如何通过 Cloud Trust 实施 Windows Hello 企业版

---

如今，多重身份验证几乎已成为标准，但对于我们的 Windows 设备，我们大多数人仍然只使用用户名和密码。强密码的问题在于它们有时很难记住，并且用户经常在多个站点上重复使用它们。 Windows Hello 企业版在 Windows 设备上使用双因素身份验证替换密码。

使用 Windows Hello 企业版进行身份验证时，我们可以使用生物识别技术（指纹或面部识别）或 PIN 码登录。这与设备上的内置 TPM 芯片相结合，可提供两步登录。我们甚至可以借助可信信号将其扩展到多因素。

在本文中，我们将了解 Windows Hello 企业版的工作原理、如何实现以及如何配置多重解锁（推荐）。

Windows Hello 企业版 - 基础

Windows Hello 企业版 (WHfB) 通过设备上的双因素身份验证取代了对难记的强密码的需求。身份验证通过生物识别或 PIN 完成，并与设备绑定。这意味着需要在用户使用的每台设备上配置 Windows Hello 企业版。

双因素身份验证是由用户已知的信息（PIN 或生物识别）和用户拥有的信息（设备中的 TPM 芯片生成的密钥）创建的。两者的组合将发送到身份提供商 Azure AD，以获取身份验证令牌。

通过使用动态解锁，Windows Hello 企业版甚至可以扩展到真正的多重身份验证。动态解锁允许您将 PIN/生物识别技术与可信信号（例如手机的蓝牙信号或网络信息）结合起来。

这使我们能够创建一个场景，其中用户在工作时（受信任的位置）只能使用指纹传感器登录，但在咖啡店工作时需要将手机放在附近或输入 PIN 作为第二因素。

PIN 码与密码

经常被问到的一个问题是 PIN 码如何比密码更安全。用于 Windows Hello 企业版的 PIN 只能存在多个，并且默认最小长度为 6 个字符。所以强密码听起来更安全，对吗？

两者之间的区别在于，密码可以在任何设备上使用，甚至可以在 Microsoft 365 的情况下在线使用。然而，PIN 码与特定设备绑定，因此当其他人知道您的 PIN 码时，他们仍然需要具有访问权限到您的设备以便能够登录您的帐户。

现在 PIN 本身的问题是它很容易通过肩窥而被盗。当您的计算机暂时无人看管时，其他人就可以通过这种方式访问您的设备。减轻这种风险的一个好方法是使用多重解锁。这使用可信信号（例如手机的蓝牙）来验证是否是您正在登录。

值得一提的是，不允许使用简单的 PIN 码。 Windows Hello 企业版使用一种算法来检查一位数字与下一位数字之间的恒定增量。这可以防止使用重复、连续和简单的模式。例如，不允许使用以下 PIN 模式：

• 1111

• 1234

• 第1357章

• 9630

• 第1593章

实施混合云信任

当您拥有混合环境、本地 Active Directory 和 Azure AD 时，云信任是 Microsoft 推荐的实施 Windows Hello 企业版的方法。与密钥信任或证书信任的旧方法相比，使用云信任实施 Windows Hello 企业版要容易得多。

为了实施 Cloud Trust，我们将使用 PowerShell 设置 Azure AD Kerberos。为了将其部署在我们将使用组策略的设备上。

要求

要使用新的 Cloud Trust 方法，您必须确保满足以下要求：

• 启用多重身份验证

• 至少 Windows 10 21H2 或 Windows 11

• 已完全修补的 Windows Server 2016 或更高版本域控制器

创建 Azure AD Kerberos 服务器对象

第一步是在我们的域中启用 Azure AD Kerberos。这将在您的 Active Directory 中创建一个只读域控制器对象，并用于生成用于本地身份验证的 TGT（票证授予票证）。如果您想了解更多有关其工作原理的信息，请务必阅读 Microsoft 的这篇技术深入探讨。

