Sicurezza accessi migliorata di Windows Hello
Windows Hello consente a un utente di eseguire l'autenticazione usando la biometria o un PIN eliminando la necessità di una password. L'autenticazione biometrica usa il riconoscimento facciale o l'impronta digitale per dimostrare l'identità di un utente in modo sicuro, personale e pratico. La sicurezza avanzata dell'accesso offre un livello di sicurezza aggiuntivo per i dati biometrici sfruttando componenti hardware e software specializzati, ad esempio Virtualization Based Security (VBS) e Trusted Platform Module 2.0 per isolare e proteggere i dati di autenticazione di un utente e proteggere il canale tramite il quale tali dati vengono comunicati.
Modalità di protezione avanzata dell'accesso per proteggere i dati biometrici
Viso
Quando la sicurezza di accesso avanzata è abilitata, l'algoritmo viso viene protetto usando la sicurezza basata su vbs per isolarlo dal resto di Windows.When Enhanced Sign-in Security is enabled, the face algorithm is protected using VBS to isolate it from the rest of Windows. L'hypervisor viene usato per specificare e proteggere le aree di memoria, in modo che possano accedervi solo tramite processi in esecuzione in VBS. L'hypervisor consente alla fotocamera del viso di scrivere in queste aree di memoria fornendo un percorso isolato per distribuire i dati dei visi dalla fotocamera all'algoritmo di corrispondenza dei volti.
I modelli viso vengono generati in VBS dall'algoritmo viso protetto. Quando non in uso, i dati del modello viso vengono crittografati usando chiavi generate e accessibili solo a VBS e quindi archiviati su disco.
Impronta digitale
La sicurezza avanzata per l'accesso è supportata solo nei sensori di impronte digitali con corrispondenza sulle funzionalità del sensore. Questo tipo di sensore include un microprocessore e una memoria che può essere usata per isolare la corrispondenza delle impronte digitali e l'archiviazione dei modelli tramite hardware.
I sensori che supportano la sicurezza avanzata per l'accesso hanno un certificato incorporato durante la produzione. Questo certificato può essere convalidato dai componenti biometrici di Windows in esecuzione in VBS e viene usato per stabilire una sessione sicura con il sensore. I componenti biometrici di sensore e Windows usano questa sessione per comunicare le operazioni di registrazione e trovare risultati in modo sicuro.
Operazioni sulle credenziali
I componenti biometrici di Windows in esecuzione in VBS stabiliscono un canale sicuro per il TPM usando le informazioni condivise con la sicurezza basata su vbs dal TPM durante l'avvio.The Windows biometric components running in VBS establish a secure channel to the TPM using information shared with VBS by the TPM during boot. Quando un'operazione di corrispondenza ha esito positivo, i componenti biometrici in VBS usano questo canale per autorizzare l'utilizzo delle chiavi di Windows Hello per autenticare l'utente con il provider di identità, le applicazioni e i servizi.
Ricerca per categorie ottenere sicurezza avanzata per l'accesso
L'abilitazione dipende da hardware, driver e firmware specializzati preinstallati nel sistema. I produttori di dispositivi possono scegliere di abilitare sicurezza avanzata per l'accesso nei dispositivi durante la configurazione del dispositivo in factory.
