إدماج10محطات بيومترية على أساس ويندوز بطول 1 بوصةمعمايكروسوفت ويندوز هالو للأعماليخلق نظام اعتماد ثنائي (أو متعدد العوامل) قوي وسلس وآمن للغاية مثالي لمراقبة الوصول للشركات والإدخالات الآمنة والبيئات القائمة على الامتثال.فيما يلي تحليل مفصل لكيفية عمل هذا التكامل ومزاياه الرئيسية.
مؤسسة الأجهزة:
أجهزة الاستشعار البيومترية:تم تجهيز المحطة بقراءات بيومترية من الدرجة المؤسسيةماسح بصمات الأصابعأوكاميرا الأشعة تحت البنفسجية للتعرف على الوجه(متوافق مع التحقق من الوجه في ويندوز هيلو).
وحدة منصة موثوق بها (TPM) 2.0:هذا هومكونات أجهزة حاسمة. TPM هو معالج تشفير آمن مضمن في المحطة الذي يولد ويخزن ويحمي المفاتيح التشفيرية والقوالب البيومترية.إنه يضمن أن بيانات الاعتماد لا تترك الجهاز في شكل قابل للاستخدام.
ويندوز 10/11 IoT Enterprise أو Pro:يعمل المحطة على نظام تشغيل Windows كامل أو مضمن ، مما يتيح الدعم الأصلي لنظام Windows Hello وأدوات إدارة المؤسسات.
معيار البرمجيات: Windows Hello for Business
هذا هو إطار مصادقة مايكروسوفت بدون كلمة سر.التشفير غير المتماثل (المفتاح العام/الخاص)من أجل المصادقة بدلاً من كلمات المرور.
المفتاح الخاص يتم إنشاؤه بواسطةلا يترك TPMيتم استخدام البيانات البيومترية فقط كـ "مفتاح" مريح لتمكين استخدام هذا المفتاح الخاص.
يُحول التكامل المحطة من قارئ بسيط إلى جهاز مصادقة موثوق به داخل نظام مايكروسوفت البيئي.
الخطوة الأولى: التسجيل الآمن (التسجيل الموثوق)
يتم تزويد المستخدم فيAzure Active DirectoryأوActive Directory على الموقع.
يبدأ المستخدم التسجيل في المحطة 10.1 بوصة. يقدمون التحقق الأولي (غالباً اسم المستخدم وكلمة المرور أو رقم تعريف شخصي مؤقت).
TPM المحطةيولد زوج مفاتيح رمزية فريدة.
يقوم المستخدم بتسجيل البيانات الحيوية الخاصة به (على سبيل المثال ، يضع إصبعًا على الماسح الضوئي عدة مرات). يخلق المستشعر قالبًا للبيانات ، وهويتم تخزينها بشكل آمن وتخزينها حصراً في TPMالصورة البيومترية الخام هيلم يتم حفظها أبداً.
يتم تسجيل المفتاح العام مع مزود الهوية (Azure AD / AD) ، بينما يبقى المفتاح الخاص مقفلاً في TPM في المحطة.
الخطوة الثانية: المصادقة ("عامل مزدوج" في العمل)
يتم تحقيق المصادقة المزدوجة عن طريق الجمع بين:
العامل الأول: شيء لديك (الجهاز الموثوق به).الجسدي10محطة 1 بوصة نفسها، يتم تحديدها بواسطة مفتاح TPM الفريد المرتبط بالأجهزة.
العامل الثاني: شيء أنت عليه (بيومتريك)بصمة أصابع المستخدم أو وجهه
التدفق النموذجييصل المستخدم إلى المحطة لتسجيل الدخول إلى ويندوز، أو فتح سطح المكتب الافتراضي، أو الوصول إلى مورد الشبكة.
يقدمون بصماتهم المسجلة أو وجههم إلى جهاز الاستشعار في المحطة
خدمة Windows Hello المحلية للمحطة تحقق من البيومترية الحية مقابل القالب في TPM.
