Windows Hello 增强型登录安全性
Windows Hello 使用户能够使用其生物特征或 PIN 进行身份验证,而无需密码。 生物识别身份验证使用面部识别或指纹以安全性、个人且方便的方式证明用户的身份。 增强型登录安全性通过利用专门的硬件和软件组件(例如基于虚拟化的安全性 (VBS) 和受信任的平台模块 2.0)来隔离和保护用户的身份验证数据并保护该数据的通信通道,从而为生物识别数据提供更高级别的安全性。
增强型登录安全性如何保护生物识别数据
人脸
启用增强型登录安全性后,人脸算法将使用 VBS 进行保护,以将其与 Windows 的其余部分隔离。 虚拟机监控程序用于指定和保护内存区域,这样只能由在 VBS 中运行的进程访问。 虚拟机监控程序允许人脸相机写入这些内存区域,提供一个独立的通道,以将人脸数据从照相机交付到人脸匹配算法。
人脸模板由受保护的人脸算法在 VBS 中生成。 不使用时,人脸模板数据使用生成的密钥进行加密,只有 VBS 可以访问,然后存储在磁盘上。
指纹
增强型登录安全性仅在具有匹配传感器功能的指纹传感器上受支持。 这种类型的传感器包括一个微处理器和内存,可用于使用硬件隔离指纹匹配和模板存储。
支持增强型登录安全性的传感器在制造期间嵌入了一个证书。 此证书可以通过在 VBS 中运行的 Windows 生物识别组件进行验证,并用于与传感器建立安全会话。 传感器和 Windows 生物识别组件使用此会话来安全地传达注册操作和匹配结果。
凭据操作
在 VBS 中运行的 Windows 生物识别组件使用 TPM 在启动期间与 VBS 共享的信息与 TPM 建立安全通道。 当匹配操作成功时,VBS 中的生物特征组件使用此通道来授权使用 Windows Hello 密钥来验证用户的身份提供者、应用程序和服务。
如何获得增强型登录安全性
能否启用取决于系统上预装的专用硬件、驱动程序和固件。 设备制造商可以在工厂配置设备期间选择在其设备上启用增强型登录安全性。
系统兼容性
启用增强型登录安全性需要兼容的硬件和软件组件:
- 出厂配置了 Windows 10 2020 年 10 月更新的设备
- 满足基于虚拟化的安全 (VBS) 的要求,包括启用 Device Guard 和受信任的平台模块 2.0
- 支持增强型登录安全性的生物识别传感器硬件
- 与增强型登录安全性兼容的生物识别传感器驱动程序
- 具有由设备制造商为随附的生物识别硬件正确配置的安全设备 (SDEV) ACPI 表的设备固件
生物识别传感器兼容性
人脸生物识别传感器
增强型登录安全性仅支持有限数量的芯片组上的某些红外摄像头。 支持的相机必须支持固件中的增强型登录安全性。 要求使用 Windows 收件箱 UVC 相机驱动程序。 要检查相机模块是否支持增强型登录安全性功能,请首先转到设备管理器并展开“通用串行总线控制器”部分。 右键单击名称中带有“可扩展主机控制器”的设备,然后选择“属性”选项以查看设备属性。 如果一个主机控制器有多个条目,请检查所有条目的属性部分。 导航到驱动程序的“详细信息”选项卡,然后从“属性”下拉菜单中选择“功能”。 其中一个设备应显示它具有“CM_DEVCAP_SECUREDEVICE”功能。
接下来,通过转到设备管理器中的“相机”部分来检查 PC 相机的属性部分。 如果一个电脑摄像头有多个条目,请检查所有条目的属性部分。 导航到驱动程序的“详细信息”选项卡,然后从“属性”下拉菜单中选择“功能”。 其中一台 PC 相机设备应具有“CM_DEVCAP_SECUREDEVICE”功能。
指纹生物识别传感器
具有增强型登录安全性功能的指纹传感器必须在芯片上匹配。 传感器在制造过程中必须将 Microsoft 颁发的证书烧录到设备中。 设备驱动程序和固件必须支持增强型登录安全性功能。 要检查指纹模块是否支持增强型登录安全性,首先打开设备管理器并展开“生物识别设备”部分。 应该有一个指纹传感器的条目。 右键单击指纹读取器条目,转到“属性”,然后转到“详细信息”。 在“属性”选项下,选择“设备实例路径”。
打开 regedit.exe 并导航到 HKLM\SYSTEM\CurrentControlSet\Enum\[DeviceInstancePath]\Device Parameters\WinBio\Configurations
,其中 DeviceInstancePath 是设备管理器中列出的路径。 选择“配置”。 应该列出一个名为“SecureFingerprint”的注册表项,其数据值为 1。 如果不存在,则该设备不具备安全功能。
配置下面还应该有两个文件夹:一个标记为“0”,一个标记为“1”。 如果只有一个文件夹而不是两个文件夹,则设备不具备安全功能。
我如何知道是否启用了增强型登录安全性
安全中心
在 Windows 安全应用程序的“设备安全”部分,如果在系统上启用了增强型登录安全性,则会有一个条目。 此条目将描述系统的硬件功能。 如果“增强型登录安全性”部分不存在,则系统上未启用该功能。
如果设备中嵌入了不支持增强型登录安全性的生物识别传感器,或者系统中没有该类型的生物识别硬件,则会通过相应传感器旁边的“由于硬件不兼容而无法使用”说明进行指示. 此消息表明硬件不符合支持增强型登录安全性所需的传感器要求。
事件查看器
枚举系统上的每个传感器时,Windows 生物识别框架会生成日志事件。 这些日志包括指示传感器是否在启用增强型登录安全性的情况下运行的信息。 生物识别事件日志可在事件查看器中找到,位置是“事件查看器”>“应用程序和服务日志”>“Microsoft”>“Windows”>“生物识别”>“操作”。
