Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Windows Hello включает биометрические данные или проверку подлинности ПИН-кода, устраняя необходимость пароля. Биометрическая проверка подлинности использует распознавание лиц или отпечатки пальцев, чтобы подтвердить личность пользователя таким образом, чтобы обеспечить безопасность, личную и удобную проверку подлинности.
Расширенная безопасность входа (ESS) обеспечивает дополнительный уровень безопасности биометрических данных с использованием специализированных аппаратных и программных компонентов. Безопасность на основе виртуализации (VBS) и доверенный платформенный модуль 2.0 используются для изоляции и защиты данных проверки подлинности пользователя, а также для защиты канала обмена данными.
Как расширенная безопасность входа защищает биометрические данные
ESS и распознавание лиц
Если ESS включен, алгоритм распознавания лиц защищен с помощью VBS для изоляции его от остальной части Windows. Гипервизор используется для указания и защиты областей памяти, чтобы к ней могли обращаться только процессы, выполняемые в VBS. Гипервизор позволяет камере лица записывать данные лиц в эти области памяти, предоставляя изолированный путь для доставки данных лиц от камеры к алгоритму сопоставления лиц.
Шаблоны лиц создаются в VBS защищённым алгоритмом для распознавания лиц. Если они не используются, данные шаблона лица шифруются с помощью ключей, созданных и доступны только для VBS, а затем хранятся на диске.
ESS и распознавание отпечатков пальцев
ESS поддерживается только на дактилоскопических датчиках с функцией сопоставления непосредственно на датчике. Этот тип датчика включает микропроцессор и память, которые можно использовать для выполнения сопоставления отпечатков пальцев и хранения шаблонов с помощью аппаратных средств.
Датчики, поддерживающие ESS, имеют сертификат, внедренный во время производства. Сертификат можно проверить биометрическими компонентами Windows, работающими в VBS, и используется для установления безопасного сеанса с датчиком. Датчик и биометрические компоненты Windows используют сеанс для безопасного взаимодействия при выполнении процедур регистрации и сопоставления результатов.
Операции с учетными данными
Биометрические компоненты Windows, работающие в VBS, устанавливают безопасный канал к доверенному платформенному модулю (TPM), используя информацию, которой TPM делится с VBS во время загрузки. Если операция сопоставления является успешной, биометрические компоненты в VBS используют безопасный канал для авторизации использования ключей Windows Hello для проверки подлинности пользователя с помощью поставщика удостоверений, приложений и служб.
Включение расширенной безопасности входа
Включение ESS зависит от специализированного оборудования, драйверов и встроенного ПО, предварительно установленных в системе. Производители устройств могут включить расширенную безопасность входа во время настройки устройства в фабрике.
Пользователи также могут настроить ESS на своих устройствах с помощью параметров. Для регистрации ESS требуется совместимый датчик.
Примечание.
Все компьютеры Copilot+ имеют включённую ESS по умолчанию. Некоторые компьютеры Copilot+ могут не иметь встроенных датчиков ESS. Дополнительные сведения см. в статье о требованиях к оборудованию Copilot+ PC.
Требования к системе
Совместимые аппаратные и программные компоненты необходимы для включения расширенной безопасности входа.
- Требования к безопасности на основе виртуализации (VBS), включая активацию Device Guard и Модуля доверенной платформы 2.0
- Оборудование биометрического датчика, поддерживающее ESS
- Биометрические драйверы датчиков, совместимые с ESS
- Прошивка устройства с таблицей ACPI для защищенных устройств (SDEV), настраивается производителем устройства для включенного биометрического оборудования (только ESS Face).
Совместимость биометрических датчиков
Биометрический датчик лица
ESS предназначен для работы с выбором диапазона камер IR, и для него требуются определенные наборы микросхем. Камеры, поддерживающие ESS, должны иметь эту функцию, встроенную в встроенное ПО, и использовать стандартный драйвер камеры Windows UVC, который поставляется с операционной системой.
Чтобы проверить, поддерживает ли модуль камеры ESS, сначала перейдите к Диспетчеру устройств и разверните раздел Контроллеры универсальной последовательной шины. Щелкните правой кнопкой мыши на устройстве с eXtensible Host Controller в названии и выберите пункт "Свойства", чтобы просмотреть его параметры. Если для контроллера узла есть несколько записей, проверьте раздел свойств для всех. Перейдите на вкладку "Сведения " драйвера и выберите " Возможности" в раскрывающемся меню "Свойство ". Одно из устройств должно обладать CM_DEVCAP_SECUREDEVICE возможностью.
Затем проверьте разделы свойств камер пк, перейдя в раздел "Камеры" в диспетчер устройств. Если для камер пк есть несколько записей, проверьте раздел свойств для всех. Перейдите на вкладку "Сведения" драйверов и выберите " Возможности" в раскрывающемся меню "Свойство ". У одного из устройств камеры ПК должна быть CM_DEVCAP_SECUREDEVICE функция.
Биометрический датчик отпечатков пальцев
Датчики отпечатков пальцев с поддержкой ESS должны быть интегрированы в микросхему.
