Управление биометрическими данными Windows Server 2008 R2

Опубликовано: 8 Апреля, 2023


Введение


Мы давно знаем, что традиционный метод аутентификации по имени пользователя и паролю сам по себе не обеспечивает наилучшей безопасности. Его можно улучшить, устанавливая требования к длине и сложности и устанавливая сроки действия, и администраторы домена Windows могли делать это с помощью параметров групповой политики, начиная с Windows NT. Но многофакторная аутентификация всегда будет лучше, и, возможно, лучший метод положительной аутентификации человека — это отпечатки пальцев и другие уникальные физические характеристики. Да, подделать биометрическую информацию возможно, но это сложно. Вы не можете поделиться биометрическим идентификатором, как паролем, или сделать его копию, как с картой или токеном. Еще одним преимуществом является то, что он всегда с вами; вы не можете потерять его или оставить, когда он вам понадобится.


Проблема с использованием биометрии для входа в систему или домен заключается в том, что до недавнего времени ни в Windows Server, ни в клиентских операционных системах Windows не было встроенной поддержки для использования биометрии или управления ею. Вы должны были использовать стороннее программное обеспечение, и между программами биометрии было мало согласованности или совместимости. Каждый поставщик устройств предоставляет свои собственные проприетарные драйверы, клиентское программное обеспечение, SDK, инструменты управления и т. д. Хорошая новость заключается в том, что все изменилось. Windows 7 и Windows Server 2008 R2 включают Windows Biometric Framework (WBF), которая обеспечивает встроенную поддержку биометрических технологий, в частности, устройств для отпечатков пальцев.


Компоненты WBF


WBF состоит из нескольких компонентов:



  • Определение интерфейса драйвера, Windows Biometric Driver Interface (WBDI), через который пользовательские приложения могут взаимодействовать с биометрическими устройствами.
  • Биометрическая служба Windows (WBS) для управления устройствами отпечатков пальцев и работы между программным приложением и биометрическим устройством для хранения биометрических данных отдельно от клиентского приложения.
  • Подключаемая платформа расширения.
  • Клиентский API, с помощью которого приложения регистрируются, идентифицируют и проверяют личность пользователя.
  • Компоненты взаимодействия с пользователем.
  • Компоненты управления для локальной настройки или централизованной настройки на уровне домена, включая панель управления биометрическими устройствами и категорию «Биометрия» в диспетчере устройств, групповая политика.
  • Компонент распространения, включая возможность поставщиков распространять драйверы и компоненты WBF через Центр обновления Windows.

Разработчики могут узнать больше об API Windows Biometric Framework и о том, как его использовать, здесь.


Биометрические сценарии


Два стандартных поддерживаемых сценария для клиентских компьютеров Windows 7 включают биометрический вход в систему (на локальный компьютер или в домен) и повышение привилегий через UAC с помощью биометрии.


Для дополнительной безопасности надежной многофакторной аутентификации шаблон отпечатка пальца можно даже сохранить на смарт-карте и использовать для аутентификации владельца карты, интегрируя его со сторонними решениями, такими как «Match-on-Card» от Protiva.NET Bio. технология, при которой проверка отпечатков пальцев выполняется на карте. Подробнее об этом читайте здесь.


Включение биометрического входа в Windows 7


Чтобы настроить биометрический (отпечаток пальца) вход в систему на компьютере с Windows 7, вам в первую очередь потребуется сканер отпечатков пальцев. Это может быть дополнительное устройство или встроенный ридер (как во многих современных ноутбуках). Должны быть установлены соответствующие драйверы для устройства. Windows 7 поставляется с драйверами для ряда биометрических устройств. Если ваш не входит в их число, Windows попытается найти правильные драйверы на сайте Центра обновления Windows. Если это не сработает, посетите веб-сайт производителя устройства (или поставщика компьютера для встроенных устройств).


После установки драйверов следующим шагом будет настройка биометрического программного обеспечения с данными ваших отпечатков пальцев. Следуй этим шагам:



  1. Войдите в учетную запись пользователя, с которой вы хотите использовать биометрический вход.
  2. Щелкните Пуск | Панель управления.
  3. В классическом представлении щелкните апплет «Биометрические устройства». Если вы не видите этот апплет, проверьте Диспетчер устройств, чтобы убедиться, что ваше биометрическое устройство указано в списке.
  4. В диалоговом окне нажмите «Использовать отпечаток пальца в Windows».
  5. Далее вас попросят указать ваш пароль. Сделайте это и нажмите ОК.
  6. В диалоговом окне регистрации устройства чтения отпечатков пальцев вам будет предложено щелкнуть палец, который вы хотите настроить. Вы можете настроить один, несколько или все пальцы. Обычно рекомендуется настроить несколько пальцев, так как иногда считыватель может не распознать один из ваших пальцев (возможно, из-за того, что он грязный, жирный или поврежденный), но распознает другой палец.
  7. Затем вас попросят провести пальцем по считывателю, чтобы читатель мог получить хорошее чтение. Успешное проведение приведет к зеленой галочке; неудачное смахивание приведет к красному крестику. Вам потребуется три успешных свайпа, чтобы продолжить.
  8. После трех успешных пролистываний вы получите уведомление о том, что палец настроен для входа в систему и доступа к функциям, и вы можете нажать «Готово».
  9. Вы можете повторить процесс, чтобы зарегистрировать другие пальцы.

