Erweiterte Windows Hello-Anmeldesicherheit

Windows Hello ermöglicht Benutzer*innen die Authentifizierung mithilfe ihrer biometrischen Daten oder einer PIN, sodass kein Kennwort mehr erforderlich ist. Die biometrische Authentifizierung verwendet Gesichtserkennung oder Fingerabdrücke, um die Identität der Benutzer*innen auf sichere, individuelle und bequeme Weise zu verifizieren. Erweiterte Anmeldesicherheit bietet zusätzliche Absicherung anhand von biometrischen Daten durch den Einsatz spezieller Hardware- und Softwarekomponenten wie Virtualisierungsbasierte Sicherheit (VBS) und das Trusted Platform Module 2.0, um die Authentifizierungsdaten von Benutzern zu isolieren und zu schützen sowie die Kommunikationswege abzusichern, auf denen diese Daten übertragen werden.

Wie schützt die Erweiterte Anmeldesicherheit biometrische Daten

Gesichtserkennung

Wenn die Erweiterte Anmeldesicherheit aktiviert ist, wird der Gesichtsalgorithmus mithilfe von VBS vom übrigen Windows isoliert und dadurch geschützt. Der Hypervisor wird zur Definition und zum Schutz von Speicherbereichen genutzt, sodass auf diese nur von Prozessen zugegriffen werden kann, die in VBS ausgeführt werden. Der Hypervisor ermöglicht es der Gesichtskamera, diese Speicherbereiche zu überschreiben und damit einen isolierten Übertragungsweg für Gesichtsdaten von der Kamera zum Algorithmus für den Gesichtsabgleich bereitzustellen.

Gesichtsvorlagen werden in VBS durch den geschützten Gesichtsalgorithmus generiert. Wenn sie nicht in Gebrauch sind, werden die Daten der Gesichtsvorlagen mithilfe von Schlüsseln chiffriert, die nur für VBS generiert und zugänglich sind, und dann auf dem Datenträger gespeichert.

Fingerprint

Die Erweiterte Anmeldesicherheit wird nur von Fingerabdrucksensoren mit Match-On Sensorfähigkeit unterstützt. Dieser Sensortyp umfasst einen Mikroprozessor und Arbeitsspeicher, um mithilfe von Hardware den Fingerabdruckabgleich und den Vorlagenspeicher zu isolieren.

Sensoren, die die Erweiterte Anmeldesicherheit unterstützen, verfügen über ein Zertifikat, das bereits bei der Herstellung eingebettet wurde. Dieses Zertifikat kann von den in VBS ausgeführten biometrischen Windows-Komponenten überprüft werden und wird verwendet, um eine sichere Sitzung mit dem Sensor einzurichten. Der Sensor und die biometrischen Windows-Komponenten nutzen diese Sitzung, um Registrierungsvorgänge zu kommunizieren und die Ergebnisse sicher abzugleichen.

Betrieb der Anmeldeinformationen

Mithilfe von Informationen, die das TPM während des Hochfahrens an das VBS überträgt, bauen die in VBS ausgeführten biometrischen Windows-Komponenten einen sicheren Kanal zum TPM auf. Wenn ein Übereinstimmungsvorgang erfolgreich ist, verwenden die biometrischen Komponenten in VBS diesen Kanal zur Autorisierung der Verwendung von Windows Hello Schlüsseln, mit denen der Benutzer sich bei seinem Identitätsanbieter, Anwendungen und Diensten authentifizieren kann.

Wie bekomme ich Erweiterte Anmeldesicherheit

Die Aktivierung hängt von spezieller Hardware, Treibern und Firmware ab, die auf dem System vorinstalliert sind. Gerätehersteller haben die Möglichkeit, die Erweiterte Anmeldesicherheit bereits während der Konfiguration des Geräts in der Fabrik auf ihren Geräten zu aktivieren.

