Seguridad de inicio de sesión mejorada de Windows Hello
Windows Hello permite la autenticación biométrica o mediante PIN, lo que elimina la necesidad de usar una contraseña. La autenticación biométrica usa el reconocimiento facial o la huella digital para demostrar la identidad de un usuario de forma segura, personal y cómoda.
La seguridad de inicio de sesión mejorada (ESS) proporciona un nivel adicional de seguridad a los datos biométricos con el uso de componentes de hardware y software especializados. La seguridad basada en virtualización (VBS) y el Módulo de plataforma segura 2.0 se usan para aislar y proteger los datos de autenticación del usuario y para proteger el canal de comunicación de datos.
¿Cómo protege los datos biométricos la seguridad de inicio de sesión mejorada?
ESS y reconocimiento facial
Cuando ESS está habilitada, el algoritmo de reconocimiento facial se protege mediante VBS para aislarlo del resto de Windows. El hipervisor se usa para especificar y proteger regiones de memoria, de manera que solo puedan acceder a ellas los procesos que se ejecuten en VBS. El hipervisor permite que la cámara facial escriba en estas regiones de memoria, lo que proporciona una ruta aislada para entregar datos faciales de la cámara al algoritmo de reconocimiento facial.
Las plantillas de caras se generan en VBS mediante el algoritmo de reconocimiento facial protegido. Cuando no están en uso, los datos de la plantillas de caras se cifran mediante claves generadas y accesibles únicamente mediante VBS para, acto seguido, almacenarse en disco.
ESS y reconocimiento de huellas dactilares
ESS solo es compatible con sensores de huellas dactilares que coincidan con las capacidades del sensor. Este tipo de sensor incluye un microprocesador y una memoria que se pueden usar para aislar la coincidencia de huellas digitales y el almacenamiento de plantillas mediante hardware.
Los sensores compatibles con ESS tienen un certificado integrado durante la fabricación. El certificado se puede validar mediante los componentes biométricos de Windows que se ejecutan en VBS, y se usa para establecer una sesión segura con el sensor. Los componentes biométricos del sensor y de Windows usan la sesión para comunicar las operaciones de inscripción y hallar coincidencias de resultados de forma segura.
Operaciones de credenciales
Los componentes biométricos de Windows que se ejecutan en VBS establecen un canal seguro al TPM mediante la información que el TPM comparte con VBS durante el arranque. Cuando una operación de coincidencia es correcta, los componentes biométricos de VBS usan este canal seguro para autorizar el uso de claves de Windows Hello con el fin de autenticar al usuario con su proveedor de identidades, aplicaciones y servicios.
Habilitar la seguridad de inicio de sesión mejorada
La habilitación de ESS depende del hardware, los controladores y el firmware especializados que haya ya instalados en el sistema. Los fabricantes de dispositivos pueden optar por habilitar la seguridad de inicio de sesión mejorada durante la configuración del dispositivo en la fábrica.
Nota:
Todos los equipos de Copilot+ tienen ESS habilitado de forma predeterminada. Para obtener más información, consulte Requisitos de hardware del equipo de Copilot+.
Requisitos del sistema
Para habilitar la seguridad de inicio de sesión mejorada, se necesitan componentes de hardware y software compatibles:
- Cumplir los requisitos de seguridad basada en virtualización (VBS), incluidos la habilitación de Device Guard y el Módulo de plataforma segura 2.0.
- Hardware de sensor biométrico compatible con ESS
- Controladores de sensores biométricos compatibles con ESS
- Firmware de dispositivo con una tabla de ACPI de dispositivos seguros (SDEV) configurada por el fabricante del dispositivo para el hardware biométrico incluido
Compatibilidad de sensor biométrico
Sensor biométrico facial
ESS está diseñada para funcionar con una gama selecta de cámaras IR y requiere conjuntos de chips específicos. Las cámaras compatibles con ESS deben tener esta característica integrada en su firmware y es necesario usar el controlador estándar de cámara UVC de Windows que viene con el sistema operativo.
Para comprobar si el módulo de cámara es compatible con ESS, vaya al Administrador de dispositivos y expanda la sección Controladores de bus serie universal. Haga clic con el botón derecho en el dispositivo denominado Controlador de host eXtensible y seleccione la opción Propiedades para ver las propiedades del dispositivo. Si hay varias entradas para un controlador de host, consulte la sección de propiedades de todas. Vaya a la pestaña Detalles del controlador y seleccione Capacidades en el menú desplegable Propiedad. Uno de los dispositivos debe mostrar la funcionalidad CM_DEVCAP_SECUREDEVICE.