- Датчик должен иметь выданный корпорацией Майкрософт сертификат, интегрированный в устройство на этапе производства.
- Драйвер устройства и встроенное ПО должны поддерживать расширенные функции безопасности входа
Чтобы проверить, поддерживает ли модуль отпечатков пальцев ESS, сначала перейдите к диспетчер устройств и разверните раздел биометрических устройств. Для датчика отпечатков пальцев должен быть вход. Щелкните правой кнопкой мыши запись средства чтения отпечатков пальцев и перейдите в раздел "Сведения о свойствах>". В параметре "Свойство" выберите Путь к экземпляру устройства.
Откройте regedit.exe и перейдите к HKLM\SYSTEM\CurrentControlSet\Enum[DeviceInstancePath]\Device Parameters\WinBio\Configurations, где DeviceInstancePath — это путь, указанный в Диспетчере устройств. Выберите конфигурации. Должен быть указан раздел реестра с именем SecureFingerprint и значением данных 1. Если такая функция отсутствует, устройство не поддерживает безопасный режим.
Под конфигурацией также должны быть две папки: одна с названием 0 и одна с названием 1. Если есть только одна папка, а не две, устройство не поддерживает функции безопасности.
Подключаемый или периферийный сканер отпечатков пальцев
Поддержка сканеров отпечатков пальцев ESS для периферийных устройств предоставляется на совместимом оборудовании и поддерживаемых ОС. При появлении поддерживаемого сканера отпечатков пальцев ESS на компьютере Windows под управлением поддерживаемой сборки:
Перейдите к > учетным записям > параметрам входа > дополнительным настройкам
Если ПИН-коду требуется обновление, сначала появится запрос на обновление ПИН-кода в разделе "Расширенная безопасность входа".
В противном случае проверьте, находится ли устройство в хорошем состоянии ESS, подтвердив, что параметр "Расширенная безопасность входа" отображает статус "Настройка ожидается".
Примечание.
Если устройство еще не в состоянии готовности ESS, вам будет предложено обновить безопасность входа до ESS. При обновлении существующие регистрации, отличные от ESS, и связанные учетные данные, такие как ключи доступа, будут удалены, чтобы обеспечить безопасную конфигурацию. Их можно переназначить после настройки.
Зарегистрируйте отпечаток пальца с помощью сканера отпечатков пальцев ESS, и ESS будет активирована.
Примечание.
ESS — это системный параметр. На устройствах с несколькими пользователями применяется самый низкий уровень безопасности Windows Hello. Администраторы могут обновить устройство до ESS, но все пользователи должны повторно зарегистрировать после следующего входа.
Проверка включения ESS
Параметры Windows
Если ESS включена, на странице параметров входа в Windows будет присутствовать запись о расширенной безопасности входа, отображаемая как "Вкл.".
Просмотр событий
Биометрические платформы Windows создают журналы событий при перечислении каждого датчика в системе. Эти журналы содержат сведения о том, работает ли датчик с поддержкой включенной расширенной безопасности входа. Журналы биометрических событий находятся в разделе "Просмотр событий" под Просмотр событий>Журналы приложений и служб>Microsoft>Windows>Biometrics>Operational.
Если биометрическое устройство правильно установлено биометрической платформой Windows, для соответствующего датчика существует идентификатор события журнала 1108. Если устройство работает с поддержкой ESS, датчик указывается как изолированный в процессе Виртуального защищённого режима. Если устройство не использует ESS, оно указано как изолированное в системном процессе.
В этом случае 1108, камеры описываются с помощью устройства Windows Hello Face Software (ROOT\WINDOWSHELLOFACESOFTWAREDRIVER\0000), а устройства отпечатков пальцев — с помощью конкретного модуля и идентификатора устройства. Для устройств отпечатков пальцев идентификатор устройства указан в диспетчере устройств в разделе Биометрические устройства>[Модуль отпечатков пальцев]>Свойства>Сведения>Путь к экземпляру устройства.
Совместимость приложений
Для устройств с камерами с поддержкой ESS требуется таблица Secure Devices (SDEV). При реализации таблицы SDEV и включении VBS, таблица SDEV анализируется безопасным ядром, и накладываются ограничения на доступ к пространству конфигурации устройств Peripheral Component Interconnect (PCI). Эти ограничения принимаются, чтобы предотвратить управление вредоносными процессами пространства конфигурации защищенных устройств, указанных в таблице SDEV.
Приложения, которые пытаются считывать и записывать пространство конфигурации PCI, за исключением средств, которые явно поддерживаются Windows, приводят к ошибкам при анализе и применении таблицы SDEV.
Все драйверы и программное обеспечение, включенные в образ устройства, должны быть проверены на совместимость, учитывая эти ограничения программного обеспечения. Программное обеспечение или драйверы, распространяемые в систему через Центр обновления Windows, Microsoft Store или другие приемлемые каналы производителем устройства, также должны проверяться на совместимость. Без этой проверки может возникнуть непредвиденное поведение в системе.
