Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Windows Hello permite a autenticação biométrica ou PIN, eliminando a necessidade de uma senha. A autenticação biométrica usa reconhecimento facial ou impressão digital para provar a identidade de um usuário de forma segura, pessoal e conveniente.
A Segurança de Início de Sessão Reforçada (ESS) proporciona um nível adicional de segurança aos dados biométricos com a utilização de componentes especializados de hardware e software. O VBS (Virtualization Based Security) e o Trusted Platform Module 2.0 são usados para isolar e proteger os dados de autenticação do usuário e para proteger o canal de comunicação de dados.
Como é que a Segurança de Início de Sessão Reforçada protege os dados biométricos
ESS e reconhecimento facial
Quando o ESS está habilitado, o algoritmo de face é protegido usando VBS para isolá-lo do resto do Windows. O hipervisor é usado para especificar e proteger regiões de memória, para que elas só possam ser acessadas por processos em execução no VBS. O hipervisor permite à câmera de rosto gravar nessas regiões de memória, proporcionando um caminho isolado para transmitir dados faciais da câmera para o algoritmo de correspondência facial.
Os modelos de rosto são gerados em VBS pelo algoritmo de rosto protegido. Quando não estão em uso, os dados do modelo de rosto são criptografados usando chaves geradas e acessíveis apenas ao VBS e, em seguida, armazenados no disco.
ESS e reconhecimento de impressões digitais
O ESS só é suportado em sensores de impressão digital com capacidade de correspondência no sensor. Este tipo de sensor inclui um microprocessador e uma memória que podem ser usados para isolar tanto a correspondência de impressões digitais como o armazenamento de modelos, utilizando hardware.
Os sensores que suportam ESS têm um certificado incorporado durante a fabricação. O certificado pode ser validado pelos componentes biométricos do Windows em execução no VBS e é usado para estabelecer uma sessão segura com o sensor. O sensor e os componentes biométricos do Windows usam a sessão para comunicar operações de registro e combinar resultados com segurança.
Operações de credenciais
Os componentes biométricos do Windows executados no VBS estabelecem um canal seguro para o TPM usando informações compartilhadas com o VBS pelo TPM durante a inicialização. Quando uma operação de correspondência é um sucesso, os componentes biométricos no VBS usam o canal seguro para autorizar o uso de chaves do Windows Hello para autenticar o usuário com seu provedor de identidade, aplicativos e serviços.
Ativar Segurança de Início de Sessão Reforçada
A ativação do ESS depende de hardware, drivers e firmware especializados pré-instalados no sistema. Os fabricantes de dispositivos podem optar por ativar a Segurança de Início de Sessão Reforçada durante a configuração do dispositivo de fábrica.
Observação
Todos os PCs Copilot+ têm o ESS ativado por padrão. Para obter mais informações, consulte Requisitos de hardware do Copilot+ PC.
Requisitos do sistema
São necessários componentes de hardware e software compatíveis para ativar a Segurança de Início de Sessão Reforçada:
- Atender aos requisitos deVirtualization-Based Security (VBS), incluindo o Device Guard Enablement e o Trusted Platform Module 2.0
- Hardware de sensor biométrico que suporta ESS
- Drivers de sensores biométricos compatíveis com ESS
- Firmware do dispositivo com uma tabela ACPI Secure Devices (SDEV) configurada pelo fabricante do dispositivo para o hardware biométrico incluído
Compatibilidade com sensores biométricos
Sensor biométrico facial
ESS é projetado para trabalhar com uma gama selecionada de câmeras IR, e requer chipsets específicos. As câmeras que suportam ESS devem ter esse recurso embutido em seu firmware, e usar o driver de câmera UVC padrão do Windows que vem com o sistema operacional é necessário.
Para verificar se o módulo de câmera é compatível com ESS, primeiro vá para o Gerenciador de dispositivos e expanda a seção Controladores de barramento serial universal . Clique com o botão direito do mouse no dispositivo que tem o eXtensible Host Controller no nome e selecione a opção Propriedades para visualizar as propriedades do dispositivo. Se houver várias entradas para um controlador host, verifique a seção de propriedades para todos. Navegue até ao separador Detalhes do driver e selecione Recursos a partir do menu suspenso Propriedade. Um dos dispositivos deve apresentar a capacidade CM_DEVCAP_SECUREDEVICE.
Em seguida, verifique as seções de propriedades das câmeras do PC indo para a seção Câmeras no Gerenciador de dispositivos. Se houver várias entradas para Câmeras de PC, verifique a seção de propriedades de cada uma. Navegue até a guia Detalhes dos controladores e selecione Recursos no menu suspenso de Propriedade. Um dos dispositivos de câmera do computador deve possuir a CM_DEVCAP_SECUREDEVICE capacidade.
