Microsoft Passport 指南

本指南介绍作为 Windows 10 操作系统的一部分的新的 Windows Hello 和 Microsoft Passport 技术。它重点介绍这些技术的特定功能,这些功能有助于缓解来自传统凭据的威胁,并提供有关如何设计和部署这些技术作为 Windows 10 部署的一部分。

一个有关信息安全的基本假设是,系统可以标识谁在使用它。在标识用户时,系统可以确定用户是否已相应地标识其自身(此过程称为身份验证),然后确定经过正确身份验证的用户应能够正确执行哪些操作(此过程称为授权)。在全世界部署的绝大多数计算机系统依靠用户凭据作为一种进行身份验证和授权决策的方式,这意味着这些系统依靠可重复使用、用户创建的密码来维护其安全性。身份验证可能涉及到的被经常引用的格言“你知道的东西、你拥有的东西或表明你身份的东西”恰好突出了问题:可重复使用的密码是一个孤立的身份验证因素,因此任何知道密码的人都可以冒充拥有它的用户。

传统凭据问题

自从 1960 年代中期 Fernando Corbató 和他的麻省理工学院团队成功引入了密码开始,用户和管理员就必须使用密码来进行用户身份验证和授权。随着时间的推移,密码存储和使用的前沿技术水平取得一些进步(其中密码哈希和加密盐是两个最明显的改进),但我们仍然面临两个严重问题:密码易于克隆和易于窃取。实现错误可能使它们变得不安全,并且用户难以在便利性和安全性之间权衡。

凭据盗窃

密码的最大风险是简单:攻击者可以轻易地窃取它们。每个输入、处理或存储密码的位置都易受攻击。例如,攻击者可以通过窃听对应用程序服务器的网络通信、在应用程序或设备中植入恶意软件、记录用户在设备上的击键或观察用户键入的字符来从身份验证服务器窃取密码或哈希的集合,而且这些还只是最常见的攻击方法。攻击者可以制定更加奇特的攻击方式来窃取一个或多个密码。

密码所表示的身份验证因素是密码,这一事实会产生被盗风险。在没有其他身份验证因素的情况下,系统假定任何知道密码的人是经授权的用户。

另一个相关的风险是凭据重播的风险,即攻击者可以通过窃听不安全的网络来捕获有效的凭据,然后重播它以冒充有效的用户。大多数身份验证协议(包括 Kerberos 和 OAuth)通过在凭据交换过程中包含一个时间戳来抵御重播攻击,但这只能保护身份验证系统颁发的令牌,而无法首先保护用户为获取票证而提供的密码。

凭据重复使用

随着我们使用的连接系统和应用程序的数量的增长,对凭据的需求也随之增加。一份 2007 年 Microsoft Research 研究计算出 Web 用户平均有 6.5 个密码;之后的研究显著提高了这个数字,尽管对具体数字有异议。各种各样的密码要求(如便利性高于复杂性部分中所述)意味着用户强烈希望选择他们容易记住的密码,而通常这意味着选取单个密码,然后在多个站点上使用它。比较有经验的用户可能会选取一个基础密码,然后针对每个站点修改它(例如基础密码“4joe”衍生出“bank4joe”、“airline4joe”和“school4joe”),但这种做法很容易让他人猜出密码。尽管个别系统可能会保留密码历史记录,以便用户无法在密码更改期间重复使用旧密码,但没有机制能够阻止他们在多个领域使用相同的密码。

将电子邮件地址用作用户名这一常见做法使本已糟糕的问题变得更糟。攻击者从损坏的系统成功恢复用户名/密码对后,可以在其他系统上尝试同一个对。在相当多的情况下,这种手段使攻击者得以从损坏的系统转到其他系统中。将电子邮件地址用作用户名也会导致其他问题,我们稍后将在本指南中进行探索。

便利性高于复杂性

大部分安全性是便利性与安全性之间的权衡:系统越安全,它对用户来说就越不便利。尽管系统设计人员和实现者拥有广泛的工具来使它们的系统更安全,但还需听取用户的意见。当用户察觉到安全机制妨碍他们想要执行的操作时,他们通常会寻找方法来绕过它。此行为会导致其他一些问题:随着用户所属组织的密码策略的发展,用户也会采取策略来最大程度减少为遵守这些策略而必须付出的努力。

密码复杂性

如果密码的最大风险是攻击者可能通过强力分析猜出密码,那么要求用户在其密码中包含更广泛的字符集或加长密码可能显得合理,但实际来看,密码长度和复杂性要求有两个负面影响。第一,它们会鼓励重复使用密码。Herley、Florêncio 和 van Oorschot 的估算计算出密码越强,就越可能重复使用它。由于用户花费更多精力来创建和记忆强密码,所有他们更有可能在多个系统上重复使用相同的凭据。第二,对密码增加长度或字符集复杂性不一定会增加猜出它们的难度。例如,P@ssw0rd1 的长度有九个字符,其中包含大写和小写字母、数字和特殊字符,但是使用 Internet 上现在可以找到的许多常见密码破解工具就可以轻松猜出它。这些工具可以通过使用常用密码的预计算字典来攻击密码,或者它们可以从基本词(如 password)开始,然后应用常见字符替换。因此,猜出完全随机的八个字符密码需要的时间实际上可能比 P@ssw0rd123 更长。

密码到期

由于可重复使用的密码是基于密码的系统中唯一的身份验证因素,因此设计人员已经尝试降低凭据被盗和重复使用的风险。用于执行此操作的一个常见方法是使用有限生命周期的密码。某些系统允许只能使用一次的密码,但到目前为止更常见的做法是使密码在一定时间后到期。限制密码的有效生命周期为攻击者可以使用被盗密码的时长设置了上限。这种做法有助于防止窃取、保留并长时间使用长期有效的密码的情况,但它让人回忆起除国家级攻击者以外的任何人都不可能破解密码的年代。当时,由于破解密码会花费大量时间,因此聪明的攻击者会尝试窃取密码,而不是破解它们。

商品密码破解工具的广泛应用和 GPU 支持的破解器或基于分布式云的破解工具等机制所提供的巨大计算能力推翻了这个等式,所以此时对攻击者来说破解密码通常比尝试窃取它更加有效。此外,自助密码重置机制的广泛应用意味着攻击者只需一小段密码处于有效状态的时间窗口就可以更改密码,从而重置有效期。提供自助密码重置机制的企业相对较少,但对于 Internet 服务很常见。此外,许多用户使用 Windows 和 Mac OS X 系统上的安全凭据存储来存储 Internet 服务的有用密码,因此能够危害操作系统密码的攻击者可能也可以无偿得到其他服务密码库。

最后,密码到期总体较短的时间线可能会诱导用户在每个到期时间段对密码进行微小的更改,例如从 password123 到 password456 再到 password789。此方法减少了破解密码所需的工作,尤其是在攻击者知道任何旧密码的情况下。