Теперь вам нужно протестировать и убедиться, что вход в систему по отпечатку пальца работает. Выйдите из системы (или заблокируйте компьютер). Вместо вашей фотографии и поля для ввода пароля вы теперь увидите значок отпечатка пальца, так как вход по отпечатку пальца был установлен в качестве метода входа по умолчанию. Не волнуйся; если это не работает, вы можете нажать кнопку «Другие учетные данные» и войти в систему, используя свое имя пользователя и пароль, как обычно.


Проведите одним из настроенных вами пальцев, и система должна войти в систему.


Управление биометрическими данными в домене Windows Server 2008 R2


Администраторы могут включать, ограничивать или блокировать использование биометрических устройств в домене Windows с помощью групповой политики. В редакторе управления групповыми политиками в Windows Server 2008 R2 на левой панели щелкните правой кнопкой мыши объект групповой политики (GPO), который вы хотите настроить (например, политику домена по умолчанию), и выберите «Изменить», как показано на рисунке 1.


Изображение 23385
фигура 1


На левой панели разверните «Политики», затем «Административные шаблоны: определения политик», затем «Компоненты Windows» и щелкните «Биометрические данные», как показано на рис. 2.


Изображение 23386
фигура 2


На правой панели вы увидите четыре варианта:



  • Разрешить использование биометрии
  • Разрешить пользователям входить в систему с помощью биометрии
  • Разрешить пользователям домена входить в систему с помощью биометрии
  • Тайм-аут для событий быстрого переключения пользователей

Обратите внимание, что те же параметры групповой политики доступны в редакторе локальной групповой политики на компьютерах с Windows 7 и Windows Server 2008 R2. Разрешения и поведение биометрии можно настроить в локальной политике; однако политика домена имеет приоритет перед локальной политикой.


Разрешить использование биометрии


Если вы включите параметр политики «Разрешить использование биометрии», это сделает биометрическую службу Windows доступной для пользовательских приложений. Это означает, что пользователи смогут запускать биометрические приложения на своих клиентах Windows 7 или на серверах Windows Server 2008 R2. Этот параметр не позволяет пользователям входить в систему с биометрическими данными; он позволяет им запускать только биометрические приложения.


Если политика не настроена, WBS по-прежнему будет доступен, так как это значение по умолчанию. Если вы не хотите, чтобы он был доступен (тем самым запрещая пользователям запускать биометрические приложения), вам необходимо явным образом отключить этот параметр политики. Это не позволяет пользователям использовать какие-либо биометрические функции в Windows 7 и Windows Server 2008 R2. Чтобы включить или отключить параметр политики, дважды щелкните его или щелкните правой кнопкой мыши и выберите «Изменить». Там у вас есть три кнопки выбора: Не настроено, Включено и Отключено. Выберите тот, который вы хотите, а затем нажмите «Применить» и «ОК».


Разрешить пользователям входить в систему с помощью биометрии


Если вы включите параметр политики «Разрешить пользователям входить в систему с использованием биометрии», пользователи смогут входить на свои компьютеры, проводя пальцем. Они также смогут повышать разрешения контроля учетных записей (UAC) одним движением пальца (если они вошли в систему с учетной записью администратора). Это позволяет пользователям входить только на локальный компьютер; он не позволяет им войти в домен Windows.


Как и в предыдущей политике, значение по умолчанию «Не настроено» имеет тот же эффект, что и выбор «Включено», поэтому, если вы не хотите, чтобы пользователи могли входить на свои компьютеры или повышать привилегии с помощью биометрии, вам необходимо явно отключить политику. параметр. Это делается так же, как мы редактировали настройку политики выше.


Разрешить пользователям домена входить в систему с использованием биометрических данных


Цель этого параметра политики очевидна; если вы включите его, пользователи, имеющие учетные записи домена, смогут входить в домен Windows или повышать привилегии с помощью учетной записи домена, вошедшей в систему, проводя пальцем. Значение по умолчанию здесь отличается от приведенного выше. Поскольку в домене действует принцип наименьших привилегий, пользователи домена по умолчанию не могут использовать биометрические данные для входа в систему. Таким образом, выбор «Не настроено» в этом случае имеет тот же эффект, что и выбор «Отключено», и вам потребуется явно включить параметр политики, если вы хотите, чтобы пользователи домена могли входить в домен с помощью биометрии.


Тайм-аут для событий быстрого переключения пользователей


Этот параметр политики можно использовать для установки определенного периода времени (в секундах), в течение которого событие быстрого переключения пользователя остается активным до того, как произойдет переключение. Период времени по умолчанию составляет 10 секунд. Максимальный период времени, который вы можете настроить, составляет 60 секунд. Вам необходимо включить параметр политики, чтобы изменить указанный период времени.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023