Windows hello for business provisioning will not be launched ошибка

Some Windows users have been looking for ways to disable Windows Hello after seeing a warning message inside the Event Viewer saying that “Windows Hello for Business provisioning will not be launched“. Affected users are reporting that they see constant errors of this kind (regardless if Windows Hello is being used or not). The issue is not specific to a particular Windows version as it’s reported to occur on Windows 7, Windows 8.1 and Windows 10.

What is causing the “Windows Hello for Business provisioning will not be launched“?

We investigated this particular issue by looking at various user reports and the repair strategies that most affected users have used to resolve this particular error message in Event Viewer. Based on our investigations, there are several different scenarios that are known to trigger this particular issue:

• Windows Hello for Business policy is Enabled – This Local Group Policy is known to cause constant Event Viewer errors related to Windows Hello. Most affected users have reported that the errors have stopped appearing once they used the Local Group Policy Editor or Registry Editor to disable it.
• Log Provide is enabled for Windows Hello – Log Provider needs to be enabled in order for the error events to be generated. You can also get rid of the error messages related to Windows Hello by disabling Log provisioning. But doing this is the equivalent of masking the issue instead of treating it.

If you’re looking for a method that will prevent the “Windows Hello for Business provisioning will not be launched” error from filling up your Event Viewer, this article will provide you with several troubleshooting strategies. Down below, you’ll discover several different repair strategies that other users in a similar situation have used to get the issue resolved.

For the best results, follow the methods in the order that they are presented since they are ordered by efficiency and severity. One of them is bound to resolve the issue in your particular scenario.

Method 1: Modify the Windows Hello policy

As some users have reported, there is one method that will allow you to enforce a policy on your machine that will ensure that the “Windows Hello for Business provisioning will not be launched” error will no longer fill up your Event Viewer.

There are two different policies that you need to adjust in order to ensure that the issue is resolved. Here’s how to modify the WIndows Hello policy in order to prevent the Event Viewer message from appearing again:

1. Press Windows key + R to open up a Run dialog box. Then, type “gpedit.msc” and press Enter to open up the Local Group Policy Editor.

   Note: If you get an error message while typing this command, it’s probably because your Windows version doesn’t include the Group Policy Editor. In this case, you can follow this article (here) to install the Local Group Policy Editor on Windows 10.

2. Once you get inside the Local Group Policy Editor, use the left-hand pane to navigate to the following location:
   Computer Configuration > Administrative Templates > Windows Components > Microsoft Passport for Work (or Windows Hello for Business).  Then, mover over to the right pane and double click on Use Microsoft Passport for Work (or Use Windows Hello for Business) and set the policy to Disabled.

   Note: In order to ensure that the error is preventing from appearing again, disable it from the following location also: User Configuration > Administrative Templates > Windows Components > Microsoft Passport for Work (or Windows Hello for Business )

3. Restart your computer and see if your Event Viewer has stopped showing errors about Windows Hello for Business.

If you’re still seeing new instances of the “Windows Hello for Business provisioning will not be launched” error or this method wasn’t applicable, move down to the next method below.

Method 2: Using Registry Editor to disable the PassportforWork policy

If the first method was not applicable or you didn’t want to the GPedit utility, you can replicate the same step from the Registry Editor.  This way, you’ll ensure that you’ll not see any new Event Viewer events with “Windows Hello for Business provisioning will not be launched” error.

But keep in mind that the change will only be applicable to one computer. If you’re experiencing the error on multiple computers from the same network, Method 1 is preferable.

Here’s what do to disable the PasswordforWork policy using the Registry Editor:

1. Press Windows key + R to open up a Run dialog box. Then, type “regedit” and press Enter to open up the Registry Editor. When prompted by the UAC (User Account Control), click Yes to grant administrative privileges.
2. Once you get inside the Registry Editor, use the left-hand side to navigate to the following location:
   ComputerHKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoft
3. When you reach that location, move over to the right-hand pane, right-click on a free space and choose New > Dword (32-bit) value and name it PassportForWork.
4. Double-click on PasswordForWork and set the value data to 0 to disable Windows Hello for Business and click Ok to confirm.
5. Close Registry Editor and restart your computer to see if this procedure has been successful.

At the next startup, check your Event Viewer and see if there are new “Windows Hello for Business provisioning will not be launched” error. If you’re still seeing new error events, move down to the next method below.

Method 3: Disabling the Log Provider for Windows Hello

Another reason why you might see constant Event Viewer events with the message “Windows Hello for Business provisioning will not be launched” error is that your machine doesn’t have the necessary hardware to logging on with Hello.

In this case, the only applicable method is to follow the steps below to disable the Log Provider for Windows Hello. This will stop any associated events from being logged, which will spare you from receiving any new error messages in Event Viewer.

Note: Keep in mind that this method will only mask the problem, not fix it. So even if you’ll stop receiving  “Windows Hello for Business provisioning will not be launched” errors, it will be because the Log Provide will be disabled not because the issue was resolved.

Here’s a quick guide on disabling Log Provider for Windows Hello via Registry Editor:

1. Press Windows key + R to open up a Run dialog box. Then, type “regedit” and press Enter to open up Registry Editor.
2. Inside the Registry Editor, use the navigation bar (left-hand side pane)  to paste the following location and get there instantly or navigate to it manually:
   ComputerHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlWMIAutologgerEventLog-Application{23b8d46b-67dd-40a3-b636-d43e50552c6d}
3. Once you get there, move over to the right-hand side and double-click on the Enable DWORD. Next, set the Enable DWORD to 0 in order to disable the log provider for Windows Hello.
4. Close the Registry Editor and restart your computer to force the changes to take effect.
5. At the next startup, you should no longer see new Event Viewer errors related to Windows Hello.

