Windows Hello para empresas es la alternativa más segura a las contraseñas. Se trata de una credencial moderna de dos factores que se puede implementar tanto en la nube como en local, además de funcionar para dispositivos unidos a un dominio.

Windows Hello para empresas es un sistema distribuido que usa varios componentes para realizar el registro, el aprovisionamiento y la autenticación de dispositivos.

Tiene tres modelos de implementación:

Los modelos de implementación híbrida y local tienen dos modelos de confianza: confianza clave y confianza de certificado.

Requisitos para la instalación de Windows Hello

  • Clientes

    Windows Hello aplica a clientes Windows 10 (v1703 o superior) y Windows 11.

  • Servicios de certificados de Active Directory de 2012 o posterior

    El modelo de certificado de confianza es para empresas que quieren emitir certificados de entidad final a sus usuarios y obtener las ventajas de expiración y renovación del certificado, similares al funcionamiento de las tarjetas inteligentes actuales.

    El modelo de certificado de confianza también admite empresas que no están listas para implementar los controladores de dominio de Windows Server 2016.

    Sin embargo, Remote Desktop no admite la autenticación con Windows Hello de confianza clave para empresas como una credencial suministrada.

  • Controlador de dominio en Windows 2016 o superior

    El nivel de esquema necesario para su correcta implementación es Windows Server 2016.

    El modelo de clave de confianza es para las empresas que no deseen emitir certificados de entidad final a sus usuarios y tienen un número suficiente de controladores de dominio de 2016 en cada sitio para admitir la autenticación.

  • Requisitos de dispositivos

    El registro es un requisito previo fundamental, sin el registro Windows Hello no se puede iniciar. El registro es donde el dispositivo registra su identidad con el proveedor de identidades. Para las implementaciones híbridas y en la nube, el dispositivo se registra con el Servicio de registro de dispositivos de Azure (ADRS). Para las implementaciones locales, el dispositivo se registra con el servicio de registro de dispositivos empresariales hospedado en los servidores de federación (AD FS).

  • Aprovisionamiento

    El aprovisionamiento se produce cuando el usuario usa una forma de autenticación para solicitar una nueva credencial de Windows Hello para empresas. Normalmente, el usuario inicia sesión en su cuenta de Windows con el nombre de usuario y la contraseña. El flujo de aprovisionamiento requiere un segundo factor de autenticación antes de crear una credencial segura de dos pasos en Windows Hello para empresas.

    Una vez que el dispositivo está registrado y el aprovisionamiento completo, los usuarios pueden iniciar sesión en Windows con biometría o un PIN. El PIN es el gesto más común y está disponible en todos los equipos a menos que esté restringido por una directiva que requiera un TPM. Independientemente del gesto usado, la autenticación se produce con la parte privada de la credencial Windows Hello para empresas. Ni el PIN ni la parte privada de la credencial se envían nunca al proveedor de identidades y el PIN no se almacena en el dispositivo.

 


Por qué un pin es mejor que una contraseña

Respecto a la seguridad, una diferencia importante entre una contraseña y un Hello PIN es que el PIN está vinculado al dispositivo específico en el que se configuró. Ese PIN no sirve sin ese hardware específico. Alguien que robe tu contraseña puede iniciar sesión en tu cuenta desde cualquier lugar, pero si roban el PIN, también tendrían que robar el dispositivo físico.

Una contraseña se transmite al servidor y puede ser interceptada durante la transmisión o ser robada de un servidor. Un PIN es local en el dispositivo por lo que no se transmite a ningún lugar y no se almacenan en el servidor. Cuando se crea el PIN, se establece una relación de confianza con el proveedor de identidades y se crean un par de claves asimétricas que se usa para la autenticación. Cuando especificas tu PIN, se desbloquea la clave de autenticación y se usa la clave para firmar la solicitud que se envía al servidor de autenticación.

El PIN de Windows Hello cuenta con el respaldo de un chip del Módulo de plataforma segura (TPM)

Se trata de un procesador de criptografía seguro diseñado para llevar a cabo operaciones criptográficas. El chip incluye varios mecanismos de seguridad física que hacen que sea resistente a las alteraciones

Windows Hello permite un inicio de sesión biométrico para Windows 10 y Windows 11: reconocimiento facial, de iris o de huella digital. Al configurar Windows Hello, se te pedirá que crees un PIN en primer lugar. Este PIN te permite iniciar sesión con el PIN cuando no puedes usar tu biometría preferida debido a una lesión o porque el sensor no está disponible o no funciona correctamente.

Si solo tuvieras configurado el inicio de sesión con datos biométricos y, por algún motivo, no pudieras usar ese método para iniciar sesión, tendrías que iniciar sesión con tu nombre de usuario y contraseña, lo que no proporciona el mismo nivel de protección que Windows Hello.

Recuerda que en Datek somos Gold Partner de Microsoft. Si estás interesado en  implementar Windows Hello para empresas en tu organización o te gustaría recibir más información acerca de esta u otras soluciones de seguridad, ponte en contacto con nosotros y síguenos en nuestro LinkedIn para estar al día de todas las novedades del sector.