Руководство по Microsoft Passport

Статья
04/01/2016

В этом руководстве описываются новые технологии Windows Hello и Microsoft Passport, которые входят в состав операционной системы Windows 10. Руководство освещает определенные возможности этих технологий, помогающие снизить угрозы стандартных учетных данных, и содержит рекомендации о том, как вести разработку и выполнять развертывание этих технологий в рамках внедрения Windows 10.

Что касается информационной безопасности, предполагается, что система способна определить, кто ее использует. При идентификации пользователя система способна решить, правильно ли пользователь идентифицировал себя (процесс называется проверкой подлинности), а затем определить, что этот пользователь, прошедший проверку подлинности, будет способен делать (процесс называется авторизацией). Подавляющее большинство компьютерных систем, развернутых по всему миру, полагается на учетные данные пользователя при принятии решений проверки подлинности и авторизации, и это означает, что безопасность данных систем зависит от повторно используемых создаваемых пользователем. Часто цитируемая формула, что при проверке подлинности используется «нечто, что вы знаете, имеете или чем вы являетесь», прекрасно описывает проблему: успешность проверки подлинности всецело зависит от повторно используемого пароля, и любой, кто знает этот пароль, может выдать себя за пользователя-владельца.

Проблемы с традиционными учетными данными

Еще с середины 1960-х гг., когда Фернандо Корбато (Fernando Corbató) и его рабочая группа в Массачусетском технологическом институте отстояли внедрение паролей, пользователям и администраторам приходилось использовать пароли для проверки подлинности и авторизации. Со временем современное хранение и использование паролей несколько усовершенствовались (двумя наиболее заметными улучшениями стали хэширование паролей и соль), однако перед нами все еще стоят две серьезные проблемы: пароли легко копируются, и их легко украсть. Ошибки реализации могут делать их незащищенными, и пользователям все время приходится с трудом балансировать между удобством и безопасностью.

Похищение учетных данных

Самый большой риск с паролями прост: злоумышленник может легко украсть пароль. Уязвимо любое место, где пароль вводится, обрабатывается или хранится. Например, злоумышленник может украсть коллекцию паролей или хэши с сервера проверки подлинности путем перехвата сетевого трафика на сервер приложений, внедряя вредоносные программы в приложение или на устройство, регистрируя нажатие клавиш или кнопок на устройстве, подсматривая вводимые пользователем символы — это всего лишь наиболее распространенные методы атак. Чтобы украсть один или несколько паролей, можно изобрести и более экзотические способы.

Риск кражи определяется тем обстоятельством, что единственный фактор проверки подлинности, который представляет пароль, — это пароль. Без дополнительных факторов проверки подлинности система предполагает, что авторизованным пользователем является всякий, кто знает пароль.

Другой связанный с этим риск — воспроизведение учетных данных, когда злоумышленник перехватывает учетные данные в незащищенной сети и воспроизводит их позднее, чтобы представиться допустимым пользователем. Большинство протоколов проверки подлинности (в том числе Kerberos и OAuth) защищают от атак с воспроизведением путем включения отметки времени в процедуру обмена учетными данными, но это защищает маркер, выдаваемый системой проверки подлинности, но не пароль, который пользователь в первую очередь предоставляет для получения маркера.

Повторное использование учетных данных

Поскольку число подключенных систем и используемых приложений выросло, соответственно, возросла и потребность в учетных данных. Исследование Microsoft Research 2007 года показало, что у среднего пользователя Интернета было 6,5 паролей. Более позднее исследование показало, что это число значительно выросло, хотя есть разногласия относительно точной цифры. Разнообразные требования к паролям (обсуждаются в разделе Компромисс удобства и сложности) означают, что пользователи гораздо охотнее выбирают пароли, которые легко запомнить, и часто это означает выбор одного пароля, который используется на нескольких сайтах. Более «продвинутые» пользователи выбирают базовый пароль и немного изменяют в каждом из мест (например, базовый пароль «4joe» дает «bank4joe», «airline4joe» и «school4joe»), но данная методика добавления на удивление плохо устойчива к угадыванию пароля. В отдельных системах могут храниться списки использованных паролей, чтобы пользователи не могли устанавливать старые пароли при смене пароля, но это не мешает использовать один пароль в нескольких местах.

Общепринятая практика использования адреса электронной почты в качестве имени пользователя только усугубляет проблему. Злоумышленник, который успешно извлек пару «имя пользователя-пароль» из уязвимой системы, может попытаться подставить эту пару в других системах. Этот прием срабатывает на удивление во многих случаях, что позволяет злоумышленникам переходить из пораженной системы в другие системы. Использование адреса электронной почты в качестве имени пользователя может приводить и к другим проблемам, которые будут рассмотрены далее в этом руководстве.

Жертвуем удобством ради сложности

По большей части безопасность предполагает выбор между удобством и защищенностью: чем более защищена система, тем менее удобной, как правило, она будет для пользователей. Разработчики и специалисты по внедрению систем обладают широким спектром средств, позволяющих повысить безопасность систем, но пользователи тоже имеют право голоса. Если пользователь чувствует, что механизм безопасности мешает сделать желаемое, то пользователь часто ищет пути обойти ее. Это приводит к своеобразным «гонкам вооружений», когда пользователи изобретают различные способы, чтобы свести к минимуму трату сил на соблюдение правил своей организации по части паролей — по мере того, как эти правила меняются.

Сложность пароля

Если главный риск с паролями в том, что злоумышленник может подобрать пароль с помощью анализа методом подбора, то логично требовать, чтобы пользователи применяли в паролях более широкий набор символов, делали пароли длиннее, но с практической точки зрения у требования к длине и сложности пароля есть два неприятных побочных эффекта. Во-первых, это поощряет использование одного и того же пароля в разных местах. По оценочным расчетам, приведенным в статье авторов Herley, Florêncio и van Oorschot, чем надежнее пароль, тем больше вероятность его повторного использования. Поскольку пользователи тратят больше сил на создание и запоминание надежных паролей, они с гораздо большей вероятностью используют одинаковые учетные данные в нескольких системах. Во-вторых, увеличение длины пароля или сложности набора символов не обязательно затрудняет угадывание. Например, пароль «P@ssw0rd1» состоит из девяти символов, содержит буквы в обоих регистрах, цифры и специальные символы, но его легко подберут многие распространенные средства взлома паролей, доступные на сегодняшний день в интернете. Эти средства могут подбирать пароли с использованием зараннее подготовленного словаря наиболее употребляемых паролей, или могут начинаться с базового слова, например «password», а затем применять общие шаблоны замены символов. Поэтому для разгадывания совершенно случайного восьмизначного пароля потребуется больше времени, чем для P@ssw0rd123.

Срок действия паролей

Повторно используемый пароль — единственный фактор проверки подлинности в системах на базе пароля, поэтому разработчики попытались снизить риск кражи и повторного использования учетных данных. Распространенный способ — использование паролей с ограниченным сроком действия. В некоторых системах разрешено только однократное использование пароля, но гораздо шире распространено истечение срока действия по прошествии определенного времени. Ограничение срока действия пароля ограничивает период времени, в течение которого украденный пароль будет полезен злоумышленнику. Эта методика помогает укрепить защиту в случаях, когда долгосрочный пароль украден, хранится и используется в течение долгого времени, однако это также восходит ко времени, когда взлом паролей был под силу лишь государственным спецслужбам. Умный злоумышленник попытается украсть пароли, а не взламывать их, так как на взлом уходит много времени.

Широкая доступность стандартных средств взлома паролей и огромные вычислительные мощности, доступные, например, через системы взлома на базе GPU или распределенные облачные средства взлома, перевернули это «уравнение» вверх ногами, поэтому теперь злоумышленнику часто проще взломать пароль, чем украсть его. Кроме того, широкая распространенность самостоятельно используемых механизмов сброса пароля означает, что злоумышленнику требуется лишь небольшое временное окно, в течение которого действует пароль, чтобы изменить пароль и, таким образом, запустить заново период действия. Относительно немногие корпоративные сети располагают механизмами самостоятельного сброса пароля, но они широко применяются в службах Интернета. Кроме того, многие пользователи используют защищенное хранилище учетных данных в системах Windows и Mac OS X для хранения ценных паролей служб Интернета, и тогда злоумышленник, которому удалось получить пароль операционной системы, легко получает доступ в «сокровищницу» паролей других служб.

Наконец, слишком короткий период действия паролей может побудить пользователя каждый раз вносить в пароль небольшие изменения, например из password123 сделать password456, далее password789. При таком подходе сокращается объем работы по взлому пароля, особенно если злоумышленник знает любой из старых паролей.