Некоторые пользователи Windows искали способы отключить Windows Hello после того, как увидели предупреждающее сообщение в Event Viewer , в котором говорилось, что « подготовка Windows Hello для бизнеса не будет будет запущен ». Затронутые пользователи сообщают, что они постоянно видят подобные ошибки (независимо от того, используется ли Windows Hello или нет). Проблема не связана с конкретной версией Windows, поскольку, как сообщается, возникает в Windows 7, Windows 8.1 и Windows 10.

В чем причина того, что « подготовка к работе с Windows Hello для бизнеса не запускается »?

Мы исследовали эту конкретную проблему, изучив различные отчеты пользователей и стратегии исправления, которые использовали большинство пострадавших пользователей для устранения этого конкретного сообщения об ошибке в средстве просмотра событий. На основании наших исследований известно, что существует несколько различных сценариев, вызывающих эту конкретную проблему:

Если вы ищете метод, который предотвратит « Подготовка Windows Hello для бизнеса не будет запущена »при заполнении окна просмотра событий, эта статья предоставит вам несколько стратегий устранения неполадок. Ниже вы найдете несколько различных стратегий восстановления, которые другие пользователи в аналогичной ситуации использовали для решения проблемы.

Для достижения наилучших результатов следуйте методам в том порядке, в котором они представлены. так как они упорядочены по эффективности и серьезности. Один из них обязательно решит проблему в вашем конкретном сценарии.

Метод 1. Измените политику Windows Hello

Как некоторые пользователи сообщили, что есть один метод, который позволит вам применить политику на вашем компьютере, которая гарантирует, что ошибка « Windows Hello для бизнеса не будет запущена » больше не будет отображаться включите вашу Средство просмотра событий .

Есть две разные политики, которые вам нужно настроить, чтобы убедиться, что проблема решена. Вот как изменить политику WIndows Hello, чтобы предотвратить повторное появление сообщения средства просмотра событий:

1. Нажмите клавишу Windows + R , чтобы открыть открыть диалоговое окно Выполнить . Затем введите « gpedit.msc » и нажмите Enter , чтобы открыть редактор локальной групповой политики .

   Примечание. Если при вводе этой команды вы получаете сообщение об ошибке, возможно, это связано с тем, что ваша Windows версия не включает редактор групповой политики. В этом случае вы можете следовать этой статье ( здесь ), чтобы установить редактор локальной групповой политики в Windows 10.

2. Как только вы попадете внутрь Редактор локальной групповой политики , используйте левую панель, чтобы перейти в следующее место:
   Конфигурация компьютера> Административные шаблоны> Компоненты Windows> Microsoft Passport for Work (или Windows Hello для бизнеса). Затем наведите курсор на правую панель и дважды щелкните Использовать Microsoft Passport for Work (или Использовать Windows Hello для Business ) и установите для политики значение Disabled.

   Примечание. Чтобы предотвратить повторное появление ошибки, отключите ее также в следующем месте: Конфигурация пользователя> Административные шаблоны> Компоненты Windows> Microsoft Passport for Work (или Windows Hello для бизнеса)

3. Перезагрузите компьютер и посмотрите, перестала ли ваша Средство просмотра событий отображать ошибки о Windows Hello для бизнеса.

Если вы по-прежнему видите новые экземпляры « Windows Hello для бизнеса, подготовка не будет запущена »Или этот метод неприменим, перейдите к следующему методу ниже.

Windows Hello for Business provisioning will not be launched — что это?

Приветствую. Windows Hello for Business provisioning will not be launched — сообщение в журнале событий, переводится как подготовка Windows Hello для бизнеса не будет запущена.

Начинаем разбираться

Собственно вопрос — как отключить данное предупреждение? На форуме Microsoft нашел способ — работает он или нет, к сожалению сказать не могу, у меня нет такого предупреждения. Как я понимаю — нужно отключить Windows Hello for Business, и это сделать можно через Редактор локальной группой политики. Итак, зажимаем кнопки Win + R, пишем в окошко команду:

Откроется редактор. Переходим сюда: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Windows Hello для бизнеса:

В этом разделе, справа будут настройки:

В результате должно получится так:

Если у вас в этом окне будет больше трех опций — попробуйте и их отключить.

Важно! Оказалось настройка есть также и в разделе Конфигурация пользователя. То есть путь такой же, но только Конфигурация пользователя:

У меня лично здесь опций нет:

Будут опции — пробуйте отключать.

На форуме Ru Board был найден еще один способ

Один юзер на форуме написал — если отключение Windows Hello for Business не помогает, попробуйте в реестре отключить. Запустите реестр — зажмите Win + R, напишите команду:

Перейдите по этому адресу:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionWINEVTChannelsMicrosoft-Windows-User Device Registration/Admin

Два раза нажимаем по параметру Enabled:

Значение меняем на 0:

Данный способ был написан на форуме 12-12-2017, работает ли он сейчас — неизвестно. Надеюсь — работает.

Надеюсь информация помогла. Удачи.

Добавить комментарий Отменить ответ

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

Источник

Вопрос

I am consistently getting a warning in Event Viewer with Event ID 360. I have tried disabling Windows Hello for Business in gpedit.msc but the warning event still appears. Is there a way to completely disable Windows Hello for Business on my PC? Also, is it safe to completely disable Windows Hello for Business on my PC? Someone suggested that I ask the question hear.

The General Notes of the Warning state:

Windows Hello for Business provisioning will not be launched.