如果您在环境中使用无密码 SSON，则您可能已经部署了 Azure AD Keberos。在这种情况下，您不需要重新部署它。

要安装 Azure AD Kerberos，我们将使用 PowerShell。确保您拥有 Azure AD 的全局管理员帐户和本地 AD 的域管理员帐户。

1. 在域控制器上，打开 Windows PowerShell（管理员）

2. 安装Azure AD Keberos PowerShell 模块：

# Ensure TLS 1.2 for PowerShell gallery access.
[Net.ServicePointManager]::SecurityProtocol = [Net.ServicePointManager]::SecurityProtocol -bor [Net.SecurityProtocolType]::Tls12

# Install the module
Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber

接下来，我们将创建 Kerberos 服务器对象。为此，我们需要管理员帐户，以便我们在 Active Directory 中创建对象并验证我们的租户。如果您在域控制器上运行 PowerShell 命令，则无需输入本地管理员凭据（请参阅下面的示例 2）。

我假设您正在为 Azure AD 环境使用现代身份验证，如果没有，请确保配置它！通过以下方法，系统将提示您进行身份验证，从而允许您使用多重身份验证。

# Get your domain
$domain = $env:USERDNSDOMAIN

# Enter a domain administrator username and password.
$domainCred = Get-Credential

# UserPrincipalName of an Azure AD Global Administrator
$userPrincipalName = "[email "

# Create the new Azure AD Kerberos Server object in Active Directory
Set-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName -DomainCredential $domainCred

示例 2 - 在域控制器上运行脚本：

# Get your domain
$domain = $env:USERDNSDOMAIN

# UserPrincipalName of an Azure AD Global Administrator
$userPrincipalName = "[email "

# Create the new Azure AD Kerberos Server object in Active Directory
Set-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName

完成后，您将在域控制器 OU 的 Active Directory 中找到 AzureADKerberos 计算机对象：

我们还可以使用 PowerShell 验证配置，但您可能需要再次进行身份验证才能查看详细信息：

Get-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName

使用组策略配置 Windows Hello 企业版

在混合环境中，我们可以使用组策略在设备上配置 Windows Hello 企业版。因为我们使用的是Cloud Trust方法，所以只能使用计算机配置设置。这意味着该策略需要分配给计算机，而不能分配给用户。

1. 在组策略管理中创建新策略，例如CPO_Enable_WHfB

2. 编辑策略并导航至：
   策略> 管理模板> Windows 组件> Windows企业您好

3. 启用以下设置

4. 使用云信任进行本地身份验证

5. 使用硬件安全设备

这三个设置是在混合环境中使用 Windows Hello 企业版所需的基础。确保首先将策略分配给具有测试计算机的 OU。对于推出，您可以在“使用 Windows Hello 企业版”设置下启用“登录后不启动 Windows Hello 配置”选项。这样，用户在登录后就不会立即收到提示，并允许他们在适合自己的时候进行配置。

测试

配置策略并将其分配给包含计算机的 OU 后，就可以测试 Windows Hello 企业版实施了。第一步是确保客户端上加载了最新的策略。您可以使用 GPUpdate 命令强制更新或使用 RSOP 检查状态。

笔记

Active Directory 中帐户、服务器、备份或打印操作员组成员的用户将无法使用 WHfB。这些组受 AdminSDHolder 保护，并且属性 adminCount 设置为 1。根据设计，这些帐户的某些属性不会同步到 Azure AD

如果您关闭了“登录后不启动 Windows Hello 配置”选项，则下次登录计算机时，系统将提示您显示 Windows Hello 设置屏幕。

设置指纹后，您必须添加 PIN。 PIN 码始终是必需的，可在指纹传感器不起作用的情况下使用，或作为多因素解锁场景中的第二个身份验证因素。

用户首先需要完成 MFA 请求，以验证用户的身份。发出 MFA 请求后，我们可以配置 PIN

在设备上配置 Windows Hello 企业版的登录方法后，最多可能需要 30 分钟才能生效。原因是 Azure AD Connect 工具首先需要同步必要的属性。您可以在安装了 Azure AD Connect 客户端的服务器上使用以下 PowerShell 命令强制同步 Azure AD：