فقط عند مباراة ناجحةهل يقوم TPM بإطلاق التوقيع التشفير للتحقق من صحة الملف مع وحدة تحكم النطاق أو خدمة السحابة؟
النظام يمنح الوصول.أقل من ثانيتين.
الخطوة الثالثة: عامل مزدوج محسن (إضافة عامل ثالث)
من أجل زيادة الأمن، يمكن ربط قدرات المحطة:
سيناريو:الوصول إلى باب غرفة الخادم.
العامل 1 (لديها):الموظف يضغط علىشارة RFID/NFC(تقرأ بواسطة القارئ المدمج في المحطة).
العامل 2 (أين):الموظف ثم التحقق معويندوز هيلو البيومترية(البصمة / الوجه) على نفس المحطة.
النتيجة:أأوراق الاعتماد ذات عاملينيتم التحقق من صحة (شارة + بيومتري) قبل أن ترسل المحطة أمر إطلاق الباب عبر إدخالها أو شبكتها.
بدون كلمة مرور و مضاد للفيشينجيزيل مخاطر كلمات المرور الضعيفة أو المستخدمة مجددًا أو المسروقة. المفتاح الخاص غير قابل للتصدير.
أمان قوي مرتبط بالأجهزة:يتم ربط بيانات الاعتماد بـ TPM من المحطة المحددة ، مما يمنع التكرار أو الاستخدام من جهاز آخر.
الإدارة المركزية عبر نظام مايكروسوفت الإيكولوجي:يمكن لمسؤولي تكنولوجيا المعلومات إدارة السياسات عن طريق:
مايكروسوفت Intune / Endpoint Manager:للتنفيذ القائم على السحابة وإنفاذ السياسة.
سياسة المجموعة:لبيئات Active Directory المحلية.
يمكن للسياسات أن تفرض البيومترية، والتحكم في رقم PIN الاحتياطي، وتحديد عتبات الأمان.
تجربة المستخدم السلسة:يوفر تجربة سريعة ومتسقة "المشاهدة والفتح" عبر أجهزة ويندوز والموارد (أجهزة الكمبيوتر الشخصية والتطبيقات ومواقع الويب عبر FIDO2).
قابلية التوسع والامتثال:مثالية للمؤسسات التي تحتاج إلى تلبية المعايير مثلNIST، HIPAA، أو GDPRوالتي تتطلب مصادقة قوية متعددة العوامل.
دخول محطة عمل آمنة:مثبتة في المكاتب أو محطات العمل المشتركة، تحل محل إدخال كلمة المرور.
مراقبة الوصول الفيزيائية:تعمل كقارئ بيانات الاعتماد للأبواب/البوابات، حيث تستبدل البيومترية بطاقات الوصول أو تعززها.
الوقت والحضور:توفير دليل غير قابل للرد على الوجود للحصول على سجلات الرواتب الحساسة أو السجلات المتعلقة بالامتثال
إمكانية الوصول إلى البنية التحتية للمكتب الافتراضي:بمثابة نقطة نهاية عميل رقيقة آمنة حيث يفتح البيومتريات جلسة سطح المكتب الافتراضي
تطبيقات وضع الصالة:في البيئات ذات الأمن العالي (مثل المختبرات والصيدليات) حيث يتم حظر الوصول إلى تطبيقات الصالات بواسطة البيومترية للموظفين.
دمج10محطة بيومترية من ويندوزمعويندوز هالو للأعماليخلق ركيزة مصادقة قوية وسهلة الاستخدام للمؤسسة الحديثة.حيازة مادية لجهاز موثوق بهمعالهوية البيومترية المتأصلةلتلبية متطلبات المصادقة ذات العاملين الحقيقية. من خلال الاستفادة من إطار أمن مايكروسوفت الأصلي وحماية TPM على مستوى الأجهزة،تقوم المنظمات بنشر حل ليس فقط أكثر أمانا من كلمات المرور ولكن أيضا أبسط للمستخدمين وأسهل لIT لإدارة على نطاق واسعهذا يحول نقطة الوصول القياسية إلى بوابة ذكية لإنفاذ السياسات.
