dimanche, 28 avril 2024
AccueilInnovationCloud

Windows Hello for Business : authentification sans mot de passe pour les boutiques Windows

Crédit : Maialisa

Microsoft essaie d’éliminer ce pense-bête que vous voyez enregistré sur l’affichage de bureau de tout le monde. Vous comprenez, celui avec le mot de passe dessus. Celui avec tous les anciens mots de passe barrés un par un, chacun discrètement différent du précédent – un point d’exclamation devenant une esperluette, un un dans deux.

Les entreprises ont en fait réellement fait cela pour eux-mêmes. Les mots de passe dont de nombreuses organisations ont besoin – qui doivent être complexes, avec de longues chaînes de chiffres et des phrases spécialement écrites avec certains signes (mais pas tous ! paradis non, pas celui que vous désirez) – sont difficiles à retenir. Il n’y a aucun espoir sauf de les écrire. Ensuite, vous devez les réinitialiser de temps en temps. Ils sont recyclés. Et le cycle continue encore et encore.

Heureusement pour les magasins Windows, Microsoft a introduit une technique de qualité entreprise utilisant l’identification et l’authentification biométriques sans nécessiter l’achat de matériel haut de gamme – et elle est parfaitement préparée. dans Windows 10 et 11.

Dans cet article, je souhaite jeter un œil à ce développement, appelé Windows Bonjour pour l’entreprise (WHFB), discutez de son fonctionnement et montrez comment lui permettre de protéger votre entreprise tout en évitant à vos utilisateurs de devoir gérer des mots de passe gênants.

Fonctionnement de Windows Hello pour Service

Windows Hello est le système d’authentification biométrique le plus courant et le plus connu pris en charge par Windows. Il permet aux utilisateurs de Windows 10 et 11 disposant de gadgets dotés de lecteurs d’empreintes digitales ou de caméras uniques de se connecter à Windows via la reconnaissance d’empreintes digitales ou faciale. La version grand public de Windows Hey comporte un mécanisme spécifique à l’appareil et ne s’effectue pas entre les gadgets d’un utilisateur. Celui-ci devra donc saisir un code PIN ou un geste sur chaque gadget qu’il souhaite utiliser.

Windows Hey There for Business reprend le concept Hello et l’associe à des outils de gestion et à des techniques d’application pour garantir un profil de sécurité et une posture de sécurité d’entreprise cohérents. WHFB utilise des politiques de stratégie de groupe ou de gestion des téléphones mobiles (MDM), généralement appliquées avec Microsoft Intune, pour la gestion et l’application, et exploite l’authentification cruciale et basée sur les certificats dans la majorité des scénarios axés sur le cloud pour une défense optimale. Les codes PIN et les gestes créés par les utilisateurs fonctionnent sur tous les appareils au design WFHB.

Windows Hey agit sur deux fronts : il peut scanner l’empreinte digitale d’un utilisateur ou prendre une image infrarouge du visage d’un utilisateur et effectuer une analyse dessus. (Hé, il prend également en charge le balayage de l’iris, mais étant donné que les caméras à iris sont mieux adaptées aux téléphones qu’aux ordinateurs portables ou aux écrans de bureau, les deux premières approches sont plus utiles pour l’entreprise.)

Il associe ces éléments physiques spéciaux. attributs de chaque utilisateur avec des clés cryptographiques qui remplacent les mots de passe à mesure que l’authentification se rapproche. Ces secrets sont conservés dans un matériel de sécurité spécialisé ou sont cryptés dans une application logicielle et ouverts uniquement après que Windows les juge authentiques. Pour les organisations retirées de la biométrie, Windows Hi prend également en charge l’utilisation du code PIN pour modifier les mots de passe transmis sur le réseau.

Windows Hello protège les comptes Microsoft (les comptes que vous utilisez pour accéder aux services cloud Microsoft, Xbox, Microsoft 365, etc. sur), les comptes de domaine appartenant à une implémentation Active Directory d’entreprise, les comptes de domaine joints à un domaine Azure Active Directory (ceux-ci sont relativement nouveaux) et les comptes protégés par des fournisseurs d’identité fédérés qui prennent en charge la procédure Fast ID Online 2.0 (FIDO2). .

