Что такое цапфа в окнах
Цапфа в фурнитура окон
Цапфа — фурнитурный элемент на створке окна упирающийся в специальную ответную часть на раме. В пластиковых окнах ответной частью служит специальная планка на раме окна . Цапфы всегда находятся только на створках с торцевой стороны. При повороте оконной ручки цапфа сдвигается либо вверх, либо вниз, цепляясь за ответную планку, притягивая створку к раме.
Ответная планка вместе с цапфой образуют точку прижима. Часто цапфы называют эксцентриками, что является альтернативным названием. С помощью цапф производят перевод окон в сезонные специальные режимы. На створке пластикового окна, в зависимости от ее размера, как правило, находится 4–7 цапф (сбоку, сверху, снизу).
Узнайте о цапфе и переводе окон в специальные режимы больше
Примеры запорных цапф
У каждого производителя фурнитуры своя форма запорных цапф. В настоящее время практически все производители фурнитуры, даже совсем бюджетной, устанавливают регулируемые цапфы. Регулируемые цапфы всегда овальной или круглой формы и могут крутиться. На четвертом фото представлена запорная цапфа, которую нельзя отрегулировать.
Что такое ПИН-код?
Обновлено: 02.08.2020, Computer Hope
PIN может относиться к любому из следующего:
1. Сокращенное от персональный идентификационный номер , PIN - это набор персональных номеров, используемых для подтверждения положительной идентификации. Он часто используется с банкоматами, телефонными карточками и доступом к беспроводным сетям. Ниже приведен пример Microsoft Windows, запрашивающего PIN-код при подключении к сети Wi-Fi.
Наконечник
Если вы пытаетесь получить доступ к беспроводной сети и не знаете PIN-код, выберите вариант использования вашего сетевого ключа или ключевой фразы.
2. В Microsoft Windows Pin - это термин, впервые введенный в Windows 7, который описывает постоянное размещение ярлыка на панели задач или в меню «Пуск». Чтобы закрепить ярлык, щелкните правой кнопкой мыши значок программы, затем выберите «Закрепить на панели задач» или «Закрепить на старте». Или перетащите значок на панель задач, пока он не станет похож на картинку.
С появлением Windows 8 этот термин также расширился и стал обозначать любой объект в пользовательском интерфейсе (пользовательском интерфейсе).Например, в Windows 8 вы также можете закреплять плитки. Windows 8 также представила вход с помощью PIN-кода, который позволяет пользователю входить в свой компьютер с помощью четырехзначного PIN-кода.
3. Контакт также описывает короткий и обычно тонкий кусок металла, находящийся на конце штыревого кабеля. Например, на рисунке показан конец разъема VGA с контактами (верхнее изображение), который подключается к розетке (нижнее изображение) на компьютере.
4. Термин контакт описывает небольшие металлические выступы на дне ЦП или ИС.Эти контакты подключают ЦП к розетке или печатной плате. Изображенный крупный план ЦП показывает, как контакты на ЦП могут погнуться. Если штыри погнуты, ЦП может не работать.
5. В интернет-браузерах, таких как Chrome и Firefox, вывод означает уменьшение размера вкладки и ее постоянное отображение на панели вкладок браузера. Mozilla Firefox называет их вкладками приложений. На рисунке показан пример закрепленной вкладки (в данном случае YouTube) рядом с вкладкой Computer Hope.В большинстве случаев, когда вкладка закреплена, вы увидите только значок.
Номер доступа, Аутентификация, Аббревиатуры компьютеров, Термины для оборудования, Штекерный разъем, Пароль, Условия для телефона, Совместимость с контактами, Условия безопасности, Условия использования программного обеспечения
.В чем разница между PIN-кодом и паролем для входа в Windows 10
Практически всю нашу цифровую жизнь мы проводим в ноутбуках, и если безопасность будет нарушена, любой может получить доступ к нашей профессиональной и личной жизни. Хотя пароли существуют для защиты, их также очень сложно запоминать и вводить. Вот почему Microsoft представила PIN-код с запуском Microsoft Hello в Windows 10.
Для кого-то это может показаться просто еще одной вещью, которую нужно запомнить, но это отличается от вашего обычного пароля.Давайте посмотрим, что такое PIN-код, чем он отличается от пароля и почему вы должны его использовать.
Приступим.
1. Пароль
Пароль - это простая буквенно-цифровая последовательность, которую вы используете для разблокировки ноутбука с Windows 10. Если вы хотите использовать сложный пароль, вы можете добавить к нему специальные символы (@ # $%). Настоятельно рекомендуется, чтобы ваш пароль состоял как минимум из одного нижнего регистра, одного верхнего регистра, одной цифры и одного специального символа. Больше всегда лучше.