密码重置机制

为了让用户更好地管理他们自己的密码,一些服务为用户提供了更改自己密码的方法。某些实现要求客户使用他们的当前密码登录,而另一些允许用户选择“忘记了密码”选项,这将向用户的注册电子邮件地址发送一封电子邮件。有关这些机制的问题是,许多机制都会实现,这样攻击者便可以利用它们。例如,可以成功猜出或窃取用户的电子邮件密码的攻击者可以轻松地为受害者的所有其他帐户请求密码重置,因为重置电子邮件会发送到受危害的帐户。出于此原因,将配置大部分企业网络,以便仅管理员可重置用户密码;例如 Active Directory 支持使用“必须在下次登录时更改密码”标志,以便在管理员重置密码后,用户只能在提供管理员重置的密码后重置密码。某些移动设备管理 (MDM) 系统针对移动设备支持类似的功能。

用户密码粗心

一个隐含的问题使这些设计和实现弱点更加恶化:有些用户不会小心处置他们的密码。他们会将密码写在不安全的位置、选择容易猜出的密码、对恶意软件采取最少(如果有)的预防措施,或者甚至将密码提供给他人。这些用户的粗心并非因为他们不在乎;他们想要完成工作,但过于严格的密码长度或过期策略或者太多的密码使他们感到困扰。

降低凭据风险

鉴于到目前为止所述的问题,显然可重复使用的密码是一个安全隐患。论点很简单:增加身份验证因素可以减少密码本身的值,因为即使成功窃取密码也无法使攻击者登录到系统,除非他或她还拥有相关联的其他因素。不幸的是,这个简单的论点有许多实际困难。安全和操作系统供应商已尝试解决可重复使用凭据几十年来所带来的问题,但成效甚微。

对可重复使用密码所带来的风险最明显的缓解方法是,添加一个或多个身份验证因素。在过去 30 年的不同时间里,不同的供应商通过各种方式尝试解决此问题,如使用生物识别标识符(包括指纹、虹膜和视网膜扫描和掌形)、基于软件和基于硬件的令牌、物理和虚拟智能卡、通过用户的移动电话的语音或短信服务 (SMS) 身份验证。其中每一种身份识别工具的详细说明及其优点和缺点不在本指南范围内,但无论你选择哪种身份验证方法,核心挑战限制了所有多因素身份验证 (MFA) 解决方案的采用,包括:

  • 基础结构复杂性和成本。在访问时需要用户提供其他身份验证因素的任何系统都必须有收集该信息的方法。即使可以通过添加指纹读取器、眼睛扫描仪、智能卡读取器等来改进已上市的硬件,但极少有企业愿意承担此项措施所需的成本和支持负担。

  • 标准化的缺乏。尽管 Microsoft 包含了操作系统级智能卡支持作为 Windows Vista 操作系统的一部分,但智能卡和读取器供应商仍然可以免费继续交付他们自己的驱动程序,其他身份验证设备的制造商也是如此。标准化的缺乏导致了应用程序和支持的分裂,这意味着并不总能够在一家企业内将各个解决方案混合和匹配,即使这些解决方案的制造商宣称它们是兼容的也是如此。

  • 向后兼容性。通过对已经部署的操作系统和应用程序进行改进,证明使用 MFA是一项极其艰难的任务。在其发布近三年后,Microsoft Office 2013 才终于获得对 MFA 的支持。绝大多数商业和自定义业务线 (LOB) 应用程序永远不会改进为使用基础操作系统所提供的以外的任何身份验证系统。

  • 用户不便。需要用户获取、跟踪和使用物理令牌的解决方法通常不受欢迎。如果用户必须有一个特定令牌用于远程访问或其他本应该提高便利性的方案,则他们通常很快就会对携带附加设备的负担感到不满。对于必须连接到计算机的解决方案(例如智能卡读取器),这种抵触情绪会放大数倍,因为此类解决方案带来了便携性、驱动程序支持和操作系统和应用程序集成的问题。

  • 设备兼容性。并非每种硬件外形规格都支持每种身份验证方法。例如,尽管有供应商偶尔进行无力的尝试,但与移动电话兼容的智能卡读取器没有发展市场。因此当 Microsoft 首次实现智能卡作为一种用于远程网络访问的验证器时,一项关键限制是员工只能从具有智能卡读卡器的台式机或笔记本电脑登录。任何依赖其他硬件或软件的身份验证方法都可能遇到此问题。例如,多个流行的“软标记”系统依赖在有限数量的移动硬件平台上运行的移动应用。

另一个棘手的问题与机构知识和成熟度有关。强身份验证系统很复杂。它们有很多组件,并且设计、维护和运营的费用很昂贵。对于某些企业来说,维护用于颁发智能卡的内部公钥基础结构 (PKI) 的额外成本和开销或管理附加设备的负担超出了他们认为拥有更强的身份验证所具有的价值。这是金融机构所面临的常见问题的一个特殊案例:如果减少诈骗的成本高于诈骗所造成的损失本身,那么很难说采取更好的防诈骗措施是划算的。

解决凭据问题

解决密码带来的问题很棘手。仅仅收紧密码策略不会起效:用户可能只会循环使用、共享或者写下密码。尽管用户教育对于身份验证安全很关键,但仅凭教育也无法消除问题。

如你所见,如果新的身份验证系统增加了复杂性、成本或脆弱性,那么附加的验证器不一定有帮助。在 Windows 10 中,Microsoft 使用两项新技术来解决这些问题:Windows Hello 和 Microsoft Passport。通过结合使用,这两项技术有助于同时提高安全性和用户便利性:

  • Microsoft Passport 使用强双因素身份验证 (2FA) 来替换密码,方法是验证现有凭据,和创建一个受用户手势(生物识别或基于 PIN)保护的特定于设备的凭据。此组合有效地代替了物理和虚拟智能卡以及用于登录和访问控制的可重复使用密码。

  • Windows Hello 基于面部识别或指纹匹配提供了可靠且完全集成的生物识别身份验证。Windows Hello 使用特殊红外线 (IR) 相机和软件的组合来提高精确度和对欺骗的防护。主要的硬件供应商正在交付集成了与 Windows Hello 兼容的相机的设备,并且指纹读取器硬件可以用于或添加到当前没有它的设备。在支持 Windows Hello 的设备上,一个简单的生物识别手势就可以解锁用户的 Microsoft Passport 凭据。

什么是 Windows Hello?

Windows Hello 是 Microsoft 为内置于 Windows 10 的新生物识别登录系统所取的名称。因为它直接内置于操作系统,所以 Windows Hello 允许面部或指纹标识解锁用户的设备。当用户提供其唯一生物识别标识符来访问特定于设备的 Microsoft Passport 凭据时会发生身份验证,这意味着窃取设备的攻击者无法登录它,除非该攻击者具有 PIN。Windows 安全凭据存储可保护设备上的生物识别数据。通过使用 Windows Hello 解锁设备,未经授权的用户可以获取其所有 Windows 体验、应用、数据、网站和服务的访问权限。

Windows Hello 验证器称为 Hello。Hello 特定于单个设备和特定用户的组合;它不会在设备之间漫游,不会与服务器共享,并且无法轻易从设备中提取。如果多个用户共享一台设备,则每个用户都将获得用于该设备的唯一 Hello。你可以将 Hello 视为一种可用于解锁(或释放)已存储凭据的令牌:Hello 本身不会针对应用或服务验证你的身份,但它会释放可进行身份验证的凭据。

在 Windows 10 启动时,操作系统支持三种 Hello 类型:

