Windows Hello 增強式登入安全性 (ESS)

  • 發行項

Windows Hello 可讓使用者使用其生物特徵辨識或 PIN 進行驗證,而不需要密碼。 生物特徵辨識驗證會使用臉部辨識或指紋,以安全、個人且方便的方式證明使用者的身分識別。 增強式登入安全性藉由利用特殊的硬體和軟體元件,例如 虛擬化型安全性 (VBS)信賴平台模組 2.0,來隔離和保護使用者的驗證資料,並保護該資料通訊的通道,以提供生物特徵辨識資料的額外安全性層級。

增強式登入安全性如何保護生物特徵辨識資料

臉部

啟用增強式登入安全性時,臉部演算法會使用 VBS 來保護它,使其與 Windows 的其餘部分隔離。 Hypervisor 可用來指定及保護記憶體區域,以便只能由在 VBS 中執行的程序存取這些區域。 Hypervisor 可讓臉部相機寫入這些記憶體區域,以提供隔離路徑,將臉部資料從相機傳遞到臉部比對演算法。

臉部範本是由受保護的臉部演算法在 VBS 中產生。 未使用時,臉部範本資料會使用產生的金鑰進行加密,且只能供 VBS 存取,然後儲存在磁碟上。

Fingerprint

只有具備相符感應器功能的指紋感應器,才支援增強式登入安全性。 這種類型的感應器包含微處理器和記憶體,可用來使用硬體來隔離指紋比對和範本儲存體。

支援增強式登入安全性的感應器會在製造期間內嵌憑證。 此憑證可由在 VBS 中執行的 Windows 生物特徵辨識元件進行驗證,並用來與感應器建立安全工作階段。 感應器和 Windows 生物特徵辨識元件會使用此工作階段來進行註冊作業通訊,並安全地比對結果。

認證作業

在 VBS 中執行的 Windows 生物特徵辨識元件會使用 TPM 在開機期間與 VBS 共用的資訊,建立 TPM 的安全通道。 當比對作業成功時,VBS中的生物特徵辨識元件會使用此通道來授權使用 Windows Hello 金鑰,以使用其識別提供者、應用程式和服務驗證使用者。

如何獲得增強式登入安全性

啟用取決於系統上預先安裝的特製化硬體、驅動程式和韌體。 裝置製造商可以選擇在出廠設定裝置期間,就在其裝置上啟用增強式登入安全性。

系統相容性

需要相容的硬體和軟體元件,才能啟用增強式登入安全性:

  • 出廠即設定 Windows 10 2020 年 10 月更新的裝置
  • 符合虛擬化型安全性 (VBS) 的需求,包括 Device Guard 支援和信賴平台模組 2.0
  • 支援增強式登入安全性的生物特徵辨識感應器硬體
  • 與增強式登入安全性相容的生物特徵辨識感應器驅動程式
  • 裝置韌體具備裝置製造商針對所包含的生物特徵辨識硬體正確設定的安全裝置 (SDEV) ACPI 資料表

生物特徵辨識感應器相容性

臉部生物特徵辨識感應器

增強式登入安全性僅支援限定晶片組上的部分 IR 相機。 支援的相機必須支援韌體中的增強式登入安全性。 需要使用 Windows 內附 UVC 相機驅動程式。 若要檢查相機模組是否支援增強式登入安全性,請先移至 [裝置管理員],然後展開 [通用序列匯流排控制器] 區段。 以滑鼠右鍵按鍵按一下名稱中具有 eXtensible Host Controller 的裝置,然後選取 [屬性] 選項以檢視裝置屬性。 如果有多筆主機控制器的項目,請檢查所有項目的屬性區段。 瀏覽至驅動程式的 [詳細資料] 索引標籤,然後從 [屬性] 下拉式功能表中選取 [功能]。 其中一個裝置應該會顯示自己具有 “CM_DEVCAP_SECUREDEVICE” 功能。

FaceBiometricSensorCapabilities

接下來,移至 [裝置管理員] 中的 [相機] 區段,以檢查 PC 相機的屬性區段。 如果有多筆 PC 相機的項目,請檢查所有項目的屬性區段。 瀏覽至驅動程式的 [詳細資料] 索引標籤,然後從 [屬性] 下拉式功能表中選取 [功能]。 其中一部 PC 相機裝置應具備 “CM_DEVCAP_SECUREDEVICE” 功能。

