Megosztás a következőn keresztül:


A Windows Hello fokozott bejelentkezési biztonsága

A Windows Hello lehetővé teszi a biometrikus vagy PIN-kódos hitelesítést, így nincs szükség jelszóra. A biometrikus hitelesítés arcfelismeréssel vagy ujjlenyomattal igazolja a felhasználó személyazonosságát biztonságos, személyes és kényelmes módon.

A fokozott bejelentkezési biztonság (ESS) speciális hardver- és szoftverösszetevők használatával további biztonsági szintet biztosít a biometrikus adatok számára. A Virtualization Based Security (VBS) és a Trusted Platform Module 2.0 a felhasználók hitelesítési adatainak elkülönítésére és védelmére, valamint az adatkommunikációs csatorna védelmére szolgál.

Hogyan védi a fokozott bejelentkezési biztonság a biometrikus adatokat?

ESS és arcfelismerés

Ha az ESS engedélyezve van, a rendszer VBS használatával védi az arc algoritmust, hogy elkülönítse azt a Windows többi részétől. A hipervizor a memóriarégiók megadására és védelmére szolgál, így csak a VBS-ben futó folyamatok érhetik el őket. A hipervizor lehetővé teszi, hogy az arc kamerája ezekbe a memóriaterületekre írjon, és izolált útvonalat biztosít az arcadatoknak a kamerából az arcegyező algoritmusnak való továbbításához.

Az arcsablonokat a védett arc algoritmusa hozza létre a VBS-ben. Ha nincs használatban, az arcsablon adatai titkosítva lesznek a létrehozott és csak a VBS számára elérhető kulcsokkal, majd a lemezen tárolva.

ESS és ujjlenyomat-felismerés

Az ESS csak olyan ujjlenyomat-érzékelők esetén támogatott, amelyek rendelkeznek érzékelőn történő egyeztetési képességgel. Az ilyen típusú érzékelő mikroprocesszort és memóriát tartalmaz, amely az ujjlenyomat-egyeztetés és a sablontárolás hardveres elkülönítésére használható.

Az ESS-t támogató érzékelők a gyártás során beágyazott tanúsítvánnyal rendelkeznek. A tanúsítványt a VBS-ben futó Windows biometrikus összetevők érvényesíthetik, és az érzékelővel való biztonságos munkamenet létrehozására szolgálnak. Az érzékelő és a Windows biometrikus összetevői a munkamenet használatával kommunikálják a regisztrációs műveleteket, és biztonságosan egyeztetik az eredményeket.

Hitelesítő műveletek

A VBS-ben futó Windows biometrikus összetevők biztonságos csatornát hoznak létre a TPM-hez a TPM által a rendszerindítás során a VBS-sel megosztott információk használatával. Ha a megfelelő művelet sikeres, a VBS biometrikus összetevői a biztonságos csatornával engedélyezik a Windows Hello-kulcsok használatát a felhasználó identitásszolgáltatójával, alkalmazásaival és szolgáltatásaival való hitelesítéséhez.

Fokozott bejelentkezési biztonság engedélyezése

Az ESS engedélyezése a rendszeren előre telepített speciális hardverektől, illesztőprogramoktól és belső vezérlőprogramoktól függ. Az eszközgyártók dönthetnek úgy, hogy engedélyezik a fokozott bejelentkezési biztonságot az eszközkonfiguráció során a gyárban.

Megjegyzés:

Minden Copilot+ számítógép alapértelmezés szerint az ESS-t engedélyezve tartalmazza. További információ: Copilot+ PC hardverkövetelményei.

Rendszerkövetelmények

A fokozott bejelentkezési biztonság engedélyezéséhez kompatibilis hardver- és szoftverösszetevők szükségesek:

Biometrikus érzékelő kompatibilitása

Arcbiometrikai érzékelő

Az ESS úgy lett kialakítva, hogy számos IR-kamerával működjön, és speciális lapkakészleteket igényel. Az ESS-t támogató kameráknak be kell építeniük ezt a funkciót a belső vezérlőprogramjukba, és az operációs rendszerhez tartozó szabványos Windows UVC kameraillesztőt kell használniuk.

