ويندوز هيلو للأعمال: دليل شامل لتسجيل الدخول الموحد وأمن الأجهزة

  • يستبدل Windows Hello للأعمال كلمة المرور ببيانات اعتماد مرتبطة بالجهاز، محمية بواسطة TPM وتعتمد على المفاتيح العامة.
  • يوفر تسجيل دخول موحد آمن (SSO) في السحابة وفي المواقع المحلية باستخدام نماذج الثقة السحابية أو الشهادات أو المفاتيح، حسب السيناريو.
  • يتم تعزيز الأمن من خلال سياسات أرقام التعريف الشخصية المتقدمة، والبيانات البيومترية، والحماية من التزييف، والاستخدام الإلزامي لأجهزة الأمان المادية.
  • يتطلب نشرها إعداد بنية تحتية للهوية (Microsoft Entra ID/AD)، وPKI يمكن الوصول إليه، وCRL، وسياسات تسجيل المستخدمين واستعادتهم واعتمادهم.
Daniel Terrasa

19 دقيقة

ويندوز هيلو للأعمال

Windows Hello للأعمال لقد أصبح هذا النظام المكون الرئيسي لاستراتيجية مايكروسوفت التي تعتمد على كلمات المرور: فهو يجمع بين أرقام التعريف الشخصية (PIN) والبيانات البيومترية والمفاتيح المشفرة، مما يتيح للمستخدمين تسجيل الدخول دون كتابة كلمات المرور، ولكن بمستوى أمان أعلى بكثير. كل هذا مدعوم بـ أمان الأجهزة، ووحدة TPM، ونماذج تسجيل الدخول الموحد الحديثة سواء في السحابة أو في البيئات الهجينة والمحلية.

بعيدًا عن كونه مجرد "رقم تعريف شخصي لنظام ويندوز"، ويندوز هيلو للأعمال (WHfB) هو نظام موزّع يدمج Microsoft Entra ID (المعروف سابقًا باسم Azure AD)، وActive Directory، وPKI، وKerberos، وFIDO2، وسياسات متقدمة للأجهزة والمستخدمين. إذا كنت مسؤولًا عن أنظمة Windows أو إدارة الهوية، فإن فهم كيفية ترابط جميع العناصر - التسجيل، والتزويد، ومزامنة المفاتيح، والشهادات، والمصادقة - أمرٌ ضروري لضمان نشر سلس وفعّال. تسجيل دخول موحد قوي ومقاوم للتصيد الاحتيالي.

ما هو بالضبط Windows Hello للأعمال وكيف يغير عملية المصادقة؟

Windows Hello للأعمال إنها النسخة المؤسسية والمُدارة من Windows Hello. تستبدل كلمة المرور ببيانات اعتماد مفتاح عام مرتبطة بالجهاز، محمية بواسطة وحدة TPM ويتم فتحها باستخدام رمز PIN أو بصمة بيومترية. تتيح بيانات الاعتماد هذه المصادقة على معرف تسجيل الدخول إلى مايكروسوفت، أو Active Directory أو AD FSالخدمات التي تعتمد عليها.

بدلاً من الاعتماد على الأسرار المشتركة (كلمات المرور، ورموز التحقق لمرة واحدة، ورموز الرسائل النصية القصيرة)، يقوم WHfB بإنشاء زوج مفاتيح عام/خاص لكل مستخدم وجهاز. يتم تسجيل المفتاح العام لدى موفر الهوية (IdP)، بينما يبقى المفتاح الخاص مخزنًا بشكل آمن على الجهاز ولا يمكن تصديره. لا يُقدم المستخدم سوى "الإنتروبيا" مع رقم التعريف الشخصي (PIN) أو بياناته البيومترية لتحرير هذا المفتاح الخاص عند رغبته في المصادقة.

والنتيجة هي تجربة مصادقة مقاوم للتصيد الاحتيالي وسرقة بيانات الاعتماد وهجمات القوة الغاشمةالحفاظ على تسجيل الدخول الموحد في كل من السحابة (Microsoft 365، التطبيقات الحديثة) والخدمات المحلية (Kerberos، التطبيقات القديمة، VPNs القائمة على الشهادات، إلخ).

ويندوز هيلو للأعمال: تكوين تسجيل الدخول الموحد وأمان الأجهزة

ويندوز هيلو للأعمال - المراحل الداخلية: من الصفر إلى تسجيل الدخول الموحد

لفهم WHfB بشكل كامل من المستحسن تقسيم عملية التشغيل إلى عدة مراحل زمنية: تسجيل الجهاز، والتزويد، ومزامنة المفاتيح (إن وجدت)، وتسجيل الشهادة (إن وجدت)، وأخيراً، المصادقة اليومية.