Systemkompatibilität

Die Aktivierung der Erweiterten Anmeldesicherheit erfordert kompatible Hardware- und Softwarekomponenten:

• Geräte mit werkseitig konfiguriertem Windows 10 Oktober 2020-Update
• Anforderungen erfüllt für virtualisierungsbasierte Sicherheit (VBS), einschließlich Device Guard Enablement und Trusted Platform Module 2.0
• Biometrische Sensorhardware, die die Erweiterte Anmeldesicherheit unterstützt
• Biometrische Sensortreiber, die mit der Erweiterten Anmeldesicherheit kompatibel sind
• Geräte Firmware mit ordnungsgemäß vom Gerätehersteller konfigurierter Secure Devices (SDEV) ACPI Tabelle für die inbegriffene biometrische Hardware

Kompatibilität mit dem biometrischen Sensor

Biometrische Gesichtserkennung

Erweiterte Anmeldesicherheit unterstützt nur einige Kameras auf einer eingeschränkten Anzahl von Chipsätzen. Unterstützte Kameras müssen die Erweiterte Anmeldesicherheit in der Firmware unterstützen. Die Verwendung des UVC-Kameratreibers aus dem Windows-Posteingang ist erforderlich. Um zu überprüfen, ob das Kameramodul für die Erweiterte Anmeldesicherheit geeignet ist, wechseln Sie zuerst zum Geräte-Manager und erweitern Sie den Abschnitt "Universelle serielle Buscontroller". Klicken Sie mit der rechten Maustaste auf das Gerät, das „eXtensible Host Controller“ im Namen trägt, und wählen Sie die Option „Eigenschaften“ aus, um die Geräteeigenschaften anzuzeigen. Wenn mehrere Einträge für einen Hostcontroller vorhanden sind, überprüfen Sie die Eigenschaften für alle Einträge. Navigieren Sie zur Registerkarte "Details" des Treibers und wählen Sie im Dropdownmenü "Eigenschaft" den Eintrag "Funktionen" aus. Eines der Geräte sollte anzeigen, dass es über die Funktion "CM_DEVCAP_SECUREDEVICE" verfügt.

Überprüfen Sie als Nächstes die Eigenschaften der PC-Kameras, indem Sie zum Abschnitt "Kameras" in Geräte-Manager wechseln. Wenn mehrere Einträge für PC-Kameras vorhanden sind, überprüfen Sie die Eigenschaften für alle Einträge. Navigieren Sie zur Registerkarte "Details" des Treibers und wählen Sie im Dropdownmenü "Eigenschaft" den Eintrag "Funktionen" aus. Eins der PC-Kamerageräte sollte über die Funktion "CM_DEVCAP_SECUREDEVICE" verfügen.

Biometrischer Fingerabdruck-Sensor

Die Fingerabdruck-Sensoren für die Erweiterte Anmeldesicherheit müssen einen Match-on Chip aufweisen. Der Sensor muss über ein von Microsoft ausgestelltes Zertifikat verfügen, das bei der Herstellung in das Gerät eingebrannt wurde. Der Gerätetreiber und die Firmware müssen die Funktionalität der Erweiterten Anmeldesicherheit unterstützen. Um zu überprüfen, ob ein Fingerabdruckmodul für die Erweiterte Anmeldesicherheit geeignet ist, öffnen Sie zuerst den Geräte-Manager und erweitern Sie den Abschnitt "Biometrische Geräte". Hier sollte ein Eintrag für einen Fingerabdrucksensor vorhanden sein. Klicken Sie mit der rechten Maustaste auf den Eintrag für den Fingerabdruckleser, wechseln Sie zu "Eigenschaften", und klicken Sie dann auf "Details". Wählen Sie unter der Option "Eigenschaft" den Eintrag "Geräteinstanz Pfad" aus.