Pourquoi Windows Hi est-il considéré comme plus puissant qu’un mot de passe traditionnel ? D’une part, la sécurité est toujours meilleure par trois : la meilleure technique d’authentification consiste à fournir quelque chose que vous avez, quelque chose que vous comprenez et quelque chose que vous êtes. Dans ce cas, Windows Hello peut valider les utilisateurs en satisfaisant aux trois règles : quelque chose que vous possédez (votre secret privé, qui est protégé par le module de sécurité de votre gadget), quelque chose que vous comprenez (le code PIN utilisé par défaut par Windows Hello à partir du point de l’enregistrement) et quelque chose que vous êtes (soit votre visage, qui est exceptionnellement difficile à copier et à utiliser de manière nuisible, soit votre empreinte digitale, qui, encore une fois, sans se débarrasser des chiffres, est difficile à copier et à utiliser de manière néfaste).

Ce qui est le plus fascinant, c’est que toutes ces données biométriques sont enregistrées uniquement sur l’appareil local et ne sont pas centralisées dans le site d’annuaire ou dans une autre source d’authentification ; cela suggère que les attaques de collecte d’informations d’identification ne sont pas excellentes par rapport aux comptes compatibles Windows Hello, simplement parce que les informations d’identification n’existent pas à l’endroit qui serait piraté. Bien qu’il soit techniquement possible que le module de plate-forme de confiance, ou TPM, de chaque appareil soit piraté, un adversaire devrait pirater le créateur de chaque utilisateur individuel, au lieu de simplement lancer une attaque réussie contre un seul contrôleur de domaine vulnérable.

Bonjour. la confirmation biométrique nécessite un matériel spécialisé : des webcams ou des caméras conçues pour voir dans l’infrarouge peuvent faire la différence entre la photographie d’une personne et la présence réelle de cette personne. De nombreux fabricants d’ordinateurs portables intègrent désormais des caméras compatibles Hello dans leurs gammes de gadgets d’entreprise. Vous pouvez également acheter ces caméras électroniques certifiées indépendamment, ce qui rend possible un déploiement par étapes.

Les lecteurs d’empreintes digitales, naturellement, existent depuis de nombreuses années. Fondamentalement, tous les lecteurs d’empreintes digitales compatibles avec n’importe quelle version de Windows peuvent également être utilisés avec Windows Hi ; néanmoins, Microsoft affirme que les dernières générations de lecteurs captent davantage dès le premier toucher ou glissement, supprimant ainsi l’obligation de glisser encore et encore comme l’exigeaient certains modèles précédents.

Il est important de noter que vous pouvez utiliser unités de détection d’empreintes digitales, caméras électroniques faciales, saisie d’un code PIN ou une combinaison de techniques dans votre organisation. En réalité, un utilisateur peut enregistrer une empreinte digitale, une empreinte faciale et un code PIN sur le même gadget afin de pouvoir choisir la technique d’authentification à utiliser lors de la connexion. Chacune de ces techniques d’authentification est appelée un « geste » et l’action gestuelle est le secret qui commence le déverrouillage des clés publiques et privées et la vérification de l’identité d’un utilisateur.

Modèles de version WHFB

Lors de la publication de WHFB, les organisations peuvent choisir parmi trois modèles de mise en œuvre distincts : cloud – uniquement, hybrides et sur site.

Le modèle de version cloud uniquement est conçu pour les organisations ayant exclusivement des identités cloud, sans dépendance à l’égard des ressources sur site. Dans ce modèle, les appareils sont principalement connectés au cloud et les utilisateurs interagissent uniquement avec des propriétés basées sur le cloud telles que SharePoint et OneDrive. Notamment, il n’est pas nécessaire que les certificats aient accès aux ressources ou aux services sur site comme le VPN, car toutes les ressources nécessaires sont hébergées dans Azure. Ceci est dans certains cas compris dans le langage Microsoft comme le modèle de « confiance Kerberos dans le cloud », présenté début 2022.

Le modèle de déploiement hybride est particulièrement adapté aux organisations répondant à des exigences particulières : il s’agit d’une solution parfaite. option pour les organisations qui utilisent un site Azure Active Directory fédéré, synchronisent les identités avec la publicité Azure via Azure Active Directory Site Link, utilisent des applications hébergées dans Azure AD et ont pour objectif de fournir une expérience de connexion unique combinée pour les ressources de publicité sur site et Azure. .

De plus, cette conception prend en charge les performances de réinitialisation non destructives du code PIN pour les conceptions de certificat de confiance et de confiance cruciale. Les exigences comprennent le service de réinitialisation du code PIN Microsoft, qui est important pour les versions 1709 à 1809 Enterprise Edition de Windows 10 (sans aucune exigence de licence depuis la version 1903), et la fonction « Réinitialiser au-dessus de l’écran de verrouillage », proposée dans Windows 10 version 1903. Ce choix utilise également la conception de confiance Kerberos dans le cloud de 2022, mais il intègre davantage de fonctionnalités et de capacités pour permettre la connexion à AD basée sur une clé de sécurité.