  • PIN。你必须先选择一个 PIN 作为你的初始 Hello 手势,才能使用 Windows Hello 在设备上启用生物识别。在设置 PIN 后,你可以在需要时添加生物识别手势。你始终可以使用 PIN 手势来释放你的凭据,这样即使你由于受伤或者传感器不可用或无法正常工作而无法使用首选的生物识别,你仍然可以解锁和使用你的设备。

  • 面部识别。此类型使用可在红外线中看见的特殊相机,从而使它们可以可靠地辨别照片或扫描与真人之间的区别。多家供应商正在交付融合了此技术的外部相机,并且主要的笔记本电脑制造商也在将其融合到自己的设备中。

  • 指纹识别。此类型使用电容式指纹传感器来扫描指纹。指纹读取器多年来一直可用于 Windows 计算机,但最新一代的传感器明显更加可靠且更不容易出错。大多数现有指纹读取器(无论是外部读取器还是集成到笔记本电脑或 USB 键盘读取器)都适用于 Windows 10。

用于实现这些 Hello 手势的生物识别数据只安全地存储在本地设备上。它不会漫游,并且从不发送到外部设备或服务器。由于 Windows Hello 仅在设备上存储生物识别标识数据,因此不存在攻击者可以损害以窃取生物识别数据的单个集合点。暴露为其他用途收集和存储的生物识别的泄露行为(例如为执法或背景检查目的而收集和存储的指纹)不会构成严重威胁:字面意义上窃取生物识别的攻击者只有标识符的模板,该模板无法轻易地转换为攻击者可向生物识别传感器显示的格式。与 Windows Hello 兼容的传感器的数据路径也可以抵御篡改,这进一步降低了攻击者成功注入伪造的生物识别数据的几率。此外,在攻击者有机会尝试将数据注入传感器管道之前,该攻击者必须能够获取对该设备的物理访问权限,而能够做到这一点的攻击者可以发起一些难度较小的其他攻击。

Windows Hello 提供多项重要优势。首先,当与 Microsoft Passport 结合时,它可以有效地解决凭据被盗和共享的问题。由于攻击者必须同时获取设备和选定的生物识别,因此在用户不知情的情况下获取访问权限的难度将大幅增加。其次,使用生物识别意味着用户可以从拥有一个始终伴随他们的简单验证器中受益:不会出现忘记、丢失或遗落的问题。用户可以充分利用便捷而又安全的方法登录到其所有 Windows 设备,而不必为记住冗长繁琐的密码而感到担心。最后,在许多情况下,使用 Windows Hello 没有其他任何需要部署或管理的事项(尽管 Microsoft Passport 可能需要附加部署,如本指南的以后部分所述)。Windows Hello 支持直接内置于操作系统,并且用户或企业可以添加生物识别设备以提供生物识别手势识别,作为协调部署的一部分或个别用户或团队的决定来添加必要传感器。Windows Hello 是 Windows 的一部分,因此不需要其他部署即可开始使用。

什么是 Microsoft Passport?

Windows Hello 为设备识别个人用户提供了可靠的方法;这解决了用户和请求的服务或数据项之间的路径的第一部分。但是,在设备识别用户后,它仍然必须先对用户进行身份验证,然后再决定是否向所请求的资源授予访问权限。Microsoft Passport 提供强 2FA(完全集成到 Windows 中),用于将可重复使用的密码替换为特定设备和 Hello 或 PIN 的组合。不过,Microsoft Passport 不仅仅是传统 2FA 系统的替代品。它在概念上类似于智能卡:通过使用加密基元而不是字符串比较来执行身份验证,并且用户的密钥材料在防篡改的硬件内很安全。Microsoft Passport 也不需要智能卡部署所需的额外基础结构组件。特别是,你不需要 PKI(如果你当前没有)。Microsoft Passport 继承了智能卡的主要优点(虚拟智能卡的部署灵活性以及物理智能卡的强大安全性),而摒弃了其所有缺点。

与 Windows 身份验证的现状相比,Microsoft Passport 提供了四大优势:更大的灵活性、基于行业标准、有效降低风险以及随时可用于企业。让我们更详细地查看其中每一项优势。

灵活性

Microsoft Passport 提供了前所未有的灵活性。尽管可重复使用密码的格式和用法是固定的,但 Microsoft Passport 同时为管理员和用户提供了相关选项来管理身份验证。首要的是,Microsoft Passport 同时适用于生物识别标识符和 PIN,因此即使在不支持生物识别的设备上,也可以保护用户的凭据。用户甚至可以使用他们的手机来释放凭据,而不是在主设备上释放 PIN 或生物识别手势。Microsoft Passport 无缝利用使用中的设备硬件;当用户升级到较新的设备时,Microsoft Passport 即可使用它们,并且组织可以通过在合适的位置添加生物识别传感器来升级现有设备。

Microsoft Passport 还在数据中心中提供灵活性。若要部署它,在某些模式下你必须将 Windows Server 2016 Technical Preview 域控制器添加到你的 Active Directory 环境,但无需替换或删除现有的 Active Directory 服务器:Microsoft Passport 所需的服务器将在你的现有基础结构基础上构建,并向其添加功能。你无需更改域或林功能级别,并且可以添加本地服务器,或使用 Microsoft Azure Active Directory 在你的网络上部署 Microsoft Passport。应选择支持哪些用户来使用 Microsoft Passport 完全由你决定:你选择策略和要支持的设备以及要让用户有权访问哪些基础结构因素。这简化了以下两种情况:通过为目前没有强凭据保护的用户添加此功能来使用 Microsoft Passport 补充现有智能卡或令牌部署,或在需要对敏感资源或系统进行额外保护的方案中部署 Microsoft Passport(如设计 Microsoft Passport 部署部分中所述)。

标准化

软件供应商和企业客户都开始意识到专有身份和身份验证系统已陷入绝境。未来依赖可互操作的开放式系统,此类系统允许跨各种设备、LOB 和以及外部应用程序和网站进行安全身份验证。为此,一群业内人士组成了一个非盈利的组织(即快速身份在线联盟 (FIDO)),旨在解决强身份验证的设备之间缺乏互操作性方面的问题,以及用户在必须创建和记住多个用户名和密码时所面临的问题。FIDO 联盟计划改变身份验证的本质,方法为通过制定一些规范来定义一组既具可扩展又具可互操作的开放机制,从而取代密码以便对使用联机服务的用户进行安全地身份验证。安全设备和浏览器插件的此新标准将允许如下内容:任一网站或云应用程序与用户针对联机安全性所拥有的各种现有和以后支持 FIDO 的设备进行交互。有关详细信息,请参阅 FIDO 联盟网站

Microsoft 已于 2013 年加入 FIDO 联盟。FIDO 标准启用了由全球生态系统提供的一种通用框架,旨在实现一致且大幅改进的无密码的强身份验证用户体验。发布于 2014 年 12 月的 FIDO 1.0 规范提供两种类型的身份验证:无密码(称为通用身份验证框架 [UAF])和第二因素 (U2F)。FIDO 联盟致力于一组 2.0 方案,以将 U2F和 UAF FIDO 1.0 标准的精华部分结合起来。Microsoft 为方案积极出力,而 Windows 10 正是这些概念的参考实现。除了支持这些协议,Windows 实现还涵盖了规范所未涵盖的端到端体验方面,包括在身份验证后颁发的用户设备密钥和令牌的用户界面、存储和保护;支持管理策略;和提供部署工具。随着 FIDO 2.0 规范的推进,Microsoft 期望继续与 FIDO 联盟合作。FIDO 产品的互操作性是 FIDO 身份验证的一个重要标志。Microsoft 认为,将 FIDO 解决方案引入市场将有助于解决企业和消费者亟待解决的问题。