Механизмы сброса пароля

Чтобы помочь пользователям лучше управлять собственными паролями, некоторые службы предоставляют пользователям способ изменить свой пароль. В некоторых системах пользователь должен войти в систему с текущим паролем, а в других случаях пользователю можно выбрать вариант Забыли пароль, в результате на зарегистрированный адрес электронной почты пользователя отправляется сообщение. Недостаток этих механизмов в том, что реализация многих из них не исключает их использования злоумышленником. Например, злоумышленник, который сможет успешно угадать или украсть пароль электронной почты пользователя, легко запросит сброс паролей всех других учетных записей жертвы, поскольку письма о восстановлении пароля приходят на взломанную учетную запись. Поэтому большинство корпоративных сетей настроены так, что изменить пароль может только администратор. Например, Active Directory поддерживает использование флага Пароль должен быть изменен при следующем входе, чтобы после сброса пароля администратором пользователь мог изменить пароль, только предварительно введя предоставленный администратором. В некоторых системах управления мобильными устройствами есть аналогичные функции для мобильных устройств.

Небрежность пользователя в отношении паролей

Уязвимые места проектирования и реализации усугубляются еще одной неявной проблемой: некоторые пользователи небрежны с паролями. Пользователи записывают их в небезопасных местах, выбирают пароли, которые легко угадать, предпринимают минимальные меры предосторожности (если вообще принимают) против вредоносного ПО и даже сообщают свои пароли другим людям. Такие пользователи не обязательно небрежны, поскольку им все равно: люди просто хотят сделать дело, а завышенные требования по длине пароля, по сроку действия, либо слишком большое количество паролей мешают.

Как уменьшить риски, связанные с учетными данными

С учетом описанных проблем кажется очевидным, что многократно используемые пароли представляют риск. Аргумент прост: добавление факторов проверки подлинности снижает ценность паролей, поскольку даже успешная кража пароля не позволит злоумышленнику выполнить вход без остальных дополнительных связанных факторов. К сожалению, на практике этот простой аргумент связан с многочисленными сложностями. Поставщики систем безопасности и операционных систем не одно десятилетие пытаются разрешить проблемы с многократно используемыми учетными данными, но успехи скромные.

Самая очевидная возможность уменьшить риск, создаваемый многократно используемыми паролями, — добавить один или несколько факторов проверки подлинности. В разное время за последние 30 лет разные поставщики пытались разрешить эту проблему, призывая к использованию биометрических идентификаторов (в том числе отпечатков пальцев, сканирования радужной оболочки и сетчатки глаза и геометрии ладони руки), программных и аппаратных маркеров, физических и виртуальных смарт-карт, а также голосовой или SMS-проверки подлинности через мобильный телефон пользователя. Подробное описание каждого из этих средств проверки подлинности со всеми достоинствами и недостатками не входит в задачу данного руководства, однако, независимо от способа проверки подлинности, внедрение многофакторной проверки подлинности ограничивается несколькими основными трудностями, в том числе следующими.

Сложность и дороговизна инфраструктуры. Любая систем, требующая от пользователя предоставления дополнительного фактора проверки подлинности в точке доступа, предусматривает тот или иной способ сбора информации. Хотя можно оснастить соответствующее оборудование устройствами считывания отпечатков пальцев, сканерами глаз и т. п., немногие компании захотят тратить на это средства и обеспечивать соответствующую трудоемкую поддержку.
Отсутствие стандартизации. Хотя корпорация Майкрософт и включила поддержку смарт-карт на уровне операционной системы в Windows Vista, поставщики смарт-карт и устройств чтения могли по-прежнему поставлять собственные драйверы, как и производители других устройств проверки подлинности. Отсутствие стандартизации приводило к фрагментации как самих приложений, так и поддержки, в результате разные решения не всегда были совместимы друг с другом, даже когда производители рекламировали их как совместимые.
Обратная совместимость. Оснащение уже развернутых операционных систем и приложений под использование MFA оказалось чрезвычайно сложной задачей. Спустя почти три года после выпуска в Microsoft Office 2013 наконец-то реализована поддержка MFA. Подавляющее большинство как коммерческих, так и пользовательских бизнес-приложений никогда не будут оснащены никакой системой проверки подлинности, кроме предоставляемой базовой операционной системой.
Неудобство для пользователя. Решения, требующие от пользователя получать, держать наготове и использовать физические маркеры, также непопулярны. Если пользователю необходимо иметь определенный маркер для удаленного доступа или других сценариев, которые предположительно повышают удобство работы, его быстро начинает раздражать иметь дело с дополнительным устройством. Еще сильнее сопротивление решениям, которые надо подключать к компьютеру (например, устройство считывания смарт-карт), поскольку возникают проблемы портативности, поддержки драйверов и операционных систем, а также интеграции приложений.
Совместимость устройств. Не всякое оборудование поддерживает тот или иной метод проверки подлинности. Например, несмотря на редкие вялые попытки поставщиков, рынок устройств считывания смарт-карт для мобильных устройств так и не возник. Поэтому, когда Майкрософт впервые реализовала смарт-карты в качестве способа проверки подлинности для доступа к сети, одним из важных ограничений стало то, что сотрудники могли выполнить вход только с того настольного компьютера или ноутбука, на котором есть устройство чтения смарт-карт. Эта проблема может коснуться любого метода проверки подлинности, зависящего от дополнительного оборудования или программного обеспечения. Например, несколько популярных систем с «программными маркерами» требуют, чтобы мобильные приложения работали на ограниченном наборе аппаратных платформ.

Другая досадная проблема связана с багажом знаний и уровнем развития. Надежные системы проверки подлинности сложны. Они состоят из большого количества компонентов и могут быть дорогими в разработке, поддержке и эксплуатации. Для некоторых предприятий дополнительные затраты и непредвиденные расходы на поддержку собственной инфраструктуры открытых ключей для выдачи смарт-карт или трудности с обеспечением дополнительных устройств превышают выигрыш от повышения надежности проверки подлинности. Это особый случай проблемы, общей для финансовых учреждений: если стоимость борьбы с мошенничеством больше ущерба от самого мошенничества, то трудно оправдать затраты на меры по предотвращению махинаций.

Устранение неполадок с учетными данными

Решить проблему, создаваемую паролями, непросто. Ее не решить лишь более строгой политикой паролей: пользователь всегда может просто сбросить пароль, сообщить его кому-то или где-то записать. Хотя обучение пользователей чрезвычайно важно для безопасности проверки подлинности, оно одно не устраняет проблему.

Как было показано, дополнительная проверка подлинности не обязательно решает вопрос, если новые системы проверки подлинности увеличивают сложность, затраты или снижают надежность. В Windows 10 корпорация Майкрософт решает эти проблемы с помощью двух новых технологий — Windows Hello и Microsoft Passport. Вместе эти технологии помогают повысить как безопасность, так и удобство работы пользователя.

Microsoft Passport заменяет пароли надежной двухфакторной проверкой подлинности (2FA) путем проверки имеющихся учетных данных и создания учетных данных для каждого конкретного устройства, защищаемых пользовательским жестом (биометрическим или на основе PIN-кода). Это сочетание эффективно заменяет физические и виртуальные смарт-карты, а также повторно используемые пароли для входа и управления доступом.
Windows Hello обеспечивает надежную, полностью интегрированную биометрическую проверку подлинности на основе распознавания лиц или совпадения отпечатков пальцев. В Windows Hello используется сочетание из особых инфракрасных (ИК)-камер и программного обеспечения, что повышает точность и защищает от спуфинга. Основные поставщики оборудования поставляют устройства, имеющие встроенные камеры, совместимые с Windows Hello; также можно использовать оборудование для считывания отпечатков пальцев (либо оно может быть добавлено к устройствам, которые в настоящий момент его не имеют). На устройствах, поддерживающих Windows Hello, пользовательские учетные данные Microsoft Passport разблокируются простым биометрическим жестом.

Что такое Windows Hello?

Windows Hello — это название, которое корпорация Майкрософт дала новому биометрическому входу в систему, встроенному в Windows 10. Функция напрямую встроена в операционную систему, поэтому Windows Hello позволяет разблокировать пользовательские устройства с помощью идентификации лиц или отпечатков пальцев. Проверка подлинности происходит, когда пользователь предоставляет свой биометрический идентификатор для доступа к учетным записям Microsoft Passport на данном устройстве, то есть злоумышленник, похитивший устройство, не сможет выполнить вход, если ему неизвестен PIN-код. Защищенное хранилище учетных данных Windows защищает биометрические данные на устройстве. Разблокируя устройство с помощью Windows Hello, авторизованный пользователь получает доступ ко всем функциям, приложениям, данным, веб-сайтам и службам Windows.

Проверка подлинности Windows Hello известна также как Hello. Hello уникально для сочетания отдельного устройства и конкретного пользователя. Оно не перемещается с устройства на устройство, не передается на сервер, и его нельзя легко извлечь с устройства. Если устройством пользуются несколько человек, у каждого пользователя будет уникальный Hello для этого устройства. Можно считать Hello своего рода маркером, с помощью которого разблокируются (или выдаются) хранимые учетные данные: само по себе Hello не обеспечивает вам прохождения проверки подлинности на устройстве или в службе, однако разблокирует учетные данные, которые уже обеспечивают вход в систему.

При запуске Windows 10 операционная система поддерживает три типа Hello.