Device is AAD joined ( AADJ or DJ++ ): Not Tested
User has logged on with AAD credentials: No
Windows Hello for Business policy is enabled: Not Tested
Windows Hello for Business post-logon provisioning is enabled: Not Tested
Local computer meets Windows hello for business hardware requirements: Not Tested
User is not connected to the machine via Remote Desknbsp;
User certificate for on premise auth policy is enabled: Not Tested
Machine is governed by none policy.
See https://go.microsoft.com/fwlink/?linkid=832647 for more details.

Anyone have a resolution to this warning?

My Computer info is as follows:

OS Name Microsoft Windows 10 Pro for Workstations

Источник

Windows Hello для бизнес-известных проблем развертывания

Содержимое этой статьи поможет устранить проблемы и устранить известные проблемы развертывания для Windows Hello для бизнеса. В каждой из приведенной ниже проблемы описывается применимый тип развертывания Windows версии.

Сброс ПИН-кода на устройствах для присоединяться к Azure AD сбой с ошибкой «Мы не можем открыть эту страницу прямо сейчас»

Сброс ПИН-кода на присоединитых устройствах Azure AD использует поток, называемый веб-входом, для проверки подлинности пользователя над блокировкой. Веб-вход позволяет навигацию только для определенных доменов. Если он пытается перейти к домену, который не разрешен, он покажет страницу с сообщением об ошибке «Мы не можем открыть эту страницу прямо сейчас».

Определение проблемы с разрешенными доменами Azure AD, присоединившись к PIN-коду

Пользователь может запустить поток сброса ПИН-кода сверху с помощью ссылки «Я забыл ПИН-код» в поставщике учетных данных ПИН-кода. Выбор этой ссылки запустит полный пользовательский интерфейс экрана для работы с ПИН-кодом на устройствах Azure AD Join. Обычно в этом пользовательском интерфейсе будет отображаться страница сервера проверки подлинности Azure, на которой пользователь будет проверить подлинность с помощью учетных данных Azure AD и завершить многофакторную проверку подлинности.

В федерационных средах проверка подлинности может быть настроена для маршрутизации в AD FS или стороннее поставщика удостоверений. Если поток сброса ПИН-кода запущен и будет предпринята попытка перейти на страницу поставщика удостоверений на федератированной странице поставщика удостоверений, она сбой и отобразит ошибку «Мы не можем открыть эту страницу прямо сейчас», если домен для страницы сервера не включен в список допустимых.

Если вы клиент облачного правительства Azure в США, сброс ПИН-кода также будет пытаться перейти к домену, который не включен в список допуска по умолчанию. Это приводит к «Мы не можем открыть эту страницу прямо сейчас».

Решение проблемы разрешенных доменов Azure AD со сброшенным ПИН-кодом

Гибридный логотип trust Key Broken Due to User Public Key Deletion

В гибридных развертываниях доверия ключей с контроллерами доменов, работающими с определенными сборками Windows Server 2016 и Windows Server 2019, ключ Windows Hello для бизнеса удаляется после их регистрации. Последующие входы не будут синхронизированы до синхронизации ключа пользователя во время следующего цикла синхронизации Подключение Azure AD.

Определение проблемы удаления общедоступных ключей пользователя

После того как пользователь Windows Hello учетные данные для бизнеса в гибридной среде доверия ключей, ключ должен синхронизироваться с Azure AD на AD во время цикла синхронизации Подключение Azure AD. Общедоступный ключ пользователя будет записан на атрибут msDS-KeyCredentialLink объекта пользователя.

Прежде чем синхронизировать Windows Hello пользователя для бизнеса, вход с Windows Hello для бизнеса не удастся с сообщением об ошибке: «Этот параметр временно недоступен. На данный момент, пожалуйста, используйте другой метод, чтобы войти». После успешной синхронизации пользователь должен иметь возможность входа и разблокирования с помощью ПИН-кода или зарегистрированных биометрических данных.

В средах, на которые повлияла эта проблема, после первой регистрации Windows Hello для бизнеса после завершения предварительной регистрации следующая попытка регистрации завершится неудачей. В средах, где контроллеры домена запускают сочетание сборки, только некоторые из них могут влиять на эту проблему, и последующие попытки логотипа могут быть отправлены различными контроллерами домена. Это может привести к сбоям при входе.

После начальной попытки логотипа Windows Hello для бизнеса общедоступный ключ пользователя удаляется из атрибута msDS-KeyCredentialLink. Это можно проверить, запросив атрибут msDS-KeyCredentialLink пользователя до и после регистрации. MsDS-KeyCredentialLink можно задать запрос в AD с помощью Get-ADUser и указать msds-keycredentiallink для параметра -Properties.

Решение проблемы удаления общедоступных ключей пользователя

Чтобы устранить это поведение, Windows Server 2016 и контроллеры домена 2019 до последних исправлений. Для Windows Server 2016 это поведение фиксируется в сборке 14393.4104(KB4593226)и более поздней. Для Windows Server 2019 это поведение фиксируется в сборке 17763.1637(KB4592440).

Windows Hello для бизнеса для многих операций используется проверка подлинности на основе смарт-карт. Смарт-карта имеет специальные рекомендации при использовании сторонней ЦС для выдачи сертификатов, некоторые из которых применяются к контроллерам домена. Не все Windows Hello бизнес-типы развертывания требуют этих конфигураций. Для доступа к локальному ресурсу с устройства Azure AD Joined требуется специальная конфигурация при использовании сторонних ЦС для выдачи сертификатов контроллера домена.

Дополнительные сведения можно получить в руководстве по включаю логотип смарт-карт с сторонними органами сертификации.