Чем длиннее и сложнее ваш пароль, тем он лучше. Хотя это делает наши пароли более безопасными, их становится труднее запоминать, а набирать их каждый раз, когда компьютер просыпается или загружается, становится труднее. Люди часто делают ошибку, выбирая простой для запоминания пароль вместо сложного, а затем задаются вопросом, как их взломали.
2. PIN-код
PIN-код является частью продукта Windows Hello, который позволяет пользователям использовать различные способы входа на свой компьютер.Другие методы включают распознавание лица, отпечаток пальца, сканирование радужной оболочки глаза и клавиши FIDO. ПИН-код - это четырехзначный цифровой пароль, который легко запомнить и ввести, особенно на сенсорных экранах.
Может быть длиннее четырех цифр, но не короче. Кроме того, некоторые корпоративные версии позволяют пользователям создавать сложные ПИН-коды, позволяя использовать алфавиты и специальные символы.
Это не означает, что вы больше не будете создавать и использовать пароль. Пароли здесь, чтобы остаться, потому что они добавляют еще один уровень безопасности.Вы не можете создать PIN-код, не создав предварительно пароль.
Задача PIN-кода - упростить процесс входа, чтобы вам не пришлось тратить время на запоминание или ввод паролей. Это удобство, но опять же, какой ценой?
3. Безопасность
Вы можете использовать локальную учетную запись для использования компьютера с Windows 10 или учетную запись Microsoft. Учетная запись Microsoft - это та, которая привязана к вашим приложениям Microsoft, таким как Office 365, Skype, Xbox и т. Д. Вы также будете использовать тот же пароль на своем ПК.Если вы не хотите связывать компьютер с учетной записью Microsoft, вы можете вместо этого создать локальную учетную запись. В локальной учетной записи вся ваша информация хранится на устройстве.
Почему это важно? Если ваш ноутбук украден или потерян, вы можете использовать функцию «Найти устройство», чтобы отследить его или даже отформатировать удаленно. Кроме того, вы можете создавать резервные копии приложений и настроек в облаке, что упрощает замену ноутбуков в будущем. Вот почему я предлагаю использовать учетную запись Microsoft.
Учетная запись Microsoft - это учетная запись, привязанная к вашим приложениям Microsoft, таким как Office 365, Skype, Xbox и т. Д.
Хотя пароли хранятся в облаке, PIN-код является локальным, что означает, что он никогда не покинет ваш компьютер.Его нельзя использовать ни в какой другой службе Microsoft. Microsoft объясняет, что PIN-код привязан к устройству, а не к учетной записи. Это делает ПИН-код бесполезным для хакеров. Им также придется украсть ваш компьютер, чтобы использовать этот PIN-код.
Microsoft рекомендует пользователям использовать PIN-код, потому что он «поддерживается чипом TPM, который является безопасным криптопроцессором». Не каждый ноутбук имеет этот чип внутри, поэтому вы также можете использовать BitLocker, встроенную программу шифрования.
Microsoft отмечает на своей странице конфиденциальности Windows Hello, что личные данные пользователя не собираются и любая небольшая информация сначала зашифровывается.Думаю, это ничуть не хуже.
Даже если ваш компьютер украден, Windows позволяет только четыре раза угадать PIN-код, после чего потребуется перезагрузка. Многократное угадывание неправильного ПИН-кода приводит к блокировке. Вот почему я предлагаю использовать облачную учетную запись Microsoft. Таким образом, вы можете управлять им удаленно, если вы забудете PIN-код или кто-то попытается его взломать.
В указанной выше статье могут содержаться партнерские ссылки, помогающие в поддержке Guiding Tech. Однако это не влияет на нашу редакционную честность.Содержание остается объективным и достоверным.
PIN или пароль? Что безопаснее использовать в Windows 10
В Windows 10 Microsoft предоставляет несколько способов входа в вашу учетную запись, помимо стандартного пароля. К ним относятся распознавание лиц и сканирование отпечатков пальцев, но они недоступны на некоторых машинах.
Однако любой может использовать PIN-код (личный идентификационный номер) для защиты своей учетной записи Windows 10.И это отличная идея. Давайте посмотрим на функцию безопасности PIN-кода в Windows 10, различия между PIN-кодом и паролем и то, что вы должны использовать.
Что такое ПИН-код Windows?
ПИН-код («ПИН-код» является избыточным) - это серия цифр, которую вы можете использовать для входа в свою учетную запись пользователя Windows 10 благодаря функции Windows Hello.Его проще ввести, чем полный пароль, особенно на устройстве с сенсорным экраном. Независимо от того, используете ли вы для входа учетную запись Microsoft или локальную учетную запись, вы можете дополнить свой пароль PIN-кодом.
Как мы уже говорили, у входа в систему с учетной записью Microsoft есть свои плюсы и минусы.Это требуется для многих служб Microsoft и помогает синхронизировать ваши настройки на разных устройствах. Это делает его удобным, но некоторые люди предпочитают использовать локальную учетную запись ПК, которая ни к чему не привязана.
