Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A Windows Hello lehetővé teszi a biometrikus vagy PIN-kódos hitelesítést, így nincs szükség jelszóra. A biometrikus hitelesítés arcfelismeréssel vagy ujjlenyomattal igazolja a felhasználó személyazonosságát biztonságos, személyes és kényelmes módon.
A fokozott bejelentkezési biztonság (ESS) speciális hardver- és szoftverösszetevők használatával további biztonsági szintet biztosít a biometrikus adatok számára. A Virtualization Based Security (VBS) és a Trusted Platform Module 2.0 a felhasználók hitelesítési adatainak elkülönítésére és védelmére, valamint az adatkommunikációs csatorna védelmére szolgál.
Hogyan védi a fokozott bejelentkezési biztonság a biometrikus adatokat?
ESS és arcfelismerés
Ha az ESS engedélyezve van, a rendszer VBS használatával védi az arc algoritmust, hogy elkülönítse azt a Windows többi részétől. A hipervizor a memóriarégiók megadására és védelmére szolgál, így csak a VBS-ben futó folyamatok érhetik el őket. A hipervizor lehetővé teszi, hogy az arc kamerája ezekbe a memóriaterületekre írjon, és izolált útvonalat biztosít az arcadatoknak a kamerából az arcegyező algoritmusnak való továbbításához.
Az arcsablonokat a védett arc algoritmusa hozza létre a VBS-ben. Ha nincs használatban, az arcsablon adatai titkosítva lesznek a létrehozott és csak a VBS számára elérhető kulcsokkal, majd a lemezen tárolva.
ESS és ujjlenyomat-felismerés
Az ESS csak olyan ujjlenyomat-érzékelők esetén támogatott, amelyek rendelkeznek érzékelőn történő egyeztetési képességgel. Az ilyen típusú érzékelő mikroprocesszort és memóriát tartalmaz, amely az ujjlenyomat-egyeztetés és a sablontárolás hardveres elkülönítésére használható.
Az ESS-t támogató érzékelők a gyártás során beágyazott tanúsítvánnyal rendelkeznek. A tanúsítványt a VBS-ben futó Windows biometrikus összetevők érvényesíthetik, és az érzékelővel való biztonságos munkamenet létrehozására szolgálnak. Az érzékelő és a Windows biometrikus összetevői a munkamenet használatával kommunikálják a regisztrációs műveleteket, és biztonságosan egyeztetik az eredményeket.
Hitelesítő műveletek
A VBS-ben futó Windows biometrikus összetevők biztonságos csatornát hoznak létre a TPM-hez a TPM által a rendszerindítás során a VBS-sel megosztott információk használatával. Ha a megfelelő művelet sikeres, a VBS biometrikus összetevői a biztonságos csatornával engedélyezik a Windows Hello-kulcsok használatát a felhasználó identitásszolgáltatójával, alkalmazásaival és szolgáltatásaival való hitelesítéséhez.
Fokozott bejelentkezési biztonság engedélyezése
Az ESS engedélyezése a rendszeren előre telepített speciális hardverektől, illesztőprogramoktól és belső vezérlőprogramoktól függ. Az eszközgyártók dönthetnek úgy, hogy engedélyezik a fokozott bejelentkezési biztonságot az eszközkonfiguráció során a gyárban.
Megjegyzés:
Minden Copilot+ számítógép alapértelmezés szerint az ESS-t engedélyezve tartalmazza. További információ: Copilot+ PC hardverkövetelményei.
Rendszerkövetelmények
A fokozott bejelentkezési biztonság engedélyezéséhez kompatibilis hardver- és szoftverösszetevők szükségesek:
- A Virtualization-Based Biztonság (VBS) követelményeinek való megfelelés, beleértve a Device Guard Enablement-t és a 2.0-s Megbízható platform modult
- Az ESS-t támogató biometrikus érzékelő hardvere
- Az ESS-vel kompatibilis biometrikus érzékelőillesztők
- Eszköz firmware egy Secure Devices (SDEV) ACPI táblával konfigurálva, melyet az eszköz gyártója állít be a mellékelt biometrikus hardverhez.