Определение проблем локального доступа к ресурсам с помощью сторонних ЦС

Эту проблему можно определить с помощью сетевых трассировок или ведения журнала Kerberos от клиента. В сетевом следе клиент не сможет TGS_REQ запроса при попытке пользователя получить доступ к ресурсу. Это можно наблюдать в журнале событий операции Kerberos в журнале Application and Services/Microsoft/Windows/Security-Kerberos/Operational. Эти журналы отключены по умолчанию. Событие сбоя в этом случае будет включать следующие сведения:

Решение проблемы локального доступа к ресурсам с помощью сторонних ЦС

Чтобы устранить эту проблему, необходимо обновить сертификаты контроллера домена, чтобы объект сертификата был содержит путь каталога объекта сервера (отличительное имя). Пример: CN=DC1 OU=Domain Controller, DC=ad, DC=contoso, DC=com

Кроме того, можно установить альтернативное имя субъекта (SAN) сертификата контроллера домена, чтобы содержать полное доменное имя объекта сервера и имя NETBIOS домена. Пример альтернативного имени субъекта: dns=dc1.ad.contoso.com dns=ad.contoso.com dns=ad

Проверка подлинности key Trust Broken for Windows Server 2019

Контроллеры доменов, работающие в ранних версиях Windows Server 2019, имеют проблему, которая не позволяет правильно работать при проверке подлинности ключей доверия. Отчет о отслеживании сетей KDC_ERR_CLIENT_NAME_MISMATCH.

Определение проблемы проверки подлинности ключей Server 2019

В клиенте проверка подлинности с Windows Hello для бизнеса не будет работать с сообщением об ошибке: «Этот параметр временно недоступен. На данный момент, пожалуйста, используйте другой метод, чтобы войти».

Эта ошибка обычно представлена на гибридных устройствах Azure AD, присоединив их к ключевым развертываниям доверия Windows Hello для бизнеса, но до синхронизации ключа пользователя из Azure AD в AD. Если ключ пользователя синхронизирован с Azure AD, а атрибут msDS-keycredentiallink на объекте пользователя в AD заполнен для NGC, то не исключено, что этот случай ошибки имеет место.

Другой индикатор этого случая сбоя можно определить с помощью сетевых трассировок. Если трассировка сети захвачена для события регистрации ключа доверия, следы будут показывать ошибку kerberos с ошибкой KDC_ERR_CLIENT_NAME_MISMATCH.

Решение проблемы проверки подлинности ключей server 2019

Эта проблема была исправлена в Windows Server 2019, сборке 17763.316(KB44870444). Обновление всех контроллеров Windows Server 2019 до Windows Server 2019, сборка 17763.316 или более новая для решения этого поведения.

Подготовка сертификата доверия с помощью AD FS, сломанной на Windows Server 2019

AD FS, запущенная на Windows Server 2019, не может завершить проверку подлинности устройств должным образом из-за недействительной проверки входящих областей запроса. Проверка подлинности устройств в AD FS является требованием для Windows Hello для бизнеса для регистрации сертификата с помощью AD FS. Клиент будет блокировать Windows Hello для бизнеса, пока эта проверка подлинности не будет успешной.

Определение доверия сертификата с проблемой регистрации AD FS 2019

При успешном наборе необходимых проверок, которые клиент Windows Hello для бизнеса, будет запущена подготовка. Результаты проверки provisioningAdmin доступны в журналах событий в microsoft-Windows-User Device Registration. Если подготовка заблокирована из-за того, что проверка подлинности устройств не была успешной, в журналах будет иметься ИД события 362, в который будет заявляться, что пользователь успешно прошел проверку подлинности для корпоративной stS: Нет.

Если устройство недавно присоединилось к домену, может возникнуть задержка до проверки подлинности устройства. Если неудалось состояние этой проверки предварительных условий, это может указывать на проблему с конфигурацией AD FS.

Если эта проблема области AD FS присутствует, журналы событий на сервере AD FS указывают на сбой проверки подлинности от клиента. Эта ошибка будет внесена в журналы событий под AD FS/Admin в качестве ИД события 1021, и событие укакует, что клиенту запрещен доступ к ресурсу с областью http://schemas.microsoft.com/ws/2009/12/identityserver/selfscope «ugs»:

Разрешение доверия сертификата с проблемой регистрации AD FS 2019

Эта проблема устранена в Windows Server, версии 1903 и более поздней версии. Для Windows Server 2019 эту проблему можно устранять, добавив область ugs вручную.

Запуск консоли управления AD FS. Просмотрите описание области > services.

Правой кнопкой мыши Описание области и выберите Добавить Описание области.

Под названием типа ugs и нажмите кнопку Применить > ОК.

Запустите PowerShell в качестве администратора.

Получите objectIdentifier разрешения приложения с параметром ClientRoleIdentifier, равным «38aa3b87-a06d-4817-b275-7a316988d93b»:

Перезапустите службу AD FS.

Клиент: перезапустите клиент. Пользователь должен быть предложено Windows Hello для бизнеса.

Источник

Управление проверкой личности с помощью Windows Hello для бизнеса

Делимся с вами обзорным материалом про службу Windows Hello, обеспечивающую двухфакторную проверку на Windows 10. Также вы узнаете, чем она будет полезна для крупных компаний, почему стоит выбирать PIN-код, а не пароль и как её настроить.

Windows Hello — что это и зачем?

В Windows 10 служба Windows Hello для бизнеса заменяет пароли на строгую двухфакторную проверку подлинности на компьютерах и мобильных устройствах. Она заключается в создании нового типа учетных данных пользователя в привязке к устройству, использовании биометрических данных или PIN-кода.

