Seguridad de inicio de sesión mejorada de Windows Hello

Windows Hello permite a un usuario autenticarse mediante biometría o un PIN, lo que elimina la necesidad de usar una contraseña. La autenticación biométrica usa el reconocimiento facial o la huella digital para demostrar la identidad de un usuario de forma segura, personal y cómoda. La seguridad de inicio de sesión mejorada proporciona un nivel extra de seguridad a los datos biométricos sacando partido de componentes de hardware y software especializados como, por ejemplo, la seguridad basada en la virtualización (VBS) y el Módulo de plataforma segura 2.0 para aislar y proteger los datos de autenticación de un usuario y proteger el canal mediante el que esos datos se comunican.

¿Cómo protege los datos biométricos la seguridad de inicio de sesión mejorada?

Caras

Cuando la seguridad de inicio de sesión mejorada está habilitada, el algoritmo de reconocimiento facial se protege mediante VBS para aislarlo del resto de Windows. El hipervisor se usa para especificar y proteger regiones de memoria, de manera que solo puedan acceder a ellas los procesos que se ejecuten en VBS. El hipervisor permite que la cámara facial escriba en estas regiones de memoria, lo que proporciona una ruta aislada para entregar datos faciales de la cámara al algoritmo de reconocimiento facial.

Las plantillas de caras se generan en VBS mediante el algoritmo de reconocimiento facial protegido. Cuando no están en uso, los datos de la plantillas de caras se cifran mediante claves generadas y accesibles únicamente mediante VBS para, acto seguido, almacenarse en disco.

Huella digital

La seguridad de inicio de sesión mejorada solo se admite en sensores de huellas digitales con capacidad para detectar coincidencias mediante el sensor. Este tipo de sensor incluye un microprocesador y una memoria que se pueden usar para aislar la coincidencia de huellas digitales y el almacenamiento de plantillas mediante hardware.

A los sensores que admiten la seguridad de inicio de sesión mejorada se les inserta certificado durante su fabricación. Este certificado se puede validar mediante los componentes biométricos de Windows que se ejecutan en VBS, y se usa para establecer una sesión segura con el sensor. Los componentes biométricos del sensor y de Windows usan esta sesión para comunicar las operaciones de inscripción y hallar coincidencias de resultados de forma segura.

Operaciones de credenciales

Los componentes biométricos de Windows que se ejecutan en VBS establecen un canal seguro al TPM mediante la información que el TPM comparte con VBS durante el arranque. Cuando una operación de coincidencia es correcta, los componentes biométricos de VBS usan este canal para autorizar el uso de claves de Windows Hello con el fin de autenticar al usuario con su proveedor de identidades, aplicaciones y servicios.

Cómo obtener seguridad de inicio de sesión mejorada

Las posibilidades dependen del hardware, los controladores y el firmware especializados que haya ya instalados en el sistema. Los fabricantes de dispositivos pueden optar por habilitar la seguridad de inicio de sesión mejorada en sus dispositivos al configurarlos durante su fabricación.

Compatibilidad de sistemas

Para habilitar la seguridad de inicio de sesión mejorada, se necesitan componentes de hardware y software compatibles:

• Dispositivos con la actualización de octubre de 2020 de Windows 10 configurada de fábrica
• Cumplir los requisitos de seguridad basada en virtualización (VBS), incluidos la habilitación de Device Guard y el Módulo de plataforma segura 2.0.
• Hardware de sensor biométrico que admite la seguridad de inicio de sesión mejorada
• Controladores de sensor biométrico compatibles con la seguridad de inicio de sesión mejorada
• Firmware de dispositivo con una tabla de ACPI de dispositivos seguros (SDEV) correctamente configurada por el fabricante del dispositivo para el hardware biométrico incluido