Если вы используете учетную запись Microsoft для входа в Windows, пароль вашего ПК и пароль вашей учетной записи Microsoft идентичны.В зависимости от того, сколько других служб Microsoft вы используете, этот пароль может также защитить ваши учетные записи Skype, Xbox и Outlook. В результате взлом пароля вашего ПК представляет собой огромный риск.
Если вы используете локальную учетную запись, вы можете отказаться от установки пароля (что довольно небезопасно).Предполагая, что вы установили пароль, он применяется только для этого компьютера и не привязан к каким-либо ресурсам Microsoft. Мы показали, как преобразовать логин Microsoft в локальную, если вам интересно.
Как настроить PIN-код Windows 10?
Чтобы получить доступ к настройкам пароля и PIN-кода, перейдите в раздел «Настройки »> «Учетные записи»> «Параметры входа» .Здесь вы найдете все настройки, связанные с вашим паролем и методами входа.
Чтобы изменить текущий пароль, разверните раздел Пароль и нажмите кнопку Изменить .При использовании учетной записи Microsoft это изменит ваш пароль для всех служб Microsoft. Если вы используете локальную учетную запись, это изменит только этот пароль.
Добавьте ПИН-код к своей учетной записи, открыв Windows Hello PIN и нажав Добавить .Скорее всего, вас попросят подтвердить пароль вашей учетной записи перед установкой PIN-кода.
Минимум четыре цифры, но для более безопасного ПИН-кода следует выбрать не менее шести. Шестизначный PIN-код имеет один миллион возможных комбинаций, тогда как четырехзначный PIN-код имеет только 10 000 возможных комбинаций.
Для большей безопасности вы также можете установить флажок Включить буквы и символы . Это позволяет вам добавлять дополнительные символы, чтобы сделать его паролем.Однако это снижает удобство использования PIN-кода, поэтому в этом нет необходимости.
Конечно, вы должны быть осторожны с выбранным вами PIN-кодом.Не выбирайте что-то общее, например 0000 или 1234 , и не выбирайте очевидную дату, например свой день рождения. Вам также следует избегать дублирования любых других важных PIN-кодов, таких как PIN-код банкомата. Таким образом, если кто-то украдет ваш PIN-код, он не сможет взломать другие учетные записи.
Для достижения наилучших результатов выберите случайный набор чисел и сохраните его в памяти --- или сохраните в диспетчере паролей, если вы беспокоитесь о том, чтобы забыть его.Если вам когда-нибудь понадобится изменить свой PIN-код или вы захотите его удалить, вы найдете эти параметры на этой странице.
Вы также можете нажать Я забыл свой PIN-код , чтобы сбросить его. Вам будет предложено ввести для этого пароль вашей учетной записи.
Другие способы входа
На странице Параметры входа вы увидите несколько других параметров, помимо PIN-кодов и паролей.К ним относятся Windows Hello Face и Windows Hello Fingerprint , которые обеспечивают биометрическую безопасность. Если вы используете один из этих методов, вам также потребуется установить ПИН-код в качестве альтернативного метода.
Хотя эти опции полезны, они требуют совместимого оборудования, которое есть не на каждом компьютере.Не стесняйтесь использовать их, если на вашем компьютере есть сканер отпечатков пальцев или совместимая веб-камера.
Ключ безопасности Опция позволяет войти в систему с помощью YubiKey или аналогичного устройства. Это очень безопасный вариант, но он также требует, чтобы вы купили ключ и имели его при входе в систему.
Наконец, Picture Password позволяет нарисовать фотографию, чтобы разблокировать компьютер. Это забавная новинка, но не особо полезная.
ПИН-код Windows 10 vs.Пароль: что мне использовать?
Защита учетной записи, как и большинство вопросов безопасности, сводится к компромиссу между удобством и безопасностью. ПИН-код 1234 очень удобен, но при этом очень небезопасен. Точно так же 100-значный PIN-код будет долго взламываться, но вводить его крайне неудобно.
Поскольку вы можете использовать PIN-код и пароль вместе, вам не нужно выбирать между ними. При правильном использовании надежный ПИН-код - отличный компромисс между удобством и безопасностью.Посмотрим, почему PIN-коды так полезны.
PIN-кодов уникальны для каждого устройства
Лучшая функция безопасности ПИН-кода Windows 10 заключается в том, что он применяется только к одному устройству; он используется только на вашем компьютере и никогда не передается на серверы Microsoft.Таким образом, если вы установили ПИН-код на своем домашнем ПК и кто-то украл его, они не смогут получить доступ к вашей учетной записи, если у них не будет физического доступа к вашему устройству. Кроме того, ваш PIN-код не позволяет войти в вашу учетную запись Microsoft, как ваш пароль.