Biometrikus érzékelő kompatibilitása
Arcbiometrikai érzékelő
Az ESS úgy lett kialakítva, hogy számos IR-kamerával működjön, és speciális lapkakészleteket igényel. Az ESS-t támogató kameráknak be kell építeniük ezt a funkciót a belső vezérlőprogramjukba, és az operációs rendszerhez tartozó szabványos Windows UVC kameraillesztőt kell használniuk.
Annak ellenőrzéséhez, hogy a kameramodul ESS-kompatibilis-e, először nyissa meg az Eszközkezelőt, és bontsa ki az Univerzális soros busz vezérlők szakaszt . Kattintson a jobb gombbal arra az eszközre, amelyen az eXtensible Host Controller szerepel a névben, és válassza a Tulajdonságok lehetőséget az eszköz tulajdonságainak megtekintéséhez. Ha egy gazdagépvezérlőhöz több bejegyzés tartozik, ellenőrizze azok tulajdonságainak szakaszát mindegyik esetében. Lépjen az illesztőprogram Részletek lapjára, és válassza a Tulajdonságok legördülő menü Képességek elemét. Az egyik eszköznek meg kell jelenítenie a képességet CM_DEVCAP_SECUREDEVICE .
Ezután ellenőrizze a PC-kamerák tulajdonságokra vonatkozó szakaszait a Device Manager Kamerák szakaszában. Ha a PC kamerákhoz több bejegyzés van, ellenőrizze minden bejegyzés tulajdonságait külön. Lépjen az illesztőprogramok Részletek lapjára, és válassza a Tulajdonságok legördülő menü Képességek elemét. Az egyik PC-kamerás eszköznek rendelkeznie kell a CM_DEVCAP_SECUREDEVICE képességgel.
Ujjlenyomat biometrikus érzékelő
Az ESS-kompatibilis ujjlenyomat-érzékelőknek egyeznie kell a chipen:
- Az érzékelőben a gyártás során beégetett Microsoft által kiadott tanúsítványnak kell lennie.
- Az eszközillesztőnek és a belső vezérlőprogramnak támogatnia kell a fokozott bejelentkezési biztonsági funkciókat
Annak ellenőrzéséhez, hogy egy ujjlenyomat-modul ESS-kompatibilis-e, először nyissa meg a Device Managert, és bontsa ki a Biometrikus eszközök szakaszt. Az ujjlenyomat-érzékelő számára legyen bejegyzés. Kattintson a jobb gombbal az ujjlenyomat-olvasó bejegyzésére, és válassza a Tulajdonságok>részletei lapot. A Tulajdonság beállításnál válassza az Eszközpéldány elérési út opciót.
Nyissa meg a regedit.exe-t, majd keresse fel a(z) HKLM\SYSTEM\CurrentControlSet\Enum\[DeviceInstancePath]\Device Parameters\WinBio\Configurations helyet, ahol a(z) DeviceInstancePath útvonal található, amely az Eszközkezelőben van felsorolva. Válassza a Konfigurációk lehetőséget. Kell, hogy legyen egy beállításkulcs, amelynek neve SecureFingerprint és adatértéke 1. Ha nem létezik, az eszköz nem biztonságos.
A konfigurációk alatt két mappának kell lennie: egy címkével 0 ellátott és egy címkével ellátott mappának 1. Ha csak egy mappa van, és nem kettő, az eszköz nem biztonságos.
Ellenőrizze, hogy az ESS engedélyezve van-e
Biztonsági Központ
Ha az ESS engedélyezve van, a Windows biztonsági alkalmazás Eszközbiztonság szakasza rendelkezik egy bejegyzéssel a fokozott bejelentkezési biztonsághoz. A bejegyzés a rendszer hardverképességét ismerteti. Ha a Fokozott bejelentkezési biztonság szakasz nem jelenik meg, a funkció nincs engedélyezve a rendszeren.
Ha olyan biometrikus érzékelő van beágyazva az eszközbe, amely nem támogatja az ESS-t, vagy az ilyen típusú biometrikus hardver hiányzik a rendszerből, azt a nem kompatibilis hardverleírás jelzi a megfelelő érzékelő mellett. Ez az üzenet azt jelzi, hogy a hardver nem felel meg az ESS támogatásához szükséges érzékelőkövetelményeknek.