Compatibilidad de sensor biométrico

Sensor biométrico facial

La seguridad de inicio de sesión mejorada solo admite algunas cámaras de infrarrojos en un número limitado de conjuntos de chip. Las cámaras compatibles deben admitir la seguridad de inicio de sesión mejorada en el firmware. Se requiere el uso del controlador de cámara UVC de bandeja de entrada de Windows. Para comprobar si el módulo de cámara es compatible con la seguridad de inicio de sesión mejorada, vaya al Administrador de dispositivos y expanda la sección "Controladores de bus serie universal". Haga clic derecho en el dispositivo denominado Controlador de host eXtensible y seleccione la opción Propiedades para ver las propiedades del dispositivo. Si hay varias entradas para un controlador de host, consulte la sección de propiedades de todas. Vaya a la pestaña Detalles del controlador y seleccione Capacidades en el menú desplegable Propiedad. Uno de los dispositivos debe mostrar que tiene la capacidad "CM_DEVCAP_SECUREDEVICE".

A continuación, consulte las secciones de propiedades de las cámaras de PC; para ello, vaya a la sección "Cámaras" del Administrador de dispositivos. Si hay varias entradas de cámaras de PC, consulte la sección de propiedades de todas. Vaya a la pestaña Detalles de los controladores y seleccione Capacidades en el menú desplegable Propiedad. Uno de los dispositivos de cámara de PC debe tener la funcionalidad "CM_DEVCAP_SECUREDEVICE".

Sensor biométrico de huella digital

Los sensores de huellas digitales compatibles con la seguridad de inicio de sesión mejorada deben tener el mismo chip. El sensor debe tener un certificado emitido por Microsoft insertado en el dispositivo durante su fabricación. El controlador de dispositivo y el firmware deben admitir la funcionalidad de seguridad de inicio de sesión mejorada. Para comprobar si un módulo de huellas digitales es compatible con la seguridad de inicio de sesión mejorada, abra el Administrador de dispositivos y expanda la sección Dispositivos biométricos. Debe aparecer una entrada de un sensor de huellas digitales. Haga clic con el botón derecho en la entrada del lector de huellas digitales, vaya a Propiedades y, a continuación, a Detalles. En la sección Propiedad, seleccione "Ruta de acceso a la instancia del dispositivo".

Abra regedit.exe y vaya a HKLM\SYSTEM\CurrentControlSet\Enum\[DeviceInstancePath]\Device Parameters\WinBio\Configurations, donde DeviceInstancePath es la ruta de acceso que aparece en el Administrador de dispositivos. Seleccione "Configuraciones". Debe haber una clave del Registro denominada "SecureFingerprint" con un valor de datos de 1. Si no existe, el dispositivo no es compatible con la seguridad.

Debajo de "Configuraciones" debe haber también dos carpetas: una etiquetada como "0" y otra etiquetada como "1". Si solo hay una carpeta, y no dos, el dispositivo no es compatible con la seguridad.

Cómo saber si la seguridad de inicio de sesión mejorada está habilitada

Security Center

En la sección Seguridad del dispositivo de la aplicación Seguridad de Windows, habrá una entrada de seguridad de inicio de sesión mejorada si esta está habilitada en el sistema. Esta entrada describirá la funcionalidad de hardware del sistema. Si la sección de seguridad de inicio de sesión mejorada no aparece, quiere decir que esta característica no está habilitada en el sistema.

Si hay un sensor biométrico insertado en el dispositivo que no admite la seguridad de inicio de sesión mejorada, o bien este tipo de hardware biométrico no está presente en el sistema, se mostrará un mensaje junto al sensor correspondiente que indica que no está disponible debido a hardware incompatible. Este mensaje indica que el hardware no reúne los requisitos del sensor necesarios para admitir la seguridad de inicio de sesión mejorada.

Visor de eventos

La Plataforma de biometría de Windows genera eventos de registro al mostrar cada sensor de un sistema. Estos registros incluyen información que indica si un sensor funciona con la seguridad de inicio de sesión mejorada habilitada. Los registros de eventos biométricos se encuentran en el Visor de eventos, en Visor de eventos > Registros de aplicaciones y servicios > Microsoft > Windows > Biometría > Operacional.

