Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Windows Hello memungkinkan biometrik atau autentikasi PIN, menghilangkan kebutuhan akan kata sandi. Autentikasi biometrik menggunakan pengenalan wajah atau sidik jari untuk membuktikan identitas pengguna dengan cara yang aman, pribadi, dan nyaman.
Enhanced Sign-in Security (ESS) menyediakan tingkat keamanan tambahan untuk data biometrik dengan penggunaan komponen perangkat keras dan perangkat lunak khusus. Virtualization Based Security (VBS) dan Trusted Platform Module 2.0 digunakan untuk mengisolasi dan melindungi data autentikasi pengguna, dan untuk mengamankan saluran komunikasi data.
Bagaimana Keamanan Masuk yang Ditingkatkan melindungi data biometrik
ESS dan pengenalan wajah
Ketika ESS diaktifkan, algoritma wajah dilindungi menggunakan VBS untuk mengisolasinya dari Windows lainnya. Hypervisor digunakan untuk menentukan dan melindungi wilayah memori, sehingga hanya dapat diakses oleh proses yang berjalan di VBS. Hypervisor memungkinkan kamera wajah menulis ke wilayah memori ini yang menyediakan jalur terisolasi untuk mengirimkan data wajah dari kamera ke algoritma pencocokan wajah.
Templat wajah dihasilkan di VBS oleh algoritma wajah yang dilindungi. Saat tidak digunakan, data templat wajah dienkripsi menggunakan kunci yang dihasilkan dan hanya dapat diakses oleh VBS, lalu disimpan di disk.
ESS dan pengenalan sidik jari
ESS hanya didukung pada sensor sidik jari dengan kecocokan pada kemampuan sensor. Jenis sensor ini mencakup microprocessor dan memori yang dapat digunakan untuk mengisolasi pencocokan sidik jari dan penyimpanan templat menggunakan perangkat keras.
Sensor yang mendukung ESS memiliki sertifikat yang disematkan selama manufaktur. Sertifikat dapat divalidasi oleh komponen biometrik Windows yang berjalan di VBS, dan digunakan untuk membuat sesi yang aman dengan sensor. Sensor dan komponen biometrik Windows menggunakan sesi untuk mengomunikasikan operasi pendaftaran dan mencocokkan hasil dengan aman.
Operasi kredensial
Komponen biometrik Windows yang berjalan di VBS membuat saluran aman ke TPM menggunakan informasi yang dibagikan dengan VBS oleh TPM selama boot. Ketika operasi pencocokan berhasil, komponen biometrik di VBS menggunakan saluran aman untuk mengotorisasi penggunaan kunci Windows Hello untuk mengautentikasi pengguna dengan penyedia identitas, aplikasi, dan layanan mereka.
Mengaktifkan Keamanan Masuk yang Ditingkatkan
Pengaktifan ESS tergantung pada perangkat keras, driver, dan firmware khusus yang telah diinstal sebelumnya pada sistem. Produsen perangkat dapat memilih untuk mengaktifkan Keamanan Masuk yang Ditingkatkan selama konfigurasi perangkat di pabrik.
Catatan
Semua PC Copilot+ mengaktifkan ESS secara default. Untuk informasi selengkapnya, lihat Persyaratan perangkat keras Copilot+ PC.
Persyaratan sistem
Komponen perangkat keras dan perangkat lunak yang kompatibel diperlukan untuk mengaktifkan Keamanan Masuk yang Ditingkatkan:
- Memenuhi persyaratan untuk Keamanan Berbasis Virtualisasi (VBS), termasuk Pengaktifan Penjaga Perangkat dan Modul Platform Tepercaya 2.0
- Perangkat keras sensor biometrik yang mendukung ESS
- Driver sensor biometrik yang kompatibel dengan ESS
- Firmware perangkat dengan tabel ACPI Secure Devices (SDEV) yang dikonfigurasi oleh produsen perangkat untuk perangkat keras biometrik yang disertakan
Kompatibilitas sensor biometrik
Sensor biometrik wajah
ESS dirancang untuk bekerja dengan berbagai kamera IR tertentu, dan membutuhkan chipset tertentu. Kamera yang mendukung ESS harus memiliki fitur ini yang terpasang dalam firmware mereka, dan menggunakan driver kamera Windows UVC standar yang dilengkapi dengan sistem operasi diperlukan.
Untuk memeriksa apakah modul kamera berkemampuan ESS, pertama-tama buka Manajer Perangkat dan perluas bagian pengontrol Universal Serial Bus. Klik kanan pada perangkat yang memiliki EXtensible Host Controller dalam nama, dan pilih opsi Properti untuk melihat properti perangkat. Jika ada beberapa entri untuk pengontrol host, periksa bagian properti untuk semua. Navigasi ke tab Detail driver dan pilih Kemampuan dari menu drop-down Properti . Salah satu perangkat harus menunjukkan CM_DEVCAP_SECUREDEVICE kemampuan.