Sensor biométrico de impressão digital
Os sensores de impressão digital compatíveis com ESS devem corresponder no chip:
- O sensor deve ter um certificado emitido pela Microsoft gravado no dispositivo durante a fabricação
- O controlador de dispositivo e o firmware têm de suportar a funcionalidade de Segurança de Início de Sessão Reforçada
Para verificar se um módulo de impressão digital é compatível com ESS, primeiro vá para o Gerenciador de dispositivos e expanda a seção Dispositivos biométricos . Deve haver uma entrada para um sensor de impressão digital. Clique com o botão direito na entrada do leitor de impressão digital e selecione Propriedades>Detalhes. Na opção Propriedade , selecione Caminho da instância do dispositivo.
Abra regedit.exe e navegue até HKLM\SYSTEM\CurrentControlSet\Enum\[DeviceInstancePath]\Device Parameters\WinBio\Configurations onde DeviceInstancePath está o caminho listado no Gerenciador de dispositivos. Selecione Configurações. Deve haver uma chave do Registro listada SecureFingerprint com um valor de dados de 1. Se não existir, o dispositivo não tem capacidade de segurança.
As configurações também devem ter duas pastas abaixo dela: uma rotulada 0 e outra rotulada 1. Se houver apenas uma pasta e não duas, o dispositivo não é capaz de ser seguro.
Verificar se o ESS está ativado
Centro de Segurança
Se o ESS estiver habilitado, a seção Segurança do Dispositivo do aplicativo Segurança do Windows terá uma entrada para Segurança de Entrada Aprimorada. A entrada descreve a capacidade de hardware do sistema. Se a secção Segurança de Início de Sessão Reforçada não estiver presente, a funcionalidade não está ativada no sistema.
Se houver um sensor biométrico incorporado no dispositivo que não suporte ESS, ou esse tipo de hardware biométrico estiver ausente do sistema, ele é indicado pela descrição Indisponível devido a hardware incompatível ao lado do sensor correspondente. Esta mensagem indica que o hardware não segue os requisitos do sensor necessários para suportar o ESS.
Visualizador de Eventos
A estrutura biométrica do Windows gera eventos de logs quando cada sensor em um sistema é enumerado. Estes registos incluem informações que indicam se um sensor está a funcionar com a Segurança de Início de Sessão Reforçada ativada. Os logs de eventos biométricos são encontrados no Visualizador de Eventos emVisualizador de Eventos>Logs de Aplicações e Serviços>Microsoft>Windows>Biometrics>Operational.
Se o dispositivo biométrico for carregado corretamente pela estrutura biométrica do Windows, haverá uma ID 1108 de evento de log para o sensor correspondente. Se o dispositivo estiver operando com o ESS habilitado, o sensor será especificado como isolado em um processo do Modo de Segurança Virtual . Se o dispositivo não estiver usando ESS, ele será especificado como isolado num processo do Sistema.
No evento 1108, as câmaras são descritas utilizando o Windows Hello Face Software Device (ROOT\WINDOWSHELLOFACESOFTWAREDRIVER\0000) e os dispositivos de impressão digital são descritos com o módulo específico e o ID do dispositivo. Para dispositivos de impressão digital, o ID do dispositivo é listado no Gerenciador de dispositivos em Dispositivos biométricos>[Módulo de impressão digital]>Detalhes>das propriedades>Caminho da instância do dispositivo.
Compatibilidade de aplicativos
Para dispositivos com câmaras compatíveis com ESS, é necessária uma tabela Secure Devices (SDEV). Quando uma tabela SDEV é implementada e o VBS é ativado, a tabela SDEV é analisada pelo Secure Kernel e restrições são impostas ao acessar o espaço de configuração do dispositivo PCI (Peripheral Component Interconnect). Essas restrições são decretadas para impedir que processos mal-intencionados manipulem o espaço de configuração de dispositivos seguros especificados na tabela SDEV.
Os aplicativos que tentam ler/gravar o espaço de configuração PCI, exceto por meios explicitamente suportados pelo Windows, resultam em verificações de bugs quando a tabela SDEV é analisada e imposta.
Todos os drivers e software incluídos na imagem do dispositivo devem ser testados quanto à compatibilidade, dadas essas restrições de software. Software ou drivers que são distribuídos para o sistema através do Windows Update, da Microsoft Store ou de outros canais aceitáveis pelo fabricante do dispositivo também devem ser verificados quanto à compatibilidade. Sem essa verificação, pode haver um comportamento inesperado no sistema.