PIN-код. Прежде чем включить на устройстве биометрические данные с помощью Windows Hello, необходимо выбрать PIN-код в качестве начального жеста Hello. После того как будет задан PIN-код, при желании можно добавить биометрические жесты. С помощью жеста «PIN-код» можно всегда «открыть» свои учетные данные, чтобы все-таки можно было разблокировать устройство и пользоваться им, даже если невозможно воспользоваться предпочтительным биометрическим жестом, например, из-за травмы или из-за отсутствия или неисправности датчика.
Распознавание лиц. Используются специальные камеры, считывающие в ИК-диапазоне, что позволяет надежно отличить фотографию или отсканированное изображение от живого человека. Некоторые поставщики поставляют внешние камеры, в которые встроена такая возможность, и большинство производителей ноутбуков также встраивают данную функцию в свои устройства.
Распознавание отпечатков пальцев. Используется емкостный датчик отпечатков, сканирующий отпечатки пальцев. Сканеры отпечатков пальцев доступны на компьютерах Windows уже много лет, но датчики нынешнего поколения значительно надежнее и менее подвержены ошибкам. Большинство существующих сканеров отпечатков пальцев (внешних или встроенных в ноутбуки или USB-клавиатуры) работают под Windows 10.

Биометрические данные, используемые для реализации этих жестов Hello, хранятся в защищенном виде только на локальном устройстве. Они не перемещаются и никогда не передаются на внешние устройства или серверы. Поскольку Windows Hello сохраняет данные биометрической идентификации только на устройстве, у злоумышленника нет единой точки сбора, которую тот может взломать для кражи биометрических данных. В случае раскрытия биометрических данных, собранных и хранимых с другими целями (например, отпечатки пальцев, собираемые правоохранительными органами или для специальных проверок), значительной угрозы не возникает: похитивший биометрические данные злоумышленник крадет буквально лишь шаблон идентификатора, который непросто преобразовать в вид, пригодный для использования в биометрическом датчике. Путь к данным у датчиков, совместимых с Windows Hello, также устойчив к несанкционированному доступу, что еще более сокращает вероятность того, что злоумышленник успешно внедрит поддельные биометрические данные. Кроме того, прежде чем злоумышленник сможет попытаться внедрить данные в канал датчика, он должен сначала получить физический доступ к устройству, а такой злоумышленник может устроить и ряд других, менее сложных атак.

Windows Hello дает ряд крупных преимуществ. Во-первых, в сочетании с Microsoft Passport эта функция эффективно решает проблему кражи учетных данных и общего доступа к ним. Поскольку злоумышленнику необходимо получить и устройство, и выбранные биометрические данные, сделать это гораздо сложнее незаметно для пользователя. Во-вторых, использование биометрических данных означает преимущество пользователя в том, что простое средство проверки подлинности всегда с собой: нечего забывать или терять. Теперь вместо того, чтобы запоминать длинные сложные пароли, пользователь может применять удобный и безопасный метод входа в систему на всех своих устройствах Windows. Наконец, во многих случаях для использования Windows Нello не требуется ничего дополнительно развертывать или выполнять какие-то другие дополнительные действия (хотя может потребоваться дополнительное развертывание для Microsoft Passport, как будет описано далее в этом руководстве). Поддержка Windows Hello встроена непосредственно в операционную систему, и пользователи и компании могут добавлять устройства считывания биометрических данных для распознавания биометрических жестов — либо в составе скоординированного развертывания, либо как отдельные пользователи и группы, решающие добавить необходимые датчики. Windows Hello входит в состав Windows, поэтому для запуска этой функции не требуется дополнительное развертывание.

Что такое Microsoft Passport?

В Windows Hello реализован надежный способ распознавания отдельного пользователя устройством. Так проходится первая половина пути между пользователем и запрошенной услугой или элементом данных. Однако после того, как пользователем распознан устройством, необходимо по-прежнему выполнить для него проверку подлинности, прежде чем предоставлять этому пользователю доступ к ресурсу. В Microsoft Passport реализована полностью интегрированная в Windows надежная двухфакторная проверка подлинности вместо повторно используемых паролей — сочетание конкретного устройства и Hello или PIN-кода. Впрочем, Microsoft Passport — это не просто замена традиционных систем двухфакторной проверки подлинности. Эта система в принципе аналогична смарт-картам: проверка подлинности выполняется с использованием криптографических примитивов вместо сравнения строк, а материал ключа пользователя надежно хранится внутри устойчивого к взлому оборудования. Microsoft Passport не требует и дополнительных компонентов инфраструктуры, как для использования смарт-карт. В частности, вам не нужна инфраструктура PKI, если на данный момент ее у вас нет. Microsoft Passport сочетает в себе основные достоинства смарт-карт — гибкость в развертывании виртуальных смарт-карт и высокую безопасность физических, однако без их недостатков.

Microsoft Passport предлагает четыре значительных преимущества по сравнению с нынешней проверкой подлинности Windows: новая система более гибкая, она основана на отраслевых стандартах, она эффективно снижает риски и готова к внедрению в корпоративном масштабе. Рассмотрим каждое из этих преимуществ более подробно.

Гибкость

Microsoft Passport отличается беспрецедентной гибкостью. Хотя формат и применение повторно используемых паролей являются фиксированными, Microsoft Passport дает как администраторам, так и пользователям возможности управлять проверкой подлинности. Прежде всего, Microsoft Passport работает как с биометрическими идентификаторами, так и с PIN-кодами, так что учетные данные пользователей защищены даже на устройствах, не поддерживающих биометрию. Пользователь может разблокировать свои учетные данные с помощью телефона вместо PIN-кода или биометрического жеста на своем основном устройстве. Microsoft Passport без проблем задействует оборудование используемых устройств. Когда пользователь переходит на новое устройство, система Microsoft Passport уже готова к работе с ним, а организации могут обновлять имеющиеся устройства, добавляя биометрические датчики, где требуется.

Microsoft Passport обеспечивает гибкость также и в центре обработки данных. Для развертывания системы в некоторых режимах необходимо добавить в среду Active Directory контроллеры домена Windows Server 2016 Technical Preview, однако нет необходимости заменять или удалять имеющиеся серверы Active Directory — серверы, которые требуются для Microsoft Passport, работают на основе имеющейся инфраструктуры и расширяют ее. Вам не придется вносить изменения в режим работы домена или леса, и можно добавить локальные серверы или выполнить развертывание Microsoft Passport в вашей сети с помощью Microsoft Azure Active Directory. Выбор круга пользователей, которым будет доступен Microsoft Passport, зависит полностью от вас: вы выбираете поддерживаемые политики и устройства, а также факторы проверки подлинности, к которым вы хотите дать доступ пользователям. Это позволяет использовать Microsoft Passport в дополнение к имеющимся развертываниям смарт-карт или маркеров путем введения надежной защиты учетных данных для пользователей, у которых на данный момент ее нет, либо развертывания Microsoft Passport в сценариях, где требуется дополнительная защита конфиденциальных ресурсов или систем (описано в разделе Проектирование развертывания Microsoft Passport).

Унификация

Как поставщики программного обеспечения, так и корпоративные клиенты поняли, что системы идентификации и проверки подлинности собственной разработки — это тупик. Будущее за открытыми, совместимыми системами, поддерживающими защищенную проверку подлинности для различных устройств, бизнес-приложений, а также внешних приложений и веб-сайтов. С этой целью группа предприятий отрасли организовала альянс Fast IDentity Online Alliance (FIDO), некоммерческую организацию, цель которой — справиться с недостатком совместимости среди устройств со строгой проверкой подлинности, а также способствовать решению проблем, с которыми сталкиваются пользователи при необходимости создавать и запоминать несколько имен пользователей и паролей. Альянс FIDO планирует изменить принципы проверки подлинности путем разработки спецификаций, определяющих открытый, масштабируемый и совместимый набор механизмов, которые придут на смену паролям в сфере проверки подлинности пользователей в веб-службах. Этот новый стандарт для устройств безопасности и браузерных модулей обеспечит любому веб-сайту или облачному приложению взаимодействие с широким спектром существующих и будущих устройств с поддержкой FIDO, которые пользователь применяет для безопасности в интернете. Подробные сведения см. в разделе Веб-сайт Альянса FIDO.

В 2013 корпорация Майкрософт вступила в альянс FIDO. Благодаря стандартам FIDO появилась универсальная платформа, обеспечиваемая глобальной экосистемой для унифицированной и значительно улучшенной работы с надежной проверкой подлинности без использования паролей. Спецификации FIDO 1.0, опубликованные в декабре 2014, предусматривают два типа проверки подлинности: без пароля (известную как Универсальная платформа проверки подлинности (Universal Authentication Framework [UAF])) и двухфакторную проверку подлинности (U2F). Альянс FIDO работает над набором предложений версии 2.0, сочетающих в себе лучшее из стандартов U2F и UAF FIDO 1.0. Корпорация Майкрософт вносит активный вклад в эти предложения, а Windows 10 является эталонной реализацией этих принципов. Помимо поддержки этих протоколов, реализация Windows охватывает и другие аспекты комплексной работы, которые не входят в спецификацию, в частности пользовательский интерфейс, хранение и защиту пользовательских ключей и маркеров, выдаваемых после проверки подлинности, а также поддержку политик администратора и предоставление средств развертывания. Корпорация Майкрософт рассчитывает продолжить работу с альянсом FIDO по мере продвижения спецификации FIDO 2.0. Совместимость продуктов FIDO является отличительной чертой проверки подлинности FIDO. В корпорации Майкрософт считают, что вывод решения FIDO на рынок поможет удовлетворить огромную потребность, которую испытывают как компании, так и отдельные пользователи.