Eseménynapló
A Windows biometrikus keretrendszer naplókat hoz létre, amikor a rendszer minden érzékelője számba van írva. Ezek a naplók olyan információkat tartalmaznak, amelyek azt jelzik, hogy egy érzékelő engedélyezve van-e a Fokozott bejelentkezési biztonság funkcióval. A biometrikus eseménynaplók az Eseménynapló> alkalmazás- és szolgáltatási naplók>>>>Operational területén találhatók.
Ha a biometrikus eszközt megfelelően tölti be a Windows biometrikus keretrendszere, a megfelelő érzékelő naplóesemény-azonosítóval 1108 rendelkezik. Ha az eszköz az ESS-t használva működik, az érzékelő izoláltnak van megadva egy virtuális biztonságos mód folyamatában. Ha az eszköz nem használ ESS-t, izolált-ként van megjelölve egy System folyamatban.
Ebben az esetben 1108a kamerák leírása a Windows Hello Face Software Device (ROOT\WINDOWSHELLOFACESOFTWAREDRIVER\0000) használatával történik, és az ujjlenyomat-eszközök leírása az eszköz adott modulja és eszközazonosítója alapján történik. Ujjlenyomat-eszközök esetén az eszközazonosító szerepel az eszközkezelőben a Biometrikus eszközök>[Ujjlenyomatmodul]>Tulajdonságok>részletei>eszközpéldány elérési útja területen.
Alkalmazáskompatibilitás
Az ESS-kompatibilis kamerákkal rendelkező eszközökhöz biztonságos eszközök (SDEV) táblára van szükség. Ha egy SDEV-tábla implementálva van, és a VBS be van kapcsolva, az SDEV-táblát a Secure Kernel elemzi, és korlátozásokat léptet életbe a perifériaösszekötő (PCI) eszközkonfigurációs területének elérésekor. Ezek a korlátozások azért lépnek életbe, hogy a rosszindulatú folyamatok ne módosítják az SDEV táblában megadott biztonságos eszközök konfigurációs területét.
Azok az alkalmazások, amelyek megkísérlik olvasni/írni a PCI-konfigurációs területet, kivéve a Windows által kifejezetten támogatott eszközöket, hibaellenőrzéseket eredményeznek az SDEV-tábla elemzésekor és kényszerítésekor.
Az eszköz lemezképében szereplő összes illesztőprogramot és szoftvert kompatibilitási vizsgálatnak kell alávetni a szoftverkorlátozások miatt. A windowsos frissítéssel, a Microsoft Store-zal vagy az eszköz gyártója által más elfogadható csatornákon keresztül a rendszerbe terjesztett szoftvereket és illesztőprogramokat is ellenőrizni kell a kompatibilitás szempontjából. Az ellenőrzés nélkül előfordulhat, hogy nem várt viselkedés tapasztalható a rendszeren.
Nem támogatott forgatókönyvek
Nem ESS által támogatott érzékelők
Ha az ESS engedélyezve van, csak az ESS-t támogató biometrikus érzékelők működnek a rendszeren. A Windows biometriai keretrendszer nem sorolja fel az összes nem képes érzékelőt.
A gyártó döntése arról, hogy milyen hardvert tartalmaznak a rendszerben, és hogy a fokozott bejelentkezési biztonság alapértelmezés szerint engedélyezve van-e. Ha bármilyen aggály merül fel a biometrikus modalitások blokkolásával kapcsolatban, forduljon az eszköz gyártójától az ügyfélszolgálathoz.
Csatlakoztatható/perifériás biometrikus érzékelők
Az ESS nem támogatott külső ujjlenyomat-érzékelők vagy kameramodulok esetén. Ha az ESS engedélyezve van, a külső vagy a perifériás biometrikus érzékelő műveletei blokkolva vannak, függetlenül attól, hogy biztonságosak-e vagy sem. Ha esS-vel rendelkező perifériát szeretne használni a Windows Hello szolgáltatásba való bejelentkezéshez, olvassa el az ESS letiltása/engedélyezése című témakört.
Megjegyzés:
2025 végén érkezik a Windows támogatása a periféria továbbfejlesztett bejelentkezési biztonsági (ESS) ujjlenyomat-érzékelőihez! Előfordulhat, hogy egyes Windows Hello-perifériaeszközök már elérhetők a piacon. Útmutatásért lásd itt .