إدماج10محطات بيومترية على أساس ويندوز بطول 1 بوصةمعمايكروسوفت ويندوز هالو للأعماليخلق نظام اعتماد ثنائي (أو متعدد العوامل) قوي وسلس وآمن للغاية مثالي لمراقبة الوصول للشركات والإدخالات الآمنة والبيئات القائمة على الامتثال.فيما يلي تحليل مفصل لكيفية عمل هذا التكامل ومزاياه الرئيسية.
مؤسسة الأجهزة:
أجهزة الاستشعار البيومترية:تم تجهيز المحطة بقراءات بيومترية من الدرجة المؤسسيةماسح بصمات الأصابعأوكاميرا الأشعة تحت البنفسجية للتعرف على الوجه(متوافق مع التحقق من الوجه في ويندوز هيلو).
وحدة منصة موثوق بها (TPM) 2.0:هذا هومكونات أجهزة حاسمة. TPM هو معالج تشفير آمن مضمن في المحطة الذي يولد ويخزن ويحمي المفاتيح التشفيرية والقوالب البيومترية.إنه يضمن أن بيانات الاعتماد لا تترك الجهاز في شكل قابل للاستخدام.
ويندوز 10/11 IoT Enterprise أو Pro:يعمل المحطة على نظام تشغيل Windows كامل أو مضمن ، مما يتيح الدعم الأصلي لنظام Windows Hello وأدوات إدارة المؤسسات.
معيار البرمجيات: Windows Hello for Business
هذا هو إطار مصادقة مايكروسوفت بدون كلمة سر.التشفير غير المتماثل (المفتاح العام/الخاص)من أجل المصادقة بدلاً من كلمات المرور.
المفتاح الخاص يتم إنشاؤه بواسطةلا يترك TPMيتم استخدام البيانات البيومترية فقط كـ "مفتاح" مريح لتمكين استخدام هذا المفتاح الخاص.
يُحول التكامل المحطة من قارئ بسيط إلى جهاز مصادقة موثوق به داخل نظام مايكروسوفت البيئي.
الخطوة الأولى: التسجيل الآمن (التسجيل الموثوق)
يتم تزويد المستخدم فيAzure Active DirectoryأوActive Directory على الموقع.
يبدأ المستخدم التسجيل في المحطة 10.1 بوصة. يقدمون التحقق الأولي (غالباً اسم المستخدم وكلمة المرور أو رقم تعريف شخصي مؤقت).
TPM المحطةيولد زوج مفاتيح رمزية فريدة.
يقوم المستخدم بتسجيل البيانات الحيوية الخاصة به (على سبيل المثال ، يضع إصبعًا على الماسح الضوئي عدة مرات). يخلق المستشعر قالبًا للبيانات ، وهويتم تخزينها بشكل آمن وتخزينها حصراً في TPMالصورة البيومترية الخام هيلم يتم حفظها أبداً.
يتم تسجيل المفتاح العام مع مزود الهوية (Azure AD / AD) ، بينما يبقى المفتاح الخاص مقفلاً في TPM في المحطة.
الخطوة الثانية: المصادقة ("عامل مزدوج" في العمل)
يتم تحقيق المصادقة المزدوجة عن طريق الجمع بين:
العامل الأول: شيء لديك (الجهاز الموثوق به).الجسدي10محطة 1 بوصة نفسها، يتم تحديدها بواسطة مفتاح TPM الفريد المرتبط بالأجهزة.
العامل الثاني: شيء أنت عليه (بيومتريك)بصمة أصابع المستخدم أو وجهه
التدفق النموذجييصل المستخدم إلى المحطة لتسجيل الدخول إلى ويندوز، أو فتح سطح المكتب الافتراضي، أو الوصول إلى مورد الشبكة.
يقدمون بصماتهم المسجلة أو وجههم إلى جهاز الاستشعار في المحطة
خدمة Windows Hello المحلية للمحطة تحقق من البيومترية الحية مقابل القالب في TPM.