В первых версиях Windows 10 были службы Microsoft Passport и Windows Hello, которые обеспечивали многофакторную проверку подлинности. Чтобы упростить развертывание и расширить возможности поддержки, Microsoft объединила эти технологии в единое решение — Windows Hello. Если вы уже выполнили развертывание этих технологий, то вы не заметите никаких изменений в функционировании служб. Для тех, кому еще предстоит оценить работу Windows Hello, выполнить развертывание будет гораздо проще благодаря упрощенным политикам, документации и семантике.

Служба Hello призвана решать типичные проблемы пользователей, возникающие при работе с паролями:

После начальной двухэтапной проверки при регистрации на вашем устройстве настраивается служба Hello, и вы сами устанавливаете жест, который может быть как биометрическим, например отпечатком пальца, так и PIN-кодом. Далее необходимо сделать жест для проверки своего удостоверения. После этого Windows использует Hello для проверки подлинности и предоставления им доступа к защищенным ресурсам и службам.

От имени администратора компании или общеобразовательной организации можно создать политики управления Hello для использования на устройствах под управлением Windows 10, которые подключаются к вашей организации.

Разница между Windows Hello и Windows Hello для бизнеса

Windows Hello предназначена для удобного и безопасного входа пользователя. Такое использование Hello обеспечивает отдельный уровень защиты, так как является уникальным для устройства, на котором настраивается, однако проверка подлинности на основе сертификатов при этом отсутствует.

Служба Windows Hello для бизнеса, которая настраивается групповой политикой или политикой MDM, использует проверку подлинности на основе ключа или сертификата.

В настоящее время в учетных записях Active Directory с использованием Windows Hello не поддерживается проверка подлинности на основе ключа или сертификата. Эта функция должна появиться в будущем выпуске.

Почему PIN-код, а не пароль?

Пароли представляют собой общие секреты, они вводятся на устройстве и передаются по сети на сервер. Перехваченные имя и пароль учетной записи могут быть использованы кем угодно. Например, учетные данные могут быть раскрыты при взломе сервера.

В Windows 10, в процессе подготовки, служба Hello создает пару криптографических ключей, привязанных к доверенному платформенному модулю (TPM), если устройство оснащено таким модулем, или в программной реализации. Доступ к этим ключам и получение подписи для проверки того, что пользователь владеет закрытым ключом, предоставляется только при вводе PIN-кода или биометрического жеста. Двухэтапная проверка, которая происходит при регистрации в службе Hello, формирует доверительные взаимоотношения между поставщиком удостоверений и пользователем, когда открытая часть пары «открытый/закрытый ключ» отправляется поставщику удостоверений и связывается с учетной записью пользователя. Когда пользователь выполняет жест на устройстве, поставщик удостоверений определяет по комбинации ключей Hello и жеста, что это проверенное удостоверение, и предоставляет маркер проверки подлинности, с помощью которого Windows 10 получает доступ к ресурсам и службам. Кроме того, в процессе регистрации генерируется претензия по удостоверению для каждого поставщика удостоверений, чтобы криптографически подтвердить, что ключи Hello привязаны к TPM. Если претензия по удостоверению во время регистрации не выставляется поставщику удостоверений, поставщик удостоверений должен предполагать, что ключ Hello создан программно.

Представьте, что кто-то подсматривает через ваше плечо при получении денежных средств из банкомата и видит вводимый вами PIN-код. Наличие этого PIN-кода не поможет им получить доступ к учетной записи, так как у них нет банковской карты. Аналогичным образом перехват PIN-кода для устройства не позволяет злоумышленнику получить доступ к учетной записи, так как PIN-код является локальным для конкретного устройства и не обеспечивает никакого типа проверки подлинности с любого другого устройства.

Hello как раз позволяет защищать удостоверения и учетные данные пользователей. Так как пароли не используются, фишинг и атаки методом подбора становятся бесполезными. Эта технология позволяет также предотвратить взломы серверов, так как учетные данные Hello являются асимметричной парой ключей, что предотвращает атаки с повторяющимися пакетами, так как эти ключи защищены доверенными платформенными модулями (TPM).

Также можно использовать устройства с Windows 10 Mobile в качестве удаленных учетных данных при входе на ПК под управлением Windows 10. В процессе входа в систему ПК под управлением Windows 10 он может подключаться и получать доступ к Hello на вашем устройстве под управлением Windows 10 Mobile по Bluetooth. Поскольку мы всегда носим с собой телефон, Hello позволяет гораздо проще реализовать двухфакторную проверку подлинности.

Функция входа через телефон в данный момент доступна только отдельным участникам программы принятия технологий (TAP).

Так как же PIN-код помогает защитить устройство лучше, чем пароль?

Преимущества PIN-кода в сравнении с паролем связаны не с его структурой (длиной и сложностью), а с принципом работы.

1. PIN-код привязан к устройству. Злоумышленник, получивший доступ к паролю, может войти в учетную запись с любого устройства, но в случае кражи PIN-кода вход в учетную запись будет невозможен без доступа к соответствующему устройству.

2. PIN-код хранится на устройстве локально. Пароль передается на сервер и может быть перехвачен в процессе передачи или украден с сервера. PIN-код задается на устройстве на локальном уровне, не передается и не хранится на сервере. При создании PIN-кода устанавливаются доверительные отношения с поставщиком удостоверений и создается пара асимметричных ключей, используемых для проверки подлинности. При вводе PIN-кода ключ проверки подлинности разблокируется и используется для подтверждения запроса, отправляемого на сервер для проверки подлинности.