FaceBiometricSensorCameraProperties

指紋生物識別感應器

增強式登入安全性功能指紋感應器必須在晶片上進行比對。 在製造期間就必須將 Microsoft 核發的憑證燒錄至感應器裝置。 裝置驅動程式和韌體必須支持增強式登入安全性功能。 若要檢查指紋模組是否支援增強式登入安全性,請先瀏覽開啟的裝置管理員,然後展開 [生物特徵辨識裝置] 區段。 應該有一筆指紋感應器的項目。 以滑鼠右鍵按一下指紋辨識器的項目,接著移至 [屬性],然後按一下 [詳細資料]。 在 [屬性] 選項下,選取 [裝置執行個體路徑]。

FingerprintEnabledEnhanced Sign-in Security

開啟 regedit.exe,然後瀏覽至 HKLM\SYSTEM\CurrentControlSet\Enum\[DeviceInstancePath]\Device Parameters\WinBio\Configurations,其中 DeviceInstancePath 是 [裝置管理員] 中列出的路徑。 選取 [組態]。 應該會列出名為 “SecureFingerprint“ 且資料值為 1 的登錄機碼。 如果不存在,則裝置不支援安全功能。

[組態] 也應該在其下方有兩個資料夾:一個標示為 ”0” 和一個標示為 ”1” 的資料夾。 如果只有一個資料夾,而不是兩個資料夾,則裝置不支援安全功能。

FingerprintEnhanced Sign-in SecurityConfigurations

如何知道是否已啟用增強式登入安全性

資訊安全中心

在 Windows 安全性應用程式的 [裝置安全性] 區段中,如果系統已啟用 [增強式登入安全性],將會有一筆對應項目。 這筆項目將描述系統的硬體功能。 如果 [增強式登入安全性] 區段不存在,則系統並未啟用此功能。

如果裝置內嵌的生物特徵辨識感應器不支援增強式登入安全性,或系統缺少該類型的生物特徵辨識硬體,則對應感應器旁會以「因硬體不相容而無法使用」描述來指出。 此訊息指出,硬體不符合支援增強式登入安全性所需的感應器需求。

事件檢視器

在列舉系統上的每個感應器時,Windows 生物特徵辨識架構會產生記錄事件。 這些記錄包含資訊,指出感應器目前是否已啟用增強式登入安全性。 生物特徵辨識事件記錄檔位於 [事件檢視器] > [應用程式與服務記錄] > [Microsoft >Windows >生物特徵辨識]> 作業下的 [事件檢視器]。

如果 Windows 生物特徵辨識架構已正確載入生物特徵辨識裝置,對應的感應器將會有識別碼為 1108 的記錄事件。 如果裝置在啟用增強式登入安全性的情況下運作,感應器將會在「虛擬安全模式」程序中指定為隔離。 如果裝置未使用增強式登入安全性,則會在「系統」程序中指定為隔離。

OperationalEventViewer

在事件 1108 中,將會使用 “Windows Hello Face Software Device (ROOT\WINDOWSHELLOFACESOFTWAREDRIVER\0000)” 來描述相機,並使用裝置的特定模組和裝置識別碼來描述指紋裝置。 針對指紋裝置,您可以在 [生物特徵辨識裝置] > [指紋模組] > [屬性] > [詳細資料] > [裝置執行個體路徑] 下的裝置管理員中,找到裝置識別碼。

應用程式相容性

針對具備增強式登入安全性功能之相機的裝置,需要安全裝置 (SDEV) 表格。 實作 SDEV 資料表並開啟 VBS 時,安全核心會剖析 SDEV 資料表,並在存取實體周邊元件 (PCI) 裝置設定空間時強制執行限制。 進行這些限制是為了防止惡意程序操作 SDEV 資料表中所指定的安全裝置設定空間。

嘗試讀取/寫入 PCI 設定空間的應用程式,除非透過 Windows 明確支援的方式,否則會在剖析並強制執行 SDEV 資料表時產生錯誤檢查。

由於具有這些軟體限制,裝置映像中包含的所有驅動程式和軟體都必須測試相容性。 透過 Windows Update、Microsoft Store 或其他裝置製造商可接受之管道發佈至系統的軟體或驅動程式,也應該檢查相容性。 如果沒有此驗證,系統可能會出現非預期的行為。

不支援的案例

在 Windows 升級上啟用增強式登入支援

目前僅有裝置製造商設定為啟用 Windows 10 2020 年 10 月更新功能的裝置,才支援增強式登入安全性。 對於硬體可升級至此作業系統組建的上市裝置,目前尚無法支援。