Cenários não suportados
Sensores não suportados por ESS
Quando o ESS está ativado, apenas os sensores biométricos que suportam o ESS funcionam no sistema. Todos os sensores não capazes não serão enumerados pela estrutura biométrica do Windows.
É a decisão do fabricante sobre o hardware que inclui no sistema e se a Segurança de Início de Sessão Reforçada está ativada por predefinição. Se houver alguma preocupação em torno do bloqueio de modalidades biométricas, entre em contato com o fabricante do dispositivo para obter suporte.
Sensores biométricos periféricos/conectáveis
O ESS não é compatível com sensores de impressão digital externos ou módulos de câmera. Com o ESS habilitado, as operações de sensores biométricos externos ou periféricos são bloqueadas, independentemente de serem capazes de segurança ou não. Se pretender utilizar um periférico com ESS para iniciar sessão com o Windows Hello, consulte Desativar/Ativar ESS
Observação
O suporte do Windows para sensores de impressão digital periféricos ESS (Enhanced Sign-in Security) chegará no final de 2025! Alguns dispositivos periféricos Windows Hello podem já estar disponíveis no mercado. Consulte aqui para obter orientações.
Despertar ao toque para sensores de impressão digital
Wake on Touch (WoT) é a capacidade do sensor de impressão digital de despertar o sistema e iniciar sessão no utilizador sem exigir que o utilizador toque duas vezes no sensor. Os dispositivos que suportam o Modo de Espera Moderno permitem o comportamento do sensor Wake on Touch.
A partir do Windows 11, versão 22H2 com KB5027303, o WoT está disponível para dispositivos ESS.
Solução de problemas
A autenticação de rosto/impressão digital não está a funcionar
Se a autenticação biométrica não estiver funcionando, primeiro verifique se o VBS está em execução e se o componente seguro foi iniciado. Para verificar se o VBS está em execução, abra Informações do Sistema>Resumo do Sistema. Deve haver uma entrada para Segurança Baseada em Virtualização listada como Em Execução.
Verifique também se os trust-lets (módulos de confiança) de isolamento biométrico estão em execução. Estes devem ser listados em System Information>Software Environment>Running Tasks como bioiso.exe e ngciso.exe. Se qualquer uma dessas verificações falhar, o sistema pode não atender aos requisitos de Segurança de Entrada Aprimorada. Tente reiniciar o serviço biométrico usando a etapa #3.
- Em Configurações>Opções de Entrada, remova o registro que não está funcionando e registre-se novamente
- se a entrada para Windows Hello Face/Fingerprint não estiver disponível com a condição Não foi possível encontrar um scanner de impressão digital compatível com o Windows Hello Face, ou algo semelhante, avance para o próximo passo
- No gerenciador de dispositivos, o sensor deve ser listado em Dispositivos biométricos. Reinstale o driver clicando com o botão direito do mouse no nome do dispositivo e selecione Desinstalar dispositivo. Reinicie o dispositivo, momento em que o Windows tenta reinstalar o driver. Verificar se a autenticação está a funcionar
- Para reiniciar o serviço biométrico, primeiro remova o PIN do sistema indo para Opções de entrada e removendo o PIN. Abra um prompt de comando como administrador e digite
net stop wbiosrvc && net start wbiosrvc. Verifique se a autenticação por impressão digital está funcionando - Se a biometria ainda não estiver funcionando no dispositivo, registre um item de feedback usando o Hub de Comentários
Para verificar se a conexão segura foi bem-sucedida, consulte a seção Verificar se o ESS está habilitado .
O PIN não está a funcionar
O PIN pode ser redefinido no ecrã de bloqueio em Opções de início de sessão. Para fazer isso, remova o PIN e adicione-o novamente. Isso solicitará a redefinição do PIN, o que deverá restaurar a funcionalidade do PIN.
Desativar/Ativar ESS
A partir do Windows 11, versão 22H2 com KB5031455, os usuários podem desativar temporariamente o ESS se quiserem usar um periférico externo para se autenticar com o Windows Hello em seu dispositivo.
Você pode usar o aplicativo Configurações para desativar o ESS. Selecione Iniciar>configurações>Contas>Opções de entrada ou use o seguinte atalho:
Em Configurações> adicionaisEntrar com uma câmera externa ou leitor de impressão digital, há uma alternância que permite habilitar ou desabilitar o ESS:
- Quando a alternância está Desativada, o ESS está ativado e você não pode usar periféricos externos para entrar. Lembre-se, você ainda pode usar periféricos externos em aplicativos como o Teams
- Quando a alternância está ativada, o ESS é desativado e você pode usar periféricos compatíveis com o Windows Hello para entrar