Start-ADSyncSyncCycle -PolicyType Delta

您还可以通过检查用户帐户中的 msDS-KeyCredentialLink 属性来验证密钥是否已同步回 Active Directory。

动态锁定

在您的租户中推出 Windows Hello 企业版时，我强烈建议您也配置动态锁。从安全角度来看，用户离开办公桌时确实应该锁定计算机。让计算机解锁会带来安全风险，有人可能会访问机密或隐私敏感信息。它还可以防止未经授权的人员更改数据。

对于大多数用户来说，锁定计算机并不是问题，只需按 Windows 键 + L 即可。但使用又长又强的密码来解锁却是阻碍用户的因素。但现在这不再是问题了，我们已经实现了用户只需触摸指纹传感器即可解锁计算机。

动态锁利用用户手机的蓝牙信号来判断用户是否在电脑附近。当信号太弱时，如果计算机空闲，它将锁定计算机。

笔记

动态锁仅在蓝牙信号丢失且计算机空闲时锁定计算机。这意味着，如果有人在系统锁定之前获得访问权限，计算机就不会锁定。因此，动态锁定功能并不能替代用户锁定计算机。它只会在用户忘记锁定时减少更改。

通过组策略启用动态锁定

要启用动态锁定，我们首先需要更改之前创建的策略：

1. 在组策略管理中编辑 Windows Hello 企业版策略

2. 导航至：
   策略> 管理模板> Windows 组件> Windows Hello 企业版

3. 启用设置：配置动态锁定因素

在策略设置中，您将看到动态锁定的信号规则。它包含以下默认值：

<rule schemaVersion="1.0"> <signal type="bluetooth" scenario="Dynamic Lock" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/> </rule> 

建议使用默认规则，但了解它的工作原理以及您有哪些选项也很有好处。那么让我们仔细看看 XML 规则。对于动态锁定功能，我们需要使用蓝牙设备，该设备由Type属性设置，scenario为动态锁定。这两个不能改。

默认情况下，Windows 将监视手机的蓝牙信号，该信号由 classOfDevice 属性值 512 指示。对于设备类别，还有其他可用选项。基本上，您可以使用任何可以与 Windows 配对的蓝牙设备，但最常用的设备是：

Phone

第512章

Peripheral

1280

Wearable

1792年

Uncategorized

7936

最后两个属性 rssiMin 和 rssiMaxDelta 说明有关信号强度的信息。 rssiMin表示设备在范围内所需的信号强度。默认值 -10 允许用户在平均大小的办公室中移动而无需锁定设备。 rssiMaxDelta确定一旦信号强度丢失超过-10，Windows 应如何锁定。

将您的手机与 Windows 配对

要进行动态锁定，用户需要将手机与 Windows 配对。蓝牙配对并不困难，只需打开“开始”并输入“蓝牙”即可。这将显示“蓝牙和其他设备”选项，您可以在其中添加蓝牙设备。将您的手机配对以使动态锁发挥作用。

您可以通过打开设置 > 帐户> 登录选项来验证客户端设备上的动态锁定。向下滚动一点，您将看到动态锁已启用并与您的手机配对。

多重解锁

登录 Windows 时，我们通常使用单因素登录、密码、PIN 或指纹。正如一开始提到的，PIN 码尤其容易因肩窥而被泄露。但密码也可能被泄露。攻击者可以使用这些被盗的凭据来访问您的系统。

借助 Windows Hello 企业版，我们可以添加一个额外的因素来解锁 Windows。对于第二个因素，您需要使用不同的凭据提供程序，然后使用第一个凭据提供程序。我们使用的一个额外选项是可信信号（稍后将详细介绍可信信号）。默认情况下，PIN 和可信信号用于第二个解锁因素。