1. تسجيل الجهاز

أولاً، يتعين على الفريق المرور بعملية من تسجيل الجهازتربط هذه الخطوة الجهاز بمزود هوية محدد وتمنحه هويته الخاصة:

  • تطبيقات سحابية أو هجينةموفر الهوية هو Microsoft Enter ID والجهاز مسجل في خدمة تسجيل الأجهزة.
  • تطبيقات محلية بحتةموفر الهوية هو AD FS ويتم التسجيل مقابل خدمة تسجيل أجهزة المؤسسة التي يعرضها AD FS.

بعد التسجيل، يمتلك الجهاز هوية موثوقة مما يسمح له بالمصادقة مع موفر الهوية عند تسجيل دخول المستخدم. هناك أنواع مختلفة من التسجيل (الانضمام إلى نطاق، والانضمام إلى تسجيل دخول مايكروسوفت، والتسجيل الشخصي، وما إلى ذلك)، والمعروفة باسم أنواع العلاقات أو "أنواع الربط"والتي تحدد السلوك اللاحق لـ WHfB و SSO.

2. مرحلة الشراء

أثناء عملية التزويد، يتوقف المستخدم عن كونه "مستخدم كلمة مرور" ويصبح مستخدمًا بكلمة مرور خاصة به. حاوية Windows Hello على الجهاز. تقوم هذه الحاوية بتجميع المواد المشفرة المرتبطة بحساباتك (الشركات، والتعليمية، والشخصية) بشكل منفصل حسب موفر الهوية.

التدفق النموذجي للإمداد اتبع هذه الخطوات:

  1. في مساعد تجربة المستخدم (CXH)، يقوم المستخدم بالمصادقة مع موفر الهوية باستخدام MFA (عادةً اسم المستخدم/كلمة المرور بالإضافة إلى عامل مصادقة ثانٍ).
  2. بعد اجتياز المصادقة متعددة العوامل، يطلب النظام من المستخدم تكوين PIN وإذا توفرت أجهزة متوافقة، واحد أو أكثر الإيماءات البيومترية (وجه، أثر قدم).
  3. تم إنشاء حاوية Windows Hello على الجهاز.
  4. يقوم الفريق بإنشاء زوج مفاتيح المصادقة العامة/الخاصة، ويفضل أن يكون مرتبطًا بـ TPM؛ إذا لم يكن هناك TPM، فإنه محمي بواسطة تشفير البرامج.
  5. يتم تخزين المفتاح الخاص محليًا، ويتم ختمه بواسطة وحدة TPM عند وجودها، ويتم وضع علامة عليه كـ غير قابل للتصدير.
  6. يتم تسجيل المفتاح العام في موفر الهوية المرتبط بحساب المستخدم:
    • في بيئات الحوسبة السحابية، تقوم خدمة تسجيل الجهاز بكتابته إلى كائن مستخدم Microsoft Enter ID.
    • في السيناريوهات المحلية، يقوم AD FS بتخزين المفتاح في Active Directory.

منذ تلك اللحظة، عندما يقوم المستخدم بفتح الجهاز باستخدام رمز PIN أو البيانات البيومترية، فإنه في الواقع "يُفعّل" استخدام ذلك المفتاح الخاص بـ Hello لإثبات هويتهم لمزود الهوية.

3. تفاصيل حاوية Windows Hello وأنواع المفاتيح

لا يقتصر حاوية Windows Hello على تخزين مفتاح واحد فقط: بل يمكنها استيعاب أنواع مختلفة من المواد المشفرةلكل منها وظيفتها الخاصة و"حاميها" الخاص. يقوم كل حامي بتشفير نسخته من مفتاح المصادقة بتقنية مختلفة (على سبيل المثال، الختم في TPM باستخدام رقم التعريف الشخصي كإنتروبيا أو التشفير المتماثل المشتق من رقم التعريف الشخصي إذا لم يكن هناك TPM).

داخل الحاوية نستطيع إيجاد:

  • ل مفتاح المصادقة الأساسييتم إنشاء زوج غير متماثل (عام/خاص) دائمًا أثناء التسجيل. هذا هو الزوج الذي يجب فتحه في كل مرة باستخدام رمز PIN أو البيانات البيومترية. إذا قام المستخدم بإعادة تعيين رمز PIN، فسيتم... كلمة السر الجديدة ويتم إعادة تشفير جميع المواد التي كان يحميها الإصدار السابق باستخدام الإصدار الجديد.
  • واحد أو أكثر مفاتيح تعريف المستخدم (مفاتيح هوية المستخدم): يمكن أن تكون هذه المفاتيح متناظرة أو غير متناظرة، وذلك بحسب موفر الهوية ونموذج الثقة. في التطبيقات القائمة على الشهادات، تُستخدم هذه المفاتيح لإنشاء طلبات إلى هيئة إصدار الشهادات أو لبروتوكول سطح المكتب البعيد (RDP) أو الشبكة الافتراضية الخاصة (VPN)، وما إلى ذلك.
  • اختياريا، أ مفتاح إداري، مصممة لحالات إعادة الضبط (مثل استعادة رمز PIN) والبيانات المرتبطة بوحدة TPM الخاصة بالجهاز.