有效

Microsoft Passport 有效地缓解了两大安全风险。第一,通过消除在登录时对可重复使用密码的使用,降低了用户凭据被复制或重复使用的风险。在支持受信任的平台模块 (TPM) 标准的设备上,用户密钥材料可以存储在用户设备的 TPM 中,这使攻击者更难以捕获密钥材料和重复使用它。对于缺少 TPM 的设备,Microsoft Passport 可以在软件中加密和存储凭据数据,但管理员可以禁用此功能以强制执行“TPM 或无”部署。

第二,由于 Microsoft Passport 不依靠单个的集中式服务器,因此不存在由于该服务器泄露所产生的威胁风险。尽管理论上攻击者可以威胁单个设备,但没有单个攻击点可供入侵者利用以获取对环境的广泛访问权限。

适用于企业

Windows 10 的每个版本都包括供个人使用的 Microsoft Passport 功能;企业和个人用户可以利用 Microsoft Passport 来通过兼容的应用程序和服务保护他们的个人凭据。此外,其用户运行 Windows 10 专业版和 Windows 10 企业版的企业可以使用 Microsoft Passport for Work,它是 Microsoft Passport 的增强版本,其中包括通过组策略对象 (GPO).集中式管理 PIN 强度和生物识别使用的 Microsoft Passport 设置的功能。

Microsoft Passport 的工作原理

若要使用 Microsoft Passpor 通过标识提供者 (IDP) 登录,用户需要已配置的设备,这意味着 Microsoft Passport 生命周期在你配置设备以供 Microsoft Passport 使用时开始。当设备设置完成时,它的用户可以使用该设备对服务进行身份验证。在此部分中,我们探索了设备注册的工作原理、当用户请求身份验证时会发生的情况、密钥材料的存储和处理方式以及此过程的不同部分中所涉及到的服务器和基础结构组件。

注册新用户或设备

Microsoft Passport 的一个目标是使用户可以打开全新的设备、安全地加入组织网络来下载和管理组织数据并创建新的Hello 手势来保护设备。Microsoft 将设置设备以用于 Microsoft Passport 的过程称为注册。

注意  

这独立于使用将 Microsoft Passport 与 Active Directory 或 Azure AD 一起使用所需的组织配置;该配置将在本指南的后面部分中讨论。必须先完成此配置,用户才能开始注册。

 

注册过程的工作方式如下所示:

  1. 用户在设备上配置一个帐户。

    此帐户可以是设备上的本地帐户、存储在本地 Active Directory 域中的域帐户、Microsoft 帐户或 Azure AD 帐户。对于新设备,此步骤可以像使用 Microsoft 帐户登录一样简单。在 Windows 10 设备上使用 Microsoft 帐户登录将在该设备上自动设置 Microsoft Passport;用户无需执行任何额外操作即可启用它。

  2. 若要使用该帐户登录,用户必须输入它的现有凭据。

    “拥有”该帐户的 IDP 将收到凭据,并对用户进行身份验证。此 IDP 身份验证可以包含现有的第二个身份验证因素或证明的使用。例如,使用 Azure AD 帐户注册新设备的用户必须提供 Azure AD 发送的基于短信的证明。

  3. 当用户向 IDP 提供证明时,该用户将启用 PIN 身份验证(图 1)。

    PIN 将与此特定凭据相关联。

    图 1

    图 1.在“帐户设置”控制面板项中设置 PIN

    当用户设置 PIN 时,它将立即变为可用(图 2)。

    图 2

    图 2.在进行设置时,PIN 立即可用

请记住,Microsoft Passport 依靠将设备和凭据配对,因此所选的 PIN 仅与活动帐户和该特定设备的组合相关联。PIN 必须遵守帐户管理员所配置的任何长度和复杂性策略;此策略在设备端强制执行。Microsoft Passport 支持的其他注册方案是:

  • 从 Windows 8.1 操作系统升级的用户将使用其现有企业密码登录。这将从 IDP 端触发 MFA;在收到并返回证明(例如短信或语音代码)后,IDP 会在升级后的 Windows 10 设备上对用户进行身份验证,然后该用户可以设置其 PIN。

  • 通常使用智能卡登录的用户在其第一次登录到之前未登录过的 Windows 10 设备时,收到设置 PIN 的提示。

  • 通常使用虚拟智能卡登录的用户在其第一次登录到之前未登录过的 Windows 10 设备时,收到设置 PIN 的提示。

用户完成此过程后,Microsoft Passport 将在该设备上生成一个新的公钥/私钥对。TPM 生成并存储此私钥;如果设备没有 TPM,则该私钥将在软件中加密和存储。此初始密钥称为保护程序密钥。它仅与单个手势相关联;换言之,如果用户在同一台设备上注册 PIN、指纹和面部,则其中每一个手势都将具有唯一的保护程序密钥。保护程序密钥将针对特定容器安全地包装身份验证密钥。每个容器都只有一个身份验证密钥,但该使用不同的唯一保护程序密钥包装的密钥可以有多个副本(其中每一个都与唯一手势相关联)。Microsoft Passport 还会生成一个管理密钥,以供用户或管理员在必要时用于重置凭据。除了保护程序密钥,支持 TPM 的设备还会生成一个包含 TPM 中的证明的数据块。

此时,用户有一个在设备上定义的 PIN 手势和一个用于该 PIN 手势的关联保护程序密钥。这意味着他或她可以使用该 PIN 安全登录设备,因此他或她可以与设备建立受信任的会话以添加对生物识别手势的支持,作为 PIN 的替代方法。当你添加生物识别手势时,它遵循相同的基本顺序:用户使用其 PIN 对系统进行身份验证,然后注册新的生物识别(“冲相机笑!”),之后 Windows 将生成唯一的密钥对并将其安全存储。将来的登录随后可以使用 PIN 或注册的生物识别手势。

什么是容器?