Le modèle de déploiement sur site est particulièrement personnalisé pour les organisations qui ne dépendent pas sur les identités cloud ou les applications hébergées sur Azure Active Directory. Dans ce modèle, une assistance à la réinitialisation destructive du code PIN est disponible pour les conceptions de certificats de confiance et de confiance cruciale, garantissant ainsi des mesures de sécurité robustes. Pour exécuter ce modèle, les organisations doivent remplir des exigences particulières, notamment l’utilisation de la fonctionnalité « Réinitialiser à partir des paramètres » pour Windows 10 version 1703 Professionnel, la fonction « Réinitialiser au-dessus de l’écran de verrouillage » pour Windows 10 version 1709 Spécialiste et l’ajout du Fonction « J’ai oublié mon lien PIN » pour Windows 10 version 1903.

Le modèle cloud uniquement est évidemment le plus simple à configurer et à publier et convient aux organisations qui ont entièrement migré leurs installations d’identité vers le cloud. . Les 2 autres conceptions nécessitent quelques travaux sur votre infrastructure de certificats pour se fédérer en toute sécurité. L’option sera relativement simple en fonction de votre environnement actuel et de votre point de départ.

Imposer WHFB via une stratégie de groupe

Comme vous pouvez l’imaginer, vous avez établi Windows Hi et l’avez imposé à toute l’organisation de l’entreprise. grâce à l’utilisation de la stratégie de groupe. Dans la console de gestion des stratégies de groupe, vous pouvez trouver les paramètres de stratégie sous Modèles de conception administrative de stratégies Windows Parts Windows Hi for Business dans les ruches de configuration utilisateur et de configuration ordinateur. Les politiques importantes à configurer sont :

  • Utiliser Windows Hey There pour l’organisation : Définissez ceci sur Permet à de démarrer avec le déploiement.
  • Utilisation de la biométrie : définissez cette option sur Permet d’autoriser les gestes de reconnaissance d’empreintes digitales ou de visage au lieu de prendre en charge uniquement un code PIN.

Utiliser Microsoft Intune pour déployer WHFB

Pour développer une stratégie WHFB, commencez par vous connecter au centre d’administration Microsoft Intune. Une fois visité, accédez à Gadgets Inscrire les gadgets Enregistrement Windows Windows Hello pour l’organisation.

(Si vous utilisez une résolution d’écran élevée, gardez à l’esprit la très petite barre de défilement en bas. du volet idéal– tous les choix de configuration sont enfouis là. Il est facile de les manquer.)

Ici, vous avez trois choix pour configurer WHFB. Vous pouvez l’activer, ce qui va de soi. Vous pouvez également sélectionner Handicapé, que vous pouvez utiliser pour désactiver WHFB lors de l’enregistrement du gadget. Gardez à l’esprit que même si WHFB est handicapé, vous pouvez toujours configurer d’autres paramètres associés. Ce paramètre vous donne le contrôle de nombreux éléments de WHFB, même s’il ne le permet pas. Ou vous pouvez opter pour Non configuré, qui ressemble à l’ancienne stratégie de groupe « non configurée » dans la mesure où aucun paramètre n’est modifié ou défini. Cela indique que les paramètres WHFB existants sur les gadgets Windows 10 et Windows 11 resteront les mêmes et que les autres paramètres du volet sont grisés.

IDG

Activation de Windows Hey There for Business et de ses paramètres associés dans Microsoft Intune.

Les paramètres que vous pouvez modifier dans le cadre de vos choix de configuration sont :

  • Utiliser un module de plateforme fiable (TPM) : Choisissez si le TPM est nécessaire ou choisi pour le provisionnement de WHFB.
  • Longueur minimale du code PIN et Longueur optimale du code PIN : Définissez la plage de longueurs de code PIN pour garantir une connexion protégée.
  • Lettres minuscules dans le code PIN, lettres majuscules dans le code PIN et caractères uniques dans le code PIN : choisissez si ces types de caractères sont autorisés, nécessaires ou non dans les codes PIN des utilisateurs pour renforcer la sécurité du code PIN.
  • Expiration du code PIN (jours) : définissez la fréquence à laquelle les utilisateurs doivent modifier leur code PIN pour les fonctions de sécurité.
  • Mémoriser l’historique du code PIN : décidez s’il faut limiter la réutilisation des codes PIN précédemment utilisés.
  • Activer l’authentification biométrique : sélectionnez si les techniques d’authentification biométrique (reconnaissance faciale, empreinte digitale) peuvent être utilisées comme alternatives aux codes PIN.
  • Utiliser une protection anti-usurpation améliorée, lorsqu’elle est proposée : Configurez l’utilisation des fonctions anti-usurpation d’identité sur les gadgets qui le prennent en charge pour renforcer la sécurité de la reconnaissance faciale.
  • Autoriser la signature téléphonique dans : Activez ou désactivez l’utilisation d’un passeport distant comme appareil compagnon pour l’authentification du bureau, à condition que le gadget soit abonné à Azure Active Directory.
  • Utiliser des secrets de sécurité pour la signature. dans : Lorsqu’il est autorisé, ce paramètre permet le contrôle à distance des clés de sécurité Windows Hey There pour tous les systèmes informatiques de l’organisation.