要配置多因素解锁，我们将使用组策略。我们可以确定要使用哪些凭证提供者（PIN、指纹、面部识别、可信信号）作为第一和第二解锁因素。这些凭证提供者用 GUID 表示：

Credential ProviderGUIDFirst
unlock factorSecond
unlock factorPIN{D6886603-9D2F-4EB2-B667-1971041FA96B}XXFingerprint
{BEC09223-B018-416D-A0AC-523971B639F5}XXFacial Recognition
{8AF662BF-65A0-4D0A-A540-A338A999D36F}
XXTrusted Signal
(Phone proximity,
Network location){27FBDB57-B613-4AF2-9D7E-4FA7A66C21AD}
X

启用多重解锁

要在 Windows Hello 企业版中启用多重解锁，我们必须再次编辑组策略。

1. 在组策略管理中编辑 Windows Hello 企业版策略

2. 导航至：
   策略> 管理模板> Windows 组件> Windows Hello 企业版

3. 启用设置：配置动态解锁因素

动态解锁（多因素解锁）的默认配置如下。对于首次解锁，您可以使用以下凭据提供程序：

• PIN - {D6886603-9D2F-4EB2-B667-1971041FA96B}

• 指纹- {BEC09223-B018-416D-A0AC-523971B639F5}

• 人脸识别- {8AF662BF-65A0-4D0A-A540-A338A999D36F}

对于第二个解锁因素，您可以默认使用：

• 可信信号 - {27FBDB57-B613-4AF2-9D7E-4FA7A66C21AD}

• PIN - {D6886603-9D2F-4EB2-B667-1971041FA96B}

两者均使用 GUID 在策略设置中进行配置，GUID 之间以逗号分隔：

# First unlock
{D6886603-9D2F-4EB2-B667-1971041FA96B},{8AF662BF-65A0-4D0A-A540-A338A999D36F},{BEC09223-B018-416D-A0AC-523971B639F5}

# Second unlock
{27FBDB57-B613-4AF2-9D7E-4FA7A66C21AD},{D6886603-9D2F-4EB2-B667-1971041FA96B}

如果您还想添加面部识别作为第二个解锁因素，那么您只需将 GUID 添加到列表中即可：

# Trusted signal, PIN, Facial recognition
{27FBDB57-B613-4AF2-9D7E-4FA7A66C21AD},{D6886603-9D2F-4EB2-B667-1971041FA96B},{8AF662BF-65A0-4D0A-A540-A338A999D36F}

可信信号

第二个解锁因素最常见的选项是可信信号。其背后的想法是，您可以根据手机或可穿戴设备的蓝牙信号来测量用户是否靠近 Windows 设备。或者检查 Windows 设备是否位于受信任的网络中。

手机的蓝牙信号为默认选项。就像动态锁一样，我们有一个单行 XML 文件，可以在其中配置信号类型和设备类别。

<rule schemaVersion="1.0"> <signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/> </rule> 

现在，蓝牙在大多数用例中都表现良好，特别是与动态锁定功能结合使用。但蓝牙并不总是一种选择。台式电脑通常没有蓝牙适配器，或者用户不想将他们的（私人）移动设备与公司设备配对。可信信号的另一个选择是检查设备的网络环境。

例如，当设备位于办公室或连接到已知的无线网络时，我们可以根据网络或无线网络详细信息来满足可信信号。例如，我们可以检查 IP 范围、无线网络名称 (SSID)、接入点的 MAC 地址或 DNS 后缀。检查文档以了解所有可能的选项。

值得一提的是，您可以同时使用多个规则，这样您就可以检查蓝牙信号或网络详细信息。在验证网络时，您可以使用多个条件。

可信信号示例

现在我不会解释 ipConfig 和 Wifi 信号的所有可能选项，但我会给您一些可信信号的常用示例。

笔记

XML 配置必须是单行 xml。使用 XML 压缩器将 XML 压缩为一行。确保您只有 1 行！

在第一个示例中，我们将通过 IP 配置的 dnsSuffix 或蓝牙信号来验证可信信号。请注意，这两个规则用逗号分隔。现在下面的代码没有缩小，所以在使用它之前您需要缩小它。

