Подготовка Windows hello для бизнеса не будет запущена ошибка

‘ Windows Hello недоступна на этом устройстве ’ – распространенная ошибка системы Windows 10. В настоящее время многие пользователи сообщают об этой неисправности, поэтому в этом руководстве мы попытаемся найти простое решение. Как вы увидите, есть несколько решений, которые могут быть применены в этом случае, и, как обычно, все объяснено и подробно описано в наших специальных руководствах.

Windows Hello – отличная функция, которую можно использовать на компьютерах с Windows 10, планшетах или ноутбуках. Однако его можно настроить только на определенных устройствах в зависимости от конфигурации оборудования – Windows Hello представляет альтернативу безопасности/входа в систему вместо классической последовательности пароль/пин-код. Вкратце, с включенным и правильно работающим Windows Hello вы можете войти в систему Windows 10 с помощью сканера отпечатков пальцев или сканера радужной оболочки (поэтому ваш компьютер должен иметь веб-камеру вместе с функциями сканера радужной оболочки или сканер отпечатков пальцев функциональность).

Как Отключить или Включить Функцию Распознавания лиц Windows Hello

Кроме того, если вы уже установили Windows 10 Anniversary Update, вы можете использовать функцию Windows Hello для приложений и веб-сайтов, поэтому вы можете легко выполнять различные процессы входа независимо от того, к каким веб-сайтам вы пытаетесь получить доступ. В конце концов, мы говорим об улучшенной функции безопасности, которая должна работать на подходящих устройствах Windows 10.

Но если эта функция недавно перестала работать или вы получили сообщение об ошибке Windows Hello недоступно на этом устройстве , вам следует использовать следующие решения для устранения неполадок, чтобы устранить возможную неисправность, которая может вызвать эту проблему в первую очередь.

Windows Hello недоступна на этом устройстве [FIX]

Решение 1. Убедитесь, что на вашем устройстве установлено последнее обновление Windows

Первое, что вам нужно проверить, это состояние обновления на вашем компьютере с Windows 10, ноутбуке или планшете. Windows Hello может быть недоступна на этом устройстве, если в вашей системе отсутствуют определенные функции, которые могут быть включены в пакеты обновлений. Что ж, просто проверьте, обновлена ​​ли ваша система, а если нет, примените отсутствующие исправления, как показано ниже:

  1. Нажмите клавиши Win + I на клавиатуре, чтобы открыть Системные настройки Windows .
  2. В появившемся окне нажмите Обновление и безопасность .
  3. В верхней части новой страницы у вас есть опция проверять наличие обновлений .
  4. Хорошо, начните эту операцию сканирования и, если вам предложат какие-либо обновления, примените их.
  5. После этого перезагрузите компьютер и снова проверьте функцию Windows Hello.

Решение 2 – Включить «Разрешить использование биометрических»

Если ваша система уже обновлена, вам нужно попробовать другое исправление:

  1. Нажмите клавиши клавиатуры Win + R и в окне «Выполнить» введите gpedit.msc ; нажмите ОК, когда закончите.
  2. Из Редактора локальной групповой политики вам нужно перейти к Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows . Подсказка: выполните этот шаг через левое поле главного окна.
  3. Найдите функцию Разрешить использование биометрии , расположенную с правой стороны главной панели.
  4. Когда вы найдете его, дважды щелкните по опции.
  5. В появившемся новом окне выберите Включено , затем нажмите OK и Применить.
  6. Перезагрузите систему Windows 10.

Решение 3 – Обновите драйверы

Ошибка «Привет Windows недоступна на этом устройстве» может появиться, если драйверы отпечатков пальцев или камеры не обновлены или установлены неправильно. Вот что вам нужно сделать в этой ситуации:

  1. На вашем компьютере откройте Диспетчер устройств – нажмите клавиши клавиатуры Win + X и выберите Диспетчер устройств в отображаемом списке.
  2. В Диспетчере устройств нажмите Сканировать на наличие изменений оборудования .
  3. Разверните раздел Биометрические устройства .
  4. Нажмите на обновление.
  5. В качестве альтернативы вы выбираете «откат», чтобы использовать предыдущую сборку драйвера и посмотреть, работает ли он.
  6. И, наконец, вы можете попытаться удалить драйвер и установить его снова – удалите драйвер, а затем перезагрузите устройство, так как процесс установки драйвера должен автоматически запрашиваться.