Неподдерживаемые сценарии
Несовместимые с ESS датчики
Если ESS включена, только поддерживающие ESS биометрические датчики работают в системе. Все неспособные датчики не будут перечисляться биометрическими платформами Windows.
Если существуют какие-либо проблемы, связанные с блокировкой биометрических модальности, обратитесь к изготовителю устройства за поддержкой.
Модули подключаемой или периферийной камеры
ESS не поддерживается для модулей внешней камеры. При включении ESS операции биометрических датчиков, не относящиеся к ESS, блокируются. Если вы хотите использовать периферийное устройство, отличное от ESS, для входа с помощью Windows Hello, см. статью "Отключить или включить ESS"
Пробуждение касанием для сенсорных датчиков отпечатков пальцев
Пробуждение по касанию (WoT) — это возможность пробуждения системы с помощью сенсора отпечатков пальцев и входа пользователя без необходимости повторного касания сенсора. Устройства, поддерживающие Modern Standby, могут активировать функцию пробуждения при помощи сенсора.
Начиная с Windows 11 версии 22H2 с KB5027303, WoT доступен для устройств ESS.
Устранение неполадок
Аутентификация по лицу/отпечатку пальца не функционирует.
Если биометрическая проверка подлинности не работает, сначала проверьте, запущен ли VBS и запущен ли безопасный компонент. Чтобы проверить, запущен ли VBS, откройте Сведения о системе>Сводка системы. Должна быть запись для Безопасности на основе виртуализации, указанная как Запущено.
Кроме того, убедитесь, что доверенные модули биометрической изоляции работают. Они должны быть перечислены в разделе Системная информация>Программная среда>Запущенные задачи как bioiso.exe и ngciso.exe. В случае сбоя любой из этих проверок система может не соответствовать требованиям для расширенной безопасности входа. Попытайтесь перезапустить биометрическую службу с помощью шага 3.
- В разделе "Параметры> входа" удалите нефункционную регистрацию и повторно зарегистрируйтесь
- Если опция Windows Hello Face/Fingerprint недоступна и отображается сообщение Не удалось найти сканер отпечатков пальцев, совместимый с Windows Hello Face, или что-то подобное, перейдите к следующему шагу.
- В диспетчере устройств датчик должен быть указан в разделе "Биометрические устройства". Переустановите драйвер, щелкнув правой кнопкой мыши имя устройства и выберите "Удалить устройство". Перезапустите устройство, когда Windows пытается переустановить драйвер. Проверьте, работает ли проверка подлинности
- Чтобы перезапустить биометрическую службу, сначала удалите ПИН-код из системы, перейдя к параметрам входа и удалив ПИН-код. Откройте командную строку от имени администратора и введите
net stop wbiosrvc && net start wbiosrvc. Проверьте, работает ли проверка подлинности отпечатков пальцев - Если биометрические данные по-прежнему не работают на устройстве, отправьте элемент обратной связи с помощью Центра отзывов
Чтобы убедиться, что безопасное подключение выполнено успешно, обратитесь к разделу "Проверка включения ESS".
ПИН-код не работает
ПИН-код можно сбросить на экране блокировки в разделе «Параметры входа». Для этого удалите ПИН-код и добавьте его еще раз. При этом будет предложено сбросить ПИН-код, после чего его функциональность должна восстановиться.
Отключение и включение ESS
Начиная с Windows 11 версии 22H2 с KB5031455 пользователи могут временно отключить ESS, если они хотели бы использовать внешнее периферийное устройство для проверки подлинности с помощью Windows Hello на своем устройстве.
Приложение "Параметры" можно использовать для отключения ESS. Выберите Пуск>Параметры>Учетные записи>Параметры входа или используйте следующую комбинацию клавиш:
На устройствах под управлением Windows 11 версии 24H2 или более поздней версии в разделе "Дополнительные параметры расширенной безопасности входа" есть переключатель, позволяющий включить или отключить ESS, если у вас есть соответствующие датчики.>
Если переключатель отключен, служба ESS отключена и для входа можно использовать периферийные устройства, совместимые с Windows Hello, отличные от ESS.
Если переключатель включен, ESS активируется, и вы не можете использовать периферийные устройства, совместимые с Windows Hello, которые не поддерживают ESS. Помните, что вы по-прежнему можете использовать внешние периферийные устройства в таких приложениях, как Teams.
Если у вас нет переключателя, но вы видите расширенную безопасность входа как ожидает настройки, первый датчик, который вы зарегистрируете, определит состояние ESS. Например, если вы сначала зарегистрируете датчик ESS, он будет включён. Если вы сначала зарегистрируете датчик, отличный от ESS, ESS будет отключен.
На устройствах под управлением Windows 11 версии 23H2 в разделе Дополнительные параметры>Вход с помощью внешней камеры или считывателя отпечатков пальцев есть переключатель, позволяющий включить или отключить ESS:
- Если переключатель отключен, ESS включен и вы не можете использовать внешние периферийные устройства для входа. Помните, что вы по-прежнему можете использовать внешние периферийные устройства в таких приложениях, как Teams
- Если переключатель включен, служба ESS отключена и для входа можно использовать периферийные устройства, совместимые с Windows Hello.