Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Windows Hello möjliggör biometrisk eller PIN-autentisering, vilket eliminerar behovet av ett lösenord. Biometrisk autentisering använder ansiktsigenkänning eller fingeravtryck för att bevisa en användares identitet på ett sätt som är säkert, personligt och bekvämt.
Förbättrad inloggningssäkerhet (ESS) ger ytterligare en säkerhetsnivå för biometriska data med hjälp av specialiserade maskinvaru- och programvarukomponenter. Virtualiseringsbaserad säkerhet (VBS) och Trusted Platform Module 2.0 används för att isolera och skydda användarens autentiseringsdata och för att skydda datakommunikationskanalen.
Hur skyddar förbättrad inloggningssäkerhet biometriska data
ESS och ansiktsigenkänning
När ESS är aktiverat skyddas ansiktsalgoritmen med hjälp av VBS för att isolera den från resten av Windows. Hypervisor-programmet används för att ange och skydda minnesregioner, så att de bara kan nås av processer som körs i VBS. Med hypervisor-programmet kan ansiktskameran skriva till dessa minnesregioner och tillhandahålla en isolerad väg för att leverera ansiktsdata från kameran till ansiktsmatchningsalgoritmen.
Ansiktsmallar genereras i VBS av den skyddade ansiktsalgoritmen. När de inte används krypteras ansiktsmallsdata med nycklar som genereras och endast är tillgängliga för VBS och lagras sedan på disken.
ESS- och fingeravtrycksigenkänning
ESS stöds endast på fingeravtryckssensorer med matchning av sensorfunktioner. Den här typen av sensor innehåller en mikroprocessor och minne som kan användas för att isolera fingeravtrycksmatchning och malllagring med hjälp av maskinvara.
Sensorer som stöder ESS har ett certifikat inbäddat under tillverkningen. Certifikatet kan verifieras av Windows biometriska komponenter som körs i VBS och används för att upprätta en säker session med sensorn. Sensor- och Windows-biometriska komponenter använder sessionen för att kommunicera registreringsåtgärder och matcha resultaten på ett säkert sätt.
Åtgärder för autentiseringsuppgifter
Windows biometriska komponenter som körs i VBS upprättar en säker kanal till TPM med hjälp av information som TPM delar med VBS vid starten. När en matchande åtgärd lyckas använder de biometriska komponenterna i VBS den säkra kanalen för att auktorisera användningen av Windows Hello-nycklar för att autentisera användaren med deras identitetsprovider, program och tjänster.
Aktivera förbättrad inloggningssäkerhet
Aktiveringen av ESS är beroende av specialiserad maskinvara, drivrutiner och inbyggd programvara som är förinstallerad i systemet. Enhetstillverkare kan välja att aktivera förbättrad inloggningssäkerhet under enhetskonfigurationen i fabriken.
Anmärkning
Alla Copilot+-datorer har ESS aktiverat som standard. Mer information finns i Maskinvarukrav för Copilot+ PC.
Systemkrav
Kompatibla maskinvaru- och programvarukomponenter krävs för att aktivera förbättrad inloggningssäkerhet:
- Uppfylla kraven för Virtualization-Based Security (VBS), inklusive Device Guard Enablement och Trusted Platform Module 2.0
- Biometrisk sensormaskinvara som stöder ESS
- Biometriska sensordrivrutiner som är kompatibla med ESS
- Enhetens inbyggda programvara med en ACPI-tabell (Secure Devices) (SDEV) som konfigurerats av enhetstillverkaren för den medföljande biometriska maskinvaran
Biometrisk sensorkompatibilitet
Sensor för ansiktsbiometri
ESS är utformat för att fungera med ett urval av IR-kameror, och det kräver specifika kretsuppsättningar. Kameror som stöder ESS måste ha den här funktionen inbyggd i sin inbyggda programvara, och det är nödvändigt att använda den standarddrivrutin för Windows UVC-kamera som medföljer operativsystemet.
Om du vill kontrollera om kameramodulen är ESS-kompatibel går du först till Enhetshanteraren och expanderar avsnittet Universal Serial Bus-styrenheter . Högerklicka på den enhet som har eXtensible Host Controller i namnet och välj alternativet Egenskaper för att visa enhetsegenskaperna. Om det finns flera poster för en värdkontrollant, kontrollera avsnittet med egenskaper för var och en. Gå till fliken Information i drivrutinen och välj Funktioner i den nedrullningsbara menyn Egenskap . En av enheterna ska visa funktionen CM_DEVCAP_SECUREDEVICE .