Автоматическое обновление драйверов (рекомендуется сторонний инструмент)

Установка драйверов вручную сопряжена с риском повреждения вашей системы при загрузке и установке неправильной версии драйвера. Поэтому мы рекомендуем автоматически обновлять драйверы с помощью специального инструмента.

Мы настоятельно рекомендуем средство обновления драйверов Tweakbit , поскольку оно одобрено Microsoft и Norton Antivirus и использует передовую технологию обновления. Следуйте этой простой инструкции из 3 шагов, чтобы безопасно обновить драйверы:

  1. Загрузите и установите средство обновления драйверов TweakBit
  2. После установки программа начнет сканирование вашего компьютера на наличие устаревших драйверов автоматически. Driver Updater проверит установленные вами версии драйверов по своей облачной базе данных последних версий и порекомендует правильные обновления. Все, что вам нужно сделать, это дождаться завершения сканирования.
  3. По завершении сканирования вы получите отчет обо всех проблемных драйверах, найденных на вашем ПК. Просмотрите список и посмотрите, хотите ли вы обновить каждый драйвер по отдельности или все сразу. Чтобы обновить один драйвер за раз, нажмите ссылку «Обновить драйвер» рядом с именем драйвера. Или просто нажмите кнопку «Обновить все» внизу, чтобы автоматически установить все рекомендуемые обновления.

    Примечание.Некоторые драйверы необходимо установить в несколько этапов, поэтому вам придется нажмите кнопку «Обновить» несколько раз, пока все его компоненты не будут установлены.
Читайте также:  Лп что такое в бизнесе

Отказ от ответственности : некоторые функции этого инструмента не являются бесплатными.

Мы надеемся, что все работает так, как должно сейчас. Это были решения, которые можно применять, когда вы сталкиваетесь с ошибкой «Windows Hello недоступна на этом устройстве». Вы можете рассказать нам, как работал процесс устранения неполадок, используя поле комментариев ниже.

Источник: generd.ru

Не удается включить Windows Hello. Некоторые параметры управляются вашей организацией.

Я сделал чистую установку Windows 10 Anniversary Edition. Теперь я не могу включить Windows Hello с моим доменом, подключенным к Surface Pro 4, вошедшим в систему как пользователь AD. Когда я вхожу в свою учетную запись Msft, я могу включить Windows Hello.

Я пытался «Некоторые настройки управляются вашей организацией», а не на домене? (увеличение телеметрии через приложение настроек), а также это: сброс телеметрии через gp. Это показывает, что эта проблема отличается от других здесь. Это также на самом деле присоединение к домену, а не как большинство других вопросов здесь.

Вот как выглядят настройки; В старой версии Windows 10 на том же устройстве можно было включить Windows Hello, когда домен присоединился к пользователю домена. Вот почему я исключаю GPO как источник проблемы. GPO даже явно разрешает использование биометрии для пользователей домена. Что я могу сделать? Windows 10 Professional, Cortana включена. Нет инсайдеров издание.

У меня есть административный доступ к домену.

Источник: poweruser.guru

Управление проверкой личности с помощью Windows Hello для бизнеса

Делимся с вами обзорным материалом про службу Windows Hello, обеспечивающую двухфакторную проверку на Windows 10. Также вы узнаете, чем она будет полезна для крупных компаний, почему стоит выбирать PIN-код, а не пароль и как её настроить.

Windows Hello — что это и зачем?

В Windows 10 служба Windows Hello для бизнеса заменяет пароли на строгую двухфакторную проверку подлинности на компьютерах и мобильных устройствах. Она заключается в создании нового типа учетных данных пользователя в привязке к устройству, использовании биометрических данных или PIN-кода.

