Усиленная безопасность при входе в Windows Hello

  • Статья

Windows Hello позволяет пользователю проходить проверку подлинности с помощью метрик биография или ПИН-кода, устраняющего необходимость пароля. Биометрическая проверка подлинности использует распознавание лиц или отпечатки пальцев, чтобы доказать личность пользователя таким образом, чтобы обеспечить безопасность, личную и удобную проверку подлинности. Расширенная безопасность входа обеспечивает дополнительный уровень безопасности для биография метрических данных путем использования специализированных компонентов оборудования и программного обеспечения, таких как безопасность на основе виртуализации (VBS) и доверенный модуль платформы 2.0 для изоляции и защиты данных проверки подлинности пользователя и защиты канала, с помощью которого передаются эти данные.

Как расширенная безопасность входа защищает данные метрик биография

Распознавание лиц

Если включена расширенная безопасность входа, алгоритм распознавания лиц защищен с помощью VBS для изоляции его от остальной части Windows. Гипервизор используется для указания и защиты областей памяти, чтобы к ней могли обращаться только процессы, выполняемые в VBS. Гипервизор позволяет камере лица записывать данные лиц в эти области памяти, предоставляя изолированный путь для доставки данных лиц от камеры к алгоритму сопоставления лиц.

Шаблоны лиц создаются в VBS алгоритмом защищенного лица. Если они не используются, данные шаблона лица шифруются с помощью ключей, созданных и доступны только для VBS, а затем хранятся на диске.

Отпечаток

Расширенная безопасность входа поддерживается только на датчиках отпечатков пальцев с соответствующими возможностями датчика. Этот тип датчика включает микропроцессор и память, которые можно использовать для изоляции сопоставления отпечатков пальцев и хранилища шаблонов с помощью оборудования.

Датчики, поддерживающие расширенную безопасность входа, имеют сертификат, внедренный во время производства. Этот сертификат можно проверить компонентами метрик Windows биография, работающими в VBS, и используется для установления безопасного сеанса с датчиком. Компоненты датчика и windows биография метрики используют этот сеанс для безопасного взаимодействия с операциями регистрации и сопоставления результатов.

Операции с учетными данными

Компоненты метрик Windows биография, работающие в VBS, устанавливают безопасный канал для доверенного платформенного модуля с использованием сведений, общих с VBS, tPM во время загрузки. Если операция сопоставления является успешной, компоненты биография метрики в VBS используют этот канал для авторизации использования ключей Windows Hello для проверки подлинности пользователя с помощью поставщика удостоверений, приложений и служб.

Разделы справки получить расширенную безопасность входа

Включение зависит от специализированного оборудования, драйверов и встроенного ПО, предварительно установленных в системе. Производители устройств могут включить расширенную безопасность входа на своих устройствах во время настройки устройства в фабрике.

Совместимость системы

Совместимые аппаратные и программные компоненты необходимы для включения расширенной безопасности входа.

  • Устройства с обновлением Windows 10 октября 2020 г., настроенным из фабрики
  • Требования к безопасности на основе виртуализации (VBS), включая включение Device Guard и доверенный модуль платформы 2.0
  • Оборудование биометрического датчика, поддерживающее расширенную безопасность входа
  • Биометрические драйверы датчиков, совместимые с расширенной безопасностью входа
  • Встроенное ПО устройства с таблицей ACPI безопасных устройств (SDEV) правильно настроено производителем устройства для включенного оборудования биография метрики

Совместимость биометрических датчиков

Биометрический датчик лица

Расширенная безопасность входа поддерживает только некоторые камеры IR на ограниченном количестве наборов микросхем. Поддерживаемые камеры должны поддерживать расширенную безопасность входа в встроенном ПО. Требуется использование драйвера камеры UVC windows для папки "Входящие". Чтобы проверка, если модуль камеры поддерживает расширенный вход, сначала перейдите к диспетчер устройств и разверните раздел "Контроллеры универсальной последовательной шины". Щелкните правой кнопкой мыши устройство с контроллером узла eXtensible в имени и выберите параметр "Свойства", чтобы просмотреть свойства устройства. Если для контроллера узла есть несколько записей, проверка раздел свойств для всех. Перейдите на вкладку "Сведения" драйвера и выберите "Возможности" в раскрывающемся меню "Свойство". Один из устройств должен показать, что он имеет возможность "CM_DEVCAP_SECUREDEVICE".

FaceBiometricSensorCapabilities

Затем проверка разделы свойств Камера ПК, перейдя в раздел "Камера" в диспетчер устройств. Если для компьютеров Камера есть несколько записей, проверка раздел свойств для всех. Перейдите на вкладку "Сведения" драйверов и выберите "Возможности" в раскрывающемся меню "Свойство". Один из устройств камеры пк должен иметь возможность "CM_DEVCAP_SECUREDEVICE".

