Windows Hello 增強式登入安全性 (ESS)
Windows Hello 可啟用生物特徵辨識或 PIN 驗證,而不需要密碼。 生物特徵辨識驗證會使用臉部辨識或指紋,以安全、個人和方便的方式證明使用者的身分識別。
增強的登入安全性 (ESS) 為生物特徵辨識數據提供額外的安全性層級,以使用專門的硬體和軟體元件。 虛擬化型安全性 (VBS) 和 信賴平臺模組 2.0 可用來隔離和保護使用者的驗證數據,以及保護數據通道。
增強式登入安全性如何保護生物特徵辨識資料
ESS 和臉部辨識
啟用 ESS 時,臉部演算法會使用 VBS 來保護它,使其與 Windows 的其餘部分隔離。 Hypervisor 可用來指定及保護記憶體區域,以便只能由在 VBS 中執行的程序存取這些區域。 Hypervisor 可讓臉部相機寫入這些記憶體區域,以提供隔離路徑,將臉部資料從相機傳遞到臉部比對演算法。
臉部範本是由受保護的臉部演算法在 VBS 中產生。 未使用時,臉部範本資料會使用產生的金鑰進行加密,且只能供 VBS 存取,然後儲存在磁碟上。
ESS 和指紋辨識
只有指紋感測器支援與感測器功能相符的 ESS。 這種類型的感應器包含微處理器和記憶體,可用來使用硬體來隔離指紋比對和範本儲存體。
支援 ESS 的感測器在製造期間內嵌憑證。 憑證可由在 VBS 中執行的 Windows 生物特徵辨識元件進行驗證,並用來建立與感測器的安全會話。 感測器和 Windows 生物特徵辨識元件會使用會話來傳達註冊作業,並安全地比對結果。
認證作業
在 VBS 中執行的 Windows 生物特徵辨識元件會使用 TPM 在開機期間與 VBS 共用的資訊,建立 TPM 的安全通道。 當比對作業成功時,VBS中的生物特徵辨識元件會使用安全通道來授權使用 Windows Hello 金鑰,以使用其識別提供者、應用程式和服務驗證使用者。
啟用增強的登入安全性
啟用 ESS 取決於系統上預安裝的特製化硬體、驅動程式和韌體。 裝置製造商可以選擇在工廠的裝置設定期間啟用增強的登入安全性。
注意
所有 Copilot+ 電腦預設都已啟用 ESS。 如需詳細資訊,請參閱 Copilot+ PC 硬體需求。
系統需求
需要相容的硬體和軟體元件,才能啟用增強式登入安全性:
- 符合虛擬化型安全性(VBS)的需求,包括 Device Guard Enablement 和 Trusted Platform Module 2.0
- 支援 ESS 的生物特徵辨識感測器硬體
- 與 ESS 相容的生物特徵辨識感測器驅動程式
- 裝置製造商針對內含生物特徵辨識硬體所設定的安全裝置 (SDEV) ACPI 資料表的裝置韌體
生物特徵辨識感測器相容性
臉部生物特徵辨識感測器
ESS 的設計目的是要與選取範圍的 IR 相機搭配使用,而且需要特定的晶片組。 支援 ESS 的相機必須在其韌體中內建此功能,而且必須使用操作系統隨附的標準 Windows UVC 相機驅動程式。
若要檢查相機模組是否支援 ESS,請先移至 裝置管理員 並展開 [通用序列總線控制器] 區段。 以滑鼠右鍵按鍵單擊名稱中具有 eXtensible 主機控制器 的裝置,然後選取 [屬性 ] 選項以檢視裝置屬性。 如果有多筆主機控制器的項目,請檢查所有項目的屬性區段。 流覽至驅動程式的 [詳細數據] 索引標籤,然後從 [屬性] 下拉功能表中選取 [功能]。 其中一個裝置應該會顯示 CM_DEVCAP_SECUREDEVICE
功能。