Таким образом, использование пароля Microsoft для входа в компьютер на самом деле является большим риском.Если вам нужно каждый раз вводить этот пароль для входа в систему, у вас может возникнуть соблазн сделать его простым и слабым. Если кто-то украдет этот пароль, он также может войти в вашу электронную почту Outlook, учетную запись Xbox или любое количество других служб Microsoft.
Используйте PIN-код и надежный пароль
Если вы использовали менеджер паролей для установки надежного пароля для своей учетной записи Microsoft, вероятно, его слишком сложно вводить каждый раз при входе в систему.Вход с помощью ПИН-кода решает эту проблему; вам просто нужно убедиться, что он хороший.
Мы рекомендуем большинству людей установить надежный пароль для своей учетной записи Microsoft и объединить его с надежным ПИН-кодом для входа в компьютер.Это обеспечивает защиту ресурсов вашей учетной записи Microsoft, а также позволяет вам удобно входить на свой компьютер, особенно если вы также используете двухфакторную аутентификацию в своей учетной записи Microsoft для еще большей безопасности.
Нет никаких недостатков в установке PIN-кода.Пользователи локальной учетной записи также могут установить ПИН-код, и применяются те же правила. Однако, поскольку локальная учетная запись применяется только к вашей конкретной машине, PIN-код - это просто альтернативный способ входа в систему. Он не дает преимуществ скрытия пароля вашей учетной записи Microsoft.
Обратите внимание, что вы не можете использовать свой PIN-код при подключении к компьютеру через удаленный рабочий стол, и вы не можете ввести PIN-код для входа в безопасном режиме.Убедитесь, что у вас все еще есть стандартный пароль для таких ситуаций.
Использование PIN-кода для входа в приложения
В качестве дополнительного преимущества некоторые приложения Windows поддерживают использование Windows Hello для подтверждения доступа к конфиденциальной информации, включая 1Password и Google Chrome.
Например, после того, как вы один раз вошли в 1Password с помощью мастер-пароля, вы можете ввести свой PIN-код, чтобы разблокировать приложение в следующий раз. Теперь Chrome позволяет вводить PIN-код для автоматического заполнения сохраненных данных кредитной карты в формах.
Ввод PIN-кода удобнее, чем каждый раз вводить длинный пароль, поэтому такие подключения стоит настроить. Просто имейте в виду, что безопасность, которую они обеспечивают, зависит от вашего PIN-кода.
Разумно использовать PIN-код Windows 10
Теперь вы знаете, как работают PIN-коды в Windows 10.Когда вы входите в Windows, система предложит вам ввести PIN-код вместо пароля. Чтобы вместо этого войти в систему со своим паролем, найдите ссылку Параметры входа под полем ввода текста.
Мы рекомендуем всем установить PIN-код Windows 10, независимо от того, используете вы учетную запись Microsoft или нет.Если вы хотите защитить свой телефон, ознакомьтесь с преимуществами и недостатками использования отпечатка пальца или PIN-кода для блокировки смартфона.
Смайликов так много, что бывает сложно понять, что они все означают.Вот объяснения самых популярных смайликов.
Об авторе Бен - заместитель редактора и менеджер по адаптации в MakeUseOf. Он оставил свою работу в сфере ИТ, чтобы писать полный рабочий день в 2016 году, и никогда не оглядывался назад.В качестве профессионального писателя он освещал технические руководства, рекомендации по видеоиграм и многое другое уже более шести лет.
Подробнее о Бене СтегнереПодпишитесь на нашу рассылку новостей
Подпишитесь на нашу рассылку, чтобы получать технические советы, обзоры, бесплатные электронные книги и эксклюзивные предложения!
Еще один шаг…!
Подтвердите свой адрес электронной почты в только что отправленном вам электронном письме.
.Windows Hello для бизнеса Часто задаваемые вопросы - Microsoft 365 Security
- 14 минут на чтение
В этой статье
Относится к
А как насчет виртуальных смарт-карт?
Windows Hello для бизнеса - это современные двухфакторные учетные данные для Windows 10.Microsoft прекратит поддержку виртуальных смарт-карт в будущем, но в настоящее время дата не установлена. Клиенты, использующие Windows 10 и виртуальные смарт-карты, должны перейти на Windows Hello для бизнеса. Microsoft опубликует дату заранее, чтобы у клиентов было достаточно времени для перехода на Windows Hello для бизнеса. Microsoft рекомендует новые развертывания Windows 10 для использования Windows Hello для бизнеса. Виртуальная смарт-карта по-прежнему поддерживается для Windows 7 и Windows 8.
А как насчет удобного PIN-кода?