Öffnen Sie regedit.exe und navigieren Sie zu HKLM\SYSTEM\CurrentControlSet\Enum\[DeviceInstancePath]\Device Parameters\WinBio\Configurations, wo DeviceInstancePath der im Geräte-Manager aufgeführte Pfad ist. „Konfigurationen“ auswählen. In der Liste sollte es einen Registry Schlüssel mit dem Namen "SecureFingerprint" und einem Datenwert von 1 geben. Wenn dieser nicht vorhanden ist, ist das Gerät nicht für die Sicherheit geeignet.

Unterhalb der Konfigurationen sollten sich auch zwei Ordner befinden: einer mit Namen "0" und einer mit Namen "1". Wenn es nur einen Ordner gibt und nicht zwei, dann ist das Gerät nicht für die Sicherheit geeignet.

Herausfinden, ob die Erweiterte Anmeldesicherheit aktiviert ist

Security Center

Im Abschnitt "Gerätesicherheit" der Windows-Sicherheitsanwendung gibt es einen Eintrag für die Erweiterte Anmeldesicherheit, sofern sie im System aktiviert ist. Dieser Eintrag beschreibt die Hardwarefähigkeit des Systems. Wenn der Abschnitt "Erweiterte Anmeldesicherheit" nicht vorhanden ist, ist das Feature nicht auf dem System aktiviert.

Wenn ein biometrischer Sensor in dem Gerät eingebettet ist, der die Erweiterte Anmeldesicherheit nicht unterstützt, oder wenn keine biometrische Hardware dieser Art im System vorhanden ist, wird dies durch die Beschreibung "Nicht verfügbar aufgrund nicht kompatibler Hardware" neben dem entsprechenden Sensor angegeben. Diese Meldung gibt an, dass die Hardware nicht den Sensoranforderungen entspricht, die für die Unterstützung der Erweiterten Anmeldesicherheit erforderlich sind.

Ereignisanzeige

Das biometrische Windows-Framework generiert Protokollereignisse, wenn alle Sensoren eines Systems aufgezählt werden. Diese Protokolle enthalten Informationen darüber, ob ein Sensor mit aktivierter Erweiterter Anmeldesicherheit ausgeführt wird. Biometrische Ereignisprotokolle finden Sie im Event Viewer unter Ereignisanzeige > Anwendungs- und Dienstprotokolle > Microsoft > Windows > Biometrie > Betriebsbereit.

Wenn das biometrische Gerät ordnungsgemäß vom biometrischen Windows-Framework geladen wurde, wird ein Protokollereignis mit ID 1108 für den entsprechenden Sensor erstellt. Wenn das Gerät mit aktivierter erweiterter Anmeldesicherheit ausgeführt wird, wird der Sensor in einem "Virtual Secure Modus"-Prozess als isoliert definiert. Wenn das Gerät keine Erweiterte Anmeldesicherheit verwendet, wird es in einem "System"-Prozess als isoliert definiert.

Im Ereignis 1108 werden Kameras mithilfe von "Windows Hello Face Software Device (ROOT\WINDOWSHELLOFACESOFTWAREDRIVER\0000)" beschrieben und Fingerabdruckgeräte werden mithilfe des spezifischen Geräte-Moduls und der Geräte-ID beschrieben. Für Fingerabdruckgeräte finden Sie die Geräte-ID im Geräte-Manager unter biometrische Geräte > [Fingerabdruckmodul] > Eigenschaften >Details > Geräteinstanz Pfad.

Anwendungskompatibilität

Für Geräte mit Kameras für die Erweiterte Anmeldesicherheit ist eine Sichere Gerätetabelle (SDEV) erforderlich. Wenn eine SDEV-Tabelle implementiert wurde und VBS aktiviert ist, wird die SDEV-Tabelle vom Sicheren Kernel zerlegt und Einschränkungen beim Zugriff auf den Gerätekonfigurationsbereich für die Verbindung von Peripheriekomponenten (PCI) erzwungen. Diese Einschränkungen werden erzwungen, um bösartige Prozesse daran zu hindern, den Konfigurationsraum der in der SDEV-Tabelle angegebenen sicheren Geräte zu manipulieren.