В первых версиях Windows 10 были службы Microsoft Passport и Windows Hello, которые обеспечивали многофакторную проверку подлинности. Чтобы упростить развертывание и расширить возможности поддержки, Microsoft объединила эти технологии в единое решение — Windows Hello. Если вы уже выполнили развертывание этих технологий, то вы не заметите никаких изменений в функционировании служб. Для тех, кому еще предстоит оценить работу Windows Hello, выполнить развертывание будет гораздо проще благодаря упрощенным политикам, документации и семантике.

Служба Hello призвана решать типичные проблемы пользователей, возникающие при работе с паролями:

  • Пароли могут быть трудны для запоминания, и пользователи часто повторно используют пароли на нескольких сайтах.
  • Взломы сервера могут раскрывать симметричные сетевые учетные данные.
  • Пароли могут подлежать атакам с повторением пакетов.
  • Пользователи могут непреднамеренно предоставить свой пароль вследствие фишинга.

После начальной двухэтапной проверки при регистрации на вашем устройстве настраивается служба Hello, и вы сами устанавливаете жест, который может быть как биометрическим, например отпечатком пальца, так и PIN-кодом. Далее необходимо сделать жест для проверки своего удостоверения. После этого Windows использует Hello для проверки подлинности и предоставления им доступа к защищенным ресурсам и службам.

От имени администратора компании или общеобразовательной организации можно создать политики управления Hello для использования на устройствах под управлением Windows 10, которые подключаются к вашей организации.

Разница между Windows Hello и Windows Hello для бизнеса

Windows Hello предназначена для удобного и безопасного входа пользователя. Такое использование Hello обеспечивает отдельный уровень защиты, так как является уникальным для устройства, на котором настраивается, однако проверка подлинности на основе сертификатов при этом отсутствует.

Служба Windows Hello для бизнеса, которая настраивается групповой политикой или политикой MDM, использует проверку подлинности на основе ключа или сертификата.

В настоящее время в учетных записях Active Directory с использованием Windows Hello не поддерживается проверка подлинности на основе ключа или сертификата. Эта функция должна появиться в будущем выпуске.

Почему PIN-код, а не пароль?

Пароли представляют собой общие секреты, они вводятся на устройстве и передаются по сети на сервер. Перехваченные имя и пароль учетной записи могут быть использованы кем угодно. Например, учетные данные могут быть раскрыты при взломе сервера.

Читайте также:  Блог как начать свой бизнес

В Windows 10, в процессе подготовки, служба Hello создает пару криптографических ключей, привязанных к доверенному платформенному модулю (TPM), если устройство оснащено таким модулем, или в программной реализации. Доступ к этим ключам и получение подписи для проверки того, что пользователь владеет закрытым ключом, предоставляется только при вводе PIN-кода или биометрического жеста.

Двухэтапная проверка, которая происходит при регистрации в службе Hello, формирует доверительные взаимоотношения между поставщиком удостоверений и пользователем, когда открытая часть пары «открытый/закрытый ключ» отправляется поставщику удостоверений и связывается с учетной записью пользователя. Когда пользователь выполняет жест на устройстве, поставщик удостоверений определяет по комбинации ключей Hello и жеста, что это проверенное удостоверение, и предоставляет маркер проверки подлинности, с помощью которого Windows 10 получает доступ к ресурсам и службам. Кроме того, в процессе регистрации генерируется претензия по удостоверению для каждого поставщика удостоверений, чтобы криптографически подтвердить, что ключи Hello привязаны к TPM. Если претензия по удостоверению во время регистрации не выставляется поставщику удостоверений, поставщик удостоверений должен предполагать, что ключ Hello создан программно.

Представьте, что кто-то подсматривает через ваше плечо при получении денежных средств из банкомата и видит вводимый вами PIN-код. Наличие этого PIN-кода не поможет им получить доступ к учетной записи, так как у них нет банковской карты. Аналогичным образом перехват PIN-кода для устройства не позволяет злоумышленнику получить доступ к учетной записи, так как PIN-код является локальным для конкретного устройства и не обеспечивает никакого типа проверки подлинности с любого другого устройства.