你将经常听到在引用 MDM 解决方案时使用术语容器。Microsoft Passport 也使用该术语,但使用的方式有一些不同。此上下文中的容器是密钥材料或数据的逻辑分组的速记。Windows 10 支持两个容器:保留个人帐户的用户密钥材料(包括与用户的 Microsoft 帐户或其他消费者标识提供者相关联的密钥材料)的默认容器,以及保留与工作区或学校帐户相关联的凭据的企业容器。

企业容器仅存在于已向组织注册的设备上;它包含企业 IDP 的密钥材料,例如本地 Active Directory 或 Azure AD。企业容器仅包含 Active Directory 或 Azure AD 的密钥数据。如果设备上存在企业容器,将独立于默认容器解锁它,这将在个人和企业凭据和服务上维持数据和访问的分离。例如,使用生物识别手势登录托管计算机的用户在进行登录以从网站购物时,可以通过输入 PIN 独立解锁他或她的个人容器。

这些容器在逻辑上分离。组织对用户存储在默认容器中的凭据没有任何控制权,并且对默认容器中的服务进行身份验证的应用程序无法使用企业容器中的凭据。但是,个别 Windows 应用程序可以酌情使用 Microsoft Passport 应用程序编程接口 (API) 来请求凭据的访问权限,以便增强消费者和 LOB 应用程序,使其充分利用 Microsoft Passport。

请务必牢记,磁盘上、注册表中或任何其他位置都不存在任何物理容器。容器是用于相关项分组的逻辑单元。Microsoft Passport 存储的密钥、证书和凭据受到保护,无需创建任何实际的容器或文件夹。

每个容器实际上都包含一组密钥,其中一些用于保护其他密钥。图 3 显示了一个示例:保护程序密钥用于加密身份验证密钥,而身份验证密钥用于加密存储在容器中的个别密钥。

图 3

图 3.每个逻辑容器都包含一组或多组密钥

容器可以包含多种类型的密钥材料:

  • 身份验证密钥,它始终是不对称的公钥/私钥对。此密钥对在注册期间生成。每次访问它时都必须解锁它,方法是使用用户的 PIN 或以前生成的生物识别手势。身份验证密钥一直存在,直到用户重置 PIN,此时将生成新密钥。生成新密钥时,旧密钥以前保护的所有密钥材料必须解密,然后使用新密钥重新加密。

  • 虚拟智能卡密钥在生成虚拟智能卡时生成,并安全存储在容器中。每当解锁用户的容器时它们都可用。

  • 安全/多用途 Internet 邮件扩展 (S/MIME) 密钥和证书,由证书颁发机构 (CA) 生成。与用户的 S/MIME 证书相关联的密钥可以存储在 Microsoft Passport 容器中,以便每次解锁容器时都可供用户使用。

  • IDP 密钥。这些密钥可对称也可以不对称,具体取决于你使用的 IDP。单个容器可以包含零个或多个 IDP 密钥,但有一些限制(例如,企业容器可以包含零个或一个 IDP 密钥)。IDP 密钥存储在容器中,如图 3 所示。对于基于证书的 Microsoft Passport for Work,当解锁容器时,需要 IDP 密钥或密钥对的访问权限的应用程序可以请求访问权限。IDP 密钥用于对从此计算机发送到 IDP 的身份验证请求或令牌进行签名或加密。IDP 密钥通常长期有效,但生命周期可能比身份验证密钥更短。

Microsoft 帐户、Active Directory 帐户和 Azure AD 帐户都需要使用非对称密钥对。设备生成公钥和私钥、向 IDP(存储它以供以后验证)注册公钥,并安全存储私钥。对于企业,可以通过两种方式生成 IDP 密钥:

  • IDP 密钥对可以通过 Windows 网络设备注册服务 (NDES) 与企业 CA 相关联,这在网络设备注册服务指南中有更加完整的介绍。在此情况下,Microsoft Passport 请求带有与现有 PKI 中的证书相同的密钥的新证书。此选项可以使具有现有 PKI 的组织酌情继续使用它。鉴于以上所述,当你在此模式下部署 Microsoft Passport 时,许多应用程序(如流行虚拟专用网络系统)需要使用证书,它可以加快从用户密码的过渡,同时仍然保留基于证书的功能。此选项还允许企业在受保护的容器中存储其他证书。

  • IDP 可以直接生成 IDP 密码对,这使 Microsoft Passport 可以在没有或不需要 PKI 的环境中实现更快、更低开销的部署。

如何保护密钥

每当生成密钥材料时,必须保护它免受攻击。执行此操作的最可靠方法是通过专门的硬件。使用硬件安全模块 (HSM) 为安全关键应用程序生成、存储和处理密钥有很长的历史。智能卡是一种特殊类型的 HSM,符合受信任的计算组 TPM 标准的设备也是如此。在任何可能的情况下,Microsoft Passport for Work 实现充分利用板载 TPM 硬件来生成、存储和处理密钥。但是,Microsoft Passport 和 Microsoft Passport for Work 不需要板载 TPM。管理员可以选择在软件中允许密钥操作,在此情况下计算机上任何具有(或可以提升到)管理员权限的用户都可以使用 IDP 密钥来对请求进行签名。作为替代方法,在某些方案中,没有 TPM 的设备可以使用有 TPM 的设备进行远程身份验证,在此情况下将使用该 TPM 执行所有敏感操作,并且不会公开任何密钥材料。

在任何可能的情况下,Microsoft 建议使用 TPM 硬件。TPM 可抵御各种已知和潜在的攻击,包括 PIN 强力攻击。TPM 在帐户锁定后还提供一层额外的保护。当 TPM 已锁定密钥材料时,用户将必须重置 PIN(这意味着他或她将需要使用 MFA 对 IDP 进行重新身份验证,然后该 IDP 才会允许他或她重新注册)。重置 PIN 意味着使用旧密钥材料加密的所有密钥和证书都将删除。

身份验证

当用户希望访问受保护的密钥材料时(可能是为了使用需要登录的 Internet 站点或访问公司 Intranet 上的受保护资源),身份验证过程将从用户输入 PIN 或生物识别手势以解锁设备开始,此过程有时称为释放密钥。将其想象成使用物理钥匙解锁一扇门:你需要先从口袋或钱包中拿出钥匙,才能打开门锁。在连接到组织网络的个人设备上,用户将使用他们的个人 PIN 或生物识别来释放密钥;在加入本地或 Azure AD 域的设备上,他们将使用组织 PIN。

此过程将解锁设备上的主容器的保护程序密钥。解锁该容器时,应用程序(以及用户)可以使用容器内的任何 IDP 密钥。

这些密钥用于对发送到 IDP 请求进行签名,从而请求对特定资源的访问权限。请务必了解,尽管密钥已解锁,但应用程序仍然不能随意使用它们。应用程序可以使用特定 API 请求需要将密钥材料用于特定操作(例如,解密电子邮件或登录某个网站)的操作。通过这些 API 进行访问不需要通过用户手势的显式验证,并且密钥材料不会向请求的应用程序公开。相反,应用程序会要求身份验证、加密或解密,并且 Microsoft Passport 层将处理实际的工作并返回结果。在适当情况下,应用程序即使在已解锁的设备上仍然可以请求强制的身份验证。Windows 将提示用户重新输入 PIN 或执行身份验证手势,这为敏感数据或操作提供了一层额外的保护。例如,你可以将 Windows 应用商店配置为在每次用户购买应用程序时都需要重新身份验证,即使已经使用了相同的帐户和 PIN 或手势来解锁设备。

实际身份验证过程的工作方式如下:

  1. 客户端向 IDP 发送空白的身份验证请求。(这仅用于握手过程。)

  2. IDP 返回一个质询,称为 nonce

  3. 设备使用相应的私钥对 nonce 进行签名。

  4. 设备返回原始 nonce、已签名的 nonce 和用于登录 nonce 的密钥 ID。

  5. IDP 获取该密钥 ID 指定的公钥、使用它验证该 nonce 上的签名,然后验证设备所返回的 nonce 是否与原始匹配。

  6. 如果步骤 5 中所有检查都成功,则 IDP 将返回两个数据项:一个使用设备的公钥加密的对称密钥,以及一个使用该对称密钥加密的安全令牌。

  7. 设备使用其私钥来解密对称密钥,然后使用该对称密钥来解密令牌。

  8. 设备将发出对原始资源的正常身份验证请求,从而将来自 IDP 的令牌表示为其身份验证的证明。

当 IDP 验证签名时,它会验证该请求是否来自指定的用户和设备。特定于设备的私钥将对该 nonce 进行签名,这将允许 IDP 确定请求用户和设备的身份,以便它可以基于用户、设备类型或两者应用内容访问的策略。例如,IDP 可以只允许访问移动设备中的一组资源和桌面设备中的另一组资源。