Эффективность

Microsoft Passport эффективно противодействует двум главным угрозам безопасности. Во-первых, за счет отказа от повторно используемых паролей при выполнении входа снижается риск копирования и повторного использования учетных данных пользователя. На устройствах с поддержкой стандарта доверенного платформенного модуля (TPM) материал ключа пользователя может храниться в модуле TPM пользовательского устройства, что затрудняет получение и повторное использование материала ключа злоумышленником. На устройствах без TPM система Microsoft Passport может шифровать и хранить учетные данные в программном виде, однако администратор может отключить эту функцию и принудительно использовать развертывания типа «TPM или ничего».

Во-вторых, поскольку Microsoft Passport не зависит от единого централизованного сервера, риск раскрытия в результате взлома сервера устранен. Теоретически злоумышленник может скомпрометировать одно устройство, но не существует единой точки для атаки, которую нарушитель может использовать для широкого доступа к среде.

Возможность корпоративного использования

В каждом из выпусков Windows 10 предусмотрена функция Microsoft Passport для личного пользования. Корпоративные или индивидуальные пользователи могут с помощью Microsoft Passport защищать свои отдельные учетные данные с использованием совместимых приложений и служб. Кроме того, компании, чьи пользователи работают с Windows 10 Professional и Windows 10 Enterprise, имеют возможность использовать Microsoft Passport в режиме Work, это расширенная версия Microsoft Passport, в состав которой входит возможность централизованного управления параметрами Microsoft Passport по надежности PIN-кодов и использованию биометрии через объекты групповой политики.

Как работает Microsoft Passport

Чтобы выполнять вход с помощью Microsoft Passport с использованием поставщика идентификаторов (IDP), пользователю необходимо настроенное устройство, т. е. жизненный цикл Microsoft Passport начинается с настройки использования Microsoft Passport на устройстве. Когда устройство настроено, пользователь может задействовать его для проверки подлинности в службах. В данном разделе мы рассматриваем работу регистрации устройств: что происходит, когда пользователь запрашивает проверку подлинности, как хранится и обрабатывается материал ключа и как серверы и компоненты инфраструктуры задействованы на различных этапах этого процесса.

Регистрация нового пользователя или устройства

Цель Microsoft Passport — позволить пользователю открыть совершенно новое устройство, безопасно подключиться к сети организации для загрузки данных организации и управления ими, а также создать новый жест Hello и защитить устройство. В корпорации Майкрософт процесс настройки устройства для использования Microsoft Passport называют регистрацией.

Примечание

Это не то же самое, что настройка в организации, которая необходима для использования Microsoft Passport с Active Directory или Azure AD. Такая настройка обсуждается далее в руководстве. Эта настройка должна быть завершена до начала регистрации пользователей.

Процесс регистрации происходит следующим образом.

Пользователь настраивает учетную запись на устройстве.

Эта учетная запись может быть локальной учетной записью на устройстве или учетной записью домена, хранимой на локальном домене Active Directory, учетной записью Майкрософт или учетной записью Azure AD. На новом устройстве этот шаг может быть столь же простым, как выполнение входа с использованием учетной записи Майкрософт. При выполнении входа с использованием учетной записи Майкрософт на устройстве с Windows 10 автоматически настраивается Microsoft Passport на этом устройстве. Пользователю не нужно выполнять никакие дополнительные действия для включения этой функции.
Для выполнения входа с использованием этой учетной записи пользователю нужно ввести имеющиеся учетные данные.

IDP, «владеющий» учетной записью, получает учетные данные и выполняет проверку подлинности пользователя. Эта проверка подлинности IDP может использовать имеющийся второй фактор проверки подлинности или подтверждение. Например, пользователь, который регистрирует новое устройство с использованием учетной записи Azure AD, должен предоставить подтверждение по SMS, отправляемое Azure AD.
Когда пользователь предоставит подтверждение IDP, включатся проверка подлинности с PIN-кодом (Рис. 1).

PIN-код будет связан с данными конкретными учетными данными.

Рис. 1. Настройка PIN-кода в области панели управления Параметры учетной записи

PIN-код доступен для использования немедленно после его настройки пользователем (Рис. 2).

Рис. 2. PIN-код можно использовать сразу же после настройки

Помните, что работа Microsoft Passport основана на сопряжении устройства и учетных данных, поэтому выбираемый PIN-код связан только с сочетанием активной учетной записи и данного конкретного устройства. PIN-код по длине и сложности должен соответствовать политике, настроенной администратором. Применение этой политики обеспечивается на стороне устройства. Ниже представлены другие сценарии регистрации, поддерживаемые Microsoft Passport.

Пользователь, переходящий с операционной системы Windows 8.1, выполнит вход с использованием своего имеющегося корпоративного пароля. В результате включается MFA на стороне IDP. После получения и возврата подтверждения, например сообщения SMS или голосового кода, IDP выполняет проверку подлинности пользователя на устройстве, обновленном до Windows 10, и пользователь может настроить свой PIN-код.
Пользователю, который обычно входит в систему с помощью смарт-карты, будет предложено настроить PIN-код при первом входе на устройство Windows 10, на которое ранее пользователь не входил.
Пользователю, который обычно выполняет вход с помощью виртуальной смарт-карты, будет предложено настроить PIN-код при первом входе на устройство Windows 10, на которое ранее пользователь не входил.

Когда пользователь завершит эту процедуру, Microsoft Passport создаст на устройстве новую пару из открытого и закрытого ключа. TPM создаст и сохранит этот закрытый ключ. Если на устройстве нет TPM, то открытый ключ будет зашифрован и сохранен в программном виде. Этот начальный ключ называется защитным ключом. Он связан только с одним жестом. Иными словами, если пользователь зарегистрирует PIN-код, отпечаток пальца и лицо на одном устройстве, каждый из этих жестов будет иметь свой уникальный защитный ключ. Защитный ключ представляет собой надежную оболочку для ключа проверки подлинности в определенном контейнере. Каждый контейнер имеет лишь один ключ проверки подлинности, но может существовать несколько копий ключа, помещенных в оболочку разных уникальных защитных ключей (каждый из которых связан с уникальным жестом). Кроме того, в Microsoft Passport создается административный ключ, с помощью которого пользователь или администратор может при необходимости сбросить учетные данные. В дополнение к защитному ключу на устройствах с поддержкой TPM создается блок данных, содержащих аттестации из TPM.

На данном этапе пользователь имеет определенный PIN-жест на устройстве и связанный с этим PIN-жестом защитный ключ. Это означает, что пользователь может безопасно войти в систему на этом устройстве с использованием PIN-кода и, таким образом, установить доверенный сеанс для добавления биометрического жеста в качестве альтернативы PIN-коду. При добавлении биометрического жеста действует та же основная последовательность: пользователь проходит проверку подлинности со своим PIN-кодом, затем регистрирует новую биометрию («улыбнитесь в камеру!»), после чего Windows формирует уникальную пару ключей и надежно сохраняет ее. В будущем при входе в систему можно либо вводить PIN-код, либо использовать зарегистрированные биометрические жесты.

Что такое контейнер?

В связи с решениями MDM вам часто будет встречаться термин контейнер. Этот термин также используется и в Microsoft Passport, но в несколько другом смысле. Контейнер в данном контексте — это краткое название логически сгруппированного материала ключа или данных. Windows 10 поддерживает два вида контейнеров: контейнер по умолчанию хранит материал ключа пользователя для личных учетных записей, в том числе материал ключа, связанный с пользовательской учетной записью Майкрософт, или других клиентских поставщиков идентификаторов, а корпоративный контейнер содержит учетные данные, связанные с учетной записью на рабочем месте или в учебном заведении.

Корпоративный контейнер есть только на устройствах, зарегистрированных в организациях. Он содержит материал ключа корпоративных IDP, например Active Directory или Azure AD. Корпоративный контейнер содержит данные ключа только для Active Directory или Azure AD. Если на устройстве есть корпоративный контейнер, он разблокируется отдельно от контейнера по умолчанию, что позволяет поддерживать разделение данных и доступа в персональных и корпоративных учетных данных и служб. Например, пользователь, который входит на управляемый компьютер с помощью биометрического жеста, может отдельно разблокировать свой персональный контейнер, введя PIN-код при входе, чтобы совершать покупки с веб-сайта.

Эти контейнеры разделены логически. Организации никак не контролируют учетные данные, которые пользователи сохраняют в контейнере по умолчанию, и приложения, выполняющие проверку подлинности в службах в контейнере по умолчанию, не могут использовать учетные данные из корпоративного контейнера. Однако отдельные Windows-приложения способны использовать API-интерфейсы Microsoft Passport для запроса доступа к учетным данным при необходимости, поэтому как клиентские, так и бизнес-приложения могут быть усовершенствованы для использования преимуществ Microsoft Passport.

