Windows Hello Segurança de Entrada Aprimorada

  • Artigo

O Windows Hello permite que um usuário se autentique usando sua biometria ou um PIN eliminando a necessidade de uma senha. A autenticação biométrica usa reconhecimento facial ou impressão digital para provar a identidade de um usuário de forma segura, pessoal e conveniente. A Segurança de Entrada Aprimorada fornece um nível adicional de segurança para dados biométricos, utilizando componentes de hardware e software especializados, como a VBS (Segurança Baseada em Virtualização) e o Trusted Platform Module 2.0, para isolar e proteger os dados de autenticação de um usuário e o canal pelo qual eles são comunicados.

Como a Segurança de Entrada Aprimorada protege os dados biométricos

Face

Quando a Segurança de Entrada Aprimorada está habilitada, o algoritmo de detecção facial é protegido usando a VBS para isolá-lo do restante do Windows. O hipervisor é usado para especificar e proteger regiões de memória, para que elas só possam ser acessadas por processos em execução na VBS. O hipervisor permite que a câmera facial escreva nessas regiões de memória, fornecendo um caminho isolado para fornecer dados faciais da câmera para o algoritmo de correspondência facial.

Os modelos de detecção facial são gerados na VBS pelo algoritmo de detecção facial protegido. Quando não estão em uso, os dados do modelo de detecção facial são criptografados usando chaves geradas e acessíveis apenas para VBS e, em seguida, armazenados em disco.

Fingerprint

A Segurança de Entrada Aprimorada só tem suporte em sensores de impressão digital com funcionalidades de sensor correspondentes. Esse tipo de sensor inclui um microprocessador e memória que podem ser usados para isolar a correspondência de impressões digitais e o armazenamento de modelo usando hardware.

Os sensores que dão suporte à Segurança de Entrada Aprimorada têm um certificado inserido durante a fabricação. Esse certificado pode ser validado pelos componentes biométricos do Windows em execução na VBS e é usado para estabelecer uma sessão segura com o sensor. O sensor e os componentes biométricos do Windows usam esta sessão para comunicar as operações de registro e corresponder aos resultados com segurança.

Operações de credencial

Os componentes biométricos do Windows em execução na VBS estabelecem um canal seguro para o TPM usando informações compartilhadas com a VBS pelo TPM durante a inicialização. Quando uma operação de correspondência é bem-sucedida, os componentes biométricos na VBS usam esse canal para autorizar o uso de chaves do Windows Hello para autenticar o usuário com seu provedor de identidade, aplicativos e serviços.

Como faço para obter a Segurança de Entrada Aprimorada

A habilitação depende de hardware, drivers e firmware especializados que estão sendo pré-instalados no sistema. Os fabricantes de dispositivos podem optar por habilitar a Segurança de Entrada Aprimorada em seus dispositivos durante a configuração do dispositivo na fábrica.

Compatibilidade do sistema

Componentes de hardware e software compatíveis são necessários para habilitar a Segurança de Entrada Aprimorada:

  • Dispositivos com Windows 10 atualização de outubro de 2020 configurada de fábrica
  • Atender aos requisitos de VBS (Segurança Baseada em Virtualização), incluindo Habilitação do Device Guard e Trusted Platform Module 2.0
  • Hardware do sensor biométrico que dá suporte à Segurança de Entrada Aprimorada
  • Drivers de sensor biométrico compatíveis com a Segurança de Entrada Aprimorada
  • Firmware de dispositivo com uma tabela ACPI SDEV (Dispositivos Seguros) configurada corretamente pelo fabricante do dispositivo para o hardware biométrico incluído

