Усиленная безопасность при входе в Windows Hello
Windows Hello включает биометрические данные или проверку подлинности ПИН-кода, устраняя необходимость пароля. Биометрическая проверка подлинности использует распознавание лиц или отпечатки пальцев, чтобы подтвердить личность пользователя таким образом, чтобы обеспечить безопасность, личную и удобную проверку подлинности.
Расширенная безопасность входа (ESS) обеспечивает дополнительный уровень безопасности биометрических данных с использованием специализированных аппаратных и программных компонентов. Безопасность на основе виртуализации (VBS) и доверенный платформенный модуль 2.0 используются для изоляции и защиты данных проверки подлинности пользователя, а также для защиты канала обмена данными.
Как расширенная безопасность входа защищает биометрические данные
ESS и распознавание лиц
Если ESS включен, алгоритм распознавания лиц защищен с помощью VBS для изоляции его от остальной части Windows. Гипервизор используется для указания и защиты областей памяти, чтобы к ней могли обращаться только процессы, выполняемые в VBS. Гипервизор позволяет камере лица записывать данные лиц в эти области памяти, предоставляя изолированный путь для доставки данных лиц от камеры к алгоритму сопоставления лиц.
Шаблоны лиц создаются в VBS алгоритмом защищенного лица. Если они не используются, данные шаблона лица шифруются с помощью ключей, созданных и доступны только для VBS, а затем хранятся на диске.
ESS и распознавание отпечатков пальцев
ESS поддерживается только на датчиках отпечатков пальцев с соответствующими возможностями датчика. Этот тип датчика включает микропроцессор и память, которые можно использовать для изоляции сопоставления отпечатков пальцев и хранилища шаблонов с помощью оборудования.
Датчики, поддерживающие ESS, имеют сертификат, внедренный во время производства. Сертификат можно проверить биометрическими компонентами Windows, работающими в VBS, и используется для установления безопасного сеанса с датчиком. Биометрические компоненты датчика и Windows используют сеанс для безопасного взаимодействия с операциями регистрации и сопоставления результатов.
Операции с учетными данными
Биометрические компоненты Windows, работающие в VBS, устанавливают безопасный канал для доверенного платформенного модуля, используя информацию, предоставленную VBS TPM во время загрузки. Если операция сопоставления является успешной, биометрические компоненты в VBS используют безопасный канал для авторизации использования ключей Windows Hello для проверки подлинности пользователя с помощью поставщика удостоверений, приложений и служб.
Включение расширенной безопасности входа
Включение ESS зависит от специализированного оборудования, драйверов и встроенного ПО, предварительно установленных в системе. Производители устройств могут включить расширенную безопасность входа во время настройки устройства в фабрике.
Примечание.
Все компьютеры Copilot+ имеют ESS, включенные по умолчанию. Дополнительные сведения см. в статье о требованиях к оборудованию Copilot+ PC.
Требования к системе
Совместимые аппаратные и программные компоненты необходимы для включения расширенной безопасности входа.
- Требования к безопасности на основе виртуализации (VBS), включая включение Device Guard и доверенный модуль платформы 2.0
- Оборудование биометрического датчика, поддерживающее ESS
- Биометрические драйверы датчиков, совместимые с ESS
- Встроенное ПО устройства с таблицей ACPI безопасных устройств (SDEV), настроенной производителем устройства для включенного биометрического оборудования
Совместимость биометрических датчиков
Биометрический датчик лица
ESS предназначен для работы с выбором диапазона камер IR, и для него требуются определенные наборы микросхем. Камеры, поддерживающие ESS, должны иметь эту функцию, встроенную в встроенное ПО, и использовать стандартный драйвер камеры Windows UVC, который поставляется с операционной системой.
Чтобы проверить, поддерживает ли модуль камеры ESS, сначала перейдите к диспетчер устройств и разверните раздел контроллеров универсальной последовательной шины. Щелкните правой кнопкой мыши устройство с контроллером узла eXtensible в имени и выберите параметр "Свойства ", чтобы просмотреть свойства устройства. Если для контроллера узла есть несколько записей, проверьте раздел свойств для всех. Перейдите на вкладку "Сведения " драйвера и выберите " Возможности" в раскрывающемся меню "Свойство ". Один из устройств должен показать CM_DEVCAP_SECUREDEVICE возможность.