تُستخدم مفاتيح تعريف المستخدم لـ إثبات امتلاك المفتاح الخاص أمام الخدمة (توقيع قيمة عشوائية، على سبيل المثال). تتطلب Active Directory وMicrosoft Entra ID وحسابات Microsoft الشخصية أزواج مفاتيح غير متماثلة؛ يقوم الجهاز بإنشاء الزوج، وتسجيل الجزء العام، وحماية الجزء الخاص، الذي لا يغادر الجهاز أبدًا.

إذا كانت مؤسستك تمتلك بنية مفاتيح عامة (PKI) خاصة بها، فيمكنك ربط مفاتيح تعريف المستخدم بـ الشهادات الصادرة عن هيئة التصديق الخاصة بكيُمكّن هذا WHfB من التكامل مع التطبيقات التي تعتمد على الشهادات (مثل شبكات VPN التقليدية، وRDP باستخدام البطاقات الذكية، وما إلى ذلك). في حال عدم الحاجة إلى البنية التحتية للمفاتيح العامة (PKI)، يُمكن لمزود الهوية (IdP) نفسه إنشاء وإدارة بيانات التعريف هذه لتبسيط العملية.

4. مزامنة المفاتيح في البيئات الهجينة

في عمليات النشر المختلطةفي حالة وجود كل من Microsoft Entra ID و Active Directory معًا، يلزم إجراء مرحلة إضافية: قم بمزامنة المفتاح العام لـ Hello من السحابة إلى الدليل المحلي حتى تتمكن وحدات التحكم بالمجال من مصادقة المستخدمين.

يتم تخزين المفتاح العام في الخاصية msDS-KeyCredentialLink يتم إدارة مزامنة كائن المستخدم في Active Directory بواسطة مزامنة مايكروسوفت كونكتبدون هذا النسخ المتماثل، سيكون من المستحيل على نطاق محلي التحقق من المصادقة المستندة إلى WHfB من جهاز منضم إلى Microsoft Entra.

5. تسجيل الشهادة (عند استخدام خدمة الثقة بالشهادات)

في النماذج التي تعتمد فيها WHfB على شهادات لمصادقة Kerberos أو التطبيقات المحليةوتظهر مرحلة إضافية: تسجيل الشهادات.

بمجرد تسجيل المفتاح، يقوم العميل بإنشاء طلب شهادة وإرساله إلى هيئة تسجيل الشهادات (CRA)تتواجد هيئة إصدار الشهادات عادةً على خادم AD FS، وتتولى تنسيق الطلب إلى البنية التحتية للمفاتيح العامة للشركة. تصدر هيئة إصدار الشهادات الشهادة، التي تُخزن داخل حاوية Hello الخاصة بالمستخدم على الجهاز، وتُستخدم للمصادقة على الموارد المحلية التي تتطلب شهادة بطاقة ذكية أو ما شابه.

المصادقة اليومية، وتسجيل الدخول الموحد، ودور أمن الأجهزة

في الحياة اليوميةعند تشغيل المستخدم للكمبيوتر أو فتحه، تعتمد عملية المصادقة دائمًا على الجزء الخاص من بيانات اعتماد Windows Hello (المفتاح أو الشهادة)، بالإضافة إلى إيماءة المستخدم (رمز PIN أو البيانات البيومترية). لا تُرسل هذه الإيماءة أبدًا إلى موفر الهوية (IdP) ولا تُخزن على هذا النحو في النظام.

المصادقة، بحكم الواقع، هي عاملين:

  • شيء يمتلكه المستخدم: المفتاح أو الشهادة المرتبطة بالجهاز.
  • شيء يعرفه المستخدم أو هو عليه: رقم تعريف شخصي محلي أو بيانات بيومترية.

عندما يُدخل المستخدم رمز PIN أو يستخدم بصمة الإصبع/التعرف على الوجه، يقوم نظام Windows بتحرير مفتاح المصادقة من حاويته ويستخدمه لـ توقيع البيانات المشفرة المرسلة إلى موفر الهويةيقوم موفر الهوية بفحص هذا التوقيع مقابل المفتاح العام المخزن، وإذا تطابق كل شيء، فإنه يصدر الرموز المميزة اللازمة للوصول إلى الموارد (Microsoft 365، وتطبيقات SaaS، والموارد المحلية، وما إلى ذلك).

لا الرقم السري ولا النموذج البيومتري الخروج من الجهازلا يتم تخزين رمز التعريف الشخصي (PIN) كنص، بل يُستخدم كمصدر عشوائية للعمليات التشفيرية ولفتح المواد المحمية بواسطة وحدة TPM. ولا يرى موفر الهوية (IdP) سوى دليل تشفيري على أن المستخدم يتحكم في المفتاح الخاص المسجل.