Annak ellenőrzéséhez, hogy a kameramodul ESS-kompatibilis-e, először nyissa meg az Eszközkezelőt, és bontsa ki az Univerzális soros busz vezérlők szakaszt . Kattintson a jobb gombbal arra az eszközre, amelyen az eXtensible Host Controller szerepel a névben, és válassza a Tulajdonságok lehetőséget az eszköz tulajdonságainak megtekintéséhez. Ha egy gazdagépvezérlőhöz több bejegyzés tartozik, ellenőrizze azok tulajdonságainak szakaszát mindegyik esetében. Lépjen az illesztőprogram Részletek lapjára, és válassza a Tulajdonságok legördülő menü Képességek elemét. Az egyik eszköznek meg kell jelenítenie a képességet CM_DEVCAP_SECUREDEVICE .

Arcbeliometrikus szenzor képességek

Ezután ellenőrizze a PC-kamerák tulajdonságokra vonatkozó szakaszait a Device Manager Kamerák szakaszában. Ha a PC kamerákhoz több bejegyzés van, ellenőrizze minden bejegyzés tulajdonságait külön. Lépjen az illesztőprogramok Részletek lapjára, és válassza a Tulajdonságok legördülő menü Képességek elemét. Az egyik PC-kamerás eszköznek rendelkeznie kell a CM_DEVCAP_SECUREDEVICE képességgel.

Arcfelismerő Biometrikus Szenzor Kamera Tulajdonságai

Ujjlenyomat biometrikus érzékelő

Az ESS-kompatibilis ujjlenyomat-érzékelőknek egyeznie kell a chipen:

  • Az érzékelőben a gyártás során beégetett Microsoft által kiadott tanúsítványnak kell lennie.
  • Az eszközillesztőnek és a belső vezérlőprogramnak támogatnia kell a fokozott bejelentkezési biztonsági funkciókat

Annak ellenőrzéséhez, hogy egy ujjlenyomat-modul ESS-kompatibilis-e, először nyissa meg a Device Managert, és bontsa ki a Biometrikus eszközök szakaszt. Az ujjlenyomat-érzékelő számára legyen bejegyzés. Kattintson a jobb gombbal az ujjlenyomat-olvasó bejegyzésére, és válassza a Tulajdonságok>részletei lapot. A Tulajdonság beállításnál válassza az Eszközpéldány elérési út opciót.

Ujjlenyomat-felismerés és kibővített bejelentkezési biztonság

Nyissa meg a regedit.exe-t, majd keresse fel a(z) HKLM\SYSTEM\CurrentControlSet\Enum\[DeviceInstancePath]\Device Parameters\WinBio\Configurations helyet, ahol a(z) DeviceInstancePath útvonal található, amely az Eszközkezelőben van felsorolva. Válassza a Konfigurációk lehetőséget. Kell, hogy legyen egy beállításkulcs, amelynek neve SecureFingerprint és adatértéke 1. Ha nem létezik, az eszköz nem biztonságos.

A konfigurációk alatt két mappának kell lennie: egy címkével 0 ellátott és egy címkével ellátott mappának 1. Ha csak egy mappa van, és nem kettő, az eszköz nem biztonságos.

Ujjlenyomatalapú bejelentkezési biztonsági konfigurációk

Ellenőrizze, hogy az ESS engedélyezve van-e

Biztonsági Központ

Ha az ESS engedélyezve van, a Windows biztonsági alkalmazás Eszközbiztonság szakasza rendelkezik egy bejegyzéssel a fokozott bejelentkezési biztonsághoz. A bejegyzés a rendszer hardverképességét ismerteti. Ha a Fokozott bejelentkezési biztonság szakasz nem jelenik meg, a funkció nincs engedélyezve a rendszeren.

Ha olyan biometrikus érzékelő van beágyazva az eszközbe, amely nem támogatja az ESS-t, vagy az ilyen típusú biometrikus hardver hiányzik a rendszerből, azt a nem kompatibilis hardverleírás jelzi a megfelelő érzékelő mellett. Ez az üzenet azt jelzi, hogy a hardver nem felel meg az ESS támogatásához szükséges érzékelőkövetelményeknek.

Eseménynapló

A Windows biometrikus keretrendszer naplókat hoz létre, amikor a rendszer minden érzékelője számba van írva. Ezek a naplók olyan információkat tartalmaznak, amelyek azt jelzik, hogy egy érzékelő engedélyezve van-e a Fokozott bejelentkezési biztonság funkcióval. A biometrikus eseménynaplók az Eseménynapló> alkalmazás- és szolgáltatási naplók>>>>Operational területén találhatók.