Затем проверьте разделы свойств камер пк, перейдя в раздел "Камеры" в диспетчер устройств. Если для камер пк есть несколько записей, проверьте раздел свойств для всех. Перейдите на вкладку "Сведения" драйверов и выберите " Возможности" в раскрывающемся меню "Свойство ". У одного из устройств камеры пк должна быть CM_DEVCAP_SECUREDEVICE возможность.
Биометрический датчик отпечатков пальцев
Датчики отпечатков пальцев с поддержкой ESS должны соответствовать на микросхеме:
- Датчик должен иметь выданный корпорацией Майкрософт сертификат во время производства
- Драйвер устройства и встроенное ПО должны поддерживать расширенные функции безопасности входа
Чтобы проверить, поддерживает ли модуль отпечатков пальцев ESS, сначала перейдите к диспетчер устройств и разверните раздел биометрических устройств. Для датчика отпечатков пальцев должна быть запись. Щелкните правой кнопкой мыши запись средства чтения отпечатков пальцев и перейдите в раздел "Сведения о свойствах>". В разделе "Свойство" выберите путь экземпляра устройства.
Откройте regedit.exe и перейдите к HKLM\SYSTEM\CurrentControlSet\Enum\[DeviceInstancePath]\Device Parameters\WinBio\Configurations DeviceInstancePath расположению пути, указанному в диспетчер устройств. Выберите конфигурации. Должен быть указан раздел SecureFingerprint реестра с именем значения 1данных. Если он не существует, устройство не поддерживается безопасно.
Под конфигурацией также должны быть две папки: одна метка 0 и одна метка 1. Если есть только одна папка, а не две, устройство не поддерживается безопасно.
Проверка включения ESS
Центр безопасности
Если ESS включен, раздел "Безопасность устройств" приложения Безопасность Windows содержит запись для расширенного входа. Запись описывает возможности оборудования системы. Если раздел "Безопасность расширенного входа" отсутствует, функция не включена в системе.
Если есть биометрический датчик, внедренный на устройство, которое не поддерживает ESS, или этот тип биометрического оборудования отсутствует в системе, он указан в недоступном из-за несовместимого описания оборудования рядом с соответствующим датчиком. Это сообщение указывает, что оборудование не соответствует требованиям датчика, необходимым для поддержки ESS.
Просмотр событий
Биометрические платформы Windows создают журналы событий при перечислении каждого датчика в системе. Эти журналы содержат сведения о том, работает ли датчик с поддержкой расширенного входа. Журналы биометрических событий находятся в Просмотр событий в разделе Просмотр событий> Applications and Services Logs>Microsoft>Windows>Биометрические>данные.
Если биометрическое устройство правильно загружено биометрическими платформами Windows, для соответствующего датчика есть идентификатор 1108 события журнала. Если устройство работает с поддержкой ESS, датчик указывается как изолированный в процессе виртуального безопасного режима . Если устройство не использует ESS, оно указано как изолированное в системном процессе.
В этом случае 1108камеры описываются с помощью устройства Windows Hello Face Software (ROOT\WINDOWSHELLOFACESOFTWAREDRIVER\0000) и устройств отпечатков пальцев с помощью конкретного модуля и идентификатора устройства. Для устройств отпечатков пальцев идентификатор устройства указан в диспетчере устройств в разделе "Биометрические устройства>[Модуль отпечатков пальцев]>Путь к экземпляру устройства сведений>о свойствах.>
Совместимость приложений
Для устройств с камерами с поддержкой ESS требуется таблица Secure Devices (SDEV). При реализации таблицы SDEV и включении VBS таблица SDEV анализируется безопасным ядром и ограничениями применяются при доступе к пространству конфигурации периферийных компонентов (PCI). Эти ограничения принимаются, чтобы предотвратить управление вредоносными процессами пространства конфигурации защищенных устройств, указанных в таблице SDEV.
Приложения, которые пытаются считывать и записывать пространство конфигурации PCI, за исключением средств, которые явно поддерживаются Windows, приводят к ошибкам при анализе и применении таблицы SDEV.
Все драйверы и программное обеспечение, включенные в образ устройства, должны быть проверены на совместимость, учитывая эти ограничения программного обеспечения. Программное обеспечение или драйверы, распространяемые в систему через Обновл. Windows, Microsoft Store или другие приемлемые каналы изготовителем устройства, также должны проверяться на совместимость. Без этой проверки может возникнуть непредвиденное поведение в системе.