Compatibilità del sistema
Per abilitare la sicurezza avanzata di accesso, sono necessari componenti hardware e software compatibili:
- Dispositivi con l'aggiornamento di Windows 10 di ottobre 2020 configurato dalla factory
- Soddisfare i requisiti per la sicurezza basata su virtualizzazione (VBS), tra cui l'abilitazione di Device Guard e il modulo Trusted Platform 2.0
- Hardware del sensore biometrico che supporta la sicurezza avanzata per l'accesso
- Driver dei sensori biometrici compatibili con la sicurezza avanzata per l'accesso
- Firmware del dispositivo con una tabella ACPI (SDEV) secure devices (SDEV) configurata correttamente dal produttore del dispositivo per l'hardware biometrico incluso
Compatibilità dei sensori biometrici
Sensore biometrico viso
La sicurezza avanzata per l'accesso supporta solo alcune fotocamere ir in un numero limitato di set di chip. Le fotocamere supportate devono supportare la sicurezza avanzata per l'accesso nel firmware. È necessario usare il driver della fotocamera UVC della posta in arrivo di Windows. Per verificare se il modulo fotocamera è abilitato per la sicurezza per l'accesso avanzato, passare prima a Gestione dispositivi ed espandere la sezione "Controller del bus seriale universale". Fare clic con il pulsante destro del mouse sul dispositivo con controller host eXtensible nel nome e selezionare l'opzione Proprietà per visualizzare le proprietà del dispositivo. Se sono presenti più voci per un controller host, controllare la sezione delle proprietà per tutti. Passare alla scheda Dettagli del driver e selezionare Funzionalità dal menu a discesa Proprietà. Uno dei dispositivi dovrebbe mostrare che ha la funzionalità "CM_DEVCAP_edizione Standard CUREDEVICE".
Controllare quindi le sezioni delle proprietà dei Fotocamera PC passando alla sezione "Fotocamera s" in Gestione dispositivi. Se sono presenti più voci per pc Fotocamera, controllare la sezione delle proprietà per tutti. Passare alla scheda Dettagli dei driver e selezionare Funzionalità dal menu a discesa Proprietà. Uno dei dispositivi della fotocamera del PC deve avere la funzionalità "CM_DEVCAP_edizione Standard CUREDEVICE".
Sensore biometrico delle impronte digitali
I sensori di impronte digitali con supporto per l'accesso avanzati devono corrispondere al chip. Il sensore deve avere un certificato rilasciato da Microsoft bruciato nel dispositivo durante la produzione. Il driver di dispositivo e il firmware devono supportare la funzionalità sicurezza avanzata per l'accesso. Per verificare se un modulo di impronta digitale è abilitato per la sicurezza per l'accesso avanzato, passare innanzitutto a Gestione dispositivi aperti ed espandere la sezione Dispositivi biometrici. Dovrebbe essere presente una voce per un sensore di impronta digitale. Fare clic con il pulsante destro del mouse sulla voce del lettore di impronte digitali e passare a Proprietà, quindi Dettagli. Nell'opzione Proprietà selezionare "Percorso istanza del dispositivo".
Aprire regedit.exe e passare a HKLM\SYSTEM\CurrentControlSet\Enum\[DeviceInstancePath]\Device Parameters\WinBio\Configurations dove DeviceInstancePath è il percorso elencato in Gestione dispositivi. Selezionare "Configurazioni". Deve essere presente una chiave del Registro di sistema denominata "SecureFingerprint" con un valore di dati pari a 1. Se non esiste, il dispositivo non è in grado di supportare la sicurezza.
Le configurazioni devono avere anche due cartelle sotto di essa: una etichetta "0" e una etichetta "1". Se è presente una sola cartella e non due, il dispositivo non è in grado di supportare la protezione.
Ricerca per categorie sapere se la sicurezza dell'accesso avanzato è abilitata
Centro sicurezza
Nella sezione Sicurezza del dispositivo dell'applicazione Sicurezza di Windows sarà presente una voce sicurezza di accesso avanzata se è abilitata nel sistema. Questa voce descriverà la funzionalità hardware del sistema. Se la sezione Sicurezza avanzata accesso non è presente, la funzionalità non è abilitata nel sistema.
Se nel dispositivo è incorporato un sensore biometrico che non supporta la sicurezza avanzata di accesso o che il tipo di hardware biometrico è assente dal sistema, verrà indicato dalla descrizione "Non disponibile a causa di hardware incompatibile" accanto al sensore corrispondente. Questo messaggio indica che l'hardware non soddisfa i requisiti del sensore necessari per supportare la sicurezza avanzata per l'accesso.