3. PIN-код поддерживается оборудованием. PIN-код Hello поддерживается микросхемой доверенного платформенного модуля (TPM), представляющей собой надежный криптографический процессор для выполнения операций шифрования. Эта микросхема содержит несколько механизмов физической защиты для предотвращения взлома, и вредоносные программы не могут обойти функции безопасности TPM. TPM применяется во всех телефонах с Windows 10 Mobile и во многих современных ноутбуках.

Материал ключа пользователя создается и становится доступным в доверенном платформенном модуле (TPM) на устройстве пользователя, что защищает материал от перехвата и использования злоумышленниками. Поскольку технология Hello подразумевает использование пар асимметричных ключей, учетные данные пользователей не будут похищены в случае нарушения безопасности поставщика удостоверений или веб-сайтов, к которым пользователь осуществляет доступ.

TPM защищает от множества известных и потенциальных атак, в том числе атак методом подбора PIN-кода. После определенного количества попыток ввода неправильного PIN-кода устройство блокируется.

4. PIN-код может быть сложным. К PIN-коду Windows Hello для бизнеса применяется тот же набор политик управления ИТ, что и к паролю, в том числе сложность, длина, срок действия и история изменений. Несмотря на уверенность большинства пользователей в том, что PIN-код представляет собой простой код из 4 цифр, администраторы могут устанавливать для управляемых устройств политики, предполагающие уровень сложности PIN-кода, сопоставимый с паролем. Вы можете сделать обязательными или запретить специальные знаки, буквы в верхнем и нижнем регистрах, а также и цифры.

Раздел меню настроек в котором задаются параметры PIN-кода и биометрия:

Что произойдет в случае кражи ноутбука или телефона?

Для нарушения безопасности учетных данных Windows Hello, защищаемых TPM, злоумышленнику нужно осуществить доступ к физическому устройству, найти способ похитить биометрические данные пользователя или подобрать PIN-код. Все это нужно сделать раньше, чем функциональный механизм защиты от взлома TPM заблокирует устройство. Для ноутбуков, не имеющих TPM, можно настроить дополнительную защиту, активировав BitLocker и ограничив количество неудачных попыток входа в систему.

Настройка BitLocker без TPM

С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику:

Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Шифрование диска BitLocker → Диски операционной системы → Требовать дополнительной проверки подлинности при запуске

В параметрах политики выберите Разрешить использование BitLocker без совместимого TPM, а затем нажмите кнопку ОК.

Перейдите в меню Панель управления → Система и безопасность → Шифрование диска BitLocker и выберите диск с операционной системой, который требуется защитить.

С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику: Конфигурация компьютера → Параметры Windows → Параметры безопасности → Политики учетных записей → Политика блокировки учетных записей → Пороговое значение блокировки.

Установите допустимое количество неудачных попыток входа в систему и нажмите ОК.

Как работает Windows Hello для бизнеса: основные положения

1. Учетные данные службы Hello основаны на сертификате или асимметричной паре ключей и привязаны к устройству, как и маркер, получаемый с помощью учетных данных.

2. Поставщик удостоверений (например, Active Directory, Azure AD или учетная запись Майкрософт) проверяет удостоверение пользователя и сопоставляет открытый ключ Hello с учетной записью пользователя на этапе регистрации.

3. Ключи могут генерироваться в аппаратном (TPM 1.2 или 2.0 для предприятий и TPM 2.0 для потребителей) или программном обеспечении на основании политики.

4. Проверка подлинности — это двухфакторная проверка с использованием сочетания ключа или сертификата, привязанного к устройству, и информации, известной пользователю PIN-код), или идентификационных данных пользователя (Windows Hello). Жест Hello не перемещается между устройствами и не предоставляется серверу. Он хранится локально на устройстве.

5. Закрытый ключ никогда не покидает устройство. Проверяющий подлинность сервер имеет открытый ключ, который был сопоставлен с учетной записью пользователя во время регистрации.

6. Ввод PIN-кода и биометрических жестов приводит к проверке удостоверения пользователя в Windows 10 и проверке подлинности с использованием ключей или сертификатов Hello.

7. Личные (учетная запись Майкрософт) или корпоративные учетные записи (Active Directory или Azure AD) использует один контейнер для ключей. Все ключи разделены по доменам поставщиков удостоверений в целях обеспечения конфиденциальности пользователя.

8. Закрытые ключи сертификатов могут быть защищены контейнером Hello и жестом Hello.

Сравнение проверки подлинности на основе ключа и сертификата

Для подтверждения личности служба Windows Hello для бизнеса может использовать ключи (аппаратный или программный) или сертификаты с ключами в аппаратном или программном обеспечении. Предприятия с инфраструктурой открытых ключей (PKI) для выпуска и управления сертификатами могут продолжать использовать PKI вместе со службой Hello. Предприятия, у которых нет PKI или которые хотят сократить объем работ, связанных с управлением сертификатами, могут использовать для службы Hello учетные данные на основе ключа.

Аппаратные ключи, которые создаются модулем TPM, обеспечивают наиболее высокий уровень гарантии. При изготовлении в модуль TPM помещается сертификат ключа подтверждения (EK). Этот сертификат EK создает корневое доверие для всех других ключей, которые генерируются в этом модуле TPM. Сертификация EK используется для генерации сертификата ключа удостоверения подлинности (AIK), выданного службой сертификации Microsoft. Этот сертификат AIK можно использовать как претензию по удостоверению, чтобы доказать поставщикам удостоверений, что ключи Hello генерировались одним и тем же TPM. Центр сертификации Майкрософт (CA) генерирует сертификат AIK для каждого устройства, пользователя и IDP, чтобы гарантировать защиту конфиденциальности.