رمز التحديث الرئيسي (PRT) ونظام تسجيل الدخول الموحد الحديث

El علامة واحدة على في عالم مايكروسوفت الحديث، هناك رمز أساسي: رمز التحديث الأساسي (PRT)هو عبارة عن رمز ويب JSON يتضمن مطالبات المستخدم والجهاز، ويتيح تسجيل الدخول الموحد للتطبيقات المحمية بواسطة Microsoft Entra ID أو AD FS.

يتم الحصول على PRT بواسطة قم بتسجيل الدخول أو إلغاء قفل الجهاز باستخدام بيانات اعتماد موثوقة (WHfB أو بيانات اعتماد تقليدية)، بطريقة مماثلة لكيفية الحصول على Kerberos TGT سابقًا في بيئة محلية فقط. على الأجهزة:

  • انضم إلى مايكروسوفت. أو الأجهزة الهجينة المرتبطة بـ Microsoft Enter: يتم إصدار PRT عند تسجيل الدخول نفسه.
  • الأجهزة الشخصية المسجلة (BYOD): يتم إنشاء PRT عند إضافة حساب عمل أو حساب تعليمي إلى الجهاز.

بدون PRT، سيتعين على المستخدمين إدخال بيانات الاعتماد وسياسات الوصول المشروط باستمرار بناءً على حالة الجهاز. لم يكن بالإمكان تقييمهامع WHfB و PRT صالح، يتم تحقيق SSO سلس مشروط أيضًا بحالة المعدات والامتثال والمخاطر وما إلى ذلك.

ويندوز هيلو للأعمال

إعدادات السياسة الرئيسية: تسجيل الدخول الموحد وأمان الأجهزة

تقدم WHfB مجموعة واسعة من إعدادات السياسة يتم ذلك عبر كل من موفر خدمة السحابة (لإدارة الأجهزة المحمولة مثل Intune) وعبر سياسة المجموعة. ويركز العديد منها على تعزيز تسجيل الدخول الموحد وضمان استخدام أجهزة الأمان المتاحة على الجهاز دائمًا.

الاستخدام الإلزامي لأجهزة الأمان المادية (TPM)

تنص إحدى أهم السياسات على أن يتم توفير خدمة Windows Hello للشركات فقط في الأجهزة المزودة بوحدة TPM قابلة للاستخدام (1.2 أو 2.0)توفر وحدة TPM حماية إضافية لأن المفتاح الخاص مرتبط بهذا المكون المادي؛ حتى لو قام مهاجم بنسخ القرص، فلن يتمكن من استخدام المفتاح على جهاز كمبيوتر آخر.

من خلال برنامج CSP، هذا التكوين يتم التحكم به بواسطة:

  • ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice
  • ويمكن، اختيارياً، استبعاد بعض وحدات TPM 1.2 مع:
    ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices/TPM12

بالإضافة إلى ذلك، يوجد ما يعادل مكتب سياسة المجموعة (GPO) ضمن القوالب الإدارية لـ Windows Hello للأعمال على مستوى الفريق. في حال تفعيل هذه الخاصية، لن يكون توفير خدمة WHfB متاحًا على المعدات التي لا تحتوي على وحدة TPM صالحة.وبالتالي تعزيز سلامة البيئة بشكل كبير.

تكوين تسجيل الدخول الموحد المحلي: الشهادة مقابل الثقة السحابية

بالنسبة لتسجيل الدخول الموحد إلى الموارد المحلية (وحدات تحكم المجال، والتطبيقات المحلية)، يمكن لـ WHfB استخدام ثلاثة نماذج رئيسية للثقة: القائمة على الشهادات، والقائمة على المفاتيح (Key Trust)، ومؤخراً، ثقة كيربيروس السحابية (الثقة في الحوسبة السحابية).

هناك سياستان أساسيتان:

  • استخدام الشهادة للمصادقة المحلية:
    ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCertificateForOnPremAuth
    في حالة التمكين، يقوم WHfB بتسجيل شهادة تسجيل الدخول داخل الحاوية ويستخدمها للمصادقة المحلية.
  • استخدام الثقة السحابية للمصادقة المحلية:
    ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCloudTrustForOnPremAuth
    في حالة التمكين، يستخدم WHfB تذكرة Kerberos مشتقة من المصادقة في Microsoft Entra ID للمصادقة على الموارد المحلية، دون الحاجة إلى إصدار شهادات إضافية.

يؤدي تعطيل هذه السياسات أو عدم تكوينها إلى لجوء النظام إلى استخدام مفتاح أو شهادةيعتمد ذلك على الخيارات النشطة الأخرى. في سياسة المجموعة، توجد هذه الخيارات في قسمي "الكمبيوتر" و"المستخدم" ضمن "مكونات Windows" > "Windows Hello للأعمال".