Visualizzatore eventi
Il framework biometrico di Windows genera eventi quando ogni sensore in un sistema viene enumerato. Questi log includono informazioni che indicano se un sensore funziona con la sicurezza di accesso avanzata abilitata. I registri eventi biometrici sono disponibili in Visualizzatore eventi in Visualizzatore eventi > Registri applicazioni e servizi >> Microsoft Windows > Biometrics > Operational.
Se il dispositivo biometrico è stato caricato correttamente dal framework biometrico di Windows, verrà generato un evento del registro con ID 1108 per il sensore corrispondente. Se il dispositivo funziona con sicurezza di accesso avanzata abilitata, il sensore verrà specificato come isolato in un processo "Modalità protetta virtuale". Se il dispositivo non usa la sicurezza di accesso avanzata, verrà specificato come isolato in un processo di "Sistema".
Nell'evento 1108, le fotocamere verranno descritte usando "Windows Hello Face Software Device (ROOT\WINDOWSHELLOFACESOFTWAREDRIVER\0000)" e i dispositivi di impronta digitale verranno descritti usando il modulo e l'ID dispositivo specifici del dispositivo. Per i dispositivi con impronta digitale, l'ID dispositivo è disponibile in Gestione dispositivi in Dispositivi > biometrici [Modulo impronta digitale] > Proprietà > Dettagli > percorso istanza dispositivo.
Compatibilità applicazioni
Per i dispositivi con fotocamere abilitate per l'accesso avanzato, è necessaria una tabella Secure Devices (SDEV). Quando viene implementata una tabella SDEV e la sicurezza basata su vbs è attivata, la tabella SDEV viene analizzata dal kernel protetto e le restrizioni vengono applicate all'accesso allo spazio di configurazione del dispositivo PCI (Peripheral Component Interconnect). Queste restrizioni vengono applicate per impedire ai processi dannosi di modificare lo spazio di configurazione dei dispositivi protetti specificati nella tabella SDEV.
Le applicazioni che tentano di leggere/scrivere lo spazio di configurazione PCI, ad eccezione dei mezzi supportati in modo esplicito da Windows, genereranno controlli di bug quando la tabella SDEV viene analizzata e applicata.
Tutti i driver e il software inclusi nell'immagine del dispositivo devono essere testati per garantire la compatibilità, in base a queste restrizioni software. Anche il software o i driver distribuiti al sistema tramite Windows Update, Microsoft Store o altri canali accettabili dal produttore del dispositivo devono essere controllati per la compatibilità. Senza questa verifica, potrebbe verificarsi un comportamento imprevisto nel sistema.
Scenari non supportati
Abilitazione del supporto dell'accesso avanzato nell'aggiornamento di Windows
La sicurezza di accesso avanzata è attualmente supportata solo nei dispositivi configurati da un produttore di dispositivi per abilitare la funzionalità con l'aggiornamento di Windows 10 di ottobre 2020. Nei dispositivi di mercato che supportano l'hardware che eseguono l'aggiornamento a questa build del sistema operativo non sono attualmente supportati.
Sensori non avanzati supportati per l'accesso
Quando è abilitata la sicurezza avanzata per l'accesso, nel sistema funzioneranno solo i sensori biometrici che supportano la sicurezza avanzata per l'accesso. Tutti i sensori non compatibili non verranno enumerati dal framework Biometrico di Windows.
È la decisione del produttore sull'hardware incluso nel sistema e se la sicurezza di accesso avanzata è abilitata per impostazione predefinita. In caso di problemi relativi alle modalità biometriche bloccate, contattare il produttore del dispositivo per assistenza.
Sensori biometrici collegabili/periferici
La sicurezza avanzata per l'accesso non è supportata per i sensori di impronte digitali esterni o i moduli della fotocamera. Con la sicurezza avanzata dell'accesso abilitata, le operazioni del sensore biometrico esterno o periferico verranno bloccate, indipendentemente dal fatto che siano compatibili o meno con sicurezza. Se si vuole usare una periferica con sicurezza avanzata per l'accesso con Windows Hello, vedere Disabilitazione/Abilitazione della sicurezza avanzata per l'accesso
Riattivazione del tocco per i sensori di impronta digitale
Wake on Touch (WoT) descrive la capacità del sensore di impronta digitale di riattivare il sistema e di accedere all'utente senza richiedere all'utente di toccare il sensore due volte. I dispositivi che supportano modern standby abilitano il comportamento del sensore touch.