Enregistrement des appareils dans WHFB : la procédure et comment fonctionne

Pour les nouveaux gadgets que vous déballez et que vous êtes prêt à déployer, lors de votre première connexion au gadget, vous serez invité à vous inscrire à WHFB, en supposant que vous avez réellement configuré les paramètres décrits dans la zone précédente. Vous devrez vous assurer que l’utilisateur a son gadget d’authentification multifacteur (généralement son téléphone mobile pour les SMS, l’application Microsoft Authenticator ou une autre application MFA) à proximité, car l’inscription ne peut pas continuer sans lui – vous serez soit déclenché pour un code si vous êtes déjà enregistré dans MFA, ou vous devrez le configurer et être invité à le faire avant de passer à la partie WHFB de la procédure.

IDG

Ce que l’utilisateur voit lors de son inscription dans Windows Hi for Service pour la première fois.

Au moment de l’inscription, une fois le MFA confirmé, l’écran d’enregistrement se déclenchera soit pour un code PIN, soit, si le gadget le prend en charge, un autre geste pris en charge comme une analyse d’empreinte digitale.

Pour les gadgets existants, vous pouvez démarrer l’enregistrement assez facilement. Sous Windows 11, cliquez sur le menu Démarrer, recherchez Inscrivez-vous, puis choisissez Inscrivez-vous uniquement dans la gestion des appareils. Le même processus décrit ci-dessus démarre.

Alors, que se passe-t-il dans les coulisses ? Dans le cadre du processus d’enregistrement, Windows génère une paire de clés, une moitié publique et une moitié privée, et les stocke toutes deux dans le module matériel TPM. Si un gadget ne dispose pas de TPM, il sécurise les clés et les stocke dans application logicielle. Ce tout premier ensemble crucial est associé au « geste » du code PIN de l’utilisateur et est appelé clé de protection. Si un utilisateur enregistre des gestes biométriques supplémentaires, chacun aura une clé de protection différente qui entoure la clé d’authentification. Bien que le conteneur soit créé pour n’avoir qu’un seul secret d’authentification, plusieurs copies de ce secret d’authentification unique peuvent être complétées par les différents secrets de protection liés aux différents gestes enregistrés sur le gadget.

Il existe également un secret administratif que Windows génère instantanément afin que les qualifications puissent être réinitialisées en cas de besoin, et le TPM dispose également de son bloc d’informations régulier qui contient des attestations et d’autres informations liées au TPM.

Devenir entièrement sans mot de passe avec WHFB

Si vous avez des créateurs inscrits sur un domaine Microsoft Entra ID (née Azure Active Directory) et que vous disposez de Windows 11 22H2 avec la mise à jour de septembre 2023 sur ces appareils et vous utilisez Microsoft Intune – certes un déploiement cible agressif et limité depuis la rédaction de ces lignes à la fin de l’automne 2023 – alors vous pouvez bénéficier d’une expérience sans mot de passe fraîchement publiée et rapidement publiée pour ces appareils uniquement.

Il existe plusieurs façons d’activer cela. La toute première consiste à utiliser la fonction de politique de la brochure Paramètres et à définir Activer l’expérience sans mot de passe pour que cela soit possible. Pour ce faire, connectez-vous à Intune, accédez à Profils de configuration des appareils et sélectionnez Créer un profil. Sous Plateforme, choisissez Windows 10 ou version ultérieure, cliquez sur Créer, puis dans Paramètres d’installation, cliquez sur Ajouter des paramètres, recherchez la section Authentification et après cela, inspectez Activer Expérience sans mot de passe.

La deuxième méthode consiste à utiliser une politique personnalisée. Pour en savoir plus sur cette alternative, vous pouvez consulter les documents récemment mis à jour sur le site Web Learn de Microsoft.