Microsoft привержена своему видению мира без паролей. Мы распознаем удобство , предоставляемое удобным PIN-кодом, но он по-прежнему использует пароль для аутентификации. Microsoft рекомендует клиентам, использующим Windows 10, и удобные ПИН-коды следует перенести в Windows Hello для бизнеса. Новые развертывания Windows 10 должны развертывать Windows Hello для бизнеса, а не удобные ПИН-коды. В будущем Microsoft прекратит поддержку удобных ПИН-кодов и опубликует дату заранее, чтобы у клиентов было достаточно времени для развертывания Windows Hello для бизнеса.
Могу ли я использовать доверие ключей Windows Hello для бизнеса и RDP?
RDP в настоящее время не поддерживает аутентификацию на основе ключей и самоподписанные сертификаты. RDP с Windows Hello для бизнеса в настоящее время поддерживается только при развертывании на основе сертификатов.
Могу ли я развернуть Windows Hello для бизнеса с помощью Microsoft Endpoint Configuration Manager?
При развертыванииWindows Hello для бизнеса с помощью Configuration Manager следует использовать модель гибридного развертывания, в которой используются службы федерации Active Directory.Начиная с Configuration Manager версии 1910, проверка подлинности на основе сертификатов с параметрами Windows Hello для бизнеса не поддерживается. Аутентификация на основе ключей по-прежнему действительна в Configuration Manager. Дополнительные сведения см. В разделе Параметры Windows Hello для бизнеса в Configuration Manager.
Сколько пользователей могут зарегистрироваться в Windows Hello для бизнеса на одном компьютере с Windows 10?
Максимальное количество поддерживаемых регистраций на одном компьютере с Windows 10 - 10. Это позволяет 10 пользователям регистрировать свое лицо и до 10 отпечатков пальцев.Хотя мы поддерживаем 10 регистраций, мы настоятельно рекомендуем использовать ключи безопасности Windows Hello для сценария общего компьютера, когда они станут доступны.
Как может PIN-код быть безопаснее пароля?
При использовании Windows Hello для бизнеса PIN-код не является симметричным ключом, а пароль - симметричным ключом. С паролями есть сервер, который имеет некоторое представление пароля. В Windows Hello для бизнеса PIN-код представляет собой энтропию, предоставленную пользователем, которая используется для загрузки закрытого ключа в TPM.На сервере нет копии ПИН-кода. В этом случае клиент Windows также не имеет копии текущего ПИН-кода. Пользователь должен предоставить энтропию, защищенный ключ TPM и TPM, который сгенерировал этот ключ, чтобы успешно получить доступ к закрытому ключу.
Утверждение «PIN-код сильнее пароля» не направлено на силу энтропии, используемой PIN-кодом. Речь идет о разнице между предоставлением энтропии и продолжением использования симметричного ключа (пароля).TPM имеет функции защиты от взлома, которые предотвращают атаки методом перебора ПИН-кода (злоумышленники постоянно пытаются попробовать все комбинации ПИН-кодов). Некоторые организации могут беспокоиться о серфинге через плечо. Для этих организаций, вместо того, чтобы усложнять PIN-код, внедрите функцию многофакторной разблокировки.
Почему отсутствует группа ключевых администраторов, у меня есть контроллеры домена Windows Server 2016?
Ключевые администраторы и Ключевые администраторы предприятия Группы создаются при установке первого контроллера домена Windows Server 2016 в домен.Контроллеры домена, работающие под управлением предыдущих версий Windows Server, не могут преобразовать идентификатор безопасности (SID) в имя. Чтобы решить эту проблему, перенесите роль домена эмулятора PDC на контроллер домена под управлением Windows Server 2016.
Могу ли я использовать удобный PIN-код в Azure AD?
В настоящее время можно установить удобный ПИН-код на устройствах, подключенных к Azure Active Directory или гибридных подключенных к Active Directory. Удобный ПИН-код не поддерживается для учетных записей пользователей Azure Active Directory.Он поддерживается только для пользователей, присоединившихся к локальному домену, и пользователей локальной учетной записи.
Могу ли я использовать внешнюю камеру, когда мой ноутбук закрыт или установлен в док?
Нет. Windows 10 в настоящее время поддерживает только одну камеру Windows Hello для бизнеса и не переключается плавно на внешнюю камеру, когда компьютер подключен к док-станции с закрытой крышкой. Группа продуктов знает об этом и продолжает изучение этой темы.
В гибридном развертывании открытый ключ пользователя должен синхронизироваться из Azure AD в AD, прежде чем его можно будет использовать для проверки подлинности на контроллере домена.Эта синхронизация обрабатывается Azure AD Connect и происходит во время обычного цикла синхронизации.
Что такое стратегия без пароля?
Посмотреть презентацию главного менеджера программы Каранбира Сингха Ignite 2017 Руководство Microsoft по переходу без пароля .
Стратегия Microsoft без пароля
Каково удобство использования Windows Hello для бизнеса?
Пользовательское взаимодействие с Windows Hello для бизнеса происходит после входа пользователя в систему после развертывания параметров политики Windows Hello для бизнеса в своей среде.