A partire da Windows 11 edizione Standard, versione 22H2 e Windows 11 Pro Edu/Education, versione 22H2 con KB5027303, WoT sarà disponibile per i dispositivi ESS.
Risoluzione dei problemi
L'autenticazione viso/impronta digitale non funziona
Se l'autenticazione biometrica non funziona, verificare innanzitutto che la sicurezza basata su vbs sia in esecuzione e che il componente protetto sia stato avviato. Per verificare se la sicurezza basata su vbs è in esecuzione, aprire Informazioni di sistema e controllare in "System Summary"; deve essere presente una voce per "Sicurezza basata su virtualizzazione" elencata come In esecuzione.
Verificare anche che l'isolamento biometrico trust-let sia in esecuzione. Questi elementi devono essere elencati in System Information > Software Environment > Running Tasks come "bioiso.exe" e "ngciso.exe". Se uno di questi controlli ha esito negativo, il sistema potrebbe non soddisfare i requisiti per la sicurezza dell'accesso avanzato. Provare a riavviare il servizio biometrico usando (3) di seguito.
Per verificare che la connessione sicura sia riuscita, fare riferimento a "Ricerca per categorie sapere se la sicurezza di accesso avanzata è abilitata?" .
- In Impostazioni in Opzioni di accesso rimuovere la registrazione non funzionante e ripetere la registrazione; se la voce per Windows Hello Face/Fingerprint non è disponibile con la condizione "Non è stato possibile trovare uno scanner di impronte digitali compatibile con Windows Hello Face" o un passaggio simile a (2) Controllare se l'autenticazione funziona.
- In Gestione dispositivi il sensore deve essere elencato in Dispositivi biometrici. Reinstallare il driver facendo clic con il pulsante destro del mouse sul nome del dispositivo e selezionare Disinstalla dispositivo. Riavviare il dispositivo, a questo punto Windows tenterà di reinstallare il driver. Controllare se l'autenticazione funziona.
- Per riavviare il servizio biometrico, rimuovere prima di tutto il PIN dal sistema passando a Opzioni di accesso e rimuovendo il PIN. Aprire un prompt dei comandi come amministratore e immettere "net stop wbiosrvc" e quindi "net start wbiosrvc". Controllare se l'autenticazione con impronta digitale funziona.
- Se la biometria non funziona ancora nel dispositivo, inviare un elemento di feedback usando l'hub di Feedback.
IL PIN non funziona
Il PIN può essere reimpostato nella schermata di blocco in Opzioni di accesso. A tale scopo, rimuovere il PIN e aggiungerlo di nuovo. Verrà richiesto di reimpostare il PIN, che dovrebbe ripristinare la funzionalità del PIN.
Disabilitare/abilitare la sicurezza avanzata per l'accesso
A partire da Windows 11 versione 22H2 con KB5031455, gli utenti possono disattivare temporaneamente ESS se vogliono usare una periferica esterna per l'autenticazione con Windows Hello nel dispositivo.
È possibile usare l'app Impostazioni per disabilitare ESS. Selezionare Start> Impostazioni> Accounts Opzioni di>accesso o usare il collegamento seguente:
In Impostazioni aggiuntive>Accedi con una fotocamera esterna o un lettore di impronte digitali è presente un interruttore che consente di abilitare o disabilitare ESS:
- Quando l'interruttore è Disattivato, ESS è abilitato e non è possibile usare periferiche esterne per accedere. Tenere presente che è comunque possibile usare periferiche esterne all'interno di app come Teams
- Quando l'interruttore è Attivato, ESS è disabilitato ed è possibile usare le periferiche compatibili con Windows Hello per accedere