Selanjutnya, periksa bagian properti Kamera PC dengan masuk ke bagian Kamera di Manajer Perangkat. Jika ada beberapa entri untuk Kamera PC, periksa bagian properti untuk semua. Navigasikan ke tab Detail driver dan pilih Kemampuan dari menu drop-down Properti . Salah satu perangkat kamera PC harus memiliki CM_DEVCAP_SECUREDEVICE kemampuan.
Sensor biometrik sidik jari
Sensor sidik jari berkemampu ESS harus cocok pada chip:
- Sensor harus memiliki sertifikat yang dikeluarkan Microsoft yang dibakar ke perangkat selama manufaktur
- Driver perangkat dan firmware harus mendukung fungsionalitas Keamanan Masuk yang Ditingkatkan
Untuk memeriksa apakah modul sidik jari berkemampuan ESS, pertama-tama buka Manajer Perangkat dan perluas bagian Perangkat Biometrik. Harus ada entri untuk sensor sidik jari. Klik kanan entri pembaca sidik jari dan buka >. Di bawah opsi Properti , pilih Jalur instans perangkat.
Buka regedit.exe dan navigasi ke HKLM\SYSTEM\CurrentControlSet\Enum\[DeviceInstancePath]\Device Parameters\WinBio\Configurations tempat DeviceInstancePath jalur yang tercantum di Manajer Perangkat. Pilih Konfigurasi. Harus ada kunci registri yang tercantum bernama SecureFingerprint dengan nilai 1data . Jika tidak ada, perangkat tidak dapat diamankan.
Konfigurasi juga harus memiliki dua folder di bawahnya: satu berlabel 0 dan satu berlabel 1. Jika hanya ada satu folder dan bukan dua, perangkat tidak dapat diamankan.
Verifikasi apakah ESS diaktifkan
Pusat Keamanan
Jika ESS diaktifkan, bagian Keamanan Perangkat dari aplikasi Keamanan Windows memiliki entri untuk Keamanan Masuk yang Ditingkatkan. Entri ini menjelaskan kemampuan perangkat keras sistem. Jika bagian Keamanan Masuk yang Ditingkatkan tidak ada, fitur tidak diaktifkan pada sistem.
Jika ada sensor biometrik yang disematkan di perangkat yang tidak mendukung ESS, atau jenis perangkat keras biometrik tersebut tidak ada dari sistem, itu ditunjukkan oleh Tidak Tersedia karena deskripsi perangkat keras yang tidak kompatibel di samping sensor yang sesuai. Pesan ini menunjukkan bahwa perangkat keras tidak mengikuti persyaratan sensor yang diperlukan untuk mendukung ESS.
Pemantau Peristiwa
Kerangka kerja biometrik Windows menghasilkan peristiwa log ketika setiap sensor pada sistem dijumlahkan. Log ini mencakup informasi yang menunjukkan apakah sensor beroperasi dengan Keamanan Masuk yang Ditingkatkan diaktifkan. Log peristiwa biometrik ditemukan di Pemantau Peristiwa di bawah log Pemantau Peristiwa> Aplikasi dan Layanan>Operasional Biometrik>Microsoft>Windows.>
Jika perangkat biometrik dimuat dengan benar oleh kerangka kerja biometrik Windows, ada ID 1108 peristiwa log untuk sensor yang sesuai. Jika perangkat beroperasi dengan ESS diaktifkan, sensor ditentukan sebagai terisolasi dalam proses Mode Aman Virtual. Jika perangkat tidak menggunakan ESS, perangkat ditentukan sebagai terisolasi dalam proses Sistem .
Dalam hal ini 1108, kamera dijelaskan menggunakan Perangkat Perangkat Lunak Windows Hello Face (ROOT\WINDOWSHELLOFACESOFTWAREDRIVER\0000) dan perangkat sidik jari dijelaskan menggunakan modul dan ID perangkat khusus perangkat. Untuk perangkat sidik jari, ID perangkat tercantum di Manajer perangkat di bawah > Instans Perangkat.
Kompatibilitas Aplikasi
Untuk perangkat dengan kamera berkemampukan ESS, diperlukan tabel Secure Devices (SDEV). Ketika tabel SDEV diimplementasikan dan VBS diaktifkan, tabel SDEV diurai oleh Kernel Aman dan pembatasan diberlakukan untuk mengakses ruang konfigurasi perangkat Interkoneksi Komponen Periferal (PCI). Pembatasan ini diberlakukan untuk mencegah proses berbahaya memanipulasi ruang konfigurasi perangkat aman yang ditentukan dalam tabel SDEV.
Aplikasi yang mencoba membaca/menulis ruang konfigurasi PCI, kecuali dengan cara yang didukung secara eksplisit oleh Windows, menghasilkan pemeriksaan bug ketika tabel SDEV diurai dan diberlakukan.
Semua driver dan perangkat lunak yang disertakan dalam gambar perangkat harus diuji kompatibilitasnya, mengingat pembatasan perangkat lunak ini. Perangkat lunak atau driver yang didistribusikan ke sistem melalui Windows Update, Microsoft Store, atau saluran lain yang dapat diterima oleh produsen perangkat juga harus diperiksa kompatibilitasnya. Tanpa verifikasi ini, mungkin ada perilaku tak terduga pada sistem.