Wenn Anwendungen versuchen, den PCI-Konfigurationsraum auszulesen/zu beschreiben (außer durch ausdrücklich von Windows unterstützte Prozesse), führt dies zu Fehlerüberprüfungen, wenn die SDEV-Tabelle analysiert und erzwungen wurde.

Alle Treiber und Software, die im Geräteimage enthalten sind, müssen aufgrund dieser Softwareeinschränkungen hinsichtlich ihrer Kompatibilität getestet werden. Software oder Treiber, die über Windows Update, den Microsoft Store oder andere zulässige Kanäle des Geräteherstellers an das System verteilt werden, sollten auch auf Kompatibilität überprüft werden. Ohne diese Überprüfung könnte es möglicherweise zu unerwartetem Verhalten im System kommen.

Nicht unterstützte Szenarien

Aktivieren des Supports für die Erweiterten Anmeldesicherheit im Windows Upgrade

Die erweiterte Anmeldesicherheit wird derzeit nur auf Geräten unterstützt, die von einem Gerätehersteller konfiguriert wurden, um die Funktionsweise im Windows 10 Oktober 2020-Update sicherzustellen. Hardware-fähige Marktgeräte, die ein Upgrade auf diesen Betriebssystem-Build durchführen, werden derzeit nicht unterstützt.

Unterstützte Sensoren der Nicht-Erweiterten Anmeldung

Wenn die Erweiterte Anmeldesicherheit aktiviert ist, funktionieren nur biometrische Sensoren auf dem System, die diese unterstützen. Alle nicht fähigen Sensoren sind im biometrischen Windows-Framework nicht angegeben.

Es ist die Entscheidung des Herstellers, welche Hardware sie für das System verwenden, und ob die Erweiterte Anmeldesicherheit standardmäßig aktiviert sein soll. Wenn Probleme wie z. B. die Sperrung biometrischer Modalitäten auftreten, wenden Sie sich an den Support des Geräteherstellers.

Ansteckbare / periphere biometrische Sensoren

Die Erweiterte Anmeldesicherheit wird für externe Fingerabdrucksensoren oder Kameramodule nicht unterstützt. Mit aktivierter Erweiterter Anmeldesicherheit werden externe oder periphere biometrische Sensorvorgänge blockiert, unabhängig davon, ob sie kompatibel sind oder nicht. Wenn Sie ein Peripheriegerät mit erweiterter Anmeldesicherheit verwenden möchten, um sich mit Windows Hello anzumelden, lesen Sie Deaktivieren/Aktivieren von erweiterter Anmeldesicherheit.

Wake-on-Touch für Fingerabdrucksensoren aktivieren

WoT (Wake-on-Touch) bedeutet, dass der Fingerabdrucksensor das System aktivieren und den Benutzer anmelden kann, ohne dass der Benutzer den Sensor zwei Mal berühren muss. Auf Geräten, die Modern Standby unterstützen, ist das Wake-on-Touch-Verhalten des Sensors normalerweise aktiviert.

Ab Windows 11 SE Version 22H2 und Windows 11 Pro Edu/Education, Version 22H2, mit KB5027303 ist WoT für ESS-Geräte verfügbar.

Problembehandlung

Die Gesichts-/Fingerabdruckerkennung funktioniert nicht

Wenn die biometrische Authentifizierung nicht funktioniert, überprüfen Sie zunächst, ob VBS ausgeführt wird und ob die sichere Komponente gestartet wurde. Um zu überprüfen, ob VBS ausgeführt wird, öffnen Sie Systeminformationen und überprüfen Sie die "Systemzusammenfassung": es sollte einen Eintrag für "Virtualisierungsbasierte Sicherheit" geben, der als "Ausführen" aufgeführt ist.