Если поставщики удостоверений, например Active Directory или Azure AD, регистрируют сертификат в службе Hello, Windows 10 будет поддерживать тот же набор сценариев, что и смарт-карта. Если тип учетных данных представляет собой ключ, будет поддерживаться только доверие и операции на основе ключа.

Мы постарались написать для вас подробный и понятный туториал по работе со службой Windows Hello. Если у вас остались вопросы, задавайте в комментариях.

Источник

Windows Hello for Business provisioning will not be launched — что это?

Приветствую. Windows Hello for Business provisioning will not be launched — сообщение в журнале событий, переводится как подготовка Windows Hello для бизнеса не будет запущена.

Начинаем разбираться

Собственно вопрос — как отключить данное предупреждение? На форуме Microsoft нашел способ — работает он или нет, к сожалению сказать не могу, у меня нет такого предупреждения. Как я понимаю — нужно отключить Windows Hello for Business, и это сделать можно через Редактор локальной группой политики. Итак, зажимаем кнопки Win + R, пишем в окошко команду:

Откроется редактор. Переходим сюда: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Windows Hello для бизнеса:

В этом разделе, справа будут настройки:

В результате должно получится так:

Если у вас в этом окне будет больше трех опций — попробуйте и их отключить.

Важно! Оказалось настройка есть также и в разделе Конфигурация пользователя. То есть путь такой же, но только Конфигурация пользователя:

У меня лично здесь опций нет:

Будут опции — пробуйте отключать.

На форуме Ru Board был найден еще один способ

Один юзер на форуме написал — если отключение Windows Hello for Business не помогает, попробуйте в реестре отключить. Запустите реестр — зажмите Win + R, напишите команду:

Перейдите по этому адресу:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionWINEVTChannelsMicrosoft-Windows-User Device Registration/Admin

Два раза нажимаем по параметру Enabled:

Значение меняем на 0:

Данный способ был написан на форуме 12-12-2017, работает ли он сейчас — неизвестно. Надеюсь — работает.

Надеюсь информация помогла. Удачи.

Добавить комментарий Отменить ответ

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

Источник

how to disable Windows Hello for Business

I got this warning message on Event Viewer:

Windows Hello for Business provisioning will not be launched.
Device is AAD joined ( AADJ or DJ++ ): Not Tested
User has logged on with AAD credentials: No
Windows Hello for Business policy is enabled: Not Tested
Local computer meets Windows hello for business hardware requirements: Not Tested
User is not connected to the machine via Remote Desktop: Yes
User certificate for on premise auth policy is enabled: Not Tested
Machine is governed by none policy.
See https://go.microsoft.com/fwlink/?linkid=832647 for more details.

OS Name Microsoft Windows 10 Pro
Version 10.0.16299 Build 16299
System Type x64-based PC

Replies (20) 

* Please try a lower page number.

* Please enter only numbers.

* Please try a lower page number.

* Please enter only numbers.

This is a policy you can set on your machine.
Right click your start button and select run.
Type gpedit.msc
Go to Computer Configuration > Administrative Templates > Windows Components > Microsoft Passport for Work OR Windows Hello for Business
Edit «Use Microsoft Passport for Work» OR «Use Windows Hello for Business» and set it to disabled.

59 people were helped by this reply

Did this solve your problem?

Sorry this didn’t help.

Great! Thanks for marking this as the answer.

How satisfied are you with this reply?

Thanks for your feedback, it helps us improve the site.

How satisfied are you with this response?

Thanks for your feedback.

«Windows cannot find ‘gpedit.msc’. Make sure you tuped the name correctly, and then try again»

Windows search » Computer Configuration» not found.

8 people were helped by this reply

Did this solve your problem?

Sorry this didn’t help.

Great! Thanks for marking this as the answer.

How satisfied are you with this reply?

Thanks for your feedback, it helps us improve the site.

How satisfied are you with this response?

Thanks for your feedback.

13 people were helped by this reply

Did this solve your problem?

Sorry this didn’t help.

Great! Thanks for marking this as the answer.

How satisfied are you with this reply?

Thanks for your feedback, it helps us improve the site.

How satisfied are you with this response?

Thanks for your feedback.

16 people were helped by this reply

Did this solve your problem?

Sorry this didn’t help.

Great! Thanks for marking this as the answer.

How satisfied are you with this reply?

Thanks for your feedback, it helps us improve the site.

How satisfied are you with this response?

Thanks for your feedback.

I checked the registry and HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftPassportForWork Enabled is set to 0.

I am using the administrator account.

1 person was helped by this reply

Did this solve your problem?

Sorry this didn’t help.

Great! Thanks for marking this as the answer.

How satisfied are you with this reply?

Thanks for your feedback, it helps us improve the site.

How satisfied are you with this response?

Thanks for your feedback.

This is a policy you can set on your machine.
Right click your start button and select run.
Type gpedit.msc
Go to Computer Configuration > Administrative Templates > Windows Components > Microsoft Passport for Work OR Windows Hello for Business
Edit «Use Microsoft Passport for Work» OR «Use Windows Hello for Business» and set it to disabled.

I did this and still in event log I get Hello for business will not be launched, device AAD joined (AAD or DJ+++) not tested

Hello for business is enabled not tested. Lots more information all stated as not tested. Whenever I click on any of the links for more information I get page not found. All in all pretty bad show Microsoft. I never had any of the events I have now before the last update, all the updates were with useless stuff that I just do not need.

19 people were helped by this reply

Did this solve your problem?

Sorry this didn’t help.

Great! Thanks for marking this as the answer.

How satisfied are you with this reply?

Thanks for your feedback, it helps us improve the site.

How satisfied are you with this response?

Thanks for your feedback.