计划在 Windows 10 的将来版本中发布的远程解锁基于上述方案构建,方法是支持从作为第二个因素的移动设备进行无缝远程身份验证。例如,假设你要访问公司内的另一间办公室,并且需要在那里临时借一台计算机,但你不希望潜在地将你的凭据暴露在被捕获的风险之下。你可以在 Windows 10 登录屏幕上单击“其他用户”、键入你的用户名、选取远程身份验证的磁贴,然后使用手机上的应用,你已使用手机的内置面部识别传感器将其解锁,而不是键入你的凭据。手机和计算机通过蓝牙配对和握手,你在手机上键入身份验证 PIN,然后计算机将从 IDP 获得对你的身份的确认。无需在任何位置键入密码或在电脑上键入 PIN,即可执行上述所有操作。

基础结构

Microsoft Passport 依赖于拥有可用于它的 IDP。截至编写本文时,这意味着你有四种部署可能性:

  • 使用以 Active Directory 证书服务为中心的基于 Windows 的现有 PKI。此选项需要额外的基础结构,包括向设备颁发证书的方法。你可以使用 NDES 直接注册设备、Microsoft System Center Configuration Manager Technical Preview 或更高版本用于本地环境,或使用可以管理 Microsoft Passport 中的移动设备参与的 Microsoft Intune。

  • 你可以配置 Windows Server 2016 Technical Preview 域控制器来充当适用于 Microsoft Passport 的 IDP。在此模式下,Windows Server 2016 Technical Preview 域控制器与任何现有 Windows Server 2008 R2 或更高版本的域控制器一起充当 IDP。不要求替换所有现有域控制器,只需为每个 Active Directory 站点引入至少一个 Windows Server 2016 Technical Preview 域控制器并将林 Active Directory 域服务 (AD DS) 架构更新为 Windows Server 2016 Technical Preview。

  • 客户端用于查找域控制器和全局目录的正常发现机制依赖域名系统 (DNS) SRV 记录,但这些记录不包含版本数据。Windows 10 计算机将在 DNS 中查询 SRV 记录以找到所有可用的 Active Directory 服务器,然后查询每个服务器以标识可充当 Microsoft Passport IDP 的服务器。你的用户生成的身份验证请求数量、你的用户所在的位置以及你的网络的设计全都驱动了所需的 Windows Server 2016 Technical Preview 域控制器数量。

  • Azure AD 自身或与本地 AD DS 林一起充当 IDP。使用 Azure AD 的组织可以直接注册设备,而无需使用 Azure AD 设备注册服务所提供的功能来加入本地域。

除了 IDP 以外,Microsoft Passport 还需要 MDM 系统。如果你使用 Azure AD 或满足本文档的部署要求部分中所述的系统要求的本地 System Center Configuration Manager 部署,则此系统可以是基于云的 Intune。

设计 Microsoft Passport for Work 部署

Microsoft Passport for Work 设计用于与现有和将来的目录基础结构和设备部署集成,但是这种灵活性意味着你在设计部署时有许多需要考虑的注意事项。其中某些决策是技术性的,而另一些则是组织甚至是政策性的。在本部分中,我们将检查你必须对如何实现 Microsoft Passport for Work 进行决策的关键点。请记住,个别设备可以使用 Microsoft Passport 的单个版本,而无需你进行任何基础结构更改。Microsoft Passport for Work 允许你控制和集中式管理用户身份验证和设备注册。若要使用 Microsoft Passport for Work 的初始版本,每台设备都必须有一个 Azure AD 身份,因此自动注册设备意味着既要注册新设备,也要应用可选的策略来管理 Microsoft Passport for Work。

一个部署策略

不同的组织一定会根据他们的功能和需求采用不同的方法来部署 Microsoft Passport,但只有一个策略:在整个组织中部署 Microsoft Passport for Work 以获得对最大数量的设备和资源的最大保护。组织可以采用三种基本路径之一完成该策略:

  • 根据最适合组织的任何设备或用户部署策略来随处部署 Microsoft Passport for Work。

  • 先将 Microsoft Passport for Work 部署到高价值或高风险目标,通过使用条件访问策略将对关键资源的访问权限限制到仅持有强身份验证凭据的用户。

  • 将 Microsoft Passport for Work 融合到现有的多因素环境中,将其用作配合物理或虚拟智能卡的一种其他形式的强身份验证。

随处部署 Microsoft Passport for Work

在此方法中,你以协调部署方式在整个组织中部署 Microsoft Passport。在某些方面,此方法类似于任何其他桌面部署项目;唯一的真正区别是你必须已经有用于支持设备注册的 Microsoft Passport 基础结构,才能开始在 Windows 10 设备上使用 Microsoft Passport。

注意  

你仍然可以升级到 Windows 10 或添加新的 Windows 10 设备,而无需更改基础结构。如果设备未加入 Azure AD 并接收相应的策略,你无法在该设备上使用 Microsoft Passport for Work。

 

此方法的主要优势是它为组织的所有部分提供统一的保护。有经验的攻击者已展现了大量攻破大型组织的技能,方法是标识他们的安全弱点,包括一些虽然没有高价值信息但可以通过它来获取高价值信息的用户或系统。对攻击者可能用来访问企业数据的每台设备应用一致保护是抵御这些类型的攻击的绝好方法。

此方法的缺点是它的复杂性。较小的组织可能会发现,它们对于在所有设备上管理新操作系统的部署的经验和能力均不足。对于这些组织,用户可以自行升级,并且新用户可以结束使用 Windows 10,因为他们在加入时获取了新的设备。较大的组织(尤其是高度分散或在许多物理地点有业务的组织)可能具有较多的部署知识和资源,但面临对更大的用户群和占用进行协调部署工作的挑战。

有关 Windows 10 的桌面部署的详细信息,请访问 Windows 10 TechCenter

此部署策略的一个关键方面是如何将 Windows 10 送到用户的手中。由于不同的组织对于刷新硬件和软件具有截然不同的策略,因此没有通用策略。例如,一些组织追求协调的策略,在现有硬件上每隔两到三年将新的桌面操作系统送到用户手中,只在需要的时间和位置补充新硬件。其他组织倾向于替换硬件,并部署所购买的设备上提供的任何版本的 Windows 客户端操作系统。在这两种情况中,服务器和服务器操作系统通常有单独的部署周期,并且桌面和服务器周期可能协调,也可能不协调。

除了向用户发布 Windows 10 部署,你还必须考虑方式和时间(或者是否要这么做!)你将向用户部署生物识别设备。由于 Windows Hello 可以充分利用多种生物识别标识符,因此你有了灵活的设备选择范围,其中包括购买融合了选定生物识别的新设备、为选定用户提供相应的设备、作为计划硬件刷新的一部分部署生物识别设备并在用户获取设备之前使用 PIN 手势,或者依靠远程解锁作为第二个身份验证因素。