Skenario yang tidak didukung
Sensor yang didukung non-ESS
Saat ESS diaktifkan, hanya sensor biometrik yang mendukung pekerjaan ESS pada sistem. Semua sensor yang tidak dapat diakses tidak akan dijumlahkan oleh kerangka kerja Biometrik Windows.
Ini adalah keputusan produsen tentang perangkat keras apa yang mereka sertakan dalam sistem dan apakah Keamanan Masuk yang Ditingkatkan diaktifkan secara default. Jika ada kekhawatiran tentang modalitas biometrik yang diblokir, hubungi produsen perangkat untuk dukungan.
Sensor biometrik pluggable/peripheral
ESS tidak didukung untuk sensor sidik jari eksternal atau modul kamera. Dengan esS diaktifkan, eksternal, atau operasi sensor biometrik periferal diblokir, terlepas dari apakah mereka berkemampuan aman atau tidak. Jika Anda ingin menggunakan periferal dengan ESS untuk masuk dengan Windows Hello, lihat Menonaktifkan/Mengaktifkan ESS
Catatan
Dukungan Windows untuk sensor sidik jari Peripheral Enhanced Sign-in Security (ESS) akan hadir pada akhir 2025! Beberapa perangkat periferal Windows Hello mungkin sudah tersedia di pasar. Lihat di sini untuk panduan.
Bangun dengan sentuhan untuk sensor sidik jari
Wake on Touch (WoT) adalah kemampuan sensor sidik jari untuk membangunkan sistem dan memasukkan pengguna tanpa mengharuskan pengguna menyentuh sensor dua kali. Perangkat yang mendukung Siaga Modern mengaktifkan perilaku sensor Wake on Touch.
Mulai dari Windows 11, versi 22H2 dengan KB5027303, WoT tersedia untuk perangkat ESS.
Pemecahan Masalah
Autentikasi Wajah/Sidik jari tidak berfungsi
Jika autentikasi biometrik tidak berfungsi, pertama-tama periksa apakah VBS berjalan dan komponen aman dimulai. Untuk memeriksa apakah VBS berjalan, buka ringkasan Informasi Sistem> System. Harus ada entri untuk Keamanan Berbasis Virtualisasi yang tercantum sebagai Berjalan.
Periksa juga bahwa kepercayaan isolasi biometrik sedang berjalan. Ini harus tercantum di Informasi Sistem sebagai > dan . Jika salah satu pemeriksaan ini gagal, sistem mungkin tidak memenuhi persyaratan untuk Keamanan Masuk yang Ditingkatkan. Coba hidupkan ulang layanan biometrik menggunakan langkah #3.
-
Masuk, hapus pendaftaran dan pendaftaran ulang yang tidak berfungsi
- jika entri untuk Windows Hello Face/Fingerprint tidak tersedia dengan kondisi Kami tidak dapat menemukan pemindai sidik jari yang kompatibel dengan Windows Hello Face, atau sesuatu yang serupa, lanjutkan ke langkah berikutnya
- Di manajer perangkat, sensor harus tercantum di bawah perangkat Biometrik. Instal ulang driver dengan mengklik kanan nama perangkat dan pilih Hapus Instalan Perangkat. Mulai ulang perangkat, di mana Windows mencoba menginstal ulang pengandar. Periksa apakah autentikasi berfungsi
- Untuk memulai ulang layanan biometrik, pertama-tama hapus PIN dari sistem dengan masuk ke Opsi Masuk dan menghapus PIN. Buka prompt perintah sebagai administrator dan masukkan
net stop wbiosrvc && net start wbiosrvc. Periksa apakah autentikasi sidik jari berfungsi - Jika biometrik masih tidak berfungsi pada perangkat, ajukan item umpan balik menggunakan Hub Umpan Balik
Untuk memeriksa apakah koneksi aman berhasil, lihat bagian Verifikasi apakah ESS diaktifkan .
PIN tidak berfungsi
PIN dapat diatur ulang di layar kunci di bawah Opsi masuk. Untuk melakukannya, hapus PIN dan tambahkan lagi. Ini akan meminta pengaturan ulang PIN, yang harus memulihkan fungsionalitas PIN.
Nonaktifkan/Aktifkan ESS
Mulai Windows 11, versi 22H2 dengan KB5031455, pengguna dapat menonaktifkan ESS untuk sementara jika mereka ingin menggunakan periferal eksternal untuk mengautentikasi dengan Windows Hello di perangkat mereka.
Anda dapat menggunakan aplikasi Pengaturan untuk menonaktifkan ESS. Pilih atau gunakan pintasan berikut:
Di bawah Pengaturan>tambahan Masuk dengan kamera eksternal atau pembaca sidik jari, ada tombol yang memungkinkan Anda mengaktifkan atau menonaktifkan ESS:
- Saat tombol mati, ESS diaktifkan dan Anda tidak dapat menggunakan periferal eksternal untuk masuk. Ingat, Anda masih dapat menggunakan periferal eksternal dalam aplikasi seperti Teams
- Saat tombol aktif, ESS dinonaktifkan dan Anda dapat menggunakan periferal yang kompatibel dengan Windows Hello untuk masuk