Важно помнить, что нет физических контейнеров на диске, в реестре или где-либо еще. Контейнеры являются логическими единицами, группирующими связанные элементы. Ключи, сертификаты и учетные данные, хранимые Microsoft Passport, защищены без создания реальных контейнеров или папок.

Каждый контейнер в действительности содержит набор ключей, и некоторые из них используются для защиты других ключей. На Рис. 3 показан пример: защитный ключ используется для шифрования ключа проверки подлинности, а ключ проверки подлинности используется для шифрования отдельных ключей, которые хранятся в контейнере.

Рис. 3

Рис. 3. Каждый логический контейнер содержит один или несколько наборов ключей

Контейнеры могут содержать несколько типов материала ключей:

Ключ проверки подлинности, который всегда является асимметричной парой «открытый/закрытый ключ». Эта пара ключей генерируется при регистрации. Ее необходимо разблокировать при каждом обращении к ней, используя любой PIN-код или сформированный ранее биометрический жест. Ключ проверки подлинности существует до тех пор, пока пользователь не сбросит PIN-код. При этом будет сформирован новый ключ. Когда создается новый ключ, весь материал ключа, ранее защищенный старым ключом, необходимо расшифровать и заново зашифровать с использованием нового ключа.
Виртуальные ключи смарт-карты создаются при формировании виртуальной смарт-карты и безопасно хранятся в контейнере. Они доступны всегда, когда контейнер пользователя не заблокирован.
Ключи и сертификаты S/MIME, которые формирует центр сертификации. Ключи, связанные с сертификатом S/MIME пользователя, могут храниться в контейнере Microsoft Passport, при этом они будут доступны пользователю всегда, когда контейнер не заблокирован.
Ключ IDP. В зависимости от используемого IDP эти ключи могут быть симметричными или асимметричными. Один контейнер может содержать ноль или несколько ключей IDP с некоторыми ограничениями (например, контейнер предприятия может содержать ноль или один ключ IDP). Ключи IDP хранятся в контейнере, как показано на Рис. 3. При использовании Microsoft Passport for Work на основе сертификата, когда контейнер не заблокирован, приложения, которым требуется доступ к ключу IDP или паре ключей, могут запрашивать доступ. Ключи IDP используются для входа или шифрования запросов или маркеров проверки подлинности, отправляемых с данного компьютера на IDP. Ключи IDP обычно используются в течение длительного времени, однако срок их службы может быть меньше, чем у ключа проверки подлинности.

Для учетных записей Майкрософт, Active Directory и Azure AD требуется использовать пары асимметричных ключей. Устройство создает открытый и закрытый ключи, регистрирует открытый ключ на IDP (где он сохраняется для проверки в дальнейшем) и безопасно сохраняет закрытый ключ. Для организаций ключи IDP можно формировать двумя способами.

Пары ключей IDP можно связывать с ЦС предприятия посредством службы регистрации сертификатов для сетевых устройств (NDES), которая подробно описана в Руководстве по службе регистрации сертификатов для сетевых устройств. В этом случае Microsoft Passport требуется новый сертификат с тем же ключом, как у сертификата из существующего PKI. Этот параметр позволяет организациям, у которых уже есть PKI, продолжать при необходимости использовать его. Принимая во внимание, что многие приложения (например, популярные системы виртуальной частной сети) требуют использования сертификатов при развертывании Microsoft Passport в этом режиме, он обеспечивает более быстрый уход от паролей пользователя, по-прежнему применяя при этом функции на основе сертификатов. Этот параметр также дает предприятию возможность хранить в защищенном контейнере дополнительные сертификаты.
IDP может формировать пару ключей IDP напрямую, что позволяет быстро и при низкой нагрузке развертывать Microsoft Passport в средах, где нет PKI или она не требуется.

Принципы защиты ключей

Каждый раз при формировании материала ключа его необходимо защищать от атак. Самым надежным способом обеспечения такой защиты является использование специализированного оборудования. У использования аппаратных модулей безопасности для создания, хранения и обработки ключей для приложений, безопасность которых имеет важнейшее значение, длительная история. Смарт-карты являются особым типом аппаратных модулей безопасности, как и устройства, совместимые со стандартом TPM организации TCG. При любой возможности реализация Microsoft Passport for Work пользуется для создания, хранения и обработки ключей имеющимся оборудованием TPM. Однако наличие оборудования TPM для работы Microsoft Passport и Microsoft Passport for Work не является обязательным. Администраторы могут разрешить операции с ключами в программном обеспечении. В этом случае любой пользователь, обладающий правами администратора (или могущий их получить) на компьютере, может использовать ключи IDP для подписания запросов. В качестве альтернативы в некоторых случаях проверку подлинности устройств, не имеющих доверенного платформенного модуля, можно производить удаленно с помощью устройства, в котором есть доверенный платформенный модуль. В этом случае все конфиденциальные операции выполняются с помощью TPM, а доступ к материалу ключа не предоставляется.

Майкрософт рекомендует всегда использовать оборудование TPM. TPM защищает от множества известных и потенциальных атак, в том числе атак методом подбора PIN-кода. Кроме того, TPM обеспечивает дополнительный уровень защиты после блокировки учетной записи. Когда TPM заблокировал материала ключа, пользователю необходимо сбросить PIN-код (а это значит, что ему придется повторно пройти проверку подлинности в IDP с использованием MFA, и только после этого IDP позволит ему повторно зарегистрироваться). Сброс PIN-кода означает, что все ключи и сертификаты, зашифрованные с использованием материала старого ключа, будут удалены.

Проверка подлинности

Если пользователю требуется получить доступ к защищенному материалу ключа — возможно, чтобы воспользоваться веб-сайтом, требующим входа для получения доступа к защищенным ресурсам в корпоративной интрасети, — процесс проверки подлинности начинается с ввода пользователем PIN-кода или биометрического жеста, чтобы разблокировать устройство. Иногда этот процесс называется освобождение ключа. Его можно представить себе, как физический ключ, которым вы отпираете дверь: прежде чем можно будет отпереть дверь, ключ необходимо извлечь из кармана или сумки. На личном устройстве, подключенном к сети организации, пользователи для освобождения ключа будут использовать личные PIN-коды или биометрические жесты. На устройствах же, входящих в локальный домен или домен Azure AD, они будут использовать PIN-код организации.

Этот процесс разблокирует защитный ключ для основного контейнера на устройстве. Когда этот контейнер разблокирован, приложения (а таким образом, и пользователь) могут использовать все ключи IDP, которые находятся внутри.

Эти ключи используются для подписания запросов, отправляемых IDP для получения доступа к определенным ресурсам. Важно понимать, что, хотя ключи и разблокированы, приложения не могут использовать их по своему усмотрению. Приложения могут использовать определенные API-интерфейсы для запроса операций, которым для выполнения определенных действий требуется материал ключа (например, для расшифровывания сообщения электронной почты или входа на веб-сайт). Для доступа через эти API-интерфейсы не требуется явная проверка с помощью жеста пользователя, а материал ключа не предоставляется запрашивающему приложению. Вместо этого приложение запрашивает проверку подлинности, шифрование и расшифровку, а уровень Microsoft Passport выполняет саму работу и возвращает результаты. Если это целесообразно, приложение может запрашивать принудительную проверку подлинности даже на разблокированном устройстве. Windows предлагает пользователю повторно ввести PIN-код или произвести жест проверки подлинности, что добавляет дополнительный уровень защиты для конфиденциальных данных или действий. Например, в Магазине Windows можно настроить запрос повторной проверки подлинности каждый раз, когда пользователь покупает приложение, даже если такие же учетная запись и PIN-код или жест уже использованы, чтобы разблокировать устройство.

Сам процесс проверки подлинности выполняется следующим образом.

Клиент отправляет пустой запрос проверки подлинности в IDP. (Делается это только для подтверждения установления связи.)
IDP возвращает задачу, которая называется nonce.
Устройство подписывает элемент nonce соответствующим закрытым ключом.
Устройство возвращает исходный элемент nonce, подписанный элемент nonce и идентификатор ключа, который использовался для подписания элемента nonce.
IDP получает открытый ключ, указанный идентификатором ключа, проверяет с его помощью подпись на элементе nonce, а также проверяет соответствие элемента nonce, возвращенного устройством, первоначальному элементу nonce.
Если все проверки, выполняемые на шаге 5, проходят успешно, IDP возвращает два элемента данных: симметричный ключ, который зашифрован с помощью открытого ключа устройства, и маркер безопасности, зашифрованный с помощью симметричного ключа.
Устройство расшифровывает симметричный ключ с помощью своего закрытого ключа, а затем расшифровывает маркер с помощью этого симметричного ключа.
Устройство выполняет обычный запрос проверки подлинности для первоначального ресурса, передавая маркер, полученный от IDP, в качестве подтверждения проверки подлинности.