Compatibilidade do sensor biométrico

Sensor biométrico de detecção facial

A Segurança de Entrada Aprimorada só dá suporte a algumas câmeras IR em um número limitado de conjuntos de chips. As câmeras com suporte devem dar suporte à Segurança de Entrada Aprimorada no firmware. O uso do driver de câmera UVC da caixa de entrada do Windows é necessário. Para verificar se o módulo de câmera é compatível com a Segurança de Entrada Aprimorada, primeiro, acesse o Gerenciador de Dispositivos e expanda a seção "Controladores de Barramento Serial Universal". Clique com o botão direito do mouse no dispositivo que tem “Controlador de Host Extensível” no nome e selecione a opção “Propriedades” para exibir as propriedades relacionadas. Se houver diversas entradas para um controlador de host, verifique a seção de propriedades de todas elas. Navegue até a guia Detalhes do driver e selecione Recursos no menu suspenso Propriedade. Um dos dispositivos deve mostrar que tem a funcionalidade “CM_DEVCAP_SECUREDEVICE”.

FaceBiometricSensorCapabilities

Em seguida, verifique as seções de propriedades das câmeras do computador acessando a seção "Câmeras" no Gerenciador de Dispositivos. Se houver diversas entradas para câmeras de PC, verifique a seção de propriedades de todas elas. Navegue até a guia Detalhes dos drivers e selecione Recursos no menu suspenso Propriedade. Um dos dispositivos de câmera do computador deve ter a funcionalidade “CM_DEVCAP_SECUREDEVICE”.

FaceBiometricSensorCameraProperties

Sensor biométrico de impressão digital

Os sensores aprimorados de impressão digital compatíveis com a Segurança de Entrada devem ser compatíveis com o chip. O sensor deve ter um certificado emitido pela Microsoft gravado no dispositivo durante a fabricação. O driver do dispositivo e o firmware devem dar suporte à funcionalidade de Segurança de Entrada Aprimorada. Para verificar se um módulo de impressão digital é compatível com a Segurança de Entrada Aprimorada, primeiro, navegue pelo gerenciador de dispositivos abertos e expanda a seção Dispositivos biométricos. Deve haver uma entrada para um sensor de impressão digital. Clique com o botão direito do mouse na entrada do leitor de impressão digital, vá para Propriedades e, em seguida, Detalhes. Na opção Propriedade, selecione "Caminho da instância do dispositivo".

FingerprintEnabledEnhanced Sign-in Security

Abra regedit.exe e navegue até HKLM\SYSTEM\CurrentControlSet\Enum\[DeviceInstancePath]\Device Parameters\WinBio\Configurations, onde DeviceInstancePath é o caminho listado no Gerenciador de Dispositivos. Selecione “Configurações”. Deve haver uma chave do Registro listada como "SecureFingerprint" com um valor de dados igual a 1. Se não existir, o dispositivo não será compatível com a segurança.

As configurações também devem ter duas pastas abaixo dela: uma rotulada como "0" e outra rotulada como "1". Se houver apenas uma pasta e não duas, o dispositivo não será compatível com a segurança.

FingerprintEnhanced Sign-in SecurityConfigurations

Como saber se a Segurança de Entrada Aprimorada está habilitada

Central de Segurança

Na seção Segurança do Dispositivo do aplicativo Segurança do Windows, haverá uma entrada para Segurança de Entrada Aprimorada caso esteja habilitada no sistema. Essa entrada descreverá a funcionalidade de hardware do sistema. Se a seção Segurança de Entrada Aprimorada não estiver presente, o recurso não será habilitado no sistema.

Se houver um sensor biométrico inserido no dispositivo que não dê suporte à Segurança de Entrada Aprimorada ou se esse tipo de hardware biométrico estiver ausente no sistema, será indicado pela descrição "Indisponível devido a hardware incompatível" ao lado do sensor correspondente. Esta mensagem indica que o hardware não segue os requisitos de sensor necessários para dar suporte à Segurança de Entrada Aprimorada.

Visualizador de Eventos

A estrutura biométrica do Windows gera eventos de logs quando cada sensor em um sistema é enumerado. Esses logs incluem informações que indicam se um sensor está operando com a Segurança de Entrada Aprimorada habilitada. Os logs de eventos biométricos são encontrados no Visualizador de Eventos em Visualizador de Eventos > Logs de Aplicativos e Serviços > Microsoft > Windows > Biometria > Operacional.