FaceBiometricSensorCameraProperties

Биометрический датчик отпечатков пальцев

Улучшенные датчики отпечатков пальцев с поддержкой входа должны соответствовать на микросхеме. Датчик должен иметь выданный корпорацией Майкрософт сертификат, сгоревшие на устройстве во время производства. Драйвер устройства и встроенное ПО должны поддерживать расширенные функции безопасности входа. Чтобы проверка, если модуль отпечатков пальцев поддерживает расширенный вход, сначала перейдите к открытому диспетчеру устройств и разверните раздел биометрических устройств. Для датчика отпечатков пальцев должна быть запись. Щелкните правой кнопкой мыши запись средства чтения отпечатков пальцев и перейдите в раздел "Свойства", а затем "Сведения". В разделе "Свойство" выберите "Путь экземпляра устройства".

FingerprintEnabledEnhanced Sign-in Security

Откройте regedit.exe и перейдите к HKLM\SYSTEM\CurrentControlSet\Enum\[DeviceInstancePath]\Device Parameters\WinBio\Configurations расположению DeviceInstancePath— это путь, указанный в диспетчер устройств. Выберите "Конфигурации". Должен быть раздел реестра с именем SecureFingerprint со значением данных 1. Если оно не существует, устройство не поддерживает безопасность.

Под конфигурацией также должны быть две папки: одна метка "0" и одна метка "1". Если есть только одна папка, а не две, устройство не поддерживается безопасно.

FingerprintEnhanced Sign-in SecurityConfigurations

Разделы справки знать, включена ли расширенная безопасность входа

Центр безопасности

В разделе "Безопасность устройств" приложения Безопасность Windows появится запись для расширенного входа, если она включена в системе. Эта запись описывает возможности оборудования системы. Если раздел "Безопасность расширенного входа" отсутствует, функция не включена в системе.

Если на устройстве отсутствует датчик биография метрики, не поддерживающий расширенную безопасность входа или тип оборудования биография метрики отсутствует в системе, он будет указан в описании "Недоступно из-за несовместимого оборудования" рядом с соответствующим датчиком. Это сообщение указывает, что оборудование не соответствует требованиям датчика, необходимым для поддержки расширенной безопасности входа.

Просмотр событий

Платформа метрик Windows биография создает события журналов при перечислении каждого датчика в системе. Эти журналы содержат сведения о том, работает ли датчик с поддержкой расширенного входа. Журналы биометрических событий находятся в Просмотр событий в разделе Просмотр событий > Приложения и службы журналы > Биометрических > данных Microsoft > Windows>.

Если устройство биография метрик загружено должным образом платформой метрик Windows биография метрики, будет событие журнала с идентификатором 1108 для соответствующего датчика. Если устройство работает с поддержкой расширенной безопасности входа, датчик будет указан как изолированный в процессе "Виртуальный безопасный режим". Если устройство не использует расширенную безопасность входа, оно будет указано как изолированное в процессе system.

OperationalEventViewer

В событии 1108 камеры будут описаны с помощью windows Hello Face Software Device (ROOT\WINDOWSHELLOFACESOFTWAREDRIVER\0000)" и устройства отпечатков пальцев будут описаны с помощью конкретного модуля и идентификатора устройства. Для устройств с отпечатками пальцев идентификатор устройства можно найти в диспетчере устройств в разделе "Биометрические устройства > [модуль отпечатка пальца] > Properties > Details > Device Instance Path.

Совместимость приложений

Для устройств с камерами с поддержкой расширенного входа требуется таблица Secure Devices (SDEV). При реализации таблицы SDEV и включении VBS таблица SDEV анализируется безопасным ядром и ограничениями применяются при доступе к пространству конфигурации периферийных компонентов (PCI). Эти ограничения принимаются, чтобы предотвратить управление вредоносными процессами пространства конфигурации защищенных устройств, указанных в таблице SDEV.

Приложения, которые пытаются считывать и записывать пространство конфигурации PCI, за исключением средств, которые явно поддерживаются Windows, при анализе и применении таблицы SDEV будут возникать ошибки проверка.

Все драйверы и программное обеспечение, включенные в образ устройства, должны быть проверены на совместимость, учитывая эти ограничения программного обеспечения. Программное обеспечение или драйверы, распространяемые в систему через Обновл. Windows, Microsoft Store или другие приемлемые каналы изготовителем устройства, также должны быть проверка для обеспечения совместимости. Без этой проверки может возникнуть непредвиденное поведение в системе.

Неподдерживаемые сценарии

Включение расширенной поддержки входа в обновлении Windows

Расширенная безопасность входа в настоящее время поддерживается только на устройствах, настроенных производителем устройств, чтобы включить возможность обновления Windows 10 за октябрь 2020 г. На рыночных устройствах, которые поддерживают аппаратное обновление до этой сборки ОС, в настоящее время не поддерживаются.