При проверке подписи IDP удостоверяет, что запрос поступил от указанного пользователя и устройства. Закрытый ключ устройства подписывает элемент nonce, что позволяет IDP определить удостоверение запрашивающих пользователя и устройства с тем, чтобы можно было применить политики для доступа к содержимому с учетом пользователя, типа устройств или и того и другого. Например, IDP может разрешить доступ к одному набору ресурсов только с мобильных устройств и другому набору — с настольных устройств.

Удаленное снятие блокировки, которое планируется реализовать в следующих выпусках Windows 10, строится на основе этих сценариях путем обеспечения незаметной удаленной проверки подлинности с мобильного устройства в качестве второго фактора. Например, предположим, что вы приехали в другой офис своей компании и вам необходимо временно попользоваться местным компьютером, но вы не хотите вводить свои учетные данные, которые потенциально могут быть раскрыты. Вместо ввода своих учетных данных вы можете нажать другой пользователь на экране входа Windows 10, ввести свое имя пользователя, выбрать плитку для удаленной проверки подлинности, а затем воспользоваться приложением на своем телефоне, которое вы уже разблокировали, используя встроенные датчики распознавания лица. Телефон и компьютер связываются по Bluetooth, вы вводите свой PIN-код для проверки подлинности на телефоне, а компьютер получает подтверждение вашей личности от IDP. Все это происходит без ввода пароля вообще и без ввода PIN-кода на компьютере.

Инфраструктура

Для работы Microsoft Passport требуются совместимые IDP. На момент написания этой статьи это означает, что есть четыре следующих варианта развертывания.

Использование существующей PKI на базе Windows, сосредоточенной вокруг служб сертификации Active Directory. Для реализации этого варианта потребуется дополнительная инфраструктура, в том числе способ выдачи сертификатов устройствам. Вы можете использовать NDES для регистрации устройства напрямую, Microsoft System Center Configuration Manager или более поздние версии для локальных сред, либо Microsoft Intune (при наличии), чтобы задействовать мобильные устройства в Microsoft Passport.
Можно настроить контроллеры домена Windows Server 2016 Technical Preview в качестве IDP для Microsoft Passport. В этом режиме контроллеры домена Windows Server 2016 Technical Preview выступают в качестве IDP вместе со всеми существующими контроллерами домена Windows Server 2008 R2 или более поздней версии. Заменять все существующие контроллеры домена не требуется. Нужно просто внедрить по крайней мере один контроллер домена Windows Server 2016 Technical Preview на сайт Active Directory и обновить схему доменных служб Active Directory (AD DS) леса до Windows Server 2016 Technical Preview.
Обычный механизм обнаружения, который клиенты используют, для поиска контроллеров домена и глобальных каталогов, основан на записях SRV DNS, однако в этих записях отсутствуют данные версии. Компьютеры Windows 10 запрашивают записи SRV в DNS, чтобы найти все доступные серверы Active Directory, а затем запрашивают каждый сервер, чтобы выявить те из них, которые можно использовать в качестве IDP для Microsoft Passport. Количество запросов проверки подлинности, которые формируют ваши пользователи, местонахождение пользователей и конструкция сети — от этих величин зависит необходимое число контроллеров домена с Windows Server 2016 Technical Preview.
Azure AD может работать в качестве IDP самостоятельно или совместно с локальным лесом AD DS. Организации, использующие Azure AD, могут регистрировать устройства напрямую, не присоединяя их к локальному домену, с помощью возможностей, которые предоставляет служба регистрации устройств Azure AD.

Помимо IDP, для Microsoft Passport также требуется система MDM. В качестве этой системы может выступать облачная Intune, если вы используете Azure AD, или локальное развертывание System Center Configuration Manager, которое отвечает требованиям к системе, описанным в разделе Требования для развертывания этого документа.

Проектирование развертывания Microsoft Passport for Work

Microsoft Passport for Work предназначается для интеграции с существующими и будущими развертываниями инфраструктуры каталога и устройств, но для реализации этой гибкости необходимо учесть множество нюансов при проектировании развертывания. Некоторые из этих решений являются техническими, другие же будут организационными или даже политическими. В этом разделе мы рассмотрим основные моменты, в отношении которых необходимо принимать решения о том, как внедрять Microsoft Passport for Work. Помните, отдельные устройства могут использовать отдельную версию Microsoft Passport и вам при этом не придется вносить какие-либо изменения в инфраструктуру. Microsoft Passport for Work позволяет контролировать и централизованно управлять процессом проверки подлинности пользователей и регистрацией устройств. Для использования начальной версии Microsoft Passport for Work каждое устройство должно иметь удостоверение Azure AD, в результате автоматическая регистрация устройств обеспечивает способ как регистрировать новые устройства, так и применять дополнительные политики для управления Microsoft Passport for Work.

Одна стратегия развертывания

Различные организации, конечно же, будут использовать разные подходы к развертыванию Microsoft Passport в зависимости от своих возможностей и потребностей. Но есть только одна стратегия: развертывание Microsoft Passport for Work во всей организации, чтобы получить максимальную защиту для максимального числа устройств и ресурсов. Для выполнения этой стратегии организации могут пойти одним из приведенных далее трех базовых путей.

Развернуть Microsoft Passport for Work везде в соответствии со стратегией развертывания устройств или пользователей, которая лучше всего подходит для организации.
Развернуть Microsoft Passport for Work сначала для целевых объектов с высоким уровнем значимости или риска с помощью политик условного доступа для предоставления доступа к основным ресурсам только пользователям, обладающим надежными учетными данными.
Внедрить Microsoft Passport for Work в существующую среду многофакторной проверки подлинности для использования в качестве дополнительной формы строгой проверки подлинности вместе с виртуальными или физическими смарт-картами.

Развертывание Microsoft Passport for Work повсеместно

При использовании этого подхода Microsoft Passport for Work развертывается во всей организации в рамках скоординированного развертывания. В известном смысле этот метод аналогичен любому другому проекту развертывания рабочих столов. Единственным значимым отличием является то, что для начала использования Microsoft Passport for Work на устройствах с Windows 10 необходима действующая инфраструктура Microsoft Passport для регистрации устройств.

Примечание

При этом можно выполнять обновление до Windows 10 или добавлять новые устройства Windows 10, не меняя своей инфраструктуры. При этом просто нельзя будет использовать Microsoft Passport for Work на устройстве, пока оно не будет присоединено к Azure AD и не получит соответствующую политику.

Главное преимущество этого подхода — одинаково надежная защита всех частей организации. Квалифицированные злоумышленники показывали высокий уровень мастерства при взломе крупных организаций путем определения уязвимых мест, в частности, пользователей и систем, не имеющих ценной информации, но которыми можно воспользоваться, чтобы впоследствии получить доступ к важным сведениям. Применение одинаково надежной защиты ко всем устройствам, которые злоумышленник может использовать для получения доступа к данным компании, обеспечивает превосходную защиту от таких атак.

Недостатком этого подхода является его сложность. Организации меньшего размера могут прийти к выводу, что управление развертыванием новой операционной системы на всех устройствах находится за пределами их возможностей. В этих организациях пользователи могут выполнить обновление самостоятельно, а новые пользователи могут получать устройства с Windows 10 сразу при поступлении на работу. У крупных организаций, особенно тех из них, которые в значительной степени децентрализованы или имеют много разных офисов, может быть больший опыт развертывания и значительные ресурсы для его выполнения. Но они могут столкнуться с проблемой координации работы по развертыванию для большого числа пользователей.

Дополнительные сведения о развертывании Windows 10 на настольных компьютерах см. в Техническом центре Windows 10.

Одним из ключевых аспектов этой стратегии развертывания заключается в способе предоставления Windows 10 в руки пользователей. Поскольку стратегии разных организаций по обновлению оборудования и программного обеспечения в значительной степени отличаются, не существует одной стратегии, оптимальной для всех. Например, некоторые организации придерживаются скоординированной стратегии, согласно которой пользователи получают новые операционные системы каждые 2–3 года, устанавливаемые на существующее оборудование. Новое оборудование приобретается только при необходимости. Другие организации стремятся заменять оборудование и развертывать любую версию клиентской операционной системы Windows, которая поставляется на приобретенных устройствах. В обоих случаях обычно существуют отдельные циклы развертывания для серверов и серверных операционных систем, а циклы развертывания настольных систем и серверов могут быть, а могут и не быть скоординированы.

Помимо проблемы развертывания Windows 10 для пользователей, необходимо подумать о том, как и когда (если вообще!) вы будете развертывать биометрические устройства для пользователей. Windows Hello может использовать преимущества нескольких биометрических идентификаторов, поэтому существуют гибкие возможности применения устройств, включая покупку новых устройств с выбранной биометрикой, оснащение некоторых избранных пользователей соответствующими устройствами, развертывание биометрических устройств в рамках запланированного аппаратного обновления и использование PIN-жестов, пока пользователи не получат устройства, или использование удаленного разблокирования как второго фактора проверки подлинности.