Réflexion fondamentale à prendre en compte

Quelques indications importantes à retenir :

  • Les informations d’identification inscrites dans WHFB peuvent être liées à des ordinateurs portables, des ordinateurs de bureau ou des appareils mobiles privés, et le jeton d’accès obtenu après une confirmation effective des informations d’identification est également limité à cet appareil unique.
  • Pendant l’ouverture d’un compte Le processus d’inscription, le site Active Directory, Azure Advertisement ou le service de compte Microsoft vérifie et vérifie la validité de l’utilisateur et associe la clé publique Windows Hello à un compte utilisateur. Les clés (les moitiés publique et personnelle) peuvent être créées dans les versions 1.2 ou 2.0 des modules TPM, ou elles peuvent résider dans un logiciel pour les appareils ne disposant pas du matériel TPM approprié. Le geste Windows Hey There ne se déplace pas entre les appareils et n’est pas partagé avec le serveur ; il est conservé dans votre région sur un gadget et ne quitte jamais le gadget. Lorsque le code PIN est saisi ou que le visage ou l’empreinte digitale est appliqué, Windows utilise l’essentiel privé stocké dans le TPM pour signer les informations transmises à la source d’authentification.
  • Selon Microsoft : « Personnel (compte Microsoft) et Les comptes professionnels (site Active Directory ou Azure AD) utilisent un seul conteneur pour les clés. Tous les secrets sont séparés par les domaines des fournisseurs d’identité pour garantir la confidentialité des utilisateurs. En pratique, cela implique que les clés sont mélangées dans un seul conteneur sécurisé, bien qu’elles soient délimitées par leur fournisseur d’identité natif afin qu’un secret incorrect ne soit pas envoyé à la mauvaise entreprise.
  • Une note pour l’avenir : Dans les éditions Expert Preview existantes de Windows 11, la stratégie EnablePasswordlessExperience peut être rendue possible pour supprimer les invites de mot de passe dans de nombreuses situations d’authentification Windows et intégrer parfaitement des méthodes de guérison sans mot de passe telles que la réinitialisation du code PIN WHFB en cas de besoin. Vos utilisateurs remarqueront que les déclencheurs de mot de passe sont supprimés de l’expérience utilisateur dans des emplacements courants tels que la connexion au gadget, l’authentification en session, les tâches administratives et les invites d’élévation. Cela devrait faire partie des canaux de mise en œuvre « RTM » ou réguliers au cours des 12 prochains mois, et vous aurez évidemment besoin que les paramètres de version WHFB soient activés pour que cela soit utile, mais c’est certainement quelque chose à prévoir.

Dernière nouveauté

Les experts en sécurité réclament depuis plusieurs années la mort des mots de passe, mais cet objectif a en réalité toujours été reporté à cause de l’absence d’une option fluide, abordable et conviviale. pour l’authentification. En pratique, il faudrait toujours que Microsoft intègre des fonctionnalités biométriques dans Windows, le système d’exploitation le plus populaire, pour inciter suffisamment d’organisations à tester l’authentification sans mot de passe.

Bien qu’il soit peu probable que votre boutique soit en mesure de le faire. débarrassez-vous totalement des mots de passe – du moins pas encore – les nouveaux développeurs que vous lancez peuvent fonctionner avec cette option par défaut, et au fur et à mesure que vous passez à Windows 11 au fil du temps à votre propre rythme, vous pouvez progressivement mais sans aucun doute intégrer WHFB à votre sécurité profil.

Cet article a été initialement publié en septembre 2017 et a été récemment mis à jour en novembre 2023.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

Article précédent
Canterbury Uni cherche à externaliser la gestion de son centre de données principal
Article suivant
De nombreux DSI sont mieux équipés pour lutter contre la hausse des coûts informatiques. Es-tu?

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Tous droits réservés. © 2021 L'Entrepreneur

Catégories populaires

Le choix de la rédaction

xnxx sex download russianporntrends.com hardxxxpics saboten campus freehentai4u.com read manga porn rakhi sex photo ganstagirls.com nani sex video xxx indian girl video download elporno.mobi tamilauntycom bf hd video bf hd video porn555.me anyporn hd tamil beach sex erolenta.com xxx sex boy to boy bustyboobs pakistanixxxx.com nude sexy videos desi sex xvideos.com tubaka.mobi justdesi in free naked dance vegasmpegs.mobi eva grover desi ass lick eroanal.net 69 xvideo 4k xnxx thefuckingtube.com xxii roman numerals translation tamil nayanthara sex sexozavr.com indian porn videos tumblr كلبات سكس porn-arab.net نيك ف الكس y3df comics popsexy.net akhil wife hentai ahri wowhentai.net the sarashina bloodline