支援非增強式登入的感應器

啟用增強式登入安全性時,只有支援增強式登入安全性的生物特徵辨識感應器才能在系統上運作。 所有不支援的感應器,Windows 生物特徵辨識架構都不會列舉出來。

包含在系統中的硬體,以及是否預設啟用增強式登入安全性,皆為製造商所決定。 如果對於封鎖生物特徵辨識形式有任何疑慮,請連絡裝置製造商以取得支援。

插入式/周邊生物特徵辨識感應器

外接式指紋感應器或相機模組不支援增強式登入安全性。 啟用增強式登入安全性之後,無論外接或周邊生物特徵辨識感應器的運作是否支援安全功能,都會遭到封鎖。 如果您想要使用具有增強式登入安全性的周邊裝置以運用 Windows Hello 登入,請參閱停用/啟用增強式登入安全性

指紋感應器的觸控喚醒

觸控喚醒 (WoT) 描述指紋感應器不需要使用者觸碰感應器兩次,即可喚醒系統並登入使用者的能力。 支援新式待命的裝置會啟用「觸控喚醒」的感應器行為。

從 Windows 11 SE 版本 22H2 和 Windows 11 專業教育版版本 22H2 含 KB5027303 開始,WoT 將適用於 ESS 裝置。

疑難排解

臉部/指紋驗證無法運作

如果生物特徵辨識驗證無法運作,請先檢查 VBS 是否正在執行,以及安全元件是否已啟動。 若要檢查 VBS 是否正在執行中,請開啟 [系統資訊],並檢查 [系統摘要] 下方;應該有列出一筆 [虛擬化型安全性] 的項目,狀態為 [執行中]。

BiometricAuthenticationTroubleshooting

也請檢查生物特徵辨識隔離信任是否正在執行。 這些應該列在 [系統資訊] > [軟體環境] > [執行工作] 底下,名稱為 “bioiso.exe” 和 “ngciso.exe”。 如果其中一項檢查失敗,系統可能無法符合增強式登入安全性的需求。 嘗試使用以下的 (3) 重新啟動生物特徵辨識服務。

若要檢查安全連線是否成功,請參閱「如何知道是否已啟用增強式登入安全性」 區段。

  1. 在 [登入選項] 底下的 [設定],移除無法運作的註冊並重新註冊;如果 Windows Hello 臉部/指紋的項目無法使用並指出「找不到與 Windows Hello Face 相容的指紋掃描器」狀況,或其他類似的狀況,請跳到 (2) 檢查驗證是否正常運作。
  2. 在裝置管理員中,感應器應該列在生物特徵辨識裝置底下。 以滑鼠右鍵按一下裝置的名稱,然後選取 [解除安裝裝置],以重新安裝驅動程式。 重新啟動裝置,此時 Windows 會嘗試重新安裝驅動程式。 檢查驗證是否正常運作。
  3. 若要重新啟動生物特徵辨識服務,請先移至 [登入選項] 並移除 PIN,以便從系統移除 PIN。 以系統管理員身分開啟命令提示字元並輸入 “net stop wbiosrvc”,然後輸入 “net start wbiosrvc”。 檢查指紋驗證是否正常運作。
  4. 如果生物特徵辨識功能仍在裝置上運作,請使用意見反應中樞提出意見反應項目。

PIN 無法運作

您可以在 [登入選項] 下的鎖定畫面中重設 PIN。 若要這樣做,請移除並再次新增 PIN。 這會提示 PIN 重設,從而應可還原 PIN 功能。

停用/啟用增強式登入安全性

從 Windows 11 版本 22H2 含 KB5031455 開始,如果使用者想要在其裝置上使用外接周邊裝置透過 Windows Hello 進行驗證,可以暫時關閉 ESS。

您可以使用 [設定] 應用程式來停用 ESS。 選取 [開始]>[設定]>[帳戶]>[登入選項],或使用下列捷徑:

登入選項

[其他設定]>[使用外接相機或指紋讀取器登入] 下,有一個切換按鈕可讓您啟用或停用 ESS:

  • 切換為 [關閉] 時,會啟用 ESS,而且您無法使用外接周邊裝置來登入。 請記住,您仍然可以在 Teams 等應用程式中使用外接周邊裝置
  • 當切換為 [開啟] 時,ESS 會停用,而您可以使用 Windows Hello 相容的周邊裝置來登入