Ha a biometrikus eszközt megfelelően tölti be a Windows biometrikus keretrendszere, a megfelelő érzékelő naplóesemény-azonosítóval 1108 rendelkezik. Ha az eszköz az ESS-t használva működik, az érzékelő izoláltnak van megadva egy virtuális biztonságos mód folyamatában. Ha az eszköz nem használ ESS-t, izolált-ként van megjelölve egy System folyamatban.

OperationalEventViewer

Ebben az esetben 1108a kamerák leírása a Windows Hello Face Software Device (ROOT\WINDOWSHELLOFACESOFTWAREDRIVER\0000) használatával történik, és az ujjlenyomat-eszközök leírása az eszköz adott modulja és eszközazonosítója alapján történik. Ujjlenyomat-eszközök esetén az eszközazonosító szerepel az eszközkezelőben a Biometrikus eszközök>[Ujjlenyomatmodul]>Tulajdonságok>részletei>eszközpéldány elérési útja területen.

Alkalmazáskompatibilitás

Az ESS-kompatibilis kamerákkal rendelkező eszközökhöz biztonságos eszközök (SDEV) táblára van szükség. Ha egy SDEV-tábla implementálva van, és a VBS be van kapcsolva, az SDEV-táblát a Secure Kernel elemzi, és korlátozásokat léptet életbe a perifériaösszekötő (PCI) eszközkonfigurációs területének elérésekor. Ezek a korlátozások azért lépnek életbe, hogy a rosszindulatú folyamatok ne módosítják az SDEV táblában megadott biztonságos eszközök konfigurációs területét.

Azok az alkalmazások, amelyek megkísérlik olvasni/írni a PCI-konfigurációs területet, kivéve a Windows által kifejezetten támogatott eszközöket, hibaellenőrzéseket eredményeznek az SDEV-tábla elemzésekor és kényszerítésekor.

Az eszköz lemezképében szereplő összes illesztőprogramot és szoftvert kompatibilitási vizsgálatnak kell alávetni a szoftverkorlátozások miatt. A windowsos frissítéssel, a Microsoft Store-zal vagy az eszköz gyártója által más elfogadható csatornákon keresztül a rendszerbe terjesztett szoftvereket és illesztőprogramokat is ellenőrizni kell a kompatibilitás szempontjából. Az ellenőrzés nélkül előfordulhat, hogy nem várt viselkedés tapasztalható a rendszeren.

Nem támogatott forgatókönyvek

Nem ESS által támogatott érzékelők

Ha az ESS engedélyezve van, csak az ESS-t támogató biometrikus érzékelők működnek a rendszeren. A Windows biometriai keretrendszer nem sorolja fel az összes nem képes érzékelőt.

A gyártó döntése arról, hogy milyen hardvert tartalmaznak a rendszerben, és hogy a fokozott bejelentkezési biztonság alapértelmezés szerint engedélyezve van-e. Ha bármilyen aggály merül fel a biometrikus modalitások blokkolásával kapcsolatban, forduljon az eszköz gyártójától az ügyfélszolgálathoz.

Csatlakoztatható/perifériás biometrikus érzékelők

Az ESS nem támogatott külső ujjlenyomat-érzékelők vagy kameramodulok esetén. Ha az ESS engedélyezve van, a külső vagy a perifériás biometrikus érzékelő műveletei blokkolva vannak, függetlenül attól, hogy biztonságosak-e vagy sem. Ha esS-vel rendelkező perifériát szeretne használni a Windows Hello szolgáltatásba való bejelentkezéshez, olvassa el az ESS letiltása/engedélyezése című témakört.

Megjegyzés:

2025 végén érkezik a Windows támogatása a periféria továbbfejlesztett bejelentkezési biztonsági (ESS) ujjlenyomat-érzékelőihez! Előfordulhat, hogy egyes Windows Hello-perifériaeszközök már elérhetők a piacon. Útmutatásért lásd itt .

Érintéssel ébreszthető ujjlenyomat-érzékelők

Az érintéses ébresztés (WoT) lehetővé teszi, hogy az ujjlenyomat-érzékelő felébresztse a rendszert és bejelentkezzen anélkül, hogy a felhasználónak kétszer kellene megérintenie az érzékelőt. A modern készenléti állapotot támogató eszközök engedélyezik az Érintéses ébresztés érzékelő működését.

