版必不可少）（自版本 1903 以来无需许可）和“锁定屏幕上方重置”功能（在 Windows 10 版本 1903 中可用）。此选项还使用 2022 的云 Kerberos 信任模型，但它集成了更多功能和能力，以启用基于安全密钥的 AD 登录。

本地部署模型是专门为不依赖云身份或 Azure Active Directory 托管应用程序的组织量身定制的。在此模型中，证书信任和密钥信任模型均支持破坏性 PIN 重置，从而确保了强大的安全措施。要实施此模型，组织需要满足某些要求，包括使用 Windows 10 版本 1703 专业版的“从设置重置”功能、Windows 10 版本 1709 专业版的“在锁定屏幕上重置”功能，以及包含 Windows 10 版本 1903 的“我忘记了我的 PIN 链接”功能。

仅云模式显然是最容易配置和部署的，适合已将其身份基础架构完全迁移到云的企业。其他两种模式需要对证书基础架构进行一些工作才能安全地联合。根据您当前的环境和起点，选择将相当简单。

通过组策略强制执行 WHFB

您可能已经想到，您可以设置 Windows Hello，并通过使用组策略。在组策略管理控制台中，您可以找到以下策略设置策略 > 管理模板 > Windows 组件 > Windows Hello 企业版在用户配置和计算机配置配置单元中。要配置的重要策略是：

使用 Windows Hello 企业版：将其设置为已启用开始部署。
使用生物识别技术：将其设置为已启用启用指纹或面部识别手势，而不仅仅是支持 PIN。

使用 Microsoft Intune 部署 WHFB

要创建 WHFB 策略，请先登录 Microsoft Intune 管理中心。登录后，导航至设备 > 注册设备 > Windows 注册 > Windows Hello 企业版。

（如果您使用的是高屏幕分辨率，请注意右侧窗格底部的非常小的滚动条 - 所有配置选项都埋在那里。很容易错过。）

这里有三个配置 WHFB 的选项。你可以启用它，这是相当不言而喻的。你也可以选择已禁用，您可以在设备注册期间使用它来关闭 WHFB。请注意，即使禁用了 WHFB，您仍然可以配置其他相关设置。此设置可让您控制 WHFB 的各个方面，即使它不会启用它。或者您可以选择未配置，类似于旧的组策略“未配置”状态，即未更改或设置任何设置。这意味着 Windows 10 和 Windows 11 设备上的现有 WHFB 设置将保持不变，窗格上的其他设置将变灰。

国际数据集团

在 Microsoft Intune 中启用 Windows Hello for Business 及其相关设置。

作为配置偏好设置的一部分，您可以更改以下设置：

使用可信平台模块 (TPM)：决定是否需要或优先使用 TPM 来配置 WHFB。
最小 PIN 长度和最大 PIN 长度：设置 PIN 长度范围以确保安全登录。
PIN 中的小写字母、PIN 中的大写字母以及 PIN 中的特殊字符：选择在用户的 PIN 中是否允许、要求或不允许使用这些字符类型，以实施更强的 PIN 安全性。
PIN 有效期（天）：指定用户出于安全目的必须更改其 PIN 的频率。
记住 PIN 历史记录：决定是否限制重复使用以前使用过的 PIN。
允许生物特征认证：选择是否可以使用生物特征认证方法（面部识别、指纹）来替代 PIN。
使用增强的反欺骗功能（如果可用）：在支持防欺骗功能的设备上配置使用防欺骗功能，以增强面部识别的安全性。
允许手机登录：启用或禁用远程护照作为台式计算机身份验证的配套设备，前提是该设备已加入 Azure Active Directory。
使用安全密钥登录：启用后，此设置允许远程控制组织内所有计算机的 Windows Hello 安全密钥。

在 WHFB 中注册设备：流程及其工作原理

对于您拆箱并准备部署的新设备，在您首次登录设备时，系统会提示您注册 WHFB，假设您已配置上一节中描述的设置。您需要确保用户附近有多重身份验证设备（通常是用于发短信的手机、Microsoft Authenticator 应用或其他 MFA 应用），因为没有它注册就无法进行——如果您已经注册了 MFA，系统会提示您输入代码，或者您需要设置它并在继续进行 WHFB 部分之前提示您输入代码。