A continuación, consulte las secciones de propiedades de las cámaras de PC; para ello, vaya a la sección Cámaras del Administrador de dispositivos. Si hay varias entradas de cámaras de PC, consulte la sección de propiedades de todas. Vaya a la pestaña Detalles de los controladores y seleccione Capacidades en el menú desplegable Propiedad. Uno de los dispositivos de cámara del equipo debe tener la capacidad CM_DEVCAP_SECUREDEVICE.
Sensor biométrico de huella dactilar
Los sensores de huellas digitales compatibles con ESS deben coincidir con el chip:
- El sensor debe tener un certificado emitido por Microsoft insertado en el dispositivo durante su fabricación.
- El controlador de dispositivo y el firmware deben admitir la funcionalidad de seguridad de inicio de sesión mejorada
Para verificar si un módulo de huellas dactilares es compatible con ESS, primero vaya al Administrador de dispositivos y expanda la sección Dispositivos biométricos . Debe aparecer una entrada de un sensor de huellas digitales. Haga clic con el botón derecho en la entrada del lector de huellas digitales, vaya a Propiedades>Detalles. En la sección Propiedad, seleccione Ruta de acceso a la instancia del dispositivo.
Abra regedit.exe y vaya a HKLM\SYSTEM\CurrentControlSet\Enum\[DeviceInstancePath]\Device Parameters\WinBio\Configurations donde DeviceInstancePath es la ruta de acceso que aparece en el Administrador de dispositivos. Seleccione Configuraciones. Debe haber una clave del Registro denominada SecureFingerprint con un valor de datos de 1. Si no existe, el dispositivo no es compatible con la seguridad.
Debajo de "Configuraciones" debe haber también dos carpetas: una etiquetada como 0 y otra etiquetada como 1. Si solo hay una carpeta, y no dos, el dispositivo no es compatible con la seguridad.
Comprobar si ESS está habilitado
Security Center
Si ESS está habilitado, la sección Seguridad del dispositivo de la aplicación Seguridad de Windows tiene una entrada para Seguridad de inicio de sesión mejorada. La entrada describe la funcionalidad de hardware del sistema. Si la sección de seguridad de inicio de sesión mejorada no aparece, quiere decir que esta característica no está habilitada en el sistema.
Si hay un sensor biométrico insertado en el dispositivo que no admite ESS, o bien este tipo de hardware biométrico no está presente en el sistema, se mostrará el mensaje No disponible debido a hardware incompatible junto al sensor correspondiente. Este mensaje indica que el hardware no reúne los requisitos del sensor necesarios para ser compatible con ESS.
Visor de eventos
La Plataforma de biometría de Windows genera eventos de registro al mostrar cada sensor de un sistema. Estos registros incluyen información que indica si un sensor funciona con la seguridad de inicio de sesión mejorada habilitada. Los registros de eventos biométricos se encuentran en el Visor de eventos, en Visor de eventos>Registros de aplicaciones y servicios>Microsoft>Windows>Biometría>Operacional.
Si la Plataforma de biometría de Windows ha cargado correctamente el dispositivo biométrico, habrá un evento de registro con el identificador 1108 relativo al sensor correspondiente. Si el dispositivo funciona con ESS habilitado, el sensor se especifica como aislado en un proceso de Modo seguro virtual. Si el dispositivo no usa ESS, se especifica como aislado en un proceso del sistema.
En el evento 1108, las cámaras se describen mediante Dispositivo de software de reconocimiento facial de Windows Hello (ROOT\WINDOWSHELLOFACESOFTWAREDRIVER\0000) y los dispositivos de huellas digitales se describen mediante un módulo y un identificador de dispositivo específicos del dispositivo. El identificador de dispositivo de los dispositivos de huellas digitales aparece en el Administrador de dispositivos, en Dispositivos biométricos>[Módulo de huellas digitales]>Propiedades>Detalles>Ruta de acceso a la instancia del dispositivo.
Compatibilidad de aplicaciones
En el caso de los dispositivos con cámaras compatibles con ESS, se requiere una tabla de dispositivos seguros (SDEV). Cuando hay una tabla SDEV implementada y VBS está activado, la tabla SDEV se analiza mediante el kernel seguro y se aplican restricciones de acceso al espacio de configuración de dispositivos de interconexión de componentes periféricos (PCI). Estas restricciones se aplican para evitar que un proceso malintencionado manipule el espacio de configuración de dispositivos protegidos especificados en la tabla SDEV.
Salvo que Windows lo admita expresamente, las aplicaciones que intenten leer el espacio de configuración de PCI o escribir en él dan lugar a comprobaciones de errores cuando la tabla SDEV se analice y aplique.
Debido a estas restricciones de software, se debe comprobar la compatibilidad de todos los controladores y software incluidos en la imagen del dispositivo. También se debe comprobar la compatibilidad del software o los controladores que se distribuyan al sistema a través de Windows Update, Microsoft Store u otros canales aceptables por parte del fabricante del dispositivo. Sin esta comprobación, se puede producir un comportamiento inesperado en el sistema.
