Windows Hello 增强型登录安全性

2024-06-24
适用于: ✅ Windows 11, ✅ Windows 10

Windows Hello 支持生物特征或 PIN 身份验证，而无需密码。生物识别身份验证使用面部识别或指纹以安全性、个人且方便的方式证明用户的身份。

增强型登录安全性 (ESS) 通过使用专用硬件和软件组件为生物识别数据提供了额外的安全级别。基于虚拟化的安全性 (VBS) 和受信任的平台模块 2.0 用于隔离和保护用户的身份验证数据，以及保护数据通信通道。

ESS 和面部识别

启用 ESS 后，人脸算法将使用 VBS 进行保护，以将其与 Windows 的其余部分隔离。虚拟机监控程序用于指定和保护内存区域，这样只能由在 VBS 中运行的进程访问。虚拟机监控程序允许人脸相机写入这些内存区域，提供一个独立的通道，以将人脸数据从照相机交付到人脸匹配算法。

人脸模板由受保护的人脸算法在 VBS 中生成。不使用时，人脸模板数据使用生成的密钥进行加密，只有 VBS 可以访问，然后存储在磁盘上。

ESS 和指纹识别

ESS 仅在具有匹配传感器功能的指纹传感器上受支持。这种类型的传感器包括一个微处理器和内存，可用于使用硬件隔离指纹匹配和模板存储。

支持 ESS 的传感器在制造过程中嵌入了证书。此证书可以通过在 VBS 中运行的 Windows 生物识别组件进行验证，并用于与传感器建立安全会话。传感器和 Windows 生物识别组件使用此会话来安全地传达注册操作和匹配结果。

凭据操作

在 VBS 中运行的 Windows 生物识别组件使用 TPM 在启动期间与 VBS 共享的信息与 TPM 建立安全通道。当匹配操作成功时，VBS 中的生物特征组件使用此安全通道来授权使用 Windows Hello 密钥来验证用户的身份提供者、应用程序和服务。

能否启用 ESS 取决于系统上预装的专用硬件、驱动程序和固件。设备制造商可以在工厂配置设备期间选择启用增强型登录安全性。

注意

默认情况下，所有 Copilot+ PC 都已启用 ESS。有关详细信息，请参阅 Copilot+ PC 硬件要求。

系统要求

启用增强型登录安全性需要兼容的硬件和软件组件：

满足基于虚拟化的安全 (VBS) 的要求，包括启用 Device Guard 和受信任的平台模块 2.0
支持 ESS 的生物识别传感器硬件
与 ESS 兼容的生物识别传感器驱动程序
具有由设备制造商为随附的生物识别硬件配置的安全设备 (SDEV) ACPI 表的设备固件

生物识别传感器兼容性

人脸生物识别传感器

ESS 旨在与一系列精选的 IR 相机配合使用，并且需要特定的芯片集。支持 ESS 的相机必须在其固件中内置此功能，并且有必要使用操作系统附带的标准 Windows UVC 相机驱动程序。

要检查相机模块是否支持 ESS 功能，请首先转到设备管理器，并展开通用串行总线控制器部分。右键单击名称中带有可扩展主机控制器的设备，然后选择属性选项以查看设备属性。如果一个主机控制器有多个条目，请检查所有条目的属性部分。导航到驱动程序的详细信息选项卡，然后从属性下拉菜单中选择功能。其中一台设备应显示 CM_DEVCAP_SECUREDEVICE 功能。

面部生物识别传感器功能

接下来，通过转到设备管理器中的相机部分来检查 PC 相机的属性部分。如果一个电脑摄像头有多个条目，请检查所有条目的属性部分。导航到驱动程序的详细信息选项卡，然后从属性下拉菜单中选择功能。其中一台 PC 相机设备应具有 CM_DEVCAP_SECUREDEVICE 功能。

面部生物特征传感器摄像头属性

指纹生物识别传感器

支持 ESS 功能的指纹传感器必须在芯片上匹配：

传感器在制造过程中必须将 Microsoft 颁发的证书烧录到设备中。
设备驱动程序和固件必须支持增强型登录安全性功能

要检查指纹模块是否支持 ESS，请先转到设备管理器，并展开生物识别设备部分。应该有一个指纹传感器的条目。右键单击指纹读取器条目，转到属性>详细信息。在属性选项下，选择设备实例路径。

启用指纹的增强型登录安全性

打开 regedit.exe 并导航到 HKLM\SYSTEM\CurrentControlSet\Enum\[DeviceInstancePath]\Device Parameters\WinBio\Configurations，其中 DeviceInstancePath 是设备管理器中列出的路径。选择“配置”。应该列出一个名为 SecureFingerprint 的注册表项，其数据值为 1。如果不存在，则该设备不具备安全功能。

配置下面还应该有两个文件夹：一个标记为 0，一个标记为 1。如果只有一个文件夹而不是两个文件夹，则设备不具备安全功能。

增强指纹登录安全配置

若要验证 ESS 是否已启用，请执行以下操作：

安全中心

如果启用了 ESS，则 Windows 安全中心应用程序的设备安全部分具有“增强型登录安全性”条目。此条目描述系统的硬件功能。如果“增强型登录安全性”部分不存在，则系统上未启用该功能。

如果设备中嵌入了不支持 ESS 的生物识别传感器，或者系统中没有该类型的生物识别硬件，则会通过相应传感器旁边的由于硬件不兼容而无法使用说明进行指示。此消息表明硬件不符合支持 ESS 所需的传感器要求。