Hello как раз позволяет защищать удостоверения и учетные данные пользователей. Так как пароли не используются, фишинг и атаки методом подбора становятся бесполезными. Эта технология позволяет также предотвратить взломы серверов, так как учетные данные Hello являются асимметричной парой ключей, что предотвращает атаки с повторяющимися пакетами, так как эти ключи защищены доверенными платформенными модулями (TPM).

Также можно использовать устройства с Windows 10 Mobile в качестве удаленных учетных данных при входе на ПК под управлением Windows 10. В процессе входа в систему ПК под управлением Windows 10 он может подключаться и получать доступ к Hello на вашем устройстве под управлением Windows 10 Mobile по Bluetooth. Поскольку мы всегда носим с собой телефон, Hello позволяет гораздо проще реализовать двухфакторную проверку подлинности.

Функция входа через телефон в данный момент доступна только отдельным участникам программы принятия технологий (TAP).

Так как же PIN-код помогает защитить устройство лучше, чем пароль?

Преимущества PIN-кода в сравнении с паролем связаны не с его структурой (длиной и сложностью), а с принципом работы.

1. PIN-код привязан к устройству. Злоумышленник, получивший доступ к паролю, может войти в учетную запись с любого устройства, но в случае кражи PIN-кода вход в учетную запись будет невозможен без доступа к соответствующему устройству.

2. PIN-код хранится на устройстве локально. Пароль передается на сервер и может быть перехвачен в процессе передачи или украден с сервера. PIN-код задается на устройстве на локальном уровне, не передается и не хранится на сервере.

При создании PIN-кода устанавливаются доверительные отношения с поставщиком удостоверений и создается пара асимметричных ключей, используемых для проверки подлинности. При вводе PIN-кода ключ проверки подлинности разблокируется и используется для подтверждения запроса, отправляемого на сервер для проверки подлинности.

3. PIN-код поддерживается оборудованием. PIN-код Hello поддерживается микросхемой доверенного платформенного модуля (TPM), представляющей собой надежный криптографический процессор для выполнения операций шифрования. Эта микросхема содержит несколько механизмов физической защиты для предотвращения взлома, и вредоносные программы не могут обойти функции безопасности TPM. TPM применяется во всех телефонах с Windows 10 Mobile и во многих современных ноутбуках.

Материал ключа пользователя создается и становится доступным в доверенном платформенном модуле (TPM) на устройстве пользователя, что защищает материал от перехвата и использования злоумышленниками. Поскольку технология Hello подразумевает использование пар асимметричных ключей, учетные данные пользователей не будут похищены в случае нарушения безопасности поставщика удостоверений или веб-сайтов, к которым пользователь осуществляет доступ.

TPM защищает от множества известных и потенциальных атак, в том числе атак методом подбора PIN-кода. После определенного количества попыток ввода неправильного PIN-кода устройство блокируется.

4. PIN-код может быть сложным. К PIN-коду Windows Hello для бизнеса применяется тот же набор политик управления ИТ, что и к паролю, в том числе сложность, длина, срок действия и история изменений. Несмотря на уверенность большинства пользователей в том, что PIN-код представляет собой простой код из 4 цифр, администраторы могут устанавливать для управляемых устройств политики, предполагающие уровень сложности PIN-кода, сопоставимый с паролем. Вы можете сделать обязательными или запретить специальные знаки, буквы в верхнем и нижнем регистрах, а также и цифры.

Читайте также:  Где заказать бизнес ланч в Красноярске

Раздел меню настроек в котором задаются параметры PIN-кода и биометрия:

Что произойдет в случае кражи ноутбука или телефона?

Для нарушения безопасности учетных данных Windows Hello, защищаемых TPM, злоумышленнику нужно осуществить доступ к физическому устройству, найти способ похитить биометрические данные пользователя или подобрать PIN-код. Все это нужно сделать раньше, чем функциональный механизм защиты от взлома TPM заблокирует устройство. Для ноутбуков, не имеющих TPM, можно настроить дополнительную защиту, активировав BitLocker и ограничив количество неудачных попыток входа в систему.

Настройка BitLocker без TPM

С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику:

Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Шифрование диска BitLocker → Диски операционной системы → Требовать дополнительной проверки подлинности при запуске

В параметрах политики выберите Разрешить использование BitLocker без совместимого TPM, а затем нажмите кнопку ОК.