فقط عند مباراة ناجحةهل يقوم TPM بإطلاق التوقيع التشفير للتحقق من صحة الملف مع وحدة تحكم النطاق أو خدمة السحابة؟
النظام يمنح الوصول.أقل من ثانيتين.
الخطوة الثالثة: عامل مزدوج محسن (إضافة عامل ثالث)
من أجل زيادة الأمن، يمكن ربط قدرات المحطة:
سيناريو:الوصول إلى باب غرفة الخادم.
العامل 1 (لديها):الموظف يضغط علىشارة RFID/NFC(تقرأ بواسطة القارئ المدمج في المحطة).
العامل 2 (أين):الموظف ثم التحقق معويندوز هيلو البيومترية(البصمة / الوجه) على نفس المحطة.
النتيجة:أأوراق الاعتماد ذات عاملينيتم التحقق من صحة (شارة + بيومتري) قبل أن ترسل المحطة أمر إطلاق الباب عبر إدخالها أو شبكتها.
بدون كلمة مرور و مضاد للفيشينجيزيل مخاطر كلمات المرور الضعيفة أو المستخدمة مجددًا أو المسروقة. المفتاح الخاص غير قابل للتصدير.
أمان قوي مرتبط بالأجهزة:يتم ربط بيانات الاعتماد بـ TPM من المحطة المحددة ، مما يمنع التكرار أو الاستخدام من جهاز آخر.
الإدارة المركزية عبر نظام مايكروسوفت الإيكولوجي:يمكن لمسؤولي تكنولوجيا المعلومات إدارة السياسات عن طريق:
مايكروسوفت Intune / Endpoint Manager:للتنفيذ القائم على السحابة وإنفاذ السياسة.
سياسة المجموعة:لبيئات Active Directory المحلية.
يمكن للسياسات أن تفرض البيومترية، والتحكم في رقم PIN الاحتياطي، وتحديد عتبات الأمان.
تجربة المستخدم السلسة:يوفر تجربة سريعة ومتسقة "المشاهدة والفتح" عبر أجهزة ويندوز والموارد (أجهزة الكمبيوتر الشخصية والتطبيقات ومواقع الويب عبر FIDO2).
قابلية التوسع والامتثال:مثالية للمؤسسات التي تحتاج إلى تلبية المعايير مثلNIST، HIPAA، أو GDPRوالتي تتطلب مصادقة قوية متعددة العوامل.
دخول محطة عمل آمنة:مثبتة في المكاتب أو محطات العمل المشتركة، تحل محل إدخال كلمة المرور.
مراقبة الوصول الفيزيائية:تعمل كقارئ بيانات الاعتماد للأبواب/البوابات، حيث تستبدل البيومترية بطاقات الوصول أو تعززها.
الوقت والحضور:توفير دليل غير قابل للرد على الوجود للحصول على سجلات الرواتب الحساسة أو السجلات المتعلقة بالامتثال
إمكانية الوصول إلى البنية التحتية للمكتب الافتراضي:بمثابة نقطة نهاية عميل رقيقة آمنة حيث يفتح البيومتريات جلسة سطح المكتب الافتراضي
تطبيقات وضع الصالة:في البيئات ذات الأمن العالي (مثل المختبرات والصيدليات) حيث يتم حظر الوصول إلى تطبيقات الصالات بواسطة البيومترية للموظفين.
دمج10محطة بيومترية من ويندوزمعويندوز هالو للأعماليخلق ركيزة مصادقة قوية وسهلة الاستخدام للمؤسسة الحديثة.حيازة مادية لجهاز موثوق بهمعالهوية البيومترية المتأصلةلتلبية متطلبات المصادقة ذات العاملين الحقيقية. من خلال الاستفادة من إطار أمن مايكروسوفت الأصلي وحماية TPM على مستوى الأجهزة،تقوم المنظمات بنشر حل ليس فقط أكثر أمانا من كلمات المرور ولكن أيضا أبسط للمستخدمين وأسهل لIT لإدارة على نطاق واسعهذا يحول نقطة الوصول القياسية إلى بوابة ذكية لإنفاذ السياسات.
