Erweiterte Windows Hello-Anmeldesicherheit

• Gilt für::

  ✅ Windows 11, ✅ Windows 10

Windows Hello ermöglicht die Authentifizierung mithilfe biometrischer Daten oder einer PIN, sodass kein Kennwort mehr erforderlich ist. Die biometrische Authentifizierung verwendet Gesichtserkennung oder Fingerabdrücke, um die Identität der Benutzer*innen auf sichere, individuelle und bequeme Weise zu verifizieren.

Die erweiterte Anmeldesicherheit (Enhanced Sign-in Security, ESS) bietet eine zusätzliche Sicherheitsstufe für biometrische Daten, da sie spezielle Hardware- und Softwarekomponenten verwendet. Die Virtualisierungsbasierte Sicherheit (VBS) und das Trusted Platform Module 2.0 werden verwendet, um die Authentifizierungsdaten der Benutzer*innen zu isolieren und zu schützen und den Datenkommunikationskanal zu schützen.

Wie schützt die Erweiterte Anmeldesicherheit biometrische Daten

ESS und Gesichtserkennung

Wenn ESS aktiviert ist, wird der Gesichtsalgorithmus mithilfe von VBS vom übrigen Windows isoliert und dadurch geschützt. Der Hypervisor wird zur Definition und zum Schutz von Speicherbereichen genutzt, sodass auf diese nur von Prozessen zugegriffen werden kann, die in VBS ausgeführt werden. Der Hypervisor ermöglicht es der Gesichtskamera, diese Speicherbereiche zu überschreiben und damit einen isolierten Übertragungsweg für Gesichtsdaten von der Kamera zum Algorithmus für den Gesichtsabgleich bereitzustellen.

Gesichtsvorlagen werden in VBS durch den geschützten Gesichtsalgorithmus generiert. Wenn sie nicht in Gebrauch sind, werden die Daten der Gesichtsvorlagen mithilfe von Schlüsseln chiffriert, die nur für VBS generiert und zugänglich sind, und dann auf dem Datenträger gespeichert.

ESS und Fingerabdruckerkennung

ESS wird nur von Fingerabdrucksensoren mit Match-On Sensorfähigkeit unterstützt. Dieser Sensortyp umfasst einen Mikroprozessor und Arbeitsspeicher, um mithilfe von Hardware den Fingerabdruckabgleich und den Vorlagenspeicher zu isolieren.

Für Sensoren, die ESS unterstützen, wird während der Herstellung ein Zertifikat eingebettet. Das Zertifikat kann von den in VBS ausgeführten biometrischen Windows-Komponenten überprüft werden und wird verwendet, um eine sichere Sitzung mit dem Sensor einzurichten. Der Sensor und die biometrischen Windows-Komponenten nutzen diese Sitzung, um Registrierungsvorgänge zu kommunizieren und die Ergebnisse sicher abzugleichen.

Betrieb der Anmeldeinformationen

Mithilfe von Informationen, die das TPM während des Hochfahrens an das VBS überträgt, bauen die in VBS ausgeführten biometrischen Windows-Komponenten einen sicheren Kanal zum TPM auf. Wenn ein Übereinstimmungsvorgang erfolgreich ist, verwenden die biometrischen Komponenten in VBS den sicheren Kanal zur Autorisierung der Verwendung von Windows Hello-Schlüsseln, mit denen der Benutzer sich bei seinem Identitätsanbieter, Anwendungen und Diensten authentifizieren kann.

Erweiterte Anmeldesicherheit aktivieren

Die Aktivierung von ESS hängt von spezieller Hardware, Treibern und Firmware ab, die auf dem System vorinstalliert sind. Gerätehersteller haben die Möglichkeit, die Erweiterte Anmeldesicherheit bereits während der Konfiguration des Geräts in der Fabrik zu aktivieren.

Hinweis

ESS ist standardmäßig auf allen Copilot+ PCs aktiviert. Weitere Informationen finden Sie unter Hardwareanforderungen für Copilot+ und PC.