部署到高价值或高风险目标

此策略考虑到了这一事实:在大部分网络中,并非每个资源都受到同等保护或具有同等价值。对此有两种思考方式。一种是你可以专注于保护由于其价值而存在最大危害风险的用户和服务。例如敏感的内部数据库或重要高管的用户帐户。另一种是你可以专注于你的网络中最容易受攻击的区域,例如频繁外出的用户(从而产生更高的设备丢失或被盗或者意外凭据盗窃的风险)。不论哪一种思考方式,策略都是相同的:选择性且快速地部署 Microsoft Passport 以保护特定的人员和资源。例如,你可以向所有需要访问敏感内部数据库的用户发布带有生物识别传感器的新 Windows 10 设备,然后部署最低的所需基础结构来支持这些用户以受 Microsoft Passport 保护的方式访问该数据库。

Microsoft Passport for Work 的其中一项关键设计功能是它支持自带设备办公 (BYOD) 环境,方法是允许用户向组织 IDP 注册其自己的设备(无论在本地、混合还是 Azure AD 上)。理想情况下,通过将生物识别用作对最有价值的潜在目标的附加安全手段,你可以充分利用此功能来快速部署 Microsoft Passport 以保护最容易受攻击的用户或资源。

将 Microsoft Passport 与你的基础结构融合

已经投资了智能卡、虚拟智能卡或基于令牌的系统的组织仍然可以从 Microsoft Passport 中受益。由于部署的费用和复杂性,许多组织都使用物理令牌和智能卡来仅仅保护关键资源。Microsoft Passport 为这些系统提供了有价值的补充,因为它会保护当前依靠可重复使用凭据的用户;对于寻求从任意凭据入手扩大泄露范围的攻击,对所有用户凭据的保护向阻止这种攻击迈出了重要的一步。此方法还为你提供了计划和部署的巨大灵活性。

一些企业已部署多用途智能卡,这些智能卡提供建筑出入控制、对复印机或其他办公设备的访问权限、餐厅购买的储值、远程网络访问和其他服务。在此类环境中部署 Microsoft Passport 不会阻止你继续将智能卡用于这些服务。你可以为其现有用例保留现有智能卡基础结构,然后在 Microsoft Passport 中注册桌面和移动设备,并使用 Microsoft Passport 保护对网络和 Internet 资源的访问。此方法需要更复杂的基础结构和更高的组织成熟度,因为它需要你将现有 PKI 与注册服务和 Microsoft Passport 本身链接起来。

智能卡在另一个重要的方面充当对 Microsoft Passport 的有用补充:启动 Microsoft Passport 注册的初始登录。当用户在设备上向 Microsoft Passport 注册时,部分该注册过程需要传统登录。以前为智能卡或虚拟智能卡部署了必要的基础结构的组织可以允许其用户通过使用智能卡或虚拟机登录来注册新设备,而不是使用传统密码。在用户使用智能卡向组织 IDP 证明他或她的身份后,该用户可以设置 PIN 并继续将 Microsoft Passport 用于将来的登录。

选择部署方法

选择哪种部署方法取决于多种因素:

  • 需要部署的设备数量。此数量对你的总体部署具有巨大的影响。对 75,000 名用户的全局部署与对不同城市的两三百名用户组的阶段部署具有不同的要求。

  • 你希望部署 Microsoft Passport for Work 保护的速度。这是经典的成本收益权衡。你需要在 Microsoft Passport for Work 的安全优势与广泛部署它所需的成本和时间之间进行权衡,并且不同的组织可能会做出完全不同的决策,具体取决于他们如何评估所涉及的成本和收益。尽可能在最短时间内获得最广的 Microsoft Passport 覆盖范围可以最大程度地提高安全收益。

  • 要部署的设备类型。Windows 设备制造商正在积极引入针对 Windows 10 优化的新设备,从而导致这样一种可能性:你可能会先在新购买的平板电脑和便携设备上部署 Microsoft Passport,然后将其作为正常刷新周期的一部分部署到桌面。

  • 你的当前基础结构的状况。Microsoft Passport 的单个版本不需要对 Active Directory 环境进行更改,但为了支持 Microsoft Passport for Work,你可能需要一个兼容的 MDM 系统。根据你的网络的大小和组成部分,移动注册和管理服务部署本身可能是一个重大项目。

  • 你对云的计划。如果你已经计划转向云,则 Azure AD 将简化 Microsoft Passport for Work 部署的过程,因为你可以将 Azure AD 与现有本地 AD DS 设置一起用作 IDP,而无需对本地环境进行重大更改。Microsoft Passport for Work 的将来版本将支持同时注册已经是 Azure AD 分区中的本地 AD DS 域成员的设备,以便它们从云使用 Microsoft Passport for Work。将 AD DS 与 Azure AD 结合的混合部署使你可以保留对本地 AD DS 域的计算机身份验证和策略管理,同时为你的用户提供全套的 Microsoft Passport for Work 服务(以及 Microsoft Office 365 集成)。如果你计划仅使用 AD DS,则你的本地环境的设计和配置将决定你可能需要进行哪些类型的更改。

部署要求

表 1 列出了在企业中部署 Microsoft Passport for Work 的六个方案。Windows 10 的初始版本支持仅 Azure AD 方案,并计划在 2015 年晚些时候的版本中支持本地 Microsoft Passport for Work(有关详细信息,请参阅路线图部分)。

根据你选择的方案,Microsoft Passport for Work 部署可能需要四个元素:

  • 支持 Microsoft Passport 的组织 IDP。这可以是 Azure AD 或现有 AD DS 林中的一组本地 Windows Server 2016 Technical Preview 域控制器。使用 Azure AD 意味着你可以建立混合身份管理,其中 Azure AD 充当 Microsoft Passport IDP,而你的本地 AD DS 环境处理较早的身份验证请求。此方法提供 Azure AD 的所有灵活性,并附带管理运行较早版本的 Windows 和本地应用程序(例如 Microsoft Exchange Server 或 Microsoft SharePoint)的计算机帐户和设备的功能。

  • 如果你使用证书,需要 MDM 系统来允许 Microsoft Passport for Work 的策略管理。本地或混合部署中加入域的设备需要 Configuration Manager Technical Preview 或更高版本。使用 Azure AD 的部署必须使用 Intune 或兼容的非 Microsoft MDM 解决方案。

  • 本地部署需要包含在 Windows Server 2016 Technical Preview 中的将来 Active Directory 联合身份验证服务 (AD FS) 版本来支持对设备预配 Microsoft Passport 凭据。在此方案中,AD FS 取代 Azure AD 在基于云的部署中执行的预配。

  • 基于证书的 Microsoft Passport 部署需要 PKI,包括所有需要注册的设备都可以访问的 CA。如果你在本地部署基于证书的 Microsoft Passport,你实际上不需要 Windows Server 2016 Technical Preview 域控制器。本地部署确实需要 Windows Server 2016 Technical Preview AD DS 架构,并且安装了 AD FS 的 Windows Server 2016 Technical Preview 版本。