First question to ask. What version of Windows 10 do you have?

Then the reasonable solution, this should be the ‘standard’ response in this forum. I can’t even tell you how much wasted time people have burned looking for Group policy editor, in the home version of Win10 when looking for answers in this forum. Don’t get me wrong, I totally appreciate the volunteers and users that try and help.

NOW, back to the problem. I for one am tired of the common event viewer problems that have plagued Windows for three versions )7, 8.x, 10 x four major updates. DCOM permission errors are the main headache for people whom ‘care’ about errors in the OS. This Hello for Business is one that is utterly unnecessary as this is the HOME version of Windows 10. Lets just get RID OF IT. Set it up as an APP in the store for those who want it, and have a compatibility check BEFORE download and installing it. Tada! done, problem solved.

So the question is, where is this located, and where is the uninstall routine for it? Surely Microsoft wouldn’t ‘force’ this on us, in a OS where it can’t even be used? Cluttering up the event viewer with yet another distraction for some of us that would like to have as close to an error free system as possible.

Источник

how to disable Windows Hello for Business

I got this warning message on Event Viewer:

Windows Hello for Business provisioning will not be launched.
Device is AAD joined ( AADJ or DJ++ ): Not Tested
User has logged on with AAD credentials: No
Windows Hello for Business policy is enabled: Not Tested
Local computer meets Windows hello for business hardware requirements: Not Tested
User is not connected to the machine via Remote Desktop: Yes
User certificate for on premise auth policy is enabled: Not Tested
Machine is governed by none policy.
See https://go.microsoft.com/fwlink/?linkid=832647 for more details.

OS Name Microsoft Windows 10 Pro
Version 10.0.16299 Build 16299
System Type x64-based PC

Replies (20) 

* Please try a lower page number.

* Please enter only numbers.

* Please try a lower page number.

* Please enter only numbers.

This is a policy you can set on your machine.
Right click your start button and select run.
Type gpedit.msc
Go to Computer Configuration > Administrative Templates > Windows Components > Microsoft Passport for Work OR Windows Hello for Business
Edit «Use Microsoft Passport for Work» OR «Use Windows Hello for Business» and set it to disabled.

59 people were helped by this reply

Did this solve your problem?

Sorry this didn’t help.

Great! Thanks for marking this as the answer.

How satisfied are you with this reply?

Thanks for your feedback, it helps us improve the site.

How satisfied are you with this response?

Thanks for your feedback.

«Windows cannot find ‘gpedit.msc’. Make sure you tuped the name correctly, and then try again»

Windows search » Computer Configuration» not found.

8 people were helped by this reply

Did this solve your problem?

Sorry this didn’t help.

Great! Thanks for marking this as the answer.

How satisfied are you with this reply?

Thanks for your feedback, it helps us improve the site.

How satisfied are you with this response?

Thanks for your feedback.

13 people were helped by this reply

Did this solve your problem?

Sorry this didn’t help.

Great! Thanks for marking this as the answer.

How satisfied are you with this reply?

Thanks for your feedback, it helps us improve the site.

How satisfied are you with this response?

Thanks for your feedback.

16 people were helped by this reply

Did this solve your problem?

Sorry this didn’t help.

Great! Thanks for marking this as the answer.

How satisfied are you with this reply?

Thanks for your feedback, it helps us improve the site.

How satisfied are you with this response?

Thanks for your feedback.

I checked the registry and HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftPassportForWork Enabled is set to 0.

I am using the administrator account.

1 person was helped by this reply

Did this solve your problem?

Sorry this didn’t help.

Great! Thanks for marking this as the answer.

How satisfied are you with this reply?

Thanks for your feedback, it helps us improve the site.

How satisfied are you with this response?

Thanks for your feedback.

This is a policy you can set on your machine.
Right click your start button and select run.
Type gpedit.msc
Go to Computer Configuration > Administrative Templates > Windows Components > Microsoft Passport for Work OR Windows Hello for Business
Edit «Use Microsoft Passport for Work» OR «Use Windows Hello for Business» and set it to disabled.

I did this and still in event log I get Hello for business will not be launched, device AAD joined (AAD or DJ+++) not tested

Hello for business is enabled not tested. Lots more information all stated as not tested. Whenever I click on any of the links for more information I get page not found. All in all pretty bad show Microsoft. I never had any of the events I have now before the last update, all the updates were with useless stuff that I just do not need.

19 people were helped by this reply

Did this solve your problem?

Sorry this didn’t help.

Great! Thanks for marking this as the answer.

How satisfied are you with this reply?

Thanks for your feedback, it helps us improve the site.

How satisfied are you with this response?

Thanks for your feedback.

First question to ask. What version of Windows 10 do you have?

Then the reasonable solution, this should be the ‘standard’ response in this forum. I can’t even tell you how much wasted time people have burned looking for Group policy editor, in the home version of Win10 when looking for answers in this forum. Don’t get me wrong, I totally appreciate the volunteers and users that try and help.

NOW, back to the problem. I for one am tired of the common event viewer problems that have plagued Windows for three versions )7, 8.x, 10 x four major updates. DCOM permission errors are the main headache for people whom ‘care’ about errors in the OS. This Hello for Business is one that is utterly unnecessary as this is the HOME version of Windows 10. Lets just get RID OF IT. Set it up as an APP in the store for those who want it, and have a compatibility check BEFORE download and installing it. Tada! done, problem solved.

So the question is, where is this located, and where is the uninstall routine for it? Surely Microsoft wouldn’t ‘force’ this on us, in a OS where it can’t even be used? Cluttering up the event viewer with yet another distraction for some of us that would like to have as close to an error free system as possible.

Источник