Процесс регистрации пользователей Windows Hello для бизнеса
Что произойдет, если мой пользователь забудет свой PIN-код?
Если пользователь может войти в систему с помощью пароля, он может сбросить свой PIN-код, щелкнув ссылку «Я забыл свой PIN-код» в настройках. Начиная с Windows 10 1709, пользователи могут сбросить свой PIN-код над экраном блокировки, щелкнув ссылку «Я забыл свой PIN-код» в поставщике учетных данных PIN.
Windows Hello для бизнеса: забытый PIN-код.
Для локальных развертываний устройства должны быть хорошо подключены к своей локальной сети (контроллеры домена и / или центр сертификации), чтобы сбросить свои ПИН-коды.Гибридные клиенты могут подключить своего клиента Azure к использованию службы сброса PIN-кода Windows Hello для бизнеса для сброса своих PIN-кодов без доступа к своей корпоративной сети.
Какие URL-адреса мне нужны, чтобы разрешить гибридное развертывание?
Для связи с Azure Active Directory используются следующие URL-адреса:
- enterpriseregistration.windows.net
- login.microsoftonline.com
- login.windows.net
Если в вашей среде используется Microsoft Intune, вам потребуются следующие дополнительные URL-адреса:
- запись.manage-beta.microsoft.com
- enrollment.manage.microsoft.com
- portal.manage-beta.microsoft.com
- portal.manage.microsoft.com
В чем разница между неразрушающим и неразрушающим сбросом PIN-кода?
Windows Hello для бизнеса имеет два типа сброса PIN-кода: неразрушающий и разрушающий. Организации, использующие Windows 10 Enterprise и Azure Active Directory, могут воспользоваться службой сброса PIN-кода Microsoft. После подключения к клиенту и развертывания на компьютерах пользователи, забывшие свои ПИН-коды, могут пройти аутентификацию в Azure, предоставить второй фактор аутентификации и сбросить ПИН-код без повторной подготовки новой регистрации Windows Hello для бизнеса.Это неразрушающий сброс PIN-кода, поскольку пользователь не удаляет текущие учетные данные и не получает новые. Прочтите страницу сброса PIN-кода для получения дополнительной информации.
Организации, у которых есть локальное развертывание Windows Hello для бизнеса, или организации, не использующие Windows 10 Enterprise, могут использовать деструктивный сброс ПИН-кода. с деструктивным сбросом ПИН-кода пользователи, которые забыли свой ПИН-код, могут пройти аутентификацию с помощью своего пароля, выполнить второй фактор аутентификации, чтобы повторно подготовить свои учетные данные Windows Hello для бизнеса.Повторная подготовка удаляет старые учетные данные и запрашивает новые учетные данные и сертификат. Для локальных развертываний требуется сетевое подключение к их контроллерам домена, службам федерации Active Directory и их выдающему центру сертификации для выполнения деструктивного сброса ПИН-кода. Кроме того, для гибридных развертываний деструктивный сброс ПИН-кода поддерживается только при использовании модели доверия сертификатов и последних обновлений служб федерации Active Directory.
Что лучше или безопаснее: доверие ключей или доверие сертификатов?
Модели доверия вашего развертывания определяют способ проверки подлинности в Active Directory (локально).И доверие ключей, и доверие сертификатов используют одни и те же двухфакторные учетные данные с аппаратной поддержкой. Разница между двумя типами доверия:
- Требуемые контроллеры домена
- Выдача сертификатов конечных объектов
Доверие ключей Модель аутентифицируется в Active Directory с использованием необработанного ключа. Контроллеры домена Windows Server 2016 включают эту проверку подлинности. Для проверки подлинности с доверительным ключом не требуется сертификат, выданный предприятием, поэтому вам не нужно выдавать сертификаты конечным пользователям (сертификаты контроллеров домена по-прежнему необходимы).
Сертификат доверия Модель аутентифицируется в Active Directory с помощью сертификата. Поскольку эта проверка подлинности использует сертификат, контроллеры домена под управлением предыдущих версий Windows Server могут проверять подлинность пользователя. Таким образом, вам необходимо выдавать сертификаты конечным пользователям, но вам не нужны контроллеры домена Windows Server 2016. Сертификат, используемый в доверии сертификатов, использует закрытый ключ, защищенный TPM, для запроса сертификата в центре сертификации вашего предприятия.
Нужны ли мне контроллеры домена Windows Server 2016?
Есть много вариантов развертывания, из которых можно выбирать. Некоторые из этих вариантов требуют наличия достаточного количества контроллеров домена Windows Server 2016 на сайте, на котором вы развернули Windows Hello для бизнеса. Существуют и другие варианты развертывания, в которых используются существующие контроллеры домена Windows Server 2008 R2 или более поздней версии. Выберите вариант развертывания, который лучше всего подходит для вашей среды.
