Freigeben über


Windows Hello: Schritte zum Übermitteln eines Fingerabdrucktreibers

Einreichen eines Fingerabdrucktreibers für Windows Hello-Kompatibilität

Microsoft hat neue Anforderungen an biometrische Sensoren eingeführt, um die Qualitätsrichtlinien von Windows Hello zu erfüllen. Ein neuer manueller Überprüfungsprozess ist erforderlich, um die Genehmigung für die Zusammenarbeit mit Windows Hello zu erhalten. Der Prozess wird mit einer Betriebssystemüberprüfung für eine bestimmte Signatur erzwungen, die über das Windows DevCenter (hier: https://developer.microsoft.com/) abgerufen wird, die nur durch den Prozess in diesem Dokument abgerufen werden kann. Treiber, die vor dem 1/6/17 erstellt und von WHQL signiert wurden, sind Bestandsschutz. Neue und aktualisierte Treiber, die diese Signatur nach diesem Datum nicht erhalten, funktionieren nach dem Erzwingungsdatum nicht mehr mit Windows Hello in Windows 10, Version 1703 oder höher.

Ein Fahrer wird immer einer manuellen Genehmigung unterzogen, um die Windows Hello-Signatur zu erhalten. Aktualisierungen genehmigter Treiber können zur schnelleren Genehmigung auf frühere Übermittlungen verweisen. Fahrer müssen sich einer neuen Überprüfung unterziehen, wenn es sich um einen neuen Sensor handelt oder wenn Änderungen an der passenden Engine vorgenommen wurden, die sich auf die Erkennung von FAR-, FRR- oder Präsentationsangriffen auswirken. 

Das Erzwingungsdatum für biometrische Signaturen ist der 1.6.2017, danach werden Treiber, die keine Biosignatur enthalten, nicht mehr geladen und funktionieren nicht mehr mit Windows Hello.

Schritt eins: Erstellen Sie einen biometrischen Fahrer

Befolgen Sie die anweisungen hier, um einen biometrischen Treiber zu erstellen:

Windows-Biometrieframework

Schritt 2: Testen des Sensors und selbst überprüfen

Überprüfen Sie den Sensor und den Treiber selbst, um sicherzustellen, dass sie die biometrischen Anforderungen von Microsoft erfüllen, und melden Sie die Ergebnisse in der Fingerabdruck-Sicherheitsüberprüfungsvorlage. Dokumente für die Anforderungen und Vorlagen finden Sie im Fingerprint-Partnerpaket auf Connect. Wenn Sie keinen Zugriff auf Connect haben, wenden Sie sich an Ihren Microsoft-Vertreter.

Schritt 3: Ändern Sie die XML-Datei der Treiberkonfiguration

Wenn Sie Ihren Treiber übermitteln, überprüft der Windows 10, Version 1703 Fingerabdruck HLK-Test, um sicherzustellen, dass das <vendorCompliance> Tag und <securityReview> in den folgenden Feldern enthalten sind:

bugId: ID-Nummer für die vorherige HLK-Übermittlung, die die zuvor genehmigten Sicherheitsüberprüfungsinformationen enthält, oder 0, wenn die Übermittlung einer völlig neuen Sicherheitsüberprüfung unterzogen wird.

updateExistingSubmission: true, wenn die Übermittlung als Aktualisierung einer früheren Übermittlung dient, die der Sicherheitsüberprüfung unterzogen wurde, andernfalls false.

Beispiel

<?xml version="1.0" encoding="utf-8"?>
<bioTestConfiguration version="0" runOptional="false" runInteractive="true" abortOnFailure="false" manualStep="false" priority="3" logType="WTT">
 <vendorCompliance>
   <securityReview bugId="12345678" updateExistingSubmission="true"/>
 </vendorCompliance>
 <testSuites>
   <testSuite deviceRequired="false" id="StorageAdapter">
     <library>storagetest.dll</library>
     <description>storage Adapter Test Suite</description>
   </testSuite>
 </testSuites>
 <deviceInfo>
        <sensorAdapterLib>WinbioSensorAdapter.dll</sensorAdapterLib>
        <engineAdapterLib>vcsWBFEngineAdapter.dll</engineAdapterLib>
        <storageAdapterLib>winbiostorageadapter.dll</storageAdapterLib>
        <indicatorSupported>0</indicatorSupported>
        <supportedModes>
            <supportedMode>0x01</supportedMode>
        </supportedModes>
        <supportedPurposes>
            <supportedPurpose>0x01</supportedPurpose>
            <supportedPurpose>0x02</supportedPurpose>
            <supportedPurpose>0x04</supportedPurpose>
        </supportedPurposes>
 </deviceInfo>
</bioTestConfiguration>