التحكم الرئيسي: تفعيل أو تعطيل Windows Hello للأعمال

هناك توجيه عالمي لتحديد ما إذا كان الجهاز استخدام WHfB أم لا وإذا تم تشغيل معالج التزويد بعد تسجيل الدخول:

  • ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork
  • ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/DisablePostLogonProvisioning

معهم يمكنك:

  • يُطلب من جميع المستخدمين توفير خدمة WHfB على الجهاز.
  • منع استخدام WHfB بشكل كامل.
  • اسمح لكل مستخدم بتحديد ما إذا كان يريد تهيئة ميزة Hello.
  • امنع المعالج من التشغيل التلقائي بعد تسجيل الدخول الأول، وهو أمر مفيد عندما أنت تستخدم حلاً تابعاً لجهة خارجية لتوفير خدمات WHfB.

سياسات رقم التعريف الشخصي، والاسترداد، وضوابط التعقيد

رقم التعريف الشخصي (PIN) الخاص بـ Windows Hello إنها إحدى ركائز الحل. على الرغم من أن الكثيرين يخلطون بينها وبين كلمة مرور "قصيرة"، إلا أنها في الواقع عامل محلي مرتبط بالجهاز، محمي بواسطة وحدة TPM، وأقل قابلية لإعادة الاستخدام بكثير من كلمة المرور التقليدية.

تاريخ انتهاء صلاحية رمز التعريف الشخصي (PIN) وسجله ومدته

تتيح لك سياسات رقم التعريف الشخصي (PIN) تعديل دورة الحياة والتعقيد بطريقة مشابهة - وإن كانت أكثر تفصيلاً - لكلمات المرور التقليدية:

  • انتهاءيمكنك تحديد مدة صلاحية رمز PIN بين يوم واحد و730 يومًا. إذا كانت القيمة 0، فلن تنتهي صلاحية رمز PIN أبدًا (القيمة الافتراضية).
  • سجل: يحدد عدد أرقام التعريف الشخصية السابقة التي لا يمكن إعادة استخدامها، بين 0 و 50. القيمة 0 تعني عدم تخزين أي سجل.
  • الحد الأدنى والحد الأقصى للطول: الحد الأدنى القابل للتكوين من 4 أحرف؛ الحد الأقصى حتى 127، مع مراعاة أن الحد الأدنى أقل من الحد الأقصى، وأنه افتراضيًا، إذا لم يتم تكوينه، فإن الحد الأدنى المطلوب هو 6 أحرف.

إذا لم يتم تحديد هذه السياسات، فإن السلوك الافتراضي يسمح ما يصل إلى 127 حرفًا ويتطلب رقم تعريف شخصي (PIN) مكون من 6 أحرف على الأقل، دون أي متطلبات إضافية تتجاوز قواعد التعقيد التي تحددها.

متطلبات تكوين رقم التعريف الشخصي

تستطيع ان تقرر ما هي أنواع الأحرف المقبولة وما هي الأحرف المطلوبة في رمز PIN الخاص بنظام Windows Hello؟

  • الأرقامإذا فعّلتَ سياسة اشتراط الأرقام، فيجب أن يتضمن رمز PIN رقمًا واحدًا على الأقل. أما إذا عطّلتَ هذه السياسة، فسيتم حظر الأرقام. وبدون هذا الإعداد، يُسمح بالأرقام ولكنها ليست إلزامية.
  • الحروف الصغيرة: يسمح لك باشتراط واحد على الأقل، أو حظرها تمامًا، أو تركها اختيارية.
  • Letras mayúsculas: نفس نظام الأحرف الصغيرة.
  • الشخصيات الخاصةقد يُشترط وجود رمز واحد على الأقل، أو قد يُحظر وجودها، أو قد يُسمح بها. وتُعتبر مجموعة واسعة من الرموز (! " # $ % & ' ( ) + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~).

تتيح لك هذه القواعد تعديل التوازن بين سهولة الاستخدام والمتانةومع ذلك، إذا تم المبالغة في التعقيد، فإن خطر نسيان أرقام التعريف الشخصية وتذاكر الدعم يزداد، وهو أمر تحاول العديد من المؤسسات تجنبه تحديدًا عند اعتماد WHfB.

استعادة رقم التعريف الشخصي (PIN)

La استعادة رقم التعريف الشخصي (PIN) تتيح هذه الميزة للمستخدم إعادة تعيين رمز PIN المنسي دون فقدان بيانات الاعتماد أو الشهادات المرتبطة به (بما في ذلك المفاتيح المرتبطة بالحسابات الشخصية على ذلك الكمبيوتر). وللقيام بذلك، يقوم نظام Windows Hello بتشفير سر استرداد يُخزّن محليًا، بحيث لا يمكن فك تشفيره إلا من قِبل خدمة الاسترداد والجهاز نفسه.