Какие атрибуты синхронизируются Azure AD Connect с Windows Hello для бизнеса?
Изучите синхронизацию Azure AD Connect: атрибуты, синхронизируемые с Azure Active Directory, чтобы получить список атрибутов, которые синхронизируются на основе сценариев.Базовыми сценариями, включающими Windows Hello для бизнеса, являются сценарий Windows 10 и сценарий обратной записи устройства. Ваша среда может включать дополнительные атрибуты.
Является ли Windows Hello для бизнеса многофакторной аутентификацией?
Windows Hello для бизнеса - это двухфакторная проверка подлинности, основанная на наблюдаемых факторах проверки подлинности: что-то, что у вас есть, что-то, что вы знаете, и что-то часть вас. Windows Hello для бизнеса включает в себя два из этих факторов: то, что у вас есть (закрытый ключ пользователя, защищенный модулем безопасности устройства), и то, что вы знаете (ваш PIN-код).Используя подходящее оборудование, вы можете улучшить взаимодействие с пользователем, введя биометрию. Используя биометрию, вы можете заменить фактор аутентификации «что-то, что вы знаете» на фактор «что-то, что является частью вас», с гарантиями того, что пользователи могут вернуться к «фактору того, что вы знаете».
Каковы биометрические требования для Windows Hello для бизнеса?
Прочтите биометрические требования Windows Hello для получения дополнительной информации.
Могу ли я использовать и PIN-код, и биометрические данные для разблокировки устройства?
Начиная с Windows 10 версии 1709, вы можете использовать многофакторную разблокировку, чтобы потребовать от пользователя предоставить дополнительный фактор для разблокировки устройства.Аутентификация остается двухфакторной, но требуется еще один фактор, прежде чем Windows позволит пользователю получить доступ к рабочему столу. Подробнее о многофакторной разблокировке.
В чем разница между Windows Hello и Windows Hello для бизнеса?
Windows Hello представляет собой биометрическую структуру, предусмотренную в Windows 10. Windows Hello позволяет пользователям использовать биометрию для входа в свои устройства, надежно сохраняя свое имя пользователя и пароль и предоставляя их для аутентификации, когда пользователь успешно идентифицирует себя с помощью биометрических данных.Windows Hello для бизнеса использует асимметричные ключи, защищенные модулем безопасности устройства, для проверки подлинности которого требуется жест пользователя (PIN-код или биометрические данные).
Почему я не могу зарегистрировать биометрические данные для моего локального встроенного администратора?
Windows 10 не позволяет локальному администратору регистрировать биометрические жесты (лицо или отпечаток пальца).
Я расширил Active Directory до Azure Active Directory. Могу ли я использовать модель локального развертывания?
Нет. Если ваша организация является федеративной или использует интерактивные службы, такие как Azure AD Connect, Office 365 или OneDrive, вы должны использовать гибридную модель развертывания.Локальные развертывания предназначены исключительно для организаций, которым требуется больше времени перед переходом в облако и которые используют исключительно Active Directory.
Предотвращает ли Windows Hello для бизнеса использование простых ПИН-кодов?
Да. Наш простой алгоритм PIN ищет и запрещает любой PIN, который имеет постоянную дельту от одной цифры к другой. Алгоритм подсчитывает количество шагов, необходимых для перехода к следующей цифре, достигая десяти («ноль»). Так, например:
- PIN 1111 имеет постоянную дельту (0,0,0), поэтому не допускается
- PIN 1234 имеет постоянную дельту (1,1,1), поэтому не допускается
- PIN 1357 имеет постоянную дельту (2,2,2), поэтому это не допускается
- PIN 9630 имеет постоянную дельту (7,7,7), поэтому не допускается
- PIN 1593 имеет постоянную дельту (4,4,4), поэтому не допускается
- PIN 7036 имеет постоянную дельту (3,3,3), поэтому не допускается
- PIN 1231 не имеет постоянной дельты (1,1,8), поэтому допускается
- PIN 1872 не имеет постоянной дельты (7,9,5), поэтому допускается
Это предотвращает повторение чисел, последовательных чисел и простых шаблонов.В результате всегда получается список из 100 запрещенных PIN-кодов (независимо от длины PIN-кода). Этот алгоритм не применяется к буквенно-цифровым PIN-кодам.
Как работает кэширование PIN-кода с Windows Hello для бизнеса?
Windows Hello для бизнеса предоставляет пользователю возможность кэширования PIN-кода с помощью системы продажи билетов. Процессы не кэшируют PIN-код, а кэшируют билет, который они могут использовать для запроса операций с закрытым ключом. Ключи для входа в Azure AD и Active Directory кэшируются под замком. Это означает, что ключи остаются доступными для использования без запроса, пока пользователь вошел в систему в интерактивном режиме.Ключи для входа в учетную запись Microsoft считаются транзакционными ключами, что означает, что пользователю всегда предлагается получить доступ к ключу.