Se o dispositivo biométrico tiver sido carregado corretamente pela estrutura biométrica do Windows, haverá um evento de log com a ID 1108 para o sensor correspondente. Se o dispositivo estiver operando com a Segurança de Entrada Aprimorada habilitada, o sensor será especificado como isolado em um processo de "Modo de Segurança Virtual". Se o dispositivo não estiver usando a Segurança de Entrada Aprimorada, ele será especificado como isolado em um processo "Sistema".

OperationalEventViewer

No evento 1108, as câmeras serão descritas usando o "Dispositivo de software de detecção facial do Windows Hello (ROOT\WINDOWSHELLOFACESOFTWAREDRIVER\0000)" e os dispositivos de impressão digital serão descritos usando o módulo e a ID do dispositivo específicos do dispositivo. Para dispositivos de impressão digital, a ID do dispositivo pode ser encontrada no Gerenciador de dispositivos em DispositivosBiométricos > [Módulo de Impressão Digital] > Propriedades > Detalhes > Caminho da Instância do Dispositivo.

Compatibilidade de aplicativos

Para dispositivos com câmeras compatíveis com a Segurança de Entrada Aprimorada, é necessária uma tabela SDEV (Dispositivos Seguros). Quando uma tabela SDEV é implementada e a VBS é ativado, a tabela SDEV é analisada pelo Kernel Seguro e as restrições são impostas ao acessar o espaço de configuração do dispositivo PCI (Interconexão de Componente Periférico). Essas restrições são decretadas para impedir que processos mal-intencionados manipulem o espaço de configuração de dispositivos protegidos especificados na tabela SDEV.

Aplicativos que tentam ler/gravar o espaço de configuração PCI, exceto por meios explicitamente compatíveis com o Windows, resultarão em verificações de bugs quando a tabela SDEV for analisada e imposta.

Todos os drivers e softwares incluídos na imagem do dispositivo devem ser testados quanto à compatibilidade, considerando essas restrições de software. Softwares ou drivers distribuídos para o sistema por meio do Windows Update, da Microsoft Store ou de outros canais aceitáveis pelo fabricante do dispositivo também devem ser verificados quanto à compatibilidade. Sem essa verificação, pode haver um comportamento inesperado no sistema.

Cenários sem suporte

Habilitar o Suporte da Entrada Aprimorado no Windows Upgrade

Atualmente, a Segurança de Entrada Aprimorada só tem suporte em dispositivos configurados por um fabricante de dispositivos para habilitar a funcionalidade com Windows 10, atualização de outubro de 2020. No mercado, não há suporte para dispositivos compatíveis com hardwares que sejam atualizados para essa compilação do sistema operacional.

Sensores sem Suporte da Entrada Aprimorada

Quando a Segurança de Entrada Aprimorada estiver habilitada, somente os sensores biométricos que dão suporte à Segurança de Entrada Aprimorada funcionarão no sistema. Nenhum sensor não compatíveis será enumerado pela estrutura biométrica do Windows.

É a decisão do fabricante sobre qual hardware eles incluem no sistema e se a Segurança de Entrada Aprimorada está habilitada por padrão. Se houver alguma preocupação com o bloqueio de modalidades biométricas, entre em contato com o fabricante do dispositivo para obter suporte.

Sensores biométricos conectáveis/periféricos

Não há suporte para segurança de entrada aprimorada para sensores de impressão digital externos ou módulos de câmera. Com a Segurança de Entrada Aprimorada habilitada, as operações de sensor biométrico externo ou periférico serão bloqueadas, independentemente de terem ou não capacidade de segurança. Para usar um periférico com a Segurança de Entrada Aprimorada a fim de entrar no Windows Hello, confira Desabilitar/habilitar a Segurança de Entrada Aprimorada

Ativar o toque para sensores de impressão digital

O WoT (Wake on Touch) descreve a capacidade do sensor de impressão digital de ativar o sistema e fazer o logon do usuário sem exigir que ele toque no sensor duas vezes. Dispositivos que dão suporte ao Modo de Espera Moderno normalmente habilitam o comportamento do sensor WoT.