Systemanforderungen

Die Aktivierung der Erweiterten Anmeldesicherheit erfordert kompatible Hardware- und Softwarekomponenten:

• Anforderungen erfüllt für virtualisierungsbasierte Sicherheit (VBS), einschließlich Device Guard Enablement und Trusted Platform Module 2.0
• Biometrische Sensorhardware, die ESS unterstützt
• Biometrische Sensortreiber, die mit ESS kompatibel sind
• Geräte Firmware mit vom Gerätehersteller konfigurierter Secure Devices (SDEV) ACPI Tabelle für die inbegriffene biometrische Hardware

Kompatibilität mit dem biometrischen Sensor

Biometrische Gesichtserkennung

ESS ist so konzipiert, dass sie mit einem ausgewählten Bereich von IR-Kameras funktioniert und bestimmte Chipsets erfordert. Kameras, die ESS unterstützen, müssen diese Funktion in ihre Firmware integrieren und die den standardmäßigen Windows UVC-Kameratreiber verwenden, der im Lieferumfang des Betriebssystems enthalten ist.

Um zu überprüfen, ob das Kameramodul für die ESS-Anmeldesicherheit geeignet ist, wechseln Sie zuerst zum Geräte-Manager und erweitern Sie den Abschnitt Universelle serielle Buscontroller. Klicken Sie mit der rechten Maustaste auf das Gerät, daseXtensible Host Controller im Namen trägt, und wählen Sie die Option Eigenschaften aus, um die Geräteeigenschaften anzuzeigen. Wenn mehrere Einträge für einen Hostcontroller vorhanden sind, überprüfen Sie die Eigenschaften für alle Einträge. Navigieren Sie zur Registerkarte Details des Treibers und wählen Sie im Dropdownmenü Eigenschaften den Eintrag Funktionen aus. Eines der Geräte sollte die CM_DEVCAP_SECUREDEVICE Funktion anzeigen.

Überprüfen Sie als Nächstes die Eigenschaften der PC-Kameras, indem Sie zum Abschnitt Kameras in Geräte-Manager wechseln. Wenn mehrere Einträge für PC-Kameras vorhanden sind, überprüfen Sie die Eigenschaften für alle Einträge. Navigieren Sie zur Registerkarte Details der Treiber und wählen Sie im Dropdownmenü Eigenschaften den Eintrag Funktionen aus. Eines der PC-Kamerageräte sollte über die Funktion CM_DEVCAP_SECUREDEVICE verfügen.

Biometrischer Fingerabdruck-Sensor

ESS-kompatible Fingerabdruck-Sensoren müssen mit dem Chip übereinstimmen:

• Der Sensor muss über ein von Microsoft ausgestelltes Zertifikat verfügen, das bei der Herstellung in das Gerät eingebrannt wurde.
• Der Gerätetreiber und die Firmware müssen die Funktionalität der Erweiterten Anmeldesicherheit unterstützen

Um zu überprüfen, ob ein Fingerabdruckmodul für ESS geeignet ist, öffnen Sie zunächst den Geräte-Manager und erweitern Sie den Abschnitt Biometrische Geräte. Hier sollte ein Eintrag für einen Fingerabdrucksensor vorhanden sein. Klicken Sie mit der rechten Maustaste auf den Eintrag für den Fingerabdruckleser, wechseln Sie zu Eigenschaften>Details. Wählen Sie unter der Option Eigenschaft den Eintrag Geräteinstanz Pfad aus.

Öffnen Sie regedit.exe und navigieren Sie zu HKLM\SYSTEM\CurrentControlSet\Enum\[DeviceInstancePath]\Device Parameters\WinBio\Configurations, wo DeviceInstancePath DeviceInstancePath der im Geräte-Manager aufgeführte Pfad ist. Wählen Sie Konfigurationen aus. In der Liste sollte es einen Registrierungsschlüssel mit dem Namen SecureFingerprint und einem Datenwert von 1 geben. Wenn dieser nicht vorhanden ist, ist das Gerät nicht für die Sicherheit geeignet.

Unterhalb der Konfigurationen sollten sich auch zwei Ordner befinden: einer mit Namen 0 und einer mit dem Namen 1. Wenn es nur einen Ordner gibt und nicht zwei, dann ist das Gerät nicht für die Sicherheit geeignet.

Überprüfen, ob ESS aktiviert ist

Security Center

Wenn ESS aktiviert ist, enthält der Abschnitt Gerätesicherheit der Windows-Sicherheitsanwendung einen Eintrag für die erweiterte Anmeldesicherheit. Der Eintrag beschreibt die Hardwarefähigkeit des Systems. Wenn der Abschnitt „Erweiterte Anmeldesicherheit“ nicht vorhanden ist, ist das Feature nicht auf dem System aktiviert.

Wenn ein biometrischer Sensor in dem Gerät eingebettet ist, der ESS nicht unterstützt, oder wenn keine biometrische Hardware dieser Art im System vorhanden ist, wird dies durch die Beschreibung Nicht verfügbar aufgrund nicht kompatibler Hardware neben dem entsprechenden Sensor angegeben. Diese Meldung gibt an, dass die Hardware nicht den Sensoranforderungen entspricht, die für die Unterstützung von ESS erforderlich sind.