Начиная с Windows 10 версии 1709, Windows Hello для бизнеса, используемая в качестве смарт-карты (эмуляция смарт-карты, которая включена по умолчанию), обеспечивает тот же пользовательский интерфейс, что и кэширование PIN-кода смарт-карты по умолчанию. Каждый процесс, запрашивающий операцию с закрытым ключом, будет запрашивать у пользователя PIN-код при первом использовании. Последующие операции с закрытым ключом не будут запрашивать у пользователя PIN-код.
Функция эмуляции смарт-карты в Windows Hello для бизнеса проверяет ПИН-код, а затем отбрасывает ПИН в обмен на билет. Процесс получает не PIN-код, а скорее билет, который предоставляет им операции с закрытым ключом. Windows 10 не предоставляет никаких параметров групповой политики для настройки этого кеширования.
Могу ли я отключить ПИН-код при использовании Windows Hello для бизнеса?
Нет. Отказ от паролей достигается за счет постепенного сокращения использования пароля.В случае, когда вы не можете аутентифицироваться с помощью биометрических данных, вам нужен резервный механизм, который не является паролем. PIN-код - это резервный механизм. Отключение или скрытие поставщика учетных данных PIN отключило использование биометрии.
Как защищены ключи?
По возможности, Windows Hello для бизнеса использует оборудование доверенного платформенного модуля (TPM) 2.0 для создания и защиты ключей. Однако Windows Hello и Windows Hello для бизнеса не требует TPM.Администраторы могут разрешить ключевые операции в программном обеспечении.
По возможности, Microsoft настоятельно рекомендует использовать оборудование TPM. TPM защищает от множества известных и потенциальных атак, включая атаки методом перебора PIN-кода. TPM также обеспечивает дополнительный уровень защиты после блокировки учетной записи. Когда TPM заблокировал ключевой материал, пользователь должен будет сбросить PIN-код (что означает, что ему или ей придется использовать MFA для повторной аутентификации для IDP, прежде чем IDP позволит ему или ей повторно зарегистрироваться).
Может ли Windows Hello для бизнеса работать в закрытых средах?
Да. Вы можете использовать локальное развертывание Windows Hello для бизнеса и комбинировать его со сторонним поставщиком MFA, которому не требуется подключение к Интернету для обеспечения развертывания Windows Hello для бизнеса без зазоров.
Могу ли я использовать сторонние поставщики проверки подлинности с Windows Hello для бизнеса?
Да, если вы используете федеративное гибридное развертывание, вы можете использовать любую стороннюю компанию, которая предоставляет адаптер многофакторной проверки подлинности служб федерации Active Directory (AD FS).Список сторонних адаптеров MFA можно найти здесь.
Работает ли Windows Hello для бизнеса со сторонними серверами федерации?
Windows Hello для бизнеса может работать с любыми сторонними серверами федерации, которые поддерживают протоколы, используемые во время подготовки. Заинтересованные третьи стороны могут направить запрос по адресу [email protected]
| Протокол | Описание |
|---|---|
| [MS-KPP]: протокол предоставления ключей | Задает протокол предоставления ключей, который определяет механизм, с помощью которого клиент регистрирует набор криптографических ключей для пары пользователя и устройства. |
| [MS-OAPX]: расширения протокола OAuth 2.0 | Задает расширения протокола OAuth 2.0, которые используются для расширения инфраструктуры авторизации OAuth 2.0. Эти расширения включают функции авторизации, такие как спецификация ресурсов, идентификаторы запросов и подсказки для входа. |
| [MS-OAPXBC]: расширения протокола OAuth 2.0 для клиентов брокера | Задает расширения протокола OAuth 2.0 для клиентов-брокеров, расширения для RFC6749 (OAuth 2.0 Authorization Framework), которые позволяют клиенту-брокеру получать токены доступа от имени вызывающих клиентов. |
| [MS-OIDCE]: расширения протокола OpenID Connect 1.0 | Задает расширения протокола OpenID Connect 1.0. Эти расширения определяют дополнительные утверждения для передачи информации о конечном пользователе, включая основное имя пользователя, локальный уникальный идентификатор, время истечения срока действия пароля и URL-адрес для изменения пароля. Эти расширения также определяют дополнительные метаданные поставщика, которые позволяют обнаруживать эмитента токенов доступа и предоставляют дополнительную информацию о возможностях поставщика. |
Работает ли Windows Hello для бизнеса с клиентами Mac и Linux?
Windows Hello для бизнеса - это функция Windows 10. В настоящее время Microsoft не разрабатывает клиентов для других платформ. Однако Microsoft открыта для третьих лиц, которые заинтересованы в отказе от паролей на этих платформах. Заинтересованные третьи стороны могут получить дополнительную информацию по электронной почте [email protected]
.