Поддерживаемые датчики без расширенного входа

Если включена расширенная безопасность входа, в системе будут работать только датчики биография метрики, поддерживающие расширенную безопасность входа. Все неспособные датчики не будут перечисляться биометрическими платформами Windows.

Это решение производителя о том, какое оборудование они включают в систему и включена ли расширенная безопасность входа по умолчанию. Если существуют какие-либо проблемы, связанные с блокировкой модальности биография метрики, обратитесь к изготовителю устройства за поддержкой.

Подключаемые или периферийные биометрические датчики

Расширенная безопасность входа не поддерживается для внешних датчиков отпечатков пальцев или модулей камеры. С поддержкой расширенной безопасности входа внешние или периферийные биография метрические операции датчика будут заблокированы независимо от того, поддерживает ли они безопасные или нет. Если вы хотите использовать периферийное устройство с расширенной безопасностью входа для входа с помощью Windows Hello, см. статью "Отключение и включение расширенного входа в систему"

Пробуждение на сенсорном устройстве для датчиков отпечатков пальцев

Пробуждение на сенсорном устройстве (WoT) описывает возможность пробуждения системы и входа пользователя без необходимости касаться датчика дважды. Устройства, поддерживающие современное резервное состояние , позволяют включить поведение датчика пробуждения на сенсорном устройстве.

Начиная с Windows 11 SE, версии 22H2 и Windows 11 Pro Edu/Education, версия 22H2 с КБ 5027303, WoT будет доступна для устройств ESS.

Устранение неполадок

Проверка подлинности распознавания лиц и отпечатков пальцев не работает

Если проверка подлинности биография метрик не работает, сначала проверка, что выполняется VBS и запущен безопасный компонент. Чтобы проверка, если VBS запущена, откройте Сведения о системе и проверка в разделе "Сводка по системе"; в списке "Безопасность на основе виртуализации" должна быть указана как запущенная.

BiometricAuthenticationTroubleshooting

Кроме того, проверка, что работает биография метрическая изоляция доверия. Они должны быть перечислены в разделе Сведения о системе Программная среда > выполнения задач как "биография iso.exe>" и "ngciso.exe". Если одно из этих проверка завершается ошибкой, система может не соответствовать требованиям для расширенной безопасности входа. Попытайтесь перезапустить службу биография метрик, используя ниже (3).

Чтобы проверка, что безопасное подключение выполнено успешно, обратитесь к разделу "Разделы справки знать, включена ли расширенная безопасность входа?". доступа".

  1. В Параметры в разделе "Параметры входа" удалите неработоспособную регистрацию и повторно зарегистрируйтесь; если запись для Windows Hello Face/Fingerprint недоступна с условием "Не удалось найти сканер отпечатков пальцев, совместимый с Windows Hello Face", или что-то подобное пропустить (2) Проверить, работает ли проверка подлинности.
  2. В диспетчере устройств датчик должен быть указан в разделе "Биометрические устройства". Переустановите драйвер, щелкнув правой кнопкой мыши имя устройства и выберите "Удалить устройство". Перезапустите устройство, в котором Windows попытается переустановить драйвер. Проверьте, работает ли проверка подлинности.
  3. Чтобы перезапустить службу биография метрики, сначала удалите ПИН-код из системы, перейдя к параметрам входа и удалив ПИН-код. Откройте командную строку от имени администратора и введите "net stop w биография srvc" и "net start w биография srvc". Проверьте, работает ли проверка подлинности отпечатков пальцев.
  4. Если биография метрики по-прежнему не работают на устройстве, отправьте элемент обратной связи с помощью Центра отзывов.

ПИН-код не работает

ПИН-код можно сбросить на экране блокировки в разделе "Параметры входа". Для этого удалите ПИН-код и добавьте его еще раз. При этом будет предложено сбросить ПИН-код, который должен восстановить функциональные возможности ПИН-кода.

Отключение и включение расширенной безопасности входа

Начиная с Windows 11 версии 22H2 с КБ 5031455 пользователи могут временно отключить ESS, если они хотели бы использовать внешнее периферийное устройство для проверки подлинности с помощью Windows Hello на своем устройстве.

Вы можете использовать приложение Параметры для отключения ESS. Нажмите кнопку "Пуск> Параметры> Accounts Вход"> или используйте следующее сочетание клавиш:

Параметры входа

В разделе "Дополнительные параметры входа с помощью внешней камеры или средства чтения отпечатков>пальцев" есть переключатель, позволяющий включить или отключить ESS:

  • Если переключатель отключен, ESS включен и вы не можете использовать внешние периферийные устройства для входа. Помните, что вы по-прежнему можете использовать внешние периферийные устройства в таких приложениях, как Teams
  • Если переключатель включен, служба ESS отключена и для входа можно использовать периферийные устройства, совместимые с Windows Hello.