Si la Plataforma de biometría de Windows ha cargado correctamente el dispositivo biométrico, habrá un evento de registro con el identificador 1108 relativo al sensor correspondiente. Si el dispositivo funciona con la seguridad de inicio de sesión mejorada habilitada, el sensor se especificará como aislado en un proceso de "modo de seguridad virtual". Si el dispositivo no usa la seguridad de inicio de sesión mejorada, se especificará como aislado en un proceso de "sistema".

En el evento 1108, las cámaras se describirán mediante "Dispositivo de software de reconocimiento facial de Windows Hello (ROOT\WINDOWSHELLOFACESOFTWAREDRIVER\0000)" y los dispositivos de huellas digitales se describirán mediante un módulo y un identificador de dispositivo específicos del dispositivo. El identificador de dispositivo de los dispositivos de huellas digitales se encuentra en el Administrador de dispositivos, en Biometría Dispositivos > [Módulo de huellas digitales] > Propiedades > Detalles > Ruta de acceso a la instancia del dispositivo.

Compatibilidad de aplicaciones

Los dispositivos con cámaras compatibles con la seguridad de inicio de sesión mejorada requieren una tabla dispositivos seguros (SDEV). Cuando hay una tabla SDEV implementada y VBS está activado, la tabla SDEV se analiza mediante el kernel seguro y se aplican restricciones de acceso al espacio de configuración de dispositivos de interconexión de componentes periféricos (PCI). Estas restricciones se aplican para evitar que un proceso malintencionado manipule el espacio de configuración de dispositivos protegidos especificados en la tabla SDEV.

Salvo que Windows lo admita expresamente, las aplicaciones que intenten leer el espacio de configuración de PCI o escribir en él darán lugar a comprobaciones de errores cuando la tabla SDEV se analice y aplique.

Debido a estas restricciones de software, se debe comprobar la compatibilidad de todos los controladores y software incluidos en la imagen del dispositivo. También se debe comprobar la compatibilidad del software o los controladores que se distribuyan al sistema a través de Windows Update, Microsoft Store u otros canales aceptables por parte del fabricante del dispositivo. Sin esta comprobación, se puede producir un comportamiento inesperado en el sistema.

Escenarios no admitidos

Habilitar la compatibilidad con la seguridad de inicio de sesión al actualizar Windows

Actualmente, la seguridad de inicio de sesión mejorada solo se admite en dispositivos configurados por un fabricante de dispositivos para habilitar la capacidad con la actualización de octubre de 2020 de Windows 10. Actualmente no se admiten los dispositivos de mercado compatibles con hardware que se actualicen a esta compilación del sistema operativo.

Sensores compatibles sin seguridad de inicio de sesión mejorada

Cuando la seguridad de inicio de sesión mejorada está habilitada, solo funcionarán los sensores biométricos que admitan la seguridad de inicio de sesión mejorada en el sistema. Todos aquellos sensores que no sean compatibles no se mostrarán en la Plataforma de biometría de Windows.

Es decisión del fabricante qué hardware se incluye en el sistema y si la seguridad de inicio de sesión mejorada está habilitada de forma predeterminada. Si le preocupa que se bloqueen las modalidades biométricas, póngase en contacto con el fabricante del dispositivo para obtener ayuda.

Sensores biométricos conectables/periféricos

La seguridad de inicio de sesión mejorada no se admite en sensores de huellas digitales externos ni en módulos de cámara. Con la seguridad de inicio de sesión mejorada habilitada, las operaciones de los sensores biométricos externos o periféricos se bloquearán, independientemente de si son compatibles con la seguridad o no. Si desea usar un periférico con seguridad de inicio de sesión mejorada para iniciar sesión con Windows Hello, consulte Deshabilitar o habilitar la seguridad de inicio de sesión mejorada

Reactivación táctil de los sensores de huellas digitales

Wake on Touch (WoT) describe la capacidad de un sensor de huellas digitales para reactivar el sistema e iniciar una sesión de usuario sin necesidad de que el usuario toque el sensor dos veces. Los equipos que admiten el modo de Espera moderno tienen habilitado el comportamiento Wake on Touch.