接下來,移至 裝置管理員 中的 [相機] 區段,檢查PC Cameras的屬性區段。 如果有多筆 PC 相機的項目,請檢查所有項目的屬性區段。 流覽至驅動程式的 [詳細數據] 索引標籤,然後從 [屬性] 下拉功能表中選取 [功能]。 其中一部電腦相機裝置應該具備 CM_DEVCAP_SECUREDEVICE
此功能。
指紋生物特徵辨識感測器
支援 ESS 的指紋感測器必須符合晶片:
- 感測器必須在製造期間將Microsoft發行的憑證燒毀至裝置
- 裝置驅動程式和韌體必須支持增強的登入安全性功能
若要檢查指紋模組是否支援 ESS,請先移至 裝置管理員 並展開生物特徵辨識裝置一節。 應該有一筆指紋感應器的項目。 以滑鼠右鍵按下指紋讀取器專案,然後移至 [屬性詳細數據>]。 在 [ 屬性] 選項下,選取 [ 裝置實例路徑]。
開啟regedit.exe,並流覽至HKLM\SYSTEM\CurrentControlSet\Enum\[DeviceInstancePath]\Device Parameters\WinBio\Configurations
其中 DeviceInstancePath
是 裝置管理員 中所列的路徑。 選取組態。 應該會列出名為 SecureFingerprint
且數據值為 的 1
登錄機碼。 如果不存在,則裝置無法安全。
設定也應該在其下方有兩個資料夾:一個加上標籤 0
,一個加上標籤 1
。 如果只有一個資料夾,而不是兩個資料夾,則裝置無法安全。
確認是否已啟用 ESS
資訊安全中心
如果已啟用 ESS,Windows 安全性 應用程式的 [裝置安全性] 區段具有增強式登入安全性的專案。 專案描述系統的硬體功能。 如果 [增強式登入安全性] 區段不存在,則不會在系統上啟用此功能。
如果裝置中內嵌了不支援 ESS 的生物特徵辨識感測器,或系統中沒有該類型的生物特徵辨識硬體,則會以對應感測器旁邊的不相容硬體描述來表示。 此訊息表示硬體不符合支援 ESS 所需的感測器需求。
事件檢視器
在列舉系統上的每個感應器時,Windows 生物特徵辨識架構會產生記錄事件。 這些記錄包含資訊,指出感應器目前是否已啟用增強式登入安全性。 生物特徵辨識事件記錄檔位於 事件檢視器 [應用程式與服務記錄>Microsoft>> Windows>生物特徵辨識>作業] 底下 事件檢視器。
如果生物特徵辨識裝置是由 Windows 生物特徵辨識架構正確載入,則對應的感測器會有記錄事件標識符 1108
。 如果裝置已啟用 ESS 運作,則會在虛擬安全模式程式中指定感測器為隔離。 如果裝置未使用 ESS,則會在系統進程中指定為隔離。
在此情況下 1108
,相機會使用 Windows Hello Face Software Device (ROOT\WINDOWSHELLOFACESOFTWAREDRIVER\0000) 和指紋裝置來描述裝置的特定模組和裝置標識符。 針對指紋裝置,裝置標識碼會列在設備管理器的生物特徵辨識裝置>[指紋模組]>[屬性>詳細>數據裝置實例路徑] 之下。
應用程式相容性
對於具備 ESS 功能相機的裝置,需要安全裝置 (SDEV) 表格。 實作 SDEV 資料表並開啟 VBS 時,安全核心會剖析 SDEV 資料表,並在存取實體周邊元件 (PCI) 裝置設定空間時強制執行限制。 進行這些限制是為了防止惡意程序操作 SDEV 資料表中所指定的安全裝置設定空間。
嘗試讀取/寫入PCI組態空間的應用程式,除非Windows明確支援,否則會在剖析並強制執行SDEV資料表時產生錯誤檢查。
由於具有這些軟體限制,裝置映像中包含的所有驅動程式和軟體都必須測試相容性。 透過 Windows Update、Microsoft Store 或其他裝置製造商可接受之管道發佈至系統的軟體或驅動程式,也應該檢查相容性。 如果沒有此驗證,系統可能會有非預期的行為。