Kontrollera sedan egenskapsavsnitten i PC-kamerorna genom att gå till avsnittet Kameror i Enhetshanteraren. Om det finns flera poster för PC-kameror kontrollerar du avsnittet egenskaper för dem alla. Gå till fliken Information för drivrutinerna och välj Funktioner i den nedrullningsbara menyn Egenskap . En av pc-kameraenheterna ska ha funktionen CM_DEVCAP_SECUREDEVICE .
Biometrisk sensor med fingeravtryck
ESS-kompatibla fingeravtryckssensorer måste matchas direkt på chipet.
- Sensorn måste ha ett Microsoft-utfärdat certifikat som bränts till enheten under tillverkningen
- Enhetsdrivrutinen och den inbyggda programvaran måste ha stöd för funktioner för förbättrad inloggningssäkerhet
Om du vill kontrollera om en fingeravtrycksmodul är ESS-kompatibel går du först till Enhetshanteraren och expanderar avsnittet Biometriska enheter . Det bör finnas en post för en fingeravtryckssensor. Högerklicka på enheten för fingeravtrycksläsare och gå till Egenskaper>Detaljer. Under alternativet Egenskap väljer du Enhetsinstanssökväg.
Öppna regedit.exe och navigera till den sökväg där HKLM\SYSTEM\CurrentControlSet\Enum\[DeviceInstancePath]\Device Parameters\WinBio\Configurations anges i Enhetshanteraren vid DeviceInstancePath. Välj Konfigurationer. Det bör finnas en registernyckel med namnet SecureFingerprint med datavärdet 1. Om den inte finns är enheten inte säker.
Konfigurationer bör också ha två mappar under sig: en märkt 0 och en märkt 1. Om det bara finns en mapp och inte två är enheten inte säker.
Kontrollera om ESS är aktiverat
Säkerhetscenter
Om ESS är aktiverat har avsnittet Enhetssäkerhet i Windows-säkerhetsprogrammet en post för Förbättrad inloggningssäkerhet. Posten beskriver systemets maskinvarukapacitet. Om avsnittet Förbättrad inloggningssäkerhet inte finns är funktionen inte aktiverad i systemet.
Om det finns en biometrisk sensor inbäddad i enheten som inte stöder ESS, eller om den typen av biometrisk maskinvara saknas i systemet, indikeras den av Den är inte tillgänglig på grund av en inkompatibel maskinvarubeskrivning bredvid motsvarande sensor. Det här meddelandet anger att maskinvaran inte följer de sensorkrav som krävs för att stödja ESS.
Händelsevisaren
Windows biometriska ramverk genererar logghändelser när varje sensor i ett system räknas upp. Dessa loggar innehåller information som anger om en sensor fungerar med förbättrad inloggningssäkerhet aktiverad. Biometriska händelseloggar finns i Event Viewer under Event Viewer>program- och tjänstloggar>Microsoft>Windows>Biometrics>Operational.
Om den biometriska enheten läses in korrekt av Windows biometriska ramverk finns det ett logghändelse-ID 1108 för motsvarande sensor. Om enheten körs med ESS aktiverat anges sensorn som isolerad i en process för virtuellt säkert läge . Om enheten inte använder ESS anges den som isolerad i en systemprocess .
Vid händelse 1108, beskrivs kameror med Windows Hello Face Software Device (ROOT\WINDOWSHELLOFACESOFTWAREDRIVER\0000) och fingeravtrycksenheter beskrivs med hjälp av enhetens specifika modul och enhets-ID. För fingeravtrycksenheter visas enhets-ID:t i Enhetshanteraren under Biometriska enheter>[Fingeravtrycksmodul]>Egenskaper>Information om>enhetsinstanssökväg.
Programkompatibilitet
För enheter med ESS-kompatibla kameror krävs en SDEV-tabell (Secure Devices). När en SDEV-tabell implementeras och VBS aktiveras parsas SDEV-tabellen av den säkra kerneln och begränsningar tillämpas vid åtkomst till PCI-enhetskonfigurationsutrymme (Peripheral Component Interconnect). Dessa begränsningar tillämpas för att förhindra att skadliga processer manipulerar konfigurationsutrymmet för skyddade enheter som anges i SDEV-tabellen.
Program som försöker läsa/skriva PCI-konfigurationsutrymmet, förutom på sätt som uttryckligen stöds av Windows, resulterar i buggkontroller när SDEV-tabellen parsas och framtvingas.
Alla drivrutiner och programvara som ingår i enhetsbilden måste testas för kompatibilitet, med tanke på dessa programvarubegränsningar. Programvara eller drivrutiner som distribueras till systemet via Windows Update, Microsoft Store eller andra godkända kanaler av enhetstillverkaren bör också kontrolleras för kompatibilitet. Utan den här verifieringen kan det finnas ett oväntat beteende i systemet.