Неподдерживаемые сценарии
Поддерживаемые датчики, отличные от ESS
Если ESS включена, только биометрические датчики, поддерживающие работу ESS в системе. Все неспособные датчики не будут перечисляться биометрическими платформами Windows.
Это решение производителя о том, какое оборудование они включают в систему и включена ли расширенная безопасность входа по умолчанию. Если существуют какие-либо проблемы, связанные с блокировкой биометрических модальности, обратитесь к изготовителю устройства за поддержкой.
Подключаемые и периферийные биометрические датчики
ESS не поддерживается для внешних датчиков отпечатков пальцев или модулей камеры. С включенными ESS, внешними или периферийными биометрическими датчиками блокируются независимо от того, являются ли они безопасными или нет. Если вы хотите использовать периферийное устройство с ESS для входа с помощью Windows Hello, см. статью "Отключить или включить ESS"
Пробуждение на сенсорном устройстве для датчиков отпечатков пальцев
Пробуждение на сенсорном устройстве (WoT) — это возможность пробуждения системы и входа пользователя без необходимости касаться датчика дважды. Устройства, поддерживающие современное резервное состояние , позволяют включить поведение датчика пробуждения на сенсорном устройстве.
Начиная с Windows 11 версии 22H2 с KB5027303, WoT доступен для устройств ESS.
Устранение неполадок
Проверка подлинности распознавания лиц и отпечатков пальцев не работает
Если биометрическая проверка подлинности не работает, сначала проверьте, запущен ли VBS и запущен ли безопасный компонент. Чтобы проверить, запущен ли VBS, откройте сводку Сведения о системе> System. Должна быть запись для безопасности на основе виртуализации, указанная как запущенная.
Кроме того, убедитесь, что биометрическая изоляция позволяет работать. Они должны быть перечислены в разделе Сведения о системе> Software Environment>Running Tasks as bioiso.exe and .ngciso.exe В случае сбоя любой из этих проверок система может не соответствовать требованиям для расширенной безопасности входа. Попытайтесь перезапустить биометрическую службу с помощью шага 3.
- В разделе "Параметры> входа" удалите нефункционную регистрацию и повторно зарегистрируйтесь
- Если запись windows Hello Face/Fingerprint недоступна с условием , что не удалось найти сканер отпечатков пальцев, совместимый с Windows Hello Face, или что-то подобное, перейдите к следующему шагу.
- В диспетчере устройств датчик должен быть указан в разделе "Биометрические устройства". Переустановите драйвер, щелкнув правой кнопкой мыши имя устройства и выберите "Удалить устройство". Перезапустите устройство, когда Windows пытается переустановить драйвер. Проверьте, работает ли проверка подлинности
- Чтобы перезапустить биометрическую службу, сначала удалите ПИН-код из системы, перейдя к параметрам входа и удалив ПИН-код. Откройте командную строку от имени администратора и введите
net stop wbiosrvc && net start wbiosrvc. Проверьте, работает ли проверка подлинности отпечатков пальцев - Если биометрические данные по-прежнему не работают на устройстве, отправьте элемент обратной связи с помощью Центра отзывов
Чтобы убедиться, что безопасное подключение выполнено успешно, обратитесь к разделу "Проверка включения ESS".
ПИН-код не работает
ПИН-код можно сбросить на экране блокировки в разделе "Параметры входа". Для этого удалите ПИН-код и добавьте его еще раз. При этом будет предложено сбросить ПИН-код, который должен восстановить функциональные возможности ПИН-кода.
Отключение и включение ESS
Начиная с Windows 11 версии 22H2 с KB5031455 пользователи могут временно отключить ESS, если они хотели бы использовать внешнее периферийное устройство для проверки подлинности с помощью Windows Hello на своем устройстве.
Приложение "Параметры" можно использовать для отключения ESS. Выберите параметры входа в учетные>>записи запуска>или используйте следующее сочетание клавиш:
В разделе "Дополнительные параметры входа с помощью внешней камеры или средства чтения отпечатков>пальцев" есть переключатель, позволяющий включить или отключить ESS:
- Если переключатель отключен, ESS включен и вы не можете использовать внешние периферийные устройства для входа. Помните, что вы по-прежнему можете использовать внешние периферийные устройства в таких приложениях, как Teams
- Если переключатель включен, служба ESS отключена и для входа можно использовать периферийные устройства, совместимые с Windows Hello.