Érintéssel ébreszthető ujjlenyomat-érzékelők
Az érintéses ébresztés (WoT) lehetővé teszi, hogy az ujjlenyomat-érzékelő felébresztse a rendszert és bejelentkezzen anélkül, hogy a felhasználónak kétszer kellene megérintenie az érzékelőt. A modern készenléti állapotot támogató eszközök engedélyezik az Érintéses ébresztés érzékelő működését.
A Windows 11 22H2-es verziójától kezdve KB5027303, a WoT az ESS-eszközökhöz érhető el.
Hibaelhárítás
Az arc-/ujjlenyomat-hitelesítés nem működik
Ha a biometrikus hitelesítés nem működik, először ellenőrizze, hogy fut-e a VBS, és hogy elindult-e a biztonságos összetevő. Annak ellenőrzéséhez, hogy a VBS fut-e, nyissa meg a Rendszerinformációs>rendszer összegzését. A virtualizáláson alapuló biztonságnakfut állapottal kell szerepelnie.
Azt is ellenőrizze, hogy a biometrikus izolációs bizalmi modulok futnak-e. Ezeknek szerepelniük kell a Rendszerinformációk>Szoftverkörnyezet>Futó feladatok alatt bioiso.exe és ngciso.exe. Ha valamelyik ellenőrzés sikertelen, előfordulhat, hogy a rendszer nem felel meg a fokozott bejelentkezési biztonságra vonatkozó követelményeknek. Próbálja meg újraindítani a biometrikus szolgáltatást a 3. lépéssel.
- A Beállítások>bejelentkezési beállításai területen távolítsa el a nem működő regisztrációt, és regisztrálja újra
- ha a Windows Hello Face/Ujjlenyomat bejegyzés nem érhető el azzal a feltétellel, hogy nem található a Windows Hello Face-nal kompatibilis ujjlenyomat-olvasó, vagy valami hasonló, folytassa a következő lépéssel
- Az eszközkezelőben az érzékelőnek szerepelnie kell a biometrikus eszközök között. Telepítse újra az illesztőprogramot a jobb gombbal az eszköz nevére kattintva, és válassza az Eszköz eltávolítása lehetőséget. Indítsa újra az eszközt, ekkor a Windows megpróbálja újratelepíteni az illesztőprogramot. Ellenőrizze, hogy működik-e a hitelesítés
- A biometrikus szolgáltatás újraindításához először távolítsa el a PIN-kódot a rendszerből a bejelentkezési beállítások és a PIN-kód eltávolításával. Nyisson meg egy parancssort rendszergazdaként, és írja be a következőt
net stop wbiosrvc && net start wbiosrvc: Ellenőrizze, hogy működik-e az ujjlenyomat-hitelesítés - Ha a biometrikus adatok továbbra sem működnek az eszközön, küldjön visszajelzési elemet a Feedback Hub használatával
A biztonságos kapcsolat sikerességének ellenőrzéséhez tekintse meg az ESS engedélyezésének ellenőrzésére vonatkozó szakaszt .
A PIN-kód nem működik
A PIN-kód alaphelyzetbe állítható a zárolási képernyőn a bejelentkezési beállítások alatt. Ehhez távolítsa el a PIN-kódot, és adja hozzá újra. Ez elindítja a PIN-kód alaphelyzetbe állítását, amelynek vissza kell állítania a PIN-kód funkcionalitását.
ESS letiltása/engedélyezése
A Windows 11 22H2-es és KB5031455-es verziójától kezdve a felhasználók ideiglenesen kikapcsolhatják az ESS-t, ha külső periféria használatával szeretnének hitelesítést végezni a Windows Hello-val az eszközükön.
A Beállítások alkalmazással letilthatja az ESS-t. Válassza a Start>Beállítások>Fiókok>bejelentkezési beállítások, vagy használja a következő parancsikont:
A További beállítások> területenjelentkezzen be egy külső kamerával vagy ujjlenyomat-olvasóval, és egy kapcsolóval engedélyezheti vagy letilthatja az ESS-t:
- Ha a kapcsoló ki van kapcsolva, az ESS engedélyezve van, és nem használhat külső perifériákat a bejelentkezéshez. Ne feledje, hogy továbbra is használhat külső perifériákat az alkalmazásokban, például a Teamsben
- Ha a kapcsoló be van kapcsolva, az ESS le van tiltva, és a Windows Hello-kompatibilis perifériákkal bejelentkezhet