Cada día las empresas necesitan mecanismo de seguridad que le proporcione un conjunto unificado de defensa frente a diversas amenazas que puede materializarse en una organización en ese sentido Microsoft implementó Windows Hello for Business, que agrega una nueva credencial en Windows 10, para ayudar a aumentar la seguridad al acceder a los recursos corporativos, esta función ofrece una experiencia de inicio de sesión de usuario optimizada que reemplaza las contraseñas con una sólida autenticación de dos factores al combinar un dispositivo inscrito en Azure AD el cual crea una relación de confianza entre el proveedor de identidad y el usuario mediante una clave pública/privada que se envía a un proveedor de identidad. Cuando un usuario ingresa el PIN en el dispositivo, el proveedor de identidad sabe que es una identidad verificada que permite al usuario iniciar sesión, esta credencial se almacena en un chip Trusted Platform Module (TPM), que viene incluido en Hardware de la máquina, este mecanismo proporciona una forma más segura de iniciar sesión en equipos con sistemas operativos Windows 10 o superior sin que se almacene una contraseña en su dispositivo o en una red. Los datos biométricos solo se usan localmente y nunca salen del dispositivo, la implementación de Windows Hello para empresas es el primer paso hacia un entorno sin contraseña. A continuación, se hacen mención porque implementar WHFB
Windows Hello soluciona los siguientes problemas con las contraseñas:
– Las contraseñas seguras pueden ser difíciles de recordar y los usuarios suelen reutilizar contraseñas en varios sitios.
– Las infracciones al servidor Active Directory pueden exponer credenciales de red simétricas (contraseñas).
-Las contraseñas están sujetas a replay attacks.
-Reduce el área de superficie de la contraseña visible por el usuario
-Los usuarios pueden exponer inadvertidamente sus contraseñas debido a ataques de phishing.
Windows Hello permite a los usuarios autenticarse en:
-Una cuenta de Microsoft.
-Una cuenta de Active Directory.
-Una cuenta de Microsoft Azure Active Directory (Azure AD).
-Servicios de proveedor de identidad o Servicios de usuario de confianza que admitan la autenticación Fast ID Online (FIDO) v2.0.
Windows Hello For Business es fácil de implementar dentro de nuestra organización, es importante conocer los siguientes tres escenarios el cual una empresa puede activar WHFB
- Empresas que usan una versión de Azure AD incluida con Office 365
- Empresas que usan el nivel gratuito de Azure AD
- Empresas que se hayan suscrito a Azure AD Premium
En este artículo se enumeran los requisitos de infraestructura de los diferentes modelos de implementación para Windows Hello para empresas, el escenario que más se ajusta en las empresas es el método Key Trust bajo el esquema Hybrid AD Joined el cual permite registrar el dispositivo en Azure AD permitiendo que las configuraciones de despliegue se ha realizado de manera OnPremisess en nuestro AD local, este modelo no requiere la emisión de certificados para los usuarios, por lo tanto, no se requiere un entorno de AD FS, este método se puede complementar a través de Microsoft Endpoint Manager (también conocido como Intune) el cual permite una administración moderna de las políticas de activación de WHFB directamente en la nube de Azure Active Directory.
Artículos de consulta TechNet Microsoft
Introducción a los requisitos previos de implementación de Windows Hello para empresa
Windows Hello para empresas problemas de implementación conocidos
Por qué un PIN es mejor que una contraseña en línea
Estrategia sin contraseña
Azure AD híbrido se unió a Windows Hello for Business Key Trust Provisioning
Aprovisionamiento de Windows Hello para empresas
Azure AD híbrido se unió a Key Trust Deployment
Dairo Arias Morales
Ingeniero Especialista