国际数据集团

用户首次注册 Windows Hello for Business 时看到的内容。

在注册时，验证 MFA 后，注册屏幕将提示输入 PIN 码，或者如果设备支持，则提示输入其他受支持的手势，如指纹扫描。

对于现有设备，您可以相当轻松地开始注册。在 Windows 11 中，单击开始菜单，搜索注册，然后选择仅在设备管理中注册. 上述相同的过程开始。

那么幕后发生了什么？作为注册过程的一部分，Windows 会生成一对密钥，一个公钥和一个私钥，并将它们都存储在硬件 TPM 模块中，或者如果设备没有 TPM，它会加密密钥并将其存储在软件中。第一个密钥对与用户的 PIN“手势”相关联，称为保护密钥。如果用户注册了其他生物识别手势，则每个手势都会有一个不同的保护密钥，该保护密钥包裹着身份验证密钥。虽然容器设计为只有一个身份验证密钥，但可以将单个身份验证密钥的多个副本与与设备上注册的不同手势相关联的不同保护密钥一起包装起来。

Windows 还会自动生成一个管理密钥，以便在必要时重置凭据，并且 TPM 还具有其正常的数据块，其中包含证书以及其他与 TPM 相关的信息。

全力以赴使用 WHFB 无需密码

如果您的计算机已加入 Microsoft Entra ID 域（娘家姓Azure Active Directory)，并且这些计算机上安装了 Windows 11 22H2（2023 年 9 月更新）和如果您使用的是 Microsoft Intune（诚然，截至撰写本文时（2023 年深秋），这是一个积极且有限的目标部署），那么您可以利用新发布的、易于部署的无密码体验，仅适用于这些机器。

有几种方法可以启用此功能。第一种是使用“设置”目录策略功能并设置使能够启用无密码体验。为此，请登录 Intune，转到设备 > 配置文件，并选择创建个人资料. 在平台下，选择Windows 10 或更高版本，点击创造，然后在配置设置中单击添加设置，找到身份验证部分，然后检查使能够无密码体验。

第二种方法是使用自定义策略。有关此选项的更多信息，您可以跳转到最近更新的文档在 Microsoft 的学习网站上。

要考虑的关键点

要记住的一些要点：

在 WHFB 中注册的凭证可以绑定到单个笔记本电脑、台式机或移动设备，并且凭证验证成功后获得的访问令牌也仅限于该单个设备。
在帐户注册过程中，Active Directory、Azure AD 或 Microsoft 帐户服务会检查并验证用户的有效性，并将 Windows Hello 公钥与用户帐户关联。密钥（公钥和私钥）可以在 TPM 模块版本 1.2 或 2.0 中生成，也可以存在于没有正确 TPM 硬件的设备的软件中。Windows Hello 手势不会在设备之间漫游，也不会与服务器共享；它存储在设备本地，永远不会离开设备。输入 PIN 或应用面部或指纹时，Windows 使用存储在 TPM 中的私钥对传输到身份验证源的数据进行签名。
据 Microsoft 称：“个人（Microsoft 帐户）和企业（Active Directory 或 Azure AD）帐户使用单个密钥容器。所有密钥都由身份提供商的域分隔，以帮助确保用户隐私。”实际上，这意味着密钥会混合在一个安全容器中，尽管它们由其本机身份提供商划定，以便不会将错误的密钥发送给错误的提供商。
未来注意事项：在 Windows 11 的当前 Insider Preview 版本中，可以启用 EnablePasswordlessExperience 策略以在各种 Windows 身份验证方案中抑制密码提示，并在需要时无缝集成无密码恢复方法，如 WHFB PIN 重置。您的用户会注意到，在设备登录、会话内身份验证、管理任务和提升提示等常见区域的用户体验中，密码提示已被删除。预计这将在未来 12 个月内进入“RTM”或常规部署渠道，当然，您需要完成 WHFB 部署设置才能使其发挥作用，但这肯定是值得关注的事情。