Schritt 4: Ändern Sie die Treiberkonfigurationsinformationen

Biometrische Treiberpakete müssen an das neue DevCenter-Portal übermittelt werden, um die erforderliche Windows Hello-Signatur zu erhalten und auf die WU hochgeladen zu werden. Pakete müssen bestimmte Eigenschaften in die INF-Datei des Treibers aufnehmen, um den Erhalt der digitalen Signatur durch die Adapter-DLL richtig anzugeben. Das folgende Beispiel zeigt die Formatierung zum Abrufen der bio-Signatur für Adapter-Binärdateien und ihre zugehörigen Bibliotheken.

Wenn das Treiberpaket beispielsweise einen Sensor, eine Engine und einen Speicheradapter namens „sensor.dll“, „engine.dll“ bzw. „storage.dll“ und eine geladene „stringparser.dll“ enthält, dann um die Bio-Signatur für jeden zu erhalten, müsste die INF-Datei müsste die folgenden Komponenten enthalten:

[SignatureAttributes]
sensor.dll = SignatureAttributes.WindowsHello
engine.dll = SignatureAttributes.WindowsHello
storage.dll = SignatureAttributes.WindowsHello
stringparser.dll = SignatureAttributes.WindowsHello

[SignatureAttributes.WindowsHello]
WindowsHello = true

Dieser Schritt ist am wichtigsten, um sicherzustellen, dass Ihr Treiber die richtige Zertifizierung erhält. Alle biometrischen Adapterdateien von Drittanbietern und alle von diesen Adaptern geladenen DLLs von Drittanbietern müssen auf diese Weise gekennzeichnet und eingeschlossen werden, wenn sie die biometrische Signatur erhalten sollen, wenn sie an DevCenter gesendet werden.

Schritt fünf: Ausführen der HLK-Test suite

Die HLK-Tests stellen sicher, dass die oben genannten Änderungen in Schritten 3 und 4 vorgenommen wurden und fehlschlagen, wenn die Konfigurationsinformationen nicht vorhanden sind. Wenn Sie das endgültige HLK in HLK Studio verpacken, fügen Sie die sicherheitsüberprüfungsvorlage ein, die in der Fehlerdatei als Ergänzungsdatei übermittelt wird.

Schritt Sechs: Übermitteln des Treiberpakets und HLK-Protokolle

Übermitteln Sie die verpackte HLK-Datei an DevCenter, um zu überprüfen. Das Feature-Team bei Microsoft wird über die Einreichung benachrichtigt, wenn sie den manuellen Überprüfungsprozess erreicht. Das Team überprüft die eingereichte Vorlage im HLK-Paket, um sicherzustellen, dass die selbst validierten Informationen die biometrischen Anforderungen von Microsoft erfüllen.

Schritt Sieben: Warten Sie auf die Microsoft-Genehmigung und die Signatur

Microsoft wird die Übermittlung genehmigen, sofern sie alle biometrischen Anforderungen erfüllt. Das Erhalten der biometrischen Signatur ist keine Zertifizierung dafür, dass der Treiber mit Windows Hello funktioniert. Beispielsweise könnte eine Datei in der Inf-Konfigurationsdatei ausgeschlossen werden, die für die Signatur überprüft wird. Wenn diese Datei zum Zeitpunkt der Erzwingung der Signatur geladen wird, schlägt das Laden fehl, und der Treiber funktioniert nicht mit Windows Hello. Der signierte Treiber sollte vom IHV und OEM getestet werden, um sicherzustellen, dass es im kollektiven System funktioniert.

Schritt acht: Aktualisieren eines vorhandenen Treibers

Microsoft wird die Übermittlung genehmigen, sofern sie alle biometrischen Anforderungen erfüllt. Das Erhalten der biometrischen Signatur ist keine Zertifizierung dafür, dass der Treiber mit Windows Hello funktioniert. Wenn ein Update an einem über-übergeordneten Treiber vorgenommen wird, sollten die gleichen Schritte angewendet werden. Das Feld bugId sollte auf die Übermittlungs-ID des über-übergeordneten Treibers gesetzt werden und das Feld updateExistingSubmission sollte auf true gesetzt werden. Die XML-Datei für die Treiberkonfiguration sollte im Treiberpaket enthalten sein, das übermittelt wird.

Windows Hello-Gesichtsauthentifizierung

Windows Hello

Entwurfshandbuch für biometrische Geräte