事件查看器

枚举系统上的每个传感器时，Windows 生物识别框架会生成日志事件。这些日志包括指示传感器是否在启用增强型登录安全性的情况下运行的信息。生物识别事件日志可在事件查看器中找到，位置是事件查看器>应用程序和服务日志>Microsoft>Windows>生物识别>操作。

如果生物识别设备已由 Windows 生物识别框架正确加载，则会有一个 ID 为 1108 的日志事件，表示对应的传感器。如果设备在启用 ESS 的情况下运行，则传感器在虚拟安全模式进程中被指定为隔离。如果设备未使用 ESS，则会在系统进程中将其指定为隔离。

OperationalEventViewer

在事件 1108 中，将使用 Windows Hello 人脸软件设备 (ROOT\WINDOWSHELLOFACESOFTWAREDRIVER\0000) 来描述相机，并且将使用设备的特定模块和设备 ID 来描述指纹设备。对于指纹设备，可以在设备管理器中的生物识别设备 > [指纹模块] >属性>详细信息>设备实例路径下找到设备 ID。

应用程序兼容性

对于具有支持 ESS 功能的相机的设备，需要安全设备 (SDEV) 表。实现了 SDEV 表并打开 VBS 时，安全内核会解析 SDEV 表，并对访问外围组件互连 (PCI) 设备配置空间实施限制。制定这些限制是为了防止恶意进程操纵 SDEV 表中指定的安全设备的配置空间。

尝试读取/写入 PCI 配置空间的应用程序（除非通过 Windows 明确支持的方式）在解析和强制执行 SDEV 表时会导致错误检查。

鉴于这些软件限制，设备映像中包含的所有驱动程序和软件都必须经过兼容性测试。还应检查设备制造商通过 Windows Update、Microsoft Store 或其他可接受的渠道分发到系统的软件或驱动程序的兼容性。如果没有进行此验证，系统上可能会出现意外行为。

不支持的方案

不支持 ESS 的传感器

启用 ESS 后，只有支持 ESS 的生物识别传感器才能在系统上工作。 Windows 生物识别框架不会枚举所有不支持该功能的传感器。

由制造商决定他们在系统中包含哪些硬件以及是否默认启用增强型登录安全性。如果对生物识别模式被阻止有任何疑虑，请联系设备制造商寻求支持。

可插入/外设生物识别传感器

外部指纹传感器或相机模块不支持 ESS。启用 ESS 后，外部或外围生物识别传感器操作将被阻止，无论它们是否具有安全功能。如果要使用带 ESS 的外围设备通过 Windows Hello 登录，请参阅禁用/启用 ESS

注意

Windows 对外围增强登录安全性（ESS）指纹传感器的支持将于 2025 年底推出！某些 Windows Hello 外围设备可能已在市场中提供。有关指南，请参阅此处。

指纹传感器触摸唤醒

触控唤醒 (WoT) 是一项功能，让指纹传感器唤醒系统并使用户登录，不需要用户触摸传感器两次。支持新式待机的设备会启用触摸唤醒传感器行为。

从带有 KB5027303 的 Windows 11 版本 22H2 开始，WoT 适用于 ESS 设备。

故障排除

人脸/指纹身份验证不起作用

如果生物识别身份验证不起作用，请首先检查 VBS 是否正在运行以及安全组件是否已启动。若要检查 VBS 是否正在运行，请打开系统信息>系统摘要。 基于虚拟化的安全性应该有一个条目列为正在运行。

生物识别认证故障排除

还要检查生物识别隔离 trust-let 是否正在运行。这些应列在系统信息>软件环境>正在运行的任务下，分别为 bioiso.exe 和 ngciso.exe。如果这些检查中的任何一个失败，系统可能不满足增强型登录安全性的要求。尝试使用步骤 3 重新启动生物识别服务。

在设置>登录选项中，删除无效注册并重新注册。
1. 如果在我们找不到与 Windows Hello Face 兼容的指纹扫描仪条件或类似情况下，Windows Hello 人脸/指纹条目不可用，请继续下一步
在设备管理器中，传感器应列在生物识别设备下。右键单击设备名称，选择卸载设备，重新安装驱动程序。重启设备，此时 Windows 会尝试重新安装驱动程序。检查身份验证是否有效
要重新启动生物识别服务，首先通过转到登录选项并删除 PIN，从而从系统中删除 PIN。以管理员身份打开命令提示符，并输入 net stop wbiosrvc && net start wbiosrvc。检查指纹身份验证是否有效
如果生物识别仍然无法在设备上运行，请使用反馈中心提交反馈项目

若要检查安全连接是否成功，请参阅验证是否已启用 ESS 部分。

PIN 不起作用

可以在“登录”选项下的锁定屏幕中重置 PIN。为此，请删除 PIN 并再次添加。这将提示重置 PIN，这应会让 PIN 功能恢复。

禁用/启用 ESS

从具有 KB5031455 的 Windows 11 版本 22H2 开始，如果用户想要在设备上使用外部外围设备向 Windows Hello 进行身份验证，可以暂时关闭 ESS。

可使用“设置”应用来禁用 ESS。选择“启动”“设置”>“帐户”“登录选项”，或者使用以下快捷方式：>>

登录选项

在“其他设置”“使用外部相机或指纹读取器登录”下，有一个开关用来启用或禁用 ESS：>

切换到“关”时，将启用 ESS，此时你无法使用外部外围设备登录。请记住，你仍然可在 Teams 等应用中使用外部外围设备
切换到“开”时，ESS 会被禁用，此时你可使用与 Windows Hello 兼容的外围设备登录

通过