不支援的情節
非 ESS 支援的感測器
啟用 ESS 時,只有支援 ESS 的生物特徵辨識感測器才能在系統上運作。 Windows 生物特徵辨識架構不會列舉所有不可逸出的感測器。
這是製造商決定其包含在系統中的硬體,以及預設是否啟用增強式登入安全性。 如果對於封鎖生物特徵辨識形式有任何疑慮,請連絡裝置製造商以取得支援。
插入式/周邊生物特徵辨識感測器
外部指紋感測器或相機模組不支援 ESS。 啟用 ESS、外部或周邊生物特徵辨識感測器作業會遭到封鎖,無論其是否具備安全能力。 如果您想要搭配 ESS 使用外圍設備以 Windows Hello 登入,請參閱 停用/啟用 ESS
指紋感應器的觸控喚醒
觸控喚醒 (WoT) 是指紋感測器喚醒系統並登入使用者的能力,而不需要使用者兩次觸控感測器。 支援新式待命的裝置會啟用「觸控喚醒」的感應器行為。
從 Windows 11 版本 22H2 KB5027303開始,WoT 適用於 ESS 裝置。
疑難排解
臉部/指紋驗證無法運作
如果生物特徵辨識驗證無法運作,請先檢查 VBS 是否正在執行,並啟動安全元件。 若要檢查 VBS 是否正在執行,請開啟 系統資訊> System Summary。 應該有一個專案,以虛擬化為基礎的安全性會列為執行中。
也請檢查生物特徵辨識隔離信任是否正在執行。 這些應該列在 系統資訊> Software 環境>執行工作為 bioiso.exe
和ngciso.exe
之下。 如果其中一項檢查失敗,系統可能無法符合增強式登入安全性的需求。 嘗試使用步驟 3 重新啟動生物特徵辨識服務。
- 在 [設定>登入選項] 中,移除非功能註冊並重新註冊
- 如果 Windows Hello 臉部/指紋的項目無法使用,但條件 我們找不到與 Windows Hello Face 相容的指紋掃描器,或類似專案,請繼續進行下一個步驟
- 在設備管理器中,感測器應該列在生物特徵辨識裝置底下。 以滑鼠右鍵按兩下裝置的名稱,然後選取 [ 卸載裝置],以重新安裝驅動程式。 重新啟動裝置,此時 Windows 會嘗試重新安裝驅動程式。 檢查驗證是否正常運作
- 若要重新啟動生物特徵辨識服務,請先移至 [登入選項 ] 並移除 PIN,從系統移除 PIN。 以系統管理員身分開啟命令提示字元,然後輸入
net stop wbiosrvc && net start wbiosrvc
。 檢查指紋驗證是否正常運作 - 如果生物特徵辨識在裝置上仍然無法運作,請使用意見反應中樞提出意見反應專案
若要檢查安全連線是否成功,請參閱 確認是否已啟用 ESS 一節。
PIN 無法運作
PIN 可以在 [登入選項] 下的鎖定畫面中重設。 若要這樣做,請移除並再次新增 PIN。 這會提示 PIN 重設,從而應可還原 PIN 功能。
停用/啟用 ESS
從 Windows 11 版本 22H2 含 KB5031455 開始,如果使用者想要在其裝置上使用外接周邊裝置透過 Windows Hello 進行驗證,可以暫時關閉 ESS。
您可以使用 [設定] 應用程式來停用 ESS。 選取 [開始]>[設定]>[帳戶]>[登入選項],或使用下列捷徑:
在 [其他設定]>[使用外接相機或指紋讀取器登入] 下,有一個切換按鈕可讓您啟用或停用 ESS:
- 切換為 [關閉] 時,會啟用 ESS,而且您無法使用外接周邊裝置來登入。 請記住,您仍然可以在 Teams 等應用程式中使用外接周邊裝置
- 當切換為 [開啟] 時,ESS 會停用,而您可以使用 Windows Hello 相容的周邊裝置來登入