Развертывание для самых ценных активов и активов с высоким уровнем риска

Эта стратегия учитывает тот факт, что в большинстве сетей не все ресурсы одинаково защищены или одинаково ценны. Здесь возможны два подхода. Первый — сосредоточиться на защите пользователей и служб, наиболее подверженных риску из-за их ценности. Например, это внутренние базы данных с конфиденциальными данными или учетные записи старшего руководства. Другой подход — сосредоточиться на наиболее уязвимых областях сети, например на пользователях, которые часто путешествуют и поэтому наиболее подвержены риску потери или кражи устройств, а также кражи учетных данных методом drive-by. В любом случае стратегия одна: вы выборочно и быстро развертываете службу Microsoft Passport для защиты определенных людей и ресурсов. Например, можно предоставить новые устройства Windows 10 с биометрическими датчиками всем пользователям, которым нужен доступ к конфиденциальной внутренней базе данных, а затем развернуть минимальную необходимую инфраструктуру для поддержки защищенного доступа этих пользователей к этой базе данных с помощью службы Microsoft Passport.

Одним из ключевых преимуществ службы Microsoft Passport for Work является то, что она поддерживает среды, где пользователи могут приносить собственные устройства (концепция «принеси свое устройство», BYOD) и регистрировать их у поставщика удостоверений (IDP) организации (локального, гибридного или Azure AD). Вы можете использовать это преимущество и быстро развернуть Microsoft Passport для защиты самых ценных пользователей и активов — в идеале с помощью биометрии в качестве дополнительной меры защиты для самых ценных из возможных целей атак.

Соединение Microsoft Passport со своей инфраструктурой

Организации, которые уже вложили средства в смарт-карты, виртуальные смарт-карты или системы на основе маркеров, также могут получить преимущества от службы Microsoft Passport. Многие такие организации используют физические маркеры и смарт-карты для защиты только критически важных активов из-за сложности развертывания таких систем. Служба Microsoft Passport отлично дополняет эти системы, так как защищает пользователей, которым сейчас приходится полагаться на многократно используемые учетные данные. Такая защита учетных данных всех пользователей чрезвычайно важна для защиты от атак, когда злоумышленники стремятся использовать компрометацию любых учетных данных для масштабного взлома. Этот подход также дает достаточно гибкости для планирования и развертывания.

Некоторые организации уже внедрили универсальные смарт-карты, которые обеспечивали вход в здание, доступ к копировальным аппаратам и другому офисному оборудованию, оплату покупок в буфете на определенную суму, удаленный доступ в сеть и другие услуги. Развертывание Microsoft Passport в таких средах не мешает по-прежнему использовать смарт-карты для этих целей. Вы можете сохранить существующую инфраструктуру и области использования смарт-карт, но зарегистрировать настольные и мобильные устройства в службе Microsoft Passport для безопасного доступа к сети и интернет-ресурсам. Этот подход требует более сложной инфраструктуры и большей организационной зрелости, поскольку необходимо связать существующую инфраструктуру открытого ключа (PKI) с самой службой Microsoft Passport.

Смарт-карты могут быть полезным дополнением к службе Microsoft Passport еще одним важным способом: подготовить начальный вход для регистрации в Microsoft Passport. Когда пользователь регистрируется в Microsoft Passport на устройстве, часть процесса регистрации требует выполнения обычной процедуры входа. Организации, где уже развернута необходимая инфраструктура для смарт-карт или виртуальных смарт-карт, могут разрешить своим пользователям использовать для входа при регистрации новых устройств не традиционный пароль, а смарт-карту или виртуальную смарт-карту. Доказав свою подлинность поставщику удостоверений (IDP) организации с помощью смарт-карты, пользователь может задать PIN-код и в будущем использовать службу Microsoft Passport для входа в систему.

Выбор метода развертывания

Выбор метода развертывания зависит от нескольких следующих факторов.

Количество развертываемых устройств. Это чрезвычайно важно для развертывания в целом. Требования к глобальному развертыванию для 75 000 пользователей будут отличаться от требований в случае поэтапного развертывания системы для групп из 200–300 пользователей в разных городах.
Требуемые сроки развертывания средств защиты Microsoft Passport for Work. Это классический компромисс между затратами и выгодой. Необходимо найти правильный баланс между преимуществами службы Microsoft Passport for Work для системы безопасности и временем, необходимым для широкого развертывания, и в разных организациях решения могут сильно отличаться в зависимости от того, как оцениваются эти затраты и преимущества. Развертывание Microsoft Passport с максимальным охватом в кратчайшее время обеспечить максимум преимуществ для безопасности.
Тип развертываемых устройств. Производители устройств Windows агрессивно предлагают новые устройства, оптимизированные для Windows 10, потому очень вероятно, что сначала вы развернете Microsoft Passport на только что купленных планшетах и переносных устройствах и только затем — на настольном компьютере в рамках обычного цикла модернизации.
Существующая инфраструктура. Конкретная версия Microsoft Passport не требует изменений в вашей среде Active Directory, но для Microsoft Passport for Work может потребоваться совместимая система управления мобильными устройствами (MDM). Службы мобильной регистрации и управления могут сами по себе быть важным проектом в зависимости от размера и состава сети.
Ваши планы в облаке. Если вы уже планируете перейти на облако, служба Azure AD упростит процесс развертывания Microsoft Passport for Work, потому что вы можете использовать Azure AD в качестве поставщика удостоверений (IDP) вместе с существующими локальными настройками AD DS без каких-либо существенных изменений в вашей локальной среде. Будущие версии Microsoft Passport for Work позволят одновременно регистрировать устройства, которые уже являются членами локального домена AD DS в разделе Azure AD, чтобы они могли использовать Microsoft Passport for Work из облака. Гибридные развертывания, сочетающие AD DS с Azure AD, дают возможность проводить проверку подлинности компьютера и управление политиками в локальном домене AD DS и одновременно предоставить вашим пользователям полный набор служб Microsoft Passport for Work (и интеграцию с Microsoft Office 365). Если вы планируете использовать только локальную службу AD DS, то необходимые изменения будут зависеть от структуры и настройки вашей локальной среды.

Требования для развертывания

В таблице 1 показаны 6 сценариев развертывания Microsoft Passport for Work в организации. Начальный выпуск Windows 10 поддерживает сценарии только с Azure AD, а поддержка локальной службы Microsoft Passport for Work планируется к концу 2015 г. (подробности см. в разделе Стратегия).

В зависимости от выбранного сценария развертывания Microsoft Passport for Work могут потребоваться 4 следующих элемента.

Поставщик удостоверений (IDP) организации, поддерживающий Microsoft Passport. Это может быть Azure AD или набор локальных контроллеров доменов Windows Server 2016 Technical Preview в существующем лесу AD DS. Использование Azure AD означает, что вы можете создать гибридную систему управления удостоверениями, где Azure AD выступает в качестве поставщика удостоверений Microsoft Passport, а локальная среда AD DS обеспечивает обработку более старых запросов проверки подлинности. Этот подход обеспечит всю гибкость Azure AD, и вы сможете управлять учетными записями компьютеров и устройств с более старыми версиями Windows и такими локальными приложениями, как Microsoft Exchange Server или Microsoft SharePoint.
Если вы используете сертификаты, то потребуется система управления мобильными устройствами (MDM) для управления политиками службы Microsoft Passport for Work. Присоединенным к домену устройствам в локальных или гибридных средах потребуется Configuration Manager Technical Preview или более поздней версии. В развертываниях с Azure AD необходимо использовать службу Microsoft Intune или совместимое стороннее решение для управления мобильными устройствами.
Для локальных развертываний потребуется следующая запланированная версия службы Active Directory Federation Services (AD FS), которая будет включена в Windows Server 2016 Technical Preview для предоставления учетных данных Microsoft Passport устройствам. В этом случае служба AD FS выполняет подготовку, обеспечиваемую Azure AD в облачных развертываниях.
Для развертывания служб Microsoft Passport на основе сертификатов потребуется инфраструктура открытого ключа (PKI), в том числе центры сертификакции (ЦС), доступные всем устройствам, которым необходимо зарегистрироваться. Если Microsoft Passport на основе сертификатов развертывается локально, то фактически контроллеры доменов Windows Server 2016 Technical Preview вам не нужны. При локальном развертывании не нужно применять схему Windows Server 2016 Technical Preview AD DS и устанавливать версию Windows Server 2016 Technical Preview службы AD FS.