A partir de Windows 11 SE, versión 22H2 y Windows 11 Pro Edu/Education, versión 22H2 con KB5027303, WoT estará disponible para dispositivos ESS.

Solución de problemas

La autenticación de reconocimiento facial/huellas digitales no funciona

Si la autenticación biométrica no funciona, compruebe primero que VBS se está ejecutando y que el componente seguro se ha iniciado. Para comprobar si VBS se está ejecutando, abra Información del sistema y consulte "Resumen del sistema"; debe aparecer una entrada "Seguridad basada en virtualización" como En ejecución.

Compruebe también que los trustlets de aislamiento biométrico se están ejecutando. Deben aparecer como "bioiso.exe" y "ngciso.exe" en Información del sistema > Entorno de software > Tareas en ejecución. Si se produce un error en cualquiera de estas comprobaciones, es posible que el sistema no cumpla los requisitos de seguridad de inicio de sesión mejorada. Pruebe a reiniciar el servicio biométrico usando el punto 3 de abajo.

Para comprobar que la conexión segura se ha realizado correctamente, vea la sección Cómo saber si la seguridad de inicio de sesión mejorada está habilitada. .

1. En Configuración, en Opciones de inicio de sesión, quite la inscripción no funcional y vuelva a inscribirse; si la entrada de reconocimiento facial/huellas digitales de Windows Hello no está disponible y aparece un mensaje que indica que no se ha encontrado un lector de huellas digitales compatible con el reconocimiento facial de Windows Hello o similar, pase directamente al punto 2 para comprobar si la autenticación funciona.
2. En el Administrador de dispositivos, el sensor debe aparecer en Dispositivos biométricos. Vuelva a instalar el controlador; para ello, haga clic con el botón derecho en el nombre del dispositivo y seleccione Desinstalar dispositivo. Reinicie el dispositivo, lo que hará que Windows intente reinstalar el controlador. Compruebe si la autenticación funciona.
3. Para reiniciar el servicio de biometría, quite primero el PIN del sistema; para ello, vaya a Opciones de inicio de sesión y quite el PIN. Abra un símbolo del sistema como administrador y escriba "net stop wbiosrvc" y, a continuación, "net start wbiosrvc". Compruebe si la autenticación con huellas digitales funciona.
4. Si la biometría sigue sin funcionar en el dispositivo, envíe un comentario mediante el Centro de opiniones.

El PIN no funciona

El PIN se puede restablecer en la pantalla de bloqueo, en Opciones de inicio de sesión. Para ello, quite el PIN y agréguelo de nuevo. Se le solicitará que restablezca el PIN, lo que hará que se restaure la funcionalidad de PIN.

Deshabilitar o habilitar la seguridad de inicio de sesión mejorada

A partir de Windows 11, versión 22H2 con KB5031455, los usuarios pueden desactivar temporalmente ESS si desean usar un periférico externo para autenticarse con Windows Hello en su dispositivo.

Use la aplicación Configuración para deshabilitar ESS. Seleccione Iniciar>Configuración>Cuentas>Opciones de información inicio de sesión o use el siguiente acceso directo:

Opciones de inicio de sesión

En Configuración adicional>Iniciar sesión con una cámara externa o lector de huellas digitales, hay un botón de alternancia que le permite habilitar o deshabilitar ESS:

• Cuando el botón de alternancia esté Desactivado, ESS estará habilitado y no se podrán usar periféricos externos para iniciar sesión. Recuerde que todavía puede usar periféricos externos dentro de aplicaciones como Teams
• Cuando el botón de alternancia esté Activado, ESS estará deshabilitado y podrá usar periféricos compatibles con Windows Hello para iniciar sesión