تتطلب هذه الوظيفة من المستخدم القيام بما يلي المصادقة متعددة العوامل مقابل إدخال معرف Microsoft لاستعادة رمز PIN، إذا قمت بتمكين السياسة المقابلة (عبر CSP أو GPO)، فسيقوم Windows بإنشاء وتخزين سر الاسترداد هذا؛ أما إذا قمت بتعطيله أو تركته غير مُهيأ، فلن يتمكن الجهاز من الوصول إليه. لن يخلق ولن يحافظ السر، وفي حالة نسيان رقم التعريف الشخصي (PIN)، سيتعين على المستخدم حذفه بالكامل وإنشاء رقم تعريف شخصي جديد، وإعادة التسجيل في الخدمات التي كان رقم التعريف الشخصي السابق يمنح الوصول إليها.

القياسات الحيوية، والحماية من التزييف، ونظام ESS

القياسات الحيوية في WHfB (الوجه، بصمة الإصبع، قزحية العين) هي مكمّلة لرمز التعريف الشخصي (PIN)، وليست بديلاً عنه تماماً. يوجد دائماً رمز تعريف شخصي احتياطي في حال تعطل المستشعر أو عدم إمكانية استخدامه في السياق.

حماية معززة ضد التزييف

هناك سياسة محددة تتطلب ذلك حماية محسّنة ضد التزييف (تحسينات مكافحة التزييف) في التعرف على الوجه. عند التفعيل، لن يسمح نظام ويندوز بالتحقق من الهوية عن طريق الوجه إلا إذا كان المستشعر والبرنامج يفي بمتطلبات الكشف المتقدمة عن الهجمات (على سبيل المثال، منع تسجيل الدخول باستخدام الصور أو مقاطع الفيديو أو التزييف العميق البسيط).

إذا تم تعطيله أو لم يتم تكوينه، فسيقوم نظام التشغيل Windows لن يتطلب ذلك حماية معززة وستكون عملية التحقق من الهوية عبر الوجه أقل تقييدًا. مسار مزود خدمة السحابة المرتبط بها هو ./Device/Vendor/MSFT/PassportForWork/Biometrics/FacialFeaturesUseEnhancedAntiSpoofingويمكن العثور على ما يعادل ذلك أيضًا في GPO ضمن خيارات القياسات الحيوية لـ Windows Hello for Business.

ESS: أمان تسجيل دخول مُحسّن مع الأجهزة الطرفية

La أمان تسجيل الدخول المحسّن (ESS) وهي طبقة إضافية تجمع بين VBS (الأمان القائم على المحاكاة الافتراضية) و TPM 2.0 ومكونات محددة لعزل القوالب البيومترية وعمليات المقارنة حسب الأجهزة.

باستخدام نظام ESS، يتم إجراء البيانات البيومترية (الوجه، بصمة الإصبع) والمقارنات في مناطق ذاكرة معزولة ومحميةهذه بيانات لا يمكن لبقية نظام التشغيل الوصول إليها مباشرةً. كما أن القناة بين المستشعرات والخوارزمية محمية، بحيث لا تستطيع البرامج الضارة أو المهاجمون إدخال أو إعادة إنتاج بيانات بيومترية مزيفة لمحاكاة عمليات تسجيل الدخول أو منع المستخدمين من الوصول.

سياسة EnableESSwithSupportedPeripherals سماح قيمتان رئيسيتان:

  • 0يتم تفعيل نظام ESS حتى في حال وجود مستشعرات طرفية أو مدمجة لا تدعم هذا النظام. يُسمح بعمليات المصادقة مع هذه الأجهزة، مع بعض القيود. هذا ليس الخيار الأمثل.
  • 1تم تمكين ESS بدون يقبل هذا النظام أجهزة استشعار طرفية أو مدمجة غير متوافقة مع نظام ESS. بعبارة أخرى، يتم حظر عمليات القياسات الحيوية من أي جهاز لا يدعم نظام ESS بالنسبة إلى Windows Hello. هذا هو التكوين مع مزيد من الأمن.

إذا تم تعطيله أو تركه بدون تكوين، فسيؤدي ذلك إلى إنهم يحجبون أجهزة الاستشعار. التي لا تتوافق مع أنظمة دعم القرار، مع الحفاظ على نهج متحفظ تجاه السلامة.

استخدام القياسات الحيوية بشكل عام

سياسة UseBiometrics يتحكم هذا الخيار فيما إذا كان Windows Hello for Business يسمح باستخدام الإيماءات البيومترية أم أنه يدعم فقط أرقام التعريف الشخصية (PIN). في حال تفعيله أو تركه دون ضبط، يُسمح باستخدام البيانات البيومترية؛ أما في حال تعطيله، فيُحظر استخدامها ويتعين على المستخدمين دائمًا المصادقة باستخدام رقم التعريف الشخصي (PIN). الرقم السري أو عوامل أخرى.