Scenarier som inte stöds
Sensorer som inte stöds av ESS
När ESS är aktiverat fungerar endast biometriska sensorer som stöder ESS i systemet. Alla icke-kapabla sensorer listas inte av Windows biometriska ramverket.
Det är tillverkarens beslut om vilken maskinvara de innehåller i systemet och om Förbättrad inloggningssäkerhet är aktiverad som standard. Om det finns problem med att biometriska metoder blockeras kontaktar du enhetstillverkaren för support.
Biometriska sensorer som kan anslutas/kringutrustning
ESS stöds inte för externa fingeravtryckssensorer eller kameramoduler. När ESS är aktiverat blockeras externa eller perifera biometriska sensoråtgärder, oavsett om de är säkra eller inte. Om du vill använda en kringutrustning med ESS för att logga in med Windows Hello kan du läsa Inaktivera/aktivera ESS
Anmärkning
Windows-stöd för fingeravtryckssensorer för utökad inloggningssäkerhet (ESS) kommer i slutet av 2025! Vissa Windows Hello-kringutrustningsenheter kanske redan är tillgängliga på marknaden. Se här för vägledning.
Väckning vid beröring för fingeravtryckssensorer
Wake on Touch (WoT) är möjligheten för fingeravtryckssensorn att väcka systemet och logga in användaren utan att användaren behöver röra sensorn två gånger. Enheter som stöder modern vänteläge aktiverar Wake on Touch-sensorbeteende.
Från och med Windows 11 version 22H2 med KB5027303 är WoT tillgängligt för ESS-enheter.
Felsökning
Ansikts-/fingeravtrycksautentisering fungerar inte
Om biometrisk autentisering inte fungerar kontrollerar du först att VBS körs och att den säkra komponenten har startats. Om du vill kontrollera om VBS körs öppnar du System Information>System-sammanfattning. Det bör finnas en post för Virtualiseringsbaserad säkerhet som Körs.
Kontrollera också att förtroenden för biometrisk isolering körs. Dessa bör visas under System Information>Software Environment>Running Tasks as bioiso.exe och ngciso.exe. Om någon av dessa kontroller misslyckas kanske systemet inte uppfyller kraven för förbättrad inloggningssäkerhet. Försök att starta om den biometriska tjänsten med steg 3.
- I Inställningar>Inloggningsalternativ tar du bort den icke-fungerande registreringen och registrerar om
- Om posten för Windows Hello Face/Fingerprint inte är tillgänglig med villkoret Vi kunde inte hitta en fingeravtrycksskanner som är kompatibel med Windows Hello Face, eller något liknande, går du vidare till nästa steg
- I enhetshanteraren bör sensorn anges under Biometriska enheter. Installera om drivrutinen genom att högerklicka på enhetens namn och välja Avinstallera enhet. Starta om enheten, då Windows försöker installera om drivrutinen. Kontrollera om autentiseringen fungerar
- Om du vill starta om den biometriska tjänsten tar du först bort PIN-koden från systemet genom att gå till Inloggningsalternativ och ta bort PIN-koden. Öppna en kommandotolk som administratör och ange
net stop wbiosrvc && net start wbiosrvc. Kontrollera om fingeravtrycksautentisering fungerar - Om biometri fortfarande inte fungerar på enheten kan du skicka in ett feedbackobjekt med feedbackhubben
Om du vill kontrollera att den säkra anslutningen lyckades läser du avsnittet Kontrollera om ESS är aktiverat .
PIN-koden fungerar inte
PIN-koden kan återställas på låsskärmen under Inloggningsalternativ. Om du vill göra det tar du bort PIN-koden och lägger till den igen. Detta uppmanar till PIN-återställning, vilket bör återställa PIN-funktionen.
Inaktivera/Aktivera ESS
Från och med Windows 11 version 22H2 med KB5031455 kan användarna tillfälligt stänga av ESS om de vill använda en extern kringutrustning för att autentisera med Windows Hello på sin enhet.
Du kan använda appen Inställningar för att inaktivera ESS. Välj >>Inloggningsalternativ för> eller använd följande genväg:
Under Ytterligare inställningar>Logga in med en extern kamera eller fingeravtrycksläsare finns det en växlingsknapp som gör att du kan aktivera eller inaktivera ESS:
- När växlingsknappen är Av är ESS aktiverat och du kan inte använda extern kringutrustning för att logga in. Kom ihåg att du fortfarande kan använda extern kringutrustning i appar som Teams
- När växlingsknappen är På inaktiveras ESS och du kan använda Windows Hello-kompatibel kringutrustning för att logga in