<rule schemaVersion="1.0"> 
  <signal type="ipConfig"> 
    <dnsSuffix>a-d.site</dnsSuffix> 
  </signal> 
</rule>,
<rule schemaVersion="1.0">
  <signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</rule>

将代码复制并粘贴到 XML Beautifier 中，然后按 Minify XML。请注意，在结果中，我们仍然有 2 行，而不是一行！将光标放在第 1 行的逗号后面，然后按删除键。这会将 XLM 放在一行上。

在添加策略设置之前，XML 结果应如下所示：

<rule schemaVersion="1.0"><signal type="ipConfig"><dnsSuffix>a-d.site</dnsSuffix></signal></rule>,<rule schemaVersion="1.0"><signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/></rule>

您还可以使用 AND 元素检查两个或多个规则。例如，我们要检查无线网络名称（SSID）和IP范围。请注意规则元素下方的 AND 元素。在这种情况下，设备需要连接到无线网络 lazywifi 并分配有 192.168.0.x 范围内的 IP 地址

<rule schemaVersion="1.0">
<and>
  <signal type="ipConfig">
    <ipv4Prefix>192.168.0.0/24</ipv4Prefix>
  </signal> 
  <signal type="wifi">
    <ssid>lazywifi</ssid> 
  </signal>
</and>
</rule>

如果您有多个办公室，那么您可能需要检查不同的网络设置。在这些情况下，请确保为每个网络环境创建规则，例如：

<rule schemaVersion="1.0"> 
  <signal type="ipConfig"> 
    <ipv4Prefix>172.16.10.0/24</ipv4Prefix> 
  </signal> 
</rule>,
<rule schemaVersion="1.0"> 
  <signal type="ipConfig"> 
    <ipv4Prefix>172.16.30.0/24</ipv4Prefix> 
  </signal> 
</rule>,
<rule schemaVersion="1.0">
  <signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</rule>

问题排查

可信信号配置可能需要一些尝试和错误才能使其完美运行。请记住，政策变更可能需要一些时间才能反映在客户身上。因此，请确保使用 RSOP 实用程序检查是否应用了最新设置。在我自己的测试中，我注意到无线网络信号工作不可靠。一些客户端即使连接到正确的无线网络，也无法满足附加因素。

在客户端上对 Windows Hello 企业版进行故障排除时，请确保使用事件查看器。它可以完美地洞察 WHfB 正在使用哪些凭证提供商以及是否存在任何问题。您可以在事件查看器中的以下位置找到事件：
应用程序和服务日志 > Microsoft > Windows > HelloForBusiness > 操作

当使用多重解锁或也称为动态解锁时，您将在事件查看器中找到两个事件。第一个事件是第一个因素的解锁。在下面的示例中，我们看到我使用了指纹- {BEC09223-B018-416D-A0AC-523971B639F5} 作为凭据。 GUID列在A组中，因此我们可以成功使用它。

几秒钟后，我们看到第二个解锁因素事件。这里我们使用了可信信号 {27FBDB57-B613-4AF2-9D7E-4FA7A66C21AD}，它被列为 B 组中的提供商。

总结

与旧方法相比，使用 Cloud Trust 部署 Windows Hello 企业版非常简单。确保在组织中推广实施之前对其进行彻底测试。我见过新的 HP 笔记本电脑，其指纹传感器无法与开箱即用的 Windows Hello 企业版配合使用。大多数情况下，驱动程序更新可以修复该问题，但请确保测试组织中拥有的不同设备。

Windows Hello 企业版不仅是一项良好的安全改进，而且还使用户登录更加方便。这对您的组织的采用确实有帮助。

如果您有任何疑问，请在下面发表评论。