Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

Windows Hello for Business w środowisku hybrydowym

Data publikacji: 20-12-2019 Autor: Michał Gajda
Rys. 1. Aktualizacja schematu...

Bezpieczeństwo tożsamości jest bardzo ważne również w tak trywialnych scenariuszach, jak logowanie się do własnego komputera. Dzięki funkcji Windows Hello for Business możliwe jest zastosowanie alternatywnych form logowania się do komputera z wykorzystaniem kont służbowych.

 

Logowanie do stacji roboczej to standardowy proces, który wykonujemy praktycznie za każdym razem, gdy zamierzamy skorzystać z komputera. Klasyczny proces logowania bazuje na podaniu loginu użytkownika oraz jego indywidualnego hasła. Niestety, jak się można domyślić, wspomniane elementy mogą być łatwo podejrzane przez nieuprawnione do tego osoby. W rezultacie ktoś obcy może uzyskać dostęp nie tylko do komputera, ale również do wszystkich danych dostępnych z poziomu danego konta. Rozwiązaniem wspomnianego problemu może być zastosowanie wieloskładnikowego uwierzytelniania w procesie logowania do stacji roboczych z systemem Windows 10. Funkcja, która daje takie możliwości, nosi nazwę Windows Hello for Business i w zależności od potrzeb może być wdrażana w różnych konfiguracjach. W niniejszym artykule skupimy się głównie na wdrożeniu Windows Hello for Business w bardzo popularnych dziś środowiskach hybrydowych.

 

> WINDOWS HELLO FOR BUSINESS

 

Funkcja Windows Hello for Business wykorzystuje zupełnie nowe mechanizmy uwierzytelniania. Mogą się one opierać na biometrii, w której składnik logowania to na przykład wzór linii papilarnych użytkownika lub jego twarz. Biometria jest obecnie jednym z najpopularniejszych mechanizmów weryfikacji tożsamości, jednakże zwykle wymaga posiadania odpowiedniego sprzętu: czytnika linii papilarnych czy odpowiedniej kamery IR, która może rozpoznawać twarz w trzech wymiarach i której nie da się oszukać tak łatwo jak zwykłej kamery. Jeżeli komputer nie posiada wbudowanych komponentów sprzętowych tego typu, zawsze można je dokupić jako zewnętrzne peryferia. Koszt średniej klasy czytnika linii papilarnych podłączanego za pośrednictwem interfejsu USB to około 100 zł.


Jeżeli jednak odpowiedniego sprzętu brakuje, a nie chcemy ponosić dodatkowych kosztów, możliwe jest skorzystanie z innej możliwości – PIN-u. W przeciwieństwie do klasycznego procesu logowania za pomocą silnego hasła PIN nie musi być aż tak skomplikowany. Domyślnie PIN może być nawet ciągiem kilku cyfr. Oczywiście akceptowane są również przykłady skomplikowanych form z zastosowaniem liter różnej wielkości czy znaków specjalnych, ale pierwotnym założeniem PIN-u była prostota i umożliwienie użytkownikom logowania się za pomocą łatwego do zapamiętania składnika. PIN zawsze jest powiązany wyłącznie z konkretnym urządzeniem. Jeżeli ktoś przechwyci PIN, nie zaloguje się nim do konta ofiary na innym urządzeniu. Do uzyskania nieuprawnionego dostępu konieczny jest fizyczny dostęp do konkretnego komputera. Ponadto PIN jest powiązany ze stacją roboczą, a nie z kontem. W rezultacie przy większej liczbie urządzeń dla każdego z nich może być zastosowany odrębny PIN, który docelowo i tak zaloguje użytkownika na jego konto.


W procesie uwierzytelniania rezultatem takiego stanu rzeczy jest brak konieczności przesyłania PIN-u poza samą stację, na przykład do serwera. W przeciwieństwie do haseł dodatkowo zabezpiecza nas to przed przechwyceniem składnika logowania w ruchu sieciowym, gdyż zamiast PIN-u następuje jedynie wymiana samych kluczy uwierzytelniających. Dodatkowo PIN jest zabezpieczany sprzętowo, poprzez wsparcie układem Trusted Platform Module (TPM), który zawiera wiele wbudowanych mechanizmów bezpieczeństwa, jest odporny na manipulacje czy ataki złośliwego oprogramowania. Należy także wspomnieć, że PIN jest wymaganą alternatywą również dla wcześniej wspomnianych mechanizmów biometrii. Dzieje się tak w celu zabezpieczenia użytkownika przed utratą dostępu w przypadku awarii sprzętu obsługującego daną formę uwierzytelniania biometrycznego, a także w sytuacji gdy uszkodzimy składnik logowania, np. poważnie zranimy się w ten palec, który wykorzystywany jest w procesie logowania.

 

[...]

 

Autor ma wieloletnie doświadczenie w administracji oraz implementowaniu nowych technologii w infrastrukturze serwerowej. Pasjonat technologii Microsoft. Posiada tytuł MVP Cloud and Datacenter Management. Autor webcastów, książek oraz publikacji w czasopismach i serwisach branżowych.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"