Überprüfen Sie auch, ob die vertrauenswürdigen Prozesse der biometrischen Isolation ausgeführt werden. Diese sollten unter System Information > Software Environment > Running Tasks als "bioiso.exe" und "ngciso.exe" aufgeführt werden. Wenn eine dieser Überprüfungen fehlschlägt, erfüllt das System möglicherweise nicht die Anforderungen für die Erweiterte Anmeldesicherheit. Versuchen Sie, den biometrischen Dienst mithilfe von (3) unten neu zu starten.

Um zu überprüfen, ob die sichere Verbindung erfolgreich war, folgen Sie den Anweisungen unter "Herausfinden, ob die Erweiterte Anmeldesicherheit aktiviert ist” -Abschnitt.

1. Entfernen Sie in den Einstellungen unter Anmeldeoptionen die nicht funktionierende Registrierung und registrieren Sie sich erneut; wenn der Eintrag für Windows Hello Gesicht/Fingerabdruck nicht vorhanden ist und die Meldung "Wir konnten keinen Fingerabdruckscanner finden, der mit Windows Hello Face kompatibel ist" o.ä. erscheint, springen Sie zu (2) Überprüfen Sie, ob die Authentifizierung funktioniert.
2. Im Geräte-Manager sollte der Sensor unter den Biometrie-Geräten aufgeführt sein. Installieren Sie den Treiber neu, indem Sie mit der rechten Maustaste auf den Gerätenamen klicken, und wählen Sie "Gerät deinstallieren" aus. Starten Sie das Gerät neu. Windows versucht dann, den Treiber neu zu installieren. Überprüfen Sie, ob die Authentifizierung funktioniert.
3. Um den biometrischen Dienst neu zu starten, entfernen Sie zuerst die PIN aus dem System, indem Sie unter Anmeldeoptionen die PIN entfernen. Öffnen Sie eine Eingabeaufforderung als Administrator und geben Sie zuerst "net stop wbiosrvc" und dann "net start wbiosrvc" ein. Überprüfen Sie, ob die Gesichts-/Fingerabdruckerkennung funktioniert.
4. Wenn die biometrischen Elemente auf dem Gerät immer noch nicht funktionieren, reichen Sie über den Feedback Hub ein Feedbackelement ein.

Die PIN funktioniert nicht

Die PIN kann im Sperrbildschirm unter Anmeldeoptionen zurückgesetzt werden. Hierzu entfernen Sie die PIN und fügen sie dann erneut hinzu. Dadurch werden Sie zum PIN-Zurücksetzen aufgefordert, wodurch die PIN-Funktionalität wieder hergestellt werden sollte.

Erweiterte Anmeldesicherheit deaktivieren/aktivieren

Ab Windows 11, Version 22H2 mit KB5031455, können Benutzer ESS vorübergehend deaktivieren, wenn sie ein externes Peripheriegerät zum Authentifizieren mit Windows Hello auf ihrem Gerät verwenden möchten.

Sie können die Einstellungs-App verwenden, um ESS zu deaktivieren. Wählen Sie Start>Einstellungen>Konten>Anmeldeoptionen oder verwenden Sie folgende Verknüpfung:

Anmeldeoptionen

Unter Zusätzliche Einstellungen>Anmelden mit einer externen Kamera oder einem Fingerabdruckleser gibt es eine Umschaltfläche, mit der Sie ESS aktivieren oder deaktivieren können:

• Wenn der Umschalter Deaktiviert ist, ist ESS aktiviert und Sie können keine externen Peripheriegeräte verwenden, um sich anzumelden. Denken Sie daran, dass Sie weiterhin externe Peripheriegeräte in Apps wie Teams verwenden können
• Wenn der Umschalter Aktiviert ist, ist ESS deaktiviert, und Sie können Windows Hello-kompatible Peripheriegeräte verwenden, um sich anzumelden