A partir do Windows 11 SE versão 22H2 e do Windows 11 Pro Edu/Education versão 22H2 com KB5027303, o WoT está disponível para dispositivos ESS.

Solução de problemas

A autenticação de detecção facial/impressão digital não está funcionando

Se a autenticação biométrica não estiver funcionando, primeiro verifique se a VBS está em execução e se o componente seguro foi iniciado. Para verificar se a VBS está em execução, abra Informações do Sistema e verifique em "Resumo do Sistema"; deve haver uma entrada para "Segurança Baseada em Virtualização" listada como Em execução.

BiometricAuthenticationTroubleshooting

Verifique, também, se as relações de confiança de isolamento biométrico estão em execução. Elas devem ser listadas em Informações do Sistema > Ambiente de Software > Executando Tarefas como "bioiso.exe" e "ngciso.exe". Se uma dessas verificações falhar, o sistema poderá não atender aos requisitos de Segurança de Entrada Aprimorada. Tente reiniciar o serviço biométrico usando (3) abaixo.

Para verificar se a conexão segura foi bem-sucedida, confira "Como saber se a Segurança de Entrada Aprimorada está habilitada?" seção.

  1. Em Configurações em Opções de Entrada, remova o registro não funcional e registre-se novamente. Se a entrada para Detecção Facial/Impressão Digital do Windows Hello não estiver disponível com a condição "Não foi possível encontrar um scanner de impressão digital compatível com o Windows Hello Face" ou algo semelhante, pule para (2) Verificar se a autenticação está funcionando.
  2. No gerenciador de dispositivos, o sensor deve ser listado em Dispositivos de biometria. Reinstale o driver clicando com o botão direito do mouse no nome do dispositivo e selecione Desinstalar Dispositivo. Reinicie o dispositivo para que o Windows tente reinstalar o driver. Verifique se a autenticação está funcionando.
  3. Para reiniciar o serviço biométrico, primeiro remova o PIN do sistema acessando Opções de Entrada e removendo o PIN. Abra um prompt de comando como administrador e insira "net stop wbiosrvc" e "net start wbiosrvc". Verifique se a autenticação de impressão digital não está funcionando.
  4. Se a biometria ainda não estiver funcionando no dispositivo, registre um item de comentários usando o Hub do Feedback.

O PIN não está funcionando

O PIN pode ser redefinido na tela de bloqueio em Opções de entrada. Para fazer isso, remova o PIN e adicione-o novamente. Isso solicitará a redefinição do PIN, que deve restaurar a funcionalidade do PIN.

Desabilitar/Habilitar a Segurança de Entrada Avançada

Na inicialização do Windows 11, versão 22H2 com KB5031455, os usuários podem desativar temporariamente o ESS se quiserem utilizar um periférico externo para autenticar com o Windows Hello nos seus dispositivos.

Você pode utilizar o aplicativo Configurações para desabilitar o ESS. Selecione Iniciar>Configurações>Contas>Opções de entrada ou utilize o seguinte atalho:

Opções de entrada

Em Configurações adicionais>Entrar com uma câmera externa ou leitor de impressão digital, há uma alternância que permite que você habilite ou desabilite o ESS:

  • Quando a alternância estáDesativada, o ESS está habilitado e você não pode usar periféricos externos para entrar. Lembre-se de que você ainda pode utilizar periféricos externos em aplicativos como o Teams
  • Quando a alternância está Ativada, o ESS é desabilitado e você pode utilizar periféricos compatíveis com o Windows Hello para entrar