Ereignisanzeige

Das biometrische Windows-Framework generiert Protokollereignisse, wenn alle Sensoren eines Systems aufgezählt werden. Diese Protokolle enthalten Informationen darüber, ob ein Sensor mit aktivierter Erweiterter Anmeldesicherheit ausgeführt wird. Biometrische Ereignisprotokolle finden Sie im Event Viewer unter Ereignisanzeige>Anwendungs- und Dienstprotokolle>Microsoft>Windows>Biometrie>Betriebsbereit.

Wenn das biometrische Gerät ordnungsgemäß vom biometrischen Windows-Framework geladen wird, wird für den entsprechenden Sensor ein Protokollereignis mit ID 1108 erstellt. Wenn das Gerät mit aktiviertem ESS betrieben wird, wird der Sensor in einem Virtual Secure Mode-Prozess als isoliert angegeben. Wenn das Gerät ESS nicht verwendet, wird es in einem System-Prozess als isoliert angegeben.

Im Ereignis 1108 werden Kameras mithilfe von Windows Hello Face Software Device (ROOT\WINDOWSHELLOFACESOFTWAREDRIVER\0000) beschrieben und Fingerabdruckgeräte werden mithilfe des spezifischen Geräte-Moduls und der Geräte-ID beschrieben. Für Fingerabdruckgeräte finden Sie die Geräte-ID im Geräte-Manager unter Biometrische Geräte>[Fingerabdruckmodul]>Eigenschaften>Details>Geräteinstanz Pfad.

Anwendungskompatibilität

Für Geräte mit ESS-kompatiblen Kameras ist eine SDEV-Tabelle (Secure Devices) erforderlich. Wenn eine SDEV-Tabelle implementiert wurde und VBS aktiviert ist, wird die SDEV-Tabelle vom Sicheren Kernel zerlegt und Einschränkungen beim Zugriff auf den Gerätekonfigurationsbereich für die Verbindung von Peripheriekomponenten (PCI) erzwungen. Diese Einschränkungen werden erzwungen, um bösartige Prozesse daran zu hindern, den Konfigurationsraum der in der SDEV-Tabelle angegebenen sicheren Geräte zu manipulieren.

Wenn Anwendungen versuchen, den PCI-Konfigurationsraum auszulesen/zu beschreiben (außer durch ausdrücklich von Windows unterstützte Prozesse), führt dies zu Fehlerüberprüfungen, wenn die SDEV-Tabelle analysiert und erzwungen wurde.

Alle Treiber und Software, die im Geräteimage enthalten sind, müssen aufgrund dieser Softwareeinschränkungen hinsichtlich ihrer Kompatibilität getestet werden. Software oder Treiber, die über Windows Update, den Microsoft Store oder andere zulässige Kanäle des Geräteherstellers an das System verteilt werden, sollten auch auf Kompatibilität überprüft werden. Ohne diese Überprüfung könnte es möglicherweise zu unerwartetem Verhalten im System kommen.

Nicht unterstützte Szenarien

Nicht-ESS-unterstützte Sensoren

Wenn ESS aktiviert ist, funktionieren auf dem System nur biometrische Sensoren, die ESS unterstützen. Alle nicht fähigen Sensoren werden im biometrischen Windows-Framework nicht angegeben.

Es ist die Entscheidung des Herstellers, welche Hardware sie für das System verwenden, und ob die erweiterte Anmeldesicherheit standardmäßig aktiviert sein soll. Wenn Probleme wie z. B. die Sperrung biometrischer Modalitäten auftreten, wenden Sie sich an den Support des Geräteherstellers.

Ansteckbare/periphere biometrische Sensoren

ESS wird für externe Fingerabdrucksensoren oder Kameramodule nicht unterstützt. Wenn ESS aktiviert ist, werden externe oder periphere biometrische Sensorvorgänge blockiert, unabhängig davon, ob sie für die Sicherheit geeignet sind oder nicht. Wenn Sie ein Peripheriegerät mit ESS verwenden möchten, um sich mit Windows Hello anzumelden, lesen Sie Deaktivieren/Aktivieren von ESS.

Wake-on-Touch für Fingerabdrucksensoren aktivieren

WoT (Wake-on-Touch) bedeutet, dass der Fingerabdrucksensor das System aktivieren und den Benutzer anmelden kann, ohne dass der Benutzer den Sensor zwei Mal berühren muss. Auf Geräten, die Modern Standby unterstützen, ist das Wake-on-Touch-Verhalten des Sensors normalerweise aktiviert.