على كل حالالبيانات البيومترية:

  • يتم تخزينها على الجهاز المحلي فقط (قاعدة البيانات في C:\Windows\System32\WinBioDatabase).
  • يحتوي كل مستشعر على ملف خاص به ومفتاح فريد تم إنشاؤه عشوائيًا، مشفر باستخدام AES في وضع CBC وتجزئة SHA-256.
  • لا يتم إرسالها إلى خوادم خارجية أو مزامنتها بين أجهزة الكمبيوتر، مما يمنع نقاط التجميع الفردية للمهاجمين.

التكامل مع البطاقات الذكية والتطبيقات القديمة

لا تزال العديد من المنظمات تعتمد على البطاقات الذكية والتطبيقات التي تنتظر شهادات "من نوع البطاقة الذكية"يتضمن WHfB خيارات لمحاكاة هذه البيئات أو دمجها معها دون فقدان مزايا المصادقة الحديثة.

محاكاة البطاقات الذكية وحصرها

افتراضيايمنع نظام ويندوز المستخدمين على نفس الجهاز من رؤية بيانات اعتماد ويندوز هيلو المُخصصة لمستخدمين آخرين. تتيح لك السياسة إلغاء الاشتراك في الحالات التالية:

  • يمكن للمستخدم نفسه أن يمتلك حسابات بصلاحيات وأخرى بدونها على نفس جهاز الكمبيوتر.
  • يريد تسجيل الدخول باستخدام الحساب "العادي" ولكن رفع مستوى الامتيازات قبل تسجيل الخروج، باستخدام بيانات اعتماد Hello الخاصة به.

هناك أيضا خيار تعطيل محاكاة البطاقة الذكيةفي حال تفعيل هذه الميزة، لن تكون بيانات اعتماد WHfB متوافقة مع التطبيقات التي تتطلب بطاقة ذكية. أما إذا تُركت معطلة أو لم يتم ضبطها، فسيستمر نظام ويندوز في توفير هذه المحاكاة تلقائيًا.

استخدم شهادات Hello كشهادات للبطاقات الذكية

سياسة أخرى مهمة es UseHelloCertificatesAsSmartCardCertificatesفي حال تفعيل هذه الخاصية، يمكن للتطبيقات التعامل مع شهادات Windows Hello للشركات، مثل شهادات البطاقات الذكية.لكن في هذا السياق، العوامل البيومترية ليست متوفرة عند طلب الإذن باستخدام المفتاح الخاص للشهادة.

إذا لم يتم تكوينه أو تم تعطيلهلا تستخدم التطبيقات شهادات Hello بهذه الطريقة، وتبقى البيانات البيومترية متاحة للمستخدم. لا يمكن تفعيل هذا الخيار بالتزامن مع السياسة التي تُعطّل محاكاة البطاقة الذكية.

متطلبات شهادات البنية التحتية للمفاتيح العامة (PKI) وقوائم إبطال الشهادات (CRL) ووحدة تحكم المجال

في عمليات النشر التي يجب أن يوفر فيها WHfB تسجيل دخول موحد للموارد المحلية باستخدام الشهادات وكيربيروسيجب تهيئة البنية التحتية للمفاتيح العامة (PKI) وبنية الشهادات بشكل صحيح، خاصةً إذا كانت هناك الأجهزة المتصلة بشبكة مايكروسوفت فقط. أدخل سيتم التحقق من ذلك باستخدام Active Directory.

نقطة توزيع CRL يمكن الوصول إليها بواسطة الأجهزة المتصلة بـ Entra

أحد النقاط الحرجة هي قائمة إبطال الشهادات (CRL)عندما تقوم جهة إصدار الشهادات بإلغاء شهادة، فإنها تضيف معلومات إلى هذه القائمة، ويقوم نظام التشغيل Windows بالرجوع إليها للتحقق مما إذا كانت الشهادة لا تزال صالحة.

في العديد من البيئات المحلية CDP (نقطة توزيع CRL) منشورة كمسار LDAP في Active Directoryهذا الحل مناسب للأجهزة المنضمة إلى نطاق، ولكنه غير مناسب للأجهزة المنضمة فقط إلى Microsoft Entra، حيث لا يمكنها قراءة Active Directory قبل المصادقة. وهذا يخلق تبعية دائرية: للتحقق من صحة شهادة وحدة تحكم النطاق، تحتاج إلى قراءة Active Directory، ولكن لا يمكنك قراءة Active Directory دون المصادقة أولاً.