A Windows 11 22H2-es verziójától kezdve KB5027303, a WoT az ESS-eszközökhöz érhető el.

Hibaelhárítás

Az arc-/ujjlenyomat-hitelesítés nem működik

Ha a biometrikus hitelesítés nem működik, először ellenőrizze, hogy fut-e a VBS, és hogy elindult-e a biztonságos összetevő. Annak ellenőrzéséhez, hogy a VBS fut-e, nyissa meg a Rendszerinformációs>rendszer összegzését. A virtualizáláson alapuló biztonságnakfut állapottal kell szerepelnie.

Biometrikus hitelesítés hibaelhárítása

Azt is ellenőrizze, hogy a biometrikus izolációs bizalmi modulok futnak-e. Ezeknek szerepelniük kell a Rendszerinformációk>Szoftverkörnyezet>Futó feladatok alatt bioiso.exe és ngciso.exe. Ha valamelyik ellenőrzés sikertelen, előfordulhat, hogy a rendszer nem felel meg a fokozott bejelentkezési biztonságra vonatkozó követelményeknek. Próbálja meg újraindítani a biometrikus szolgáltatást a 3. lépéssel.

  1. A Beállítások>bejelentkezési beállításai területen távolítsa el a nem működő regisztrációt, és regisztrálja újra
    1. ha a Windows Hello Face/Ujjlenyomat bejegyzés nem érhető el azzal a feltétellel, hogy nem található a Windows Hello Face-nal kompatibilis ujjlenyomat-olvasó, vagy valami hasonló, folytassa a következő lépéssel
  2. Az eszközkezelőben az érzékelőnek szerepelnie kell a biometrikus eszközök között. Telepítse újra az illesztőprogramot a jobb gombbal az eszköz nevére kattintva, és válassza az Eszköz eltávolítása lehetőséget. Indítsa újra az eszközt, ekkor a Windows megpróbálja újratelepíteni az illesztőprogramot. Ellenőrizze, hogy működik-e a hitelesítés
  3. A biometrikus szolgáltatás újraindításához először távolítsa el a PIN-kódot a rendszerből a bejelentkezési beállítások és a PIN-kód eltávolításával. Nyisson meg egy parancssort rendszergazdaként, és írja be a következőt net stop wbiosrvc && net start wbiosrvc: Ellenőrizze, hogy működik-e az ujjlenyomat-hitelesítés
  4. Ha a biometrikus adatok továbbra sem működnek az eszközön, küldjön visszajelzési elemet a Feedback Hub használatával

A biztonságos kapcsolat sikerességének ellenőrzéséhez tekintse meg az ESS engedélyezésének ellenőrzésére vonatkozó szakaszt .

A PIN-kód nem működik

A PIN-kód alaphelyzetbe állítható a zárolási képernyőn a bejelentkezési beállítások alatt. Ehhez távolítsa el a PIN-kódot, és adja hozzá újra. Ez elindítja a PIN-kód alaphelyzetbe állítását, amelynek vissza kell állítania a PIN-kód funkcionalitását.

ESS letiltása/engedélyezése

A Windows 11 22H2-es és KB5031455-es verziójától kezdve a felhasználók ideiglenesen kikapcsolhatják az ESS-t, ha külső periféria használatával szeretnének hitelesítést végezni a Windows Hello-val az eszközükön.

A Beállítások alkalmazással letilthatja az ESS-t. Válassza a Start>Beállítások>Fiókok>bejelentkezési beállítások, vagy használja a következő parancsikont:

A További beállítások> területenjelentkezzen be egy külső kamerával vagy ujjlenyomat-olvasóval, és egy kapcsolóval engedélyezheti vagy letilthatja az ESS-t:

  • Ha a kapcsoló ki van kapcsolva, az ESS engedélyezve van, és nem használhat külső perifériákat a bejelentkezéshez. Ne feledje, hogy továbbra is használhat külső perifériákat az alkalmazásokban, például a Teamsben
  • Ha a kapcsoló be van kapcsolva, az ESS le van tiltva, és a Windows Hello-kompatibilis perifériákkal bejelentkezhet