Перейдите в меню Панель управления → Система и безопасность → Шифрование диска BitLocker и выберите диск с операционной системой, который требуется защитить.

С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику: Конфигурация компьютера → Параметры Windows → Параметры безопасности → Политики учетных записей → Политика блокировки учетных записей → Пороговое значение блокировки.

Установите допустимое количество неудачных попыток входа в систему и нажмите ОК.

Как работает Windows Hello для бизнеса: основные положения

1. Учетные данные службы Hello основаны на сертификате или асимметричной паре ключей и привязаны к устройству, как и маркер, получаемый с помощью учетных данных.

2. Поставщик удостоверений (например, Active Directory, Azure AD или учетная запись Майкрософт) проверяет удостоверение пользователя и сопоставляет открытый ключ Hello с учетной записью пользователя на этапе регистрации.

3. Ключи могут генерироваться в аппаратном (TPM 1.2 или 2.0 для предприятий и TPM 2.0 для потребителей) или программном обеспечении на основании политики.

4. Проверка подлинности — это двухфакторная проверка с использованием сочетания ключа или сертификата, привязанного к устройству, и информации, известной пользователю PIN-код), или идентификационных данных пользователя (Windows Hello). Жест Hello не перемещается между устройствами и не предоставляется серверу. Он хранится локально на устройстве.

5. Закрытый ключ никогда не покидает устройство. Проверяющий подлинность сервер имеет открытый ключ, который был сопоставлен с учетной записью пользователя во время регистрации.

6. Ввод PIN-кода и биометрических жестов приводит к проверке удостоверения пользователя в Windows 10 и проверке подлинности с использованием ключей или сертификатов Hello.

7. Личные (учетная запись Майкрософт) или корпоративные учетные записи (Active Directory или Azure AD) использует один контейнер для ключей. Все ключи разделены по доменам поставщиков удостоверений в целях обеспечения конфиденциальности пользователя.

8. Закрытые ключи сертификатов могут быть защищены контейнером Hello и жестом Hello.

Сравнение проверки подлинности на основе ключа и сертификата

Для подтверждения личности служба Windows Hello для бизнеса может использовать ключи (аппаратный или программный) или сертификаты с ключами в аппаратном или программном обеспечении. Предприятия с инфраструктурой открытых ключей (PKI) для выпуска и управления сертификатами могут продолжать использовать PKI вместе со службой Hello. Предприятия, у которых нет PKI или которые хотят сократить объем работ, связанных с управлением сертификатами, могут использовать для службы Hello учетные данные на основе ключа.

Аппаратные ключи, которые создаются модулем TPM, обеспечивают наиболее высокий уровень гарантии. При изготовлении в модуль TPM помещается сертификат ключа подтверждения (EK). Этот сертификат EK создает корневое доверие для всех других ключей, которые генерируются в этом модуле TPM.

Сертификация EK используется для генерации сертификата ключа удостоверения подлинности (AIK), выданного службой сертификации Microsoft. Этот сертификат AIK можно использовать как претензию по удостоверению, чтобы доказать поставщикам удостоверений, что ключи Hello генерировались одним и тем же TPM. Центр сертификации Майкрософт (CA) генерирует сертификат AIK для каждого устройства, пользователя и IDP, чтобы гарантировать защиту конфиденциальности.

Если поставщики удостоверений, например Active Directory или Azure AD, регистрируют сертификат в службе Hello, Windows 10 будет поддерживать тот же набор сценариев, что и смарт-карта. Если тип учетных данных представляет собой ключ, будет поддерживаться только доверие и операции на основе ключа.

Мы постарались написать для вас подробный и понятный туториал по работе со службой Windows Hello. Если у вас остались вопросы, задавайте в комментариях.

  • microsoft
  • windows
  • windows hello
  • microsoft passport
  • пароли
  • пароли windows
  • информационная безопасность
  • security
  • Блог компании Microsoft
  • Системное администрирование

Источник: habr.com

Рейтинг
( Пока оценок нет )
Комментарии0
Загрузка ...
Похожие материалы
Бизнес для женщин