الحل هو نشر CDP في خادم الويب الذي يمكن الوصول إليه عبر بروتوكول HTTP (وليس HTTPS)لا يتطلب ذلك مصادقة مسبقة. الإجراء المعتاد يتضمن ما يلي:

  • قم بتثبيت IIS أو خادم ويب آخر على خادم داخلي.
  • أنشئ دليلًا افتراضيًا (على سبيل المثال، cdp) الذي يشير إلى مجلد مشترك حيث يمكن لهيئة إصدار الشهادات نشر قوائم إبطال الشهادات (CRLs).
  • قم بضبط أذونات NTFS والمشاركة بحيث يمكن لـ CA الكتابة إلى هذا المجلد.
  • أنشئ سجل DNS (على سبيل المثال، crl.midominio.com) يشير إلى ذلك الخادم.
  • قم بضبط إعدادات البث لتشمل بروتوكول CDP HTTP في تمديدات الشهادات الصادرة، ونشر قائمة الشهادات الملغاة (CRL) وقائمة الشهادات الملغاة التفاضلية (delta CRL) في ذلك الموقع.

بعد يجب عليك فرض نشر قائمة إبطال الشهادات الجديدة والتحقق من إمكانية الوصول إليها من خلال متصفح. http://crl.tudominio.com/cdp واطلع على الملفات .crl ولدت.

إعادة إصدار شهادة وحدة تحكم المجال والتحقق الصارم من مركز توزيع المفاتيح

لا يتم تحديث الشهادات الصادرة مسبقًا تلقائيًا ببيانات CDP الجديدة؛ جددهاوبالتحديد، شهادات وحدة تحكم المجال المستخدمة لمصادقة Kerberos. ويفرض WHfB هذه الميزة. "التحقق الصارم من مركز توزيع المفاتيح" عندما يقوم جهاز متصل بـ Microsoft Entra بالمصادقة على نطاق محلي، يجب أن تستوفي شهادة وحدة التحكم بالمجال عدة متطلبات:

  • يجب أن يمتلك مركز البيانات المفتاح الخاص للشهادة المقدمة.
  • يجب أن يكون المرجع المصدق الجذر الذي أصدر شهادة وحدة التحكم بالمجال موجودًا في جذور الثقة الجهاز.
  • يجب عليك استخدام ملف نموذج شهادة مصادقة Kerberosليست قوالب قديمة.
  • يجب أن تتضمن الشهادة رمز جامعة إيست كنتاكي (EKU) الخاص بـ مصادقة مركز توزيع المفاتيح (KDC).
  • يجب أن يحتوي اسم الموضوع البديل على اسم نظام أسماء النطاقات (DNS) الذي تطابق اسم النطاق.
  • يجب أن تكون خوارزمية التوقيع على الأقل SHA256.
  • يجب أن يكون المفتاح العام 2048 بت آر إس إيه.

بعد تكوين مركز المصادقة وتجديد شهادات وحدة التحكم بالمجال، يجب عليك التحقق في علامة تبويب التفاصيل لكل شهادة من وجود بروتوكول HTTP CDP الصحيح. هذا أمر بالغ الأهمية لـ الأجهزة المتصلة فقط بوحدات تحكم مجال الثقة Entra عند المصادقة باستخدام WHfB.

قم بتطبيق شهادة الجذر الخاصة بهيئة التصديق على الأجهزة المنضمة إلى Entra

وأخيرًا، الأجهزة المتصلة بـ Microsoft Entra يجب عليهم الوثوق بشهادة المرجع المصدق الجذرية للشركة. ويتم ذلك عن طريق تصدير الشهادة الجذرية من سلسلة الثقة الخاصة بشهادة مركز البيانات وتوزيعها على أجهزة الكمبيوتر، على سبيل المثال، باستخدام:

  • سياسة شهادة ائتمان المعدات في Microsoft Intune، يشير إلى مخزن الجذر الموثوق به للفريق.
  • أو طرق مماثلة في حلول إدارة البيانات الرئيسية الأخرى.

إذا تم حذف هذه الخطوة، حتى لو تم تكوين جميع العناصر الأخرى بشكل صحيح، فلن تثق الأجهزة في مراكز البيانات وعمليات المصادقة مع WHfB. سوف يفشلون في طبقة TLS/الشهادة.

تُحقق ميزة Windows Hello للأعمال قفزة نوعية في مجال الأمان وتجربة تسجيل الدخول.يستبدل هذا النظام كلمات المرور ببيانات اعتماد مرتبطة بالأجهزة، محمية بواسطة أجهزة وتُدار مركزياً، مما يوفر تسجيل دخول موحد حديث ومقاوم للتصيد الاحتيالي في بيئات الحوسبة السحابية والمحلية على حد سواء. مع ذلك، لكي يعمل النظام بكفاءة عالية، يجب الاهتمام بجدية بإعداد بنية الهوية والبنية التحتية للمفاتيح العامة (PKI)، ووضع سياسات مناسبة لأرقام التعريف الشخصية (PIN) والبيانات البيومترية والاستخدام الإلزامي لوحدة TPM، ويجب أن يصاحب ذلك تطبيق تدريجي مع تواصل واضح مع المستخدمين، حتى يُنظر إلى التغيير على أنه تحسين وليس تعقيداً إضافياً في مجال تكنولوجيا المعلومات.