Escenarios no admitidos
Sensores no compatibles con ESS
Cuando ESS está habilitado, solo los sensores biométricos que admiten el trabajo de ESS en el sistema. Todos aquellos sensores que no sean compatibles no se mostrarán en la Plataforma de biometría de Windows.
Es decisión del fabricante qué hardware se incluye en el sistema y si la seguridad de inicio de sesión mejorada está habilitada de forma predeterminada. Si le preocupa que se bloqueen las modalidades biométricas, póngase en contacto con el fabricante del dispositivo para obtener ayuda.
Sensores biométricos conectables/periféricos
ESS no es compatible con sensores de huellas dactilares externos o módulos de cámara. Con ESS habilitada, las operaciones de los sensores biométricos externos o periféricos se bloquean, independientemente de si son compatibles con la seguridad o no. Si desea usar un periférico con ESS para iniciar sesión con Windows Hello, consulte Deshabilitar o habilitar ESS
Reactivación táctil de los sensores de huellas digitales
Wake on Touch (WoT) es la capacidad de un sensor de huellas digitales para reactivar el sistema e iniciar una sesión de usuario sin necesidad de que el usuario toque el sensor dos veces. Los equipos que admiten el modo de Espera moderno tienen habilitado el comportamiento Wake on Touch.
A partir de Windows 11, versión 22H2 con KB5027303, WoT está disponible para dispositivos ESS.
Solución de problemas
La autenticación de reconocimiento facial/huellas digitales no funciona
Si la autenticación biométrica no funciona, compruebe primero que VBS se está ejecutando y que el componente seguro se ha iniciado. Para comprobar si VBS se está ejecutando, abra Información del sistema>Resumen del sistema. Debe haber una entrada para La seguridad basada en virtualización que aparece como En ejecución.
Compruebe también que los trustlets de aislamiento biométrico se están ejecutando. Estos deben aparecer en Información del sistema>Entorno de software>Tareas en ejecución como bioiso.exe y ngciso.exe. Si se produce un error en cualquiera de estas comprobaciones, es posible que el sistema no cumpla los requisitos de seguridad de inicio de sesión mejorada. Pruebe a reiniciar el servicio biométrico usando el punto 3.
- En Configuración>Opciones de inicio de sesión, quite la inscripción no funcional y vuelva a inscribirse
- Si la entrada autenticación facial/huella dactilar de Windows Hello no está disponible con la condición No hemos encontrado un escáner de huellas dactilares compatible con Windows Hello o algo similar, continúe con el paso siguiente.
- En el Administrador de dispositivos, el sensor debe aparecer en Dispositivos biométricos. Vuelva a instalar el controlador; para ello, haga clic con el botón derecho en el nombre del dispositivo y seleccione Desinstalar dispositivo. Reinicie el dispositivo, lo que hará que Windows intente reinstalar el controlador. Compruebe si la autenticación funciona
- Para reiniciar el servicio de biometría, quite primero el PIN del sistema; para ello, vaya a Opciones de inicio de sesión y quite el PIN. Abra un símbolo del sistema como administrador e introduzca
net stop wbiosrvc && net start wbiosrvc. Compruebe si la autenticación con huellas digitales funciona - Si la biometría sigue sin funcionar en el dispositivo, envíe un comentario mediante el Centro de opiniones.
Para comprobar que la conexión segura se realizó correctamente, consulte la sección Comprobación de si ESS está habilitada .
El PIN no funciona.
El PIN se puede restablecer en la pantalla de bloqueo, en Opciones de inicio de sesión. Para ello, quite el PIN y agréguelo de nuevo. Se le solicitará que restablezca el PIN, lo que hará que se restaure la funcionalidad de PIN.
Habilitar o deshabilitar ESS.
A partir de Windows 11, versión 22H2 con KB5031455, los usuarios pueden desactivar temporalmente ESS si desean usar un periférico externo para autenticarse con Windows Hello en su dispositivo.
Use la aplicación Configuración para deshabilitar ESS. Seleccione Iniciar>Configuración>Cuentas>Opciones de información inicio de sesión o use el siguiente acceso directo:
En Configuración adicional>Iniciar sesión con una cámara externa o lector de huellas digitales, hay un botón de alternancia que le permite habilitar o deshabilitar ESS:
- Cuando el botón de alternancia esté Desactivado, ESS estará habilitado y no se podrán usar periféricos externos para iniciar sesión. Recuerde que todavía puede usar periféricos externos dentro de aplicaciones como Teams
- Cuando el botón de alternancia esté Activado, ESS estará deshabilitado y podrá usar periféricos compatibles con Windows Hello para iniciar sesión