Таблица 1. Требования для развертывания Microsoft Passport

Метод Microsoft Passport	Azure AD	Azure Active Directory	Только локальный Active Directory
На основе ключей	Подписка на Azure AD	Подписка на Azure AD Подключение к Azure AD Несколько контроллеров домена Windows Server 2016 Technical Preview на локальных ресурсах Решение для управления, такое как диспетчер конфигураций, групповая политика или MDM Службы сертификатов Active Directory (AD CS) без службы регистрации сертификатов для сетевых устройств (NDES)	Один или несколько контроллеров домена Windows Server 2016 Technical Preview Служба AD FS компьютера Windows Server 2016 Technical Preview
На основе сертификатов	Подписка на Azure AD Инфраструктура PKI Intune	Подписка на Azure AD Подключение к Azure AD Служба сертификатов Active Directory со службой регистрации сертификатов для сетевых устройств Configuration Manager (current branch), Configuration Manager 2016 Technical Preview для регистрации присоединенных к домену сертификатов, InTune для устройств, не присоединенных к домену, или сторонняя служба MDM с поддержкой Passport for Work	Схема AD DS Windows Server 2016 Technical Preview Служба AD FS компьютера Windows Server 2016 Technical Preview Инфраструктура PKI  System Center 2012 R2 Configuration Manager с пакетом обновления 2 (SP2) или более новая версия

На основе ключей

Подписка на Azure AD

Подписка на Azure AD
Подключение к Azure AD
Несколько контроллеров домена Windows Server 2016 Technical Preview на локальных ресурсах
Решение для управления, такое как диспетчер конфигураций, групповая политика или MDM
Службы сертификатов Active Directory (AD CS) без службы регистрации сертификатов для сетевых устройств (NDES)

Один или несколько контроллеров домена Windows Server 2016 Technical Preview

Служба AD FS компьютера Windows Server 2016 Technical Preview

На основе сертификатов

Подписка на Azure AD

Инфраструктура PKI

Intune

Подписка на Azure AD
Подключение к Azure AD
Служба сертификатов Active Directory со службой регистрации сертификатов для сетевых устройств
Configuration Manager (current branch), Configuration Manager 2016 Technical Preview для регистрации присоединенных к домену сертификатов, InTune для устройств, не присоединенных к домену, или сторонняя служба MDM с поддержкой Passport for Work

Схема AD DS Windows Server 2016 Technical Preview

Служба AD FS компьютера Windows Server 2016 Technical Preview

Инфраструктура PKI  System Center 2012 R2 Configuration Manager с пакетом обновления 2 (SP2) или более новая версия

Обратите внимание, что текущий выпуск Windows 10 поддерживает лишь сценарии «только Azure». В таблице 1 содержатся и указания Майкрософт на будущее, чтобы помочь организациям подготовить их среду для будущих выпусков Microsoft Passport for Work с новыми возможностями.

Выбор параметров политики

Еще один важный аспект развертывания Microsoft Passport for Work — это выбор параметров политик, которые должны применяться в организации. Этот выбор включает две части: политики, которые вы развертываете для управления самой службой Microsoft Passport, и политики, которые вы развертываете для управления устройствами и регистрацией. Это руководство не содержит всех рекомендаций по выбору эффективных политик, но один пример в документе Возможности управления мобильными устройствами в Microsoft Intune может быть полезен.

Внедрение Microsoft Passport

Никакой особой конфигурации для использования Windows Hello или Microsoft Passport на личных устройствах пользователей не требуется, если эти пользователи просто хотят защитить свои личные учетные данные. Если организация не отключает эту функцию, то пользователи могут использовать службу Microsoft Passport для защиты личных учетных данных даже на устройствах, зарегистрированных у поставщика удостоверений (IDP) организации. Но если вы хотите, чтобы вашим пользователем были доступны службы Microsoft Passport for Work, то необходимо будет добавить в инфраструктуру компоненты, указанные в разделе Требования для развертывания.

Использование Azure AD

Существует 3 сценария использования службы Microsoft Passport for Work в организациях со средой «только Azure AD».

Организации, использующие версию Azure AD, включенную в Office 365. Для этих организаций никакой дополнительной работы не требуется. Когда ОС Windows 10 стала общедоступной, компания Майкрософт изменила поведение стека Azure AD Office 365. Если пользователь решает присоединиться к сети на месте работы или учебы (Рис. 4), то устройство автоматически присоединяется к разделу каталога клиента Office 365. Для устройства создается сертификат, действительный для системы управления мобильными устройствами (MDM) Office 365, если у клиента есть подписка на эту функцию. Кроме того, пользователю будет предложено выполнить вход и, если многофакторная проверка подлинности (MFA) включена, ввести подтверждение MFA, которое Azure AD отправляет на телефон пользователя.
Организации, использующие бесплатный уровень Azure AD. Для этих организаций компания Майкрософт не включила автоматическое присоединение домена к Azure AD. Организации, подписавшиеся на бесплатный уровень, могут включать или отключать эту функцию по своему усмотрению, т. е. автоматическое присоединение домена отсутствует, пока его не включат администраторы организации. Если эта функция включена, то устройства, которые присоединяются к домену Azure AD в диалоговом окне Подключение к месту работы или учебы на Рис. 4, будут автоматически зарегистрированы в Microsoft Passport for Work, но устройства, присоединившиеся ранее, зарегистрированы не будут.
Организации, подписавшиеся на Azure AD Premium, имеют доступ ко всему набору функций Azure AD MDM. Эти функции содежат элементы для управления службой Microsoft Passport for Work. Вы можете задать политики для отключения или принудительного использования Microsoft Passport for Work. Можно также задать использование доверенного платформенного модуля (TPM) и управлять длиной и надежностью PIN-кодов, заданных на устройстве.

Рис 4. В случае присоединения к организации Office 365 устройство автоматически регистрируется в Azure AD

Включение регистрации устройств

Если вы хотите использовать Microsoft Passport at Work с сертификатами, вам потребуется система регистрации устройств. Это означает, что вы должны настроить Configuration Manager Technical Preview, Intune или совместимую стороннюю систему MDM и разрешить регистрацию устройств. Это обязательное предварительное условие для использования Microsoft Passport for Work с сертификатами, независимо от поставщика удостоверений (IDP), поскольку система регистрации должна предоставлять необходимые сертификаты устройствам.

Установка политик Microsoft Passport

В начальном выпуске Windows 10 вы можете контролировать следующие параметры для использования Microsoft Passport for Work и сделать следующее.

Потребовать, чтобы служба Microsoft Passport была доступна только устройствам с аппаратной защитой TPM, т. е. устройство должно использовать TPM 1.2 или TPM 2.0.
Включить Microsoft Passport с параметром предпочтения оборудования (т. е. ключи будут создаваться в TPM 1.2 или TPM 2.0, если это возможно, и программным путем, если модуль TPM недоступен).
Указать, должны ли пользователи иметь доступ к службе Microsoft Passport на основе сертификатов. Это делается как часть процесса развертывания устройства, а не путем применения отдельной политики.
Определить сложность и длину PIN-кода, создаваемого пользователями во время регистрации.
Контролировать включение использования Windows Hello в вашей организации.

Эти параметры можно применить через объекты групповой политики или поставщиков служб конфигурации в системах MDM, т. е. у вас есть знакомый и гибкий набор инструментов для применения этих параметров к нужным пользователям. (Подробнее о поставщиках служб конфигурации в Microsoft Passport for Work см. в разделе Поставщик служб конфигурации PassportForWork).

Стратегия

Скорость, с которой развиваются универсальные предложения и службы Windows, показывает, что традиционный для Windows цикл «проектирование-сборка-тестирование-выпуск» работает слишком медленно для удовлетворения потребностей пользователей. Как часть выпуска Windows 10 компания Майкрософт меняет свой подход к проектированию, тестированию и распространению продуктов Windows. Теперь вместо крупных, монолитных выпусков каждые 3–5 лет команда инженеров Windows переходит на более частые выпуски меньшего размера для быстрого выхода на рынок с новыми функциями и услугами без ущерба для безопасности, качества и удобства использования. Эта модель хорошо работала в экосистемах Office 365 и Xbox.

В начальном выпуске Windows 10 компания Майкрософт поддерживает следующие функции Microsoft Passport и Windows Hello:

биометрическая проверка подлинности со сканерами отпечатков пальцев, использующими платформу сканера отпечатков пальцев Windows;
возможность распознавания лица на устройствах, имеющих совместимые камеры с функциями инфракрасной съемки;
Microsoft Passport для личных учетных данных на личных и корпоративных устройствах;
Microsoft Passport for Work для организаций с чисто облачными развертываниями Azure AD;
параметры групповой политики для отслеживания длины и сложности PIN-кодов в Microsoft Passport.

В будущих выпусках Windows 10 мы планируем добавить поддержку следующих дополнительных функций:

дополнительные типы биометрических идентификаторов, включая распознавание IRIS;
учетные данные Microsoft Passport for Work для локальных развертываний Azure AD и гибридных развертываний (локальных и в Azure AD);
сертификаты Microsoft Passport for Work, создаваемые доверенной инфраструктурой PKI, включая сертификаты смарт-карт и виртуальных смарт-карт;
аттестация TPM для защиты ключей, чтобы злоумышленник или вредоносная программа не могли создавать ключи в программном обеспечении (поскольку эти ключи не аттестованы модулем TPM и, таким образом, могут быть определены как фальшивка).

В более долгосрочной перспективе Майкрософт продолжит улучшать и расширять функции Microsoft Passport и Windows Hello для удовлетворения дополнительных требований клиентов в области управления и безопасности. Мы также работаем с альянсом FIDO и различными внешними сторонами для скорейшего принятия службы Microsoft Passport разработчиками веб-приложений и приложений для бизнеса.