Ab Windows 11, Version 22H2 mit KB5027303, ist WoT für ESS-Geräte verfügbar.

Problembehandlung

Die Gesichts-/Fingerabdruckerkennung funktioniert nicht

Wenn die biometrische Authentifizierung nicht funktioniert, überprüfen Sie zunächst, ob VBS ausgeführt wird und ob die sichere Komponente gestartet wurde. Um zu überprüfen, ob VBS ausgeführt wird, öffnen Sie Systeminformationen> Systemzusammenfassung. Für Virtualisierungsbasierte Sicherheit sollte es einen Eintrag Wird ausgeführt geben.

Überprüfen Sie auch, ob die vertrauenswürdigen Prozesse der biometrischen Isolation ausgeführt werden. Diese sollten unter Systeminformationen>Software-Umgebung>Ausgeführte Aufgaben als bioiso.exe und ngciso.exe aufgeführt werden. Wenn eine dieser Überprüfungen fehlschlägt, erfüllt das System möglicherweise nicht die Anforderungen für die erweiterte Anmeldesicherheit. Versuchen Sie, den biometrischen Dienst mithilfe von Schritt 3 neu zu starten.

1. Entfernen Sie unter Einstellungen>Anmeldeoptionen die nicht funktionierende Registrierung und registrieren Sie sich erneut.
   1. Wenn der Eintrag für Windows Hello Gesicht/Fingerabdruck nicht vorhanden ist und die Meldung Wir konnten keinen Fingerabdruckscanner finden, der mit Windows Hello Face kompatibel ist o.ä. erscheint, fahren Sie mit dem nächsten Schritt fort.
2. Im Geräte-Manager sollte der Sensor unter den Biometrie-Geräten aufgeführt sein. Installieren Sie den Treiber neu, indem Sie mit der rechten Maustaste auf den Gerätenamen klicken, und wählen Sie Gerät deinstallieren aus. Starten Sie das Gerät neu. Windows versucht dann, den Treiber neu zu installieren. Überprüfen Sie, ob die Authentifizierung funktioniert.
3. Um den biometrischen Dienst neu zu starten, entfernen Sie zuerst die PIN aus dem System, indem Sie unter Anmeldeoptionen die PIN entfernen. Öffnen Sie eine Eingabeaufforderung als Administrator und geben Sie net stop wbiosrvc && net start wbiosrvc ein. Überprüfen Sie, ob die Gesichts-/Fingerabdruckerkennung funktioniert
4. Wenn die biometrischen Elemente auf dem Gerät immer noch nicht funktionieren, reichen Sie über den Feedback Hub ein Feedbackelement ein.

Um zu überprüfen, ob die sichere Verbindung erfolgreich war, lesen Sie den Abschnitt Überprüfen, ob ESS aktiviert ist.

PIN funktioniert nicht

Die PIN kann im Sperrbildschirm unter Anmeldeoptionen zurückgesetzt werden. Hierzu entfernen Sie die PIN und fügen sie dann erneut hinzu. Dadurch werden Sie zum PIN-Zurücksetzen aufgefordert, wodurch die PIN-Funktionalität wieder hergestellt werden sollte.

ESS aktivieren/deaktivieren

Ab Windows 11, Version 22H2 mit KB5031455, können Benutzer ESS vorübergehend deaktivieren, wenn sie ein externes Peripheriegerät zum Authentifizieren mit Windows Hello auf ihrem Gerät verwenden möchten.

Sie können die Einstellungs-App verwenden, um ESS zu deaktivieren. Wählen Sie Start>Einstellungen>Konten>Anmeldeoptionen oder verwenden Sie folgende Verknüpfung:

Anmeldeoptionen

Unter Zusätzliche Einstellungen>Anmelden mit einer externen Kamera oder einem Fingerabdruckleser gibt es eine Umschaltfläche, mit der Sie ESS aktivieren oder deaktivieren können:

• Wenn der Umschalter Deaktiviert ist, ist ESS aktiviert und Sie können keine externen Peripheriegeräte verwenden, um sich anzumelden. Denken Sie daran, dass Sie weiterhin externe Peripheriegeräte in Apps wie Teams verwenden können
• Wenn der Umschalter Aktiviert ist, ist ESS deaktiviert, und Sie können Windows Hello-kompatible Peripheriegeräte verwenden, um sich anzumelden