如果生物识别设备已由 Windows 生物识别框架正确加载,则会有一个 ID 为 1108 的日志事件,表示对应的传感器。 如果设备在启用增强型登录安全性的情况下运行,则传感器将在“虚拟安全模式”过程中被指定为隔离。 如果设备未使用增强型登录安全性,则将在“System”进程中被指定为隔离。
在事件 1108 中,将使用“Windows Hello 人脸软件设备 (ROOT\WINDOWSHELLOFACESOFTWAREDRIVER\0000)”来描述相机,并且将使用设备的特定模块和设备 ID 来描述指纹设备。 对于指纹设备,可以在设备管理器中的“生物识别设备 > [指纹模块] >“属性”>“详细信息”>“设备实例路径”下找到设备 ID。
应用程序兼容性
对于具有增强型登录安全性功能的相机的设备,需要安全设备 (SDEV) 表。 实现了 SDEV 表并打开 VBS 时,安全内核会解析 SDEV 表,并对访问外围组件互连 (PCI) 设备配置空间实施限制。 制定这些限制是为了防止恶意进程操纵 SDEV 表中指定的安全设备的配置空间。
尝试读取/写入 PCI 配置空间的应用程序(除非通过 Windows 明确支持的方式)在解析和强制执行 SDEV 表时会导致错误检查。
鉴于这些软件限制,设备映像中包含的所有驱动程序和软件都必须经过兼容性测试。 还应检查设备制造商通过 Windows Update、Microsoft Store 或其他可接受的渠道分发到系统的软件或驱动程序的兼容性。 如果没有进行此验证,系统上可能会出现意外行为。
不支持的方案
在 Windows 升级上启用增强型登录支持
增强型登录安全性目前仅在设备制造商配置的设备上受支持,以通过 Windows 10 2020 年 10 月更新启用该功能。 在市场上,目前不支持支持升级到此操作系统版本的硬件设备。
支持非增强型登录的传感器
启用增强型登录安全性后,只有支持增强登录安全性的生物识别传感器才能在系统上工作。 Windows 生物识别框架不一定会枚举所有无功能的传感器。
由制造商决定他们在系统中包含哪些硬件以及是否默认启用增强型登录安全性。 如果对生物识别模式被阻止有任何疑虑,请联系设备制造商寻求支持。
可插入/外设生物识别传感器
外部指纹传感器或相机模块不支持增强型登录安全性。 启用增强型登录安全性后,外部或外围生物识别传感器操作将被阻止,无论它们是否具有安全功能。 如果要使用具有增强型登录安全性的外围设备来通过 Windows Hello 登录,请参阅禁用/启用增强型登录安全性
指纹传感器触摸唤醒
触摸唤醒 (WoT) 描述了如下功能:让指纹传感器唤醒系统并使用户登录,不需要用户触摸传感器两次。 支持新式待机的设备会启用触摸唤醒传感器行为。
从 Windows 11 SE 版本 22H2 和包含 KB5027303 的 Windows 11 Pro Edu/Education 版本 22H2 开始,WoT 可用于 ESS 设备。
疑难解答
人脸/指纹验证不起作用
如果生物特征验证不起作用,请首先检查 VBS 是否正在运行以及安全组件是否已启动。 要检查 VBS 是否正在运行,请打开系统信息并在“系统摘要”下检查;应该有一个“基于虚拟化的安全”的条目列为“正在运行”。
还要检查生物识别隔离 trust-let 是否正在运行。 这些应在“系统信息”>“软件环境”>“正在运行的任务”下列为“bioiso.exe”和“ngciso.exe”。 如果这些检查中的任何一个失败,系统可能不满足增强型登录安全性的要求。 尝试使用下面的 (3) 重新启动生物识别服务。
要检查安全连接是否成功,请参阅“我如何知道是否启用了增强型登录安全性?” 部分。
- 在“登录选项”下面的“设置”中,删除无效的注册并重新注册;如果 Windows Hello 人脸/指纹条目不可用,条件为“我们找不到与 Windows Hello Face 兼容的指纹扫描仪”,或类似情况,请跳至 (2) 检查身份验证是否正常工作。
- 在设备管理器中,传感器应列在生物识别设备下。 右键单击设备名称,选择“卸载设备”,重新安装驱动程序。 重启设备,此时 Windows 会尝试重新安装驱动程序。 检查身份验证是否有效。
- 要重新启动生物识别服务,首先通过转到“登录选项”并删除 PIN,从而从系统中删除 PIN。 以管理员身份打开命令提示符并输入“net stop wbiosrvc”,然后输入“net start wbiosrvc”。 检查指纹认证是否有效。
- 如果生物识别仍然无法在设备上运行,请使用反馈中心提交反馈项目。
PIN 不工作
可以在“登录”选项下的锁定屏幕中重置 PIN。 为此,请删除 PIN 并再次添加。 这将提示重置 PIN,这应会让 PIN 功能恢复。
禁用/启用增强的登录安全性
从具有 KB5031455 的 Windows 11 版本 22H2 开始,如果用户想要在设备上使用外部外围设备向 Windows Hello 进行身份验证,可以暂时关闭 ESS。
可使用“设置”应用来禁用 ESS。 选择“启动”>“设置”>“帐户”>“登录选项”,或者使用以下快捷方式:
在“其他设置”>“使用外部相机或指纹读取器登录”下,有一个开关用来启用或禁用 ESS:
- 切换到“关”时,将启用 ESS,此时你无法使用外部外围设备登录。 请记住,你仍然可在 Teams 等应用中使用外部外围设备
- 切换到“开”时,ESS 会被禁用,此时你可使用与 Windows Hello 兼容的外围设备登录