表 1.Microsoft Passport 的部署要求

Microsoft Passport 方法Azure AD混合 Active Directory仅本地 Active Directory
基于密钥

Azure AD 订阅

  • Azure AD 订阅
  • Azure AD 连接
  • 一些现场 Windows Server 2016 Technical Preview 域控制器
  • 管理解决方案,例如配置管理器、组策略或 MDM
  • 无网络设备注册服务 (NDES) 的 Active Directory 证书服务 (AD CS)

一个或多个 Windows Server 2016 Technical Preview 域控制器

Windows Server 2016 Technical Preview 的 AD FS

基于证书

Azure AD 订阅

PKI 基础结构

Intune

  • Azure AD 订阅
  • Azure AD Connect
  • 带有 NDES 的 AD CS
  • 配置管理器 (Current Branch) 或已加入域的证书注册的 Configuration Manager 2016 Technical Preview 或非加入域的设备的 InTune 或支持 Passport for Work 的非 Microsoft MDM 服务

AD DS Windows Server 2016 Technical Preview 架构


Windows Server 2016 Technical Preview 的 AD FS

PKI 基础结构
 System Center 2012 R2 Configuration Manager SP2 或更高版本

 

请注意,Windows 10 的当前版本支持仅 Azure AD 的方案。Microsoft 在表 1 中提供前瞻性的指导以帮助组织为计划的 Microsoft Passport for Work 功能的将来版本准备他们的环境。

选择策略设置

Microsoft Passport for Work 部署的另一个关键方面涉及到选择哪些策略设置应用到企业。此选择有两个部分:部署哪些策略来管理 Microsoft Passport 本身,以及部署哪些策略来控制设备管理和注册。选择有效策略的完整指南不在本指南范围内,但一个可能有用的示例参考是 Microsoft Intune 中的移动设备管理功能

实现 Microsoft Passport

如果用户只是希望保护他们的个人凭据,则在个人用户设备上使用 Windows Hello 或 Microsoft Passport 不需要任何配置。除非企业禁用该功能,否则用户可以选择为其个人凭据使用 Microsoft Passport,即使在注册了组织 IDP 的设备上也是如此。但是,当你为用户提供 Microsoft Passport for Work 时,你必须向基础结构添加必要的组件,如部署要求部分中的前面部分所述。

如何使用 Azure AD

有三种在仅 Azure AD 的组织中使用 Microsoft Passport for Work 的方案:

  • 使用 Office 365 附带的 Azure AD 版本的组织。对于这些组织,不需要任何附加操作。当 Windows 10 公开发布时,Microsoft 更改了 Office 365 Azure AD 堆栈的行为。当用户选择加入工作或学校网络(图 4)时,设备将自动加入 Office 365 租户的目录分区,将为该设备颁发证书,并且如果该租户已订阅该功能,则它将有资格获取 Office 365 MDM。此外,将提示用户登录并输入 Azure AD 发送到他或她的手机的 MFA 证明(如果已启用 MFA)。

  • 使用免费的 Azure AD 层的组织。对于这些组织,Microsoft 未启用自动域加入到 Azure AD。已注册免费层的组织可以选择启用或禁用此功能,因此不会启用自动域加入,除非/直到组织的管理员决定启用它。当启用该功能时,使用图 4 中所示的“连接到工作或学校”对话框加入 Azure AD 域的设备将支持自动注册到 Microsoft Passport for Work,但不会注册之前已加入的设备。

  • 已订阅 Azure AD Premium 的组织有权访问全套 Azure AD MDM 功能。这些功能包括用于管理 Microsoft Passport for Work 的控件。你可以设置策略来禁用或强制执行 Microsoft Passport for Work 的使用、要求使用 TPM 和控制在设备上设置的 PIN 的长度和强度。

    图 4

    图 4:加入 Office 365 组织将在 Azure AD 中自动注册设备

启用设备注册

如果你希望将 Microsoft Passport for Work 与证书一起使用,则将需要一个设备注册系统。这意味着设置 Configuration Manager Technical Preview、Intune 或兼容的非 Microsoft MDM 系统,并启用它来注册设备。无论 IDP 为何,这是将 Microsoft Passport for Work 与证书一起使用的先决条件步骤,因为注册系统负责使用必要的证书预配设备。

设置 Microsoft Passport 策略

从 Windows 10 的初始版本开始,你可以针对 Microsoft Passport for Work 的使用控制以下设置:

  • 你可以要求 Microsoft Passport 仅在有 TPM 安全硬件的设备上可用,这意味着该设备使用 TPM 1.2 或 TPM 2.0。

  • 你可以使用硬件首选的选项启用 Microsoft Passport,这意味着密钥将在 TPM 1.2 或 TPM 2.0 上生成(当可用时)和由软件生成(当 TPM 不可用时)。

  • 你可以配置基于证书的 Microsoft Passport 是否对用户可用。你在设备部署过程中执行此操作,而不是通过单独应用的策略。

  • 你可以定义用户在注册时生成的 PIN 的复杂性和长度。

  • 你可以控制是否在组织中启用 Windows Hello 使用。

这些设置可以通过 GPO 或 MDM 系统中的配置服务器提供程序 (CSP) 实现,因此你有一组熟悉且灵活的工具可用于将它们准确应用到所需的用户。(有关 Microsoft Passport for Work CSP 的详细信息,请参阅 PassportForWork CSP。)

路线图

通用 Windows 应用和服务发展的速度意味着 Windows 传统设计-生成-发布周期过于缓慢,无法满足客户的需求。作为 Windows 10 版本的一部分,Microsoft 正在改变设计、测试和分发 Microsoft 的方式。Windows 工程团队致力于较小的、更频繁的发布以在不影响安全性、质量或可用性的前提下更快速将新功能和服务推向市场,而不是较大的、每隔 3 到 5 年的庞大发布。此模型在 Office 365 和Xbox 生态系统中效果良好。

在 Windows 10 初始版本中,Microsoft 支持以下 Microsoft Passport 和 Windows Hello 功能:

  • 生物识别身份验证,带有使用 Windows 指纹读取器框架的指纹读取器

  • 面部识别功能,在带有支持 IR 的兼容相机的设备上

  • Microsoft Passport,用于个人拥有和企业管理的设备上的个人凭据

  • 对具有仅限云 Azure AD 部署的组织的 Microsoft Passport for Work 支持

  • 用于控制 Microsoft Passport PIN 长度和复杂性的组策略设置

在将来版本的 Windows 10 中,我们计划添加对其他功能的支持:

  • 其他生物识别标识符类型,包括虹膜识别

  • 非本地 Azure AD 部署和混合本地/Azure AD 部署的基于密钥的 Microsoft Passport for Work 凭据

  • 受信任的 PKI 颁发的 Microsoft Passport for Work 证书,包括智能卡和虚拟智能卡证书

  • TPM 证明,用于保护密钥,以便使恶意用户或程序无法在软件中创建密钥(因为这些密钥无法由 TPM 证明,从而可以标识为伪造)

在较长的时间内,Microsoft 将继续改进和扩展 Microsoft Passport 和 Windows Hello 的功能,以满足客户对于可管理性和安全性的其他要求。我们还将与 FIDO 联盟和各种第三方合作,鼓励 Web 和 LOB 应用程序开发人员都采用 Microsoft Passport。

 

 

显示: