Sicurezza accessi migliorata di Windows Hello
Windows Hello abilita l'autenticazione biometrica o PIN, eliminando la necessità di una password. L'autenticazione biometrica usa il riconoscimento facciale o l'impronta digitale per dimostrare l'identità di un utente in modo sicuro, personale e pratico.
Enhanced Sign-in Security (ESS) offre un livello di sicurezza aggiuntivo per i dati biometrici con l'uso di componenti hardware e software specializzati. La sicurezza basata su virtualizzazione (VBS) e Trusted Platform Module 2.0 vengono usate per isolare e proteggere i dati di autenticazione dell'utente e per proteggere il canale di comunicazione dei dati.
Modalità di protezione avanzata dell'accesso per proteggere i dati biometrici
ESS e riconoscimento facciale
Quando ESS è abilitato, l'algoritmo viso viene protetto usando la sicurezza basata su vbs per isolarlo dal resto di Windows. L'hypervisor viene usato per specificare e proteggere le aree di memoria, in modo che possano accedervi solo tramite processi in esecuzione in VBS. L'hypervisor consente alla fotocamera del viso di scrivere in queste aree di memoria fornendo un percorso isolato per distribuire i dati dei visi dalla fotocamera all'algoritmo di corrispondenza dei volti.
I modelli viso vengono generati in VBS dall'algoritmo viso protetto. Quando non in uso, i dati del modello viso vengono crittografati usando chiavi generate e accessibili solo a VBS e quindi archiviati su disco.
Riconoscimento delle impronte digitali e ESS
ESS è supportato solo nei sensori di impronta digitale con corrispondenza sulle funzionalità del sensore. Questo tipo di sensore include un microprocessore e una memoria che può essere usata per isolare la corrispondenza delle impronte digitali e l'archiviazione dei modelli tramite hardware.
I sensori che supportano ESS hanno un certificato incorporato durante la produzione. Il certificato può essere convalidato dai componenti biometrici di Windows in esecuzione in VBS e viene usato per stabilire una sessione sicura con il sensore. I componenti biometrici di sensore e Windows usano la sessione per comunicare le operazioni di registrazione e trovare risultati in modo sicuro.
Operazioni sulle credenziali
I componenti biometrici di Windows in esecuzione in VBS stabiliscono un canale sicuro per il TPM usando le informazioni condivise con la sicurezza basata su vbs dal TPM durante l'avvio.The Windows biometric components running in VBS establish a secure channel to the TPM using information shared with VBS by the TPM during boot. Quando un'operazione di corrispondenza ha esito positivo, i componenti biometrici in VBS usano il canale sicuro per autorizzare l'utilizzo delle chiavi di Windows Hello per autenticare l'utente con il provider di identità, le applicazioni e i servizi.
Abilitare la sicurezza avanzata per l'accesso
L'abilitazione di ESS dipende da hardware, driver e firmware specializzati preinstallati nel sistema. I produttori di dispositivi possono scegliere di abilitare sicurezza avanzata per l'accesso durante la configurazione del dispositivo nella factory.
Nota
Per impostazione predefinita, tutti i PC Copilot+ hanno ESS abilitato. Per altre informazioni, vedere Requisiti hardware di Copilot+ PC.
Requisiti di sistema
Per abilitare la sicurezza avanzata di accesso, sono necessari componenti hardware e software compatibili:
- Soddisfare i requisiti per la sicurezza basata su virtualizzazione , tra cui l'abilitazione di Device Guard e il modulo Trusted Platform 2.0
- Hardware del sensore biometrico che supporta ESS
- Driver di sensori biometrici compatibili con ESS
- Firmware del dispositivo con una tabella ACPI (SDEV) secure devices configurata dal produttore del dispositivo per l'hardware biometrico incluso
Compatibilità dei sensori biometrici
Sensore biometrico viso
ESS è progettato per funzionare con una gamma selezionata di fotocamere IR e richiede chipset specifici. Le fotocamere che supportano ESS devono avere questa funzionalità integrata nel firmware e l'uso del driver standard della fotocamera UVC windows fornito con il sistema operativo è necessario.
Per verificare se il modulo fotocamera è in grado di supportare ESS, passare prima a Gestione dispositivi ed espandere la sezione Controller del bus seriale universale. Fare clic con il pulsante destro del mouse sul dispositivo con controller host eXtensible nel nome e selezionare l'opzione Proprietà per visualizzare le proprietà del dispositivo. Se sono presenti più voci per un controller host, controllare la sezione delle proprietà per tutti. Passare alla scheda Dettagli del driver e selezionare Funzionalità dal menu a discesa Proprietà . Uno dei dispositivi deve mostrare la CM_DEVCAP_SECUREDEVICE funzionalità.
Controllare quindi le sezioni delle proprietà delle fotocamere PC passando alla sezione Fotocamere in Gestione dispositivi. Se sono presenti più voci per fotocamere PC, controllare la sezione delle proprietà per tutti. Passare alla scheda Dettagli dei driver e selezionare Funzionalità dal menu a discesa Proprietà . Uno dei dispositivi della fotocamera del PC deve avere la CM_DEVCAP_SECUREDEVICE funzionalità .
Sensore biometrico delle impronte digitali
I sensori di impronta digitale che supportano ESS devono corrispondere al chip:
- Il sensore deve avere un certificato rilasciato da Microsoft bruciato nel dispositivo durante la produzione
- Il driver di dispositivo e il firmware devono supportare la funzionalità sicurezza avanzata per l'accesso
Per verificare se un modulo di impronta digitale è in grado di supportare ESS, passare prima a Gestione dispositivi ed espandere la sezione Dispositivi biometrici. Dovrebbe essere presente una voce per un sensore di impronta digitale. Fare clic con il pulsante destro del mouse sulla voce del lettore di impronte digitali e passare a Proprietà>Dettagli. Nell'opzione Proprietà selezionare Percorso istanza del dispositivo.
Aprire regedit.exe e passare a HKLM\SYSTEM\CurrentControlSet\Enum\[DeviceInstancePath]\Device Parameters\WinBio\Configurations dove DeviceInstancePath è il percorso elencato in Gestione dispositivi. Selezionare Configurazioni. Deve essere presente una chiave del Registro di sistema denominata SecureFingerprint con un valore di dati .1 Se non esiste, il dispositivo non è in grado di supportare la sicurezza.
Le configurazioni devono avere anche due cartelle sotto di essa: una etichettata 0 e una con 1etichetta . Se è presente una sola cartella e non due, il dispositivo non è in grado di supportare la protezione.
Verificare se ESS è abilitato
Centro sicurezza
Se ESS è abilitato, la sezione Sicurezza dei dispositivi dell'applicazione Sicurezza di Windows include una voce per sicurezza avanzata per l'accesso. La voce descrive la funzionalità hardware del sistema. Se la sezione Sicurezza avanzata per l'accesso non è presente, la funzionalità non è abilitata nel sistema.
Se nel dispositivo è incorporato un sensore biometrico che non supporta ESS o se il tipo di hardware biometrico è assente dal sistema, è indicato da Non disponibile a causa della descrizione hardware incompatibile accanto al sensore corrispondente. Questo messaggio indica che l'hardware non segue i requisiti del sensore necessari per supportare ESS.
Visualizzatore eventi
Il framework biometrico di Windows genera eventi quando ogni sensore in un sistema viene enumerato. Questi log includono informazioni che indicano se un sensore funziona con la sicurezza di accesso avanzata abilitata. I registri eventi biometrici si trovano in Visualizzatore eventi in Visualizzatore eventi> Applicazioni e servizi registra>Microsoft>Windows>Biometrics>Operational.
Se il dispositivo biometrico viene caricato correttamente dal framework biometrico di Windows, è presente un ID 1108 evento del registro per il sensore corrispondente. Se il dispositivo funziona con ESS abilitato, il sensore viene specificato come isolato in un processo in modalità protetta virtuale. Se il dispositivo non usa ESS, viene specificato come isolato in un processo di sistema.
Nel caso 1108, le fotocamere vengono descritte usando windows Hello Face Software Device (ROOT\WINDOWSHELLOFACESOFTWAREDRIVER\0000) e i dispositivi di impronta digitale vengono descritti usando il modulo e l'ID dispositivo specifici del dispositivo. Per i dispositivi con impronta digitale, l'ID dispositivo è elencato in Gestione dispositivi biometrici>[Modulo impronta digitale]>Proprietà>Dettagli>percorso istanza dispositivo.
Compatibilità delle applicazioni
Per i dispositivi con fotocamere che supportano ESS, è necessaria una tabella Secure Devices (SDEV). Quando viene implementata una tabella SDEV e la sicurezza basata su vbs è attivata, la tabella SDEV viene analizzata dal kernel protetto e le restrizioni vengono applicate all'accesso allo spazio di configurazione del dispositivo PCI (Peripheral Component Interconnect). Queste restrizioni vengono applicate per impedire ai processi dannosi di modificare lo spazio di configurazione dei dispositivi protetti specificati nella tabella SDEV.
Le applicazioni che tentano di leggere/scrivere lo spazio di configurazione PCI, ad eccezione dei mezzi supportati in modo esplicito da Windows, generano controlli di bug quando la tabella SDEV viene analizzata e applicata.
Tutti i driver e il software inclusi nell'immagine del dispositivo devono essere testati per garantire la compatibilità, in base a queste restrizioni software. Anche il software o i driver distribuiti al sistema tramite Windows Update, Microsoft Store o altri canali accettabili dal produttore del dispositivo devono essere controllati per la compatibilità. Senza questa verifica, potrebbe verificarsi un comportamento imprevisto nel sistema.
Scenari non supportati
Sensori non supportati da ESS
Quando ESS è abilitato, solo i sensori biometrici che supportano ESS funzionano nel sistema. Tutti i sensori non non in grado di essere enumerati dal framework Biometrico di Windows.
È la decisione del produttore sull'hardware incluso nel sistema e se la sicurezza di accesso avanzata è abilitata per impostazione predefinita. In caso di problemi relativi alle modalità biometriche bloccate, contattare il produttore del dispositivo per assistenza.
Sensori biometrici collegabili/periferici
ESS non è supportato per i sensori di impronte digitali esterni o i moduli della fotocamera. Con le operazioni dei sensori biometrici ESS abilitati, esterni o periferici vengono bloccate, indipendentemente dal fatto che siano compatibili o meno con sicurezza. Se si vuole usare una periferica con ESS per accedere con Windows Hello, vedere Disabilitare/Abilitare ESS
Riattivazione del tocco per i sensori di impronta digitale
Wake on Touch (WoT) è la possibilità per il sensore di impronta digitale di riattivare il sistema e di firmare l'utente senza richiedere all'utente di toccare il sensore due volte. I dispositivi che supportano modern standby abilitano il comportamento del sensore touch.
A partire da Windows 11 versione 22H2 con KB5027303, WoT è disponibile per i dispositivi ESS.
Risoluzione dei problemi
L'autenticazione con viso/impronta digitale non funziona
Se l'autenticazione biometrica non funziona, verificare innanzitutto che la sicurezza basata su vbs sia in esecuzione e che il componente sicuro sia stato avviato. Per verificare se la sicurezza basata su vbs è in esecuzione, aprire System Information System Summary .To check if VBS is running, open System Information>System Summary. Dovrebbe essere presente una voce per Virtualization Based Security elencata come In esecuzione.
Verificare anche che l'isolamento biometrico trust-let sia in esecuzione. Questi elementi devono essere elencati in System Information>Software Environment>Running Tasks as bioiso.exe e ngciso.exe. Se uno di questi controlli ha esito negativo, il sistema potrebbe non soddisfare i requisiti per la sicurezza dell'accesso avanzato. Tentare di riavviare il servizio biometrico usando il passaggio 3.
- In Impostazioni Opzioni> di accesso rimuovere la registrazione non funzionante e registrare di nuovo
- se la voce per Windows Hello Face/Fingerprint non è disponibile con la condizione Non è stato possibile trovare uno scanner di impronte digitali compatibile con Windows Hello Face o qualcosa di simile, procedere con il passaggio successivo
- In Gestione dispositivi il sensore deve essere elencato in Dispositivi biometrici. Reinstallare il driver facendo clic con il pulsante destro del mouse sul nome del dispositivo e selezionare Disinstalla dispositivo. Riavviare il dispositivo, a questo punto Windows tenta di reinstallare il driver. Controllare se l'autenticazione funziona
- Per riavviare il servizio biometrico, rimuovere prima di tutto il PIN dal sistema passando a Opzioni di accesso e rimuovendo il PIN. Aprire un prompt dei comandi come amministratore e immettere
net stop wbiosrvc && net start wbiosrvc. Controllare se l'autenticazione con impronta digitale funziona - Se la biometria non funziona ancora nel dispositivo, inviare un elemento di feedback usando l'hub di Feedback
Per verificare che la connessione sicura sia riuscita, vedere la sezione Verificare se ESS è abilitato .
IL PIN non funziona
Il PIN può essere reimpostato nella schermata di blocco in Opzioni di accesso. A tale scopo, rimuovere il PIN e aggiungerlo di nuovo. Verrà richiesto di reimpostare il PIN, che dovrebbe ripristinare la funzionalità del PIN.
Disabilitare/abilitare ESS
A partire da Windows 11 versione 22H2 con KB5031455, gli utenti possono disattivare temporaneamente ESS se vogliono usare una periferica esterna per l'autenticazione con Windows Hello nel dispositivo.
È possibile usare l'app Impostazioni per disabilitare ESS. Selezionare Start Settings>Accounts Sign-in options (Impostazioni di avvio>account>di accesso) o usare il collegamento seguente:
In Impostazioni aggiuntive>Accedi con una fotocamera esterna o un lettore di impronte digitali è presente un interruttore che consente di abilitare o disabilitare ESS:
- Quando l'interruttore è Disattivato, ESS è abilitato e non è possibile usare periferiche esterne per accedere. Tenere presente che è comunque possibile usare periferiche esterne all'interno di app come Teams
- Quando l'interruttore è Attivato, ESS è disabilitato ed è possibile usare le periferiche compatibili con Windows Hello per accedere