Windows Hello:提交指紋驅動程式的步驟
提交指紋驅動程式以進行 Windows Hello 相容性
Microsoft 引進了生物特徵辨識感測器的新需求,以符合 Windows Hello 質量指導方針。 需要新的手動檢閱程式,才能取得與 Windows Hello 互操作的核准。 此程式將會強制執行操作系統檢查,以瞭解透過 Windows DevCenter (取得的特定簽章: https://developer.microsoft.com/) ,此簽章只能透過在此文件中進行程式來取得。 WHQL 在 6/1/17 之前建立並簽署的驅動程式是祖系。 在此日期之後未取得此簽章的新功能和更新驅動程式,將無法在強制執行日期之後的 Windows 10 版本 1703 或更新版本中使用 Windows Hello。
驅動程式一律會經過手動核准,以取得 Windows Hello 簽章。 匯報 核准的驅動程式可以參考先前的提交,以加快核准速度。 如果驅動程式套用至新的感測器,或比對引擎的變更已發生影響 FAR、FRR 或簡報攻擊偵測,則必須進行新的檢閱。
生物特徵辨識簽章強制執行日期為 2017 年 6 月 1 日,之後不會載入不包含生物簽章的驅動程式,且不再使用 Windows Hello。
步驟一:建立生物特徵辨識驅動程式
請遵循這裡的指示來建立生物特徵辨識驅動程式:
步驟二:測試感測器和自我驗證
自我驗證感測器和驅動程式,以確保它們符合 Microsoft 生物特徵辨識需求,並在指紋安全性檢閱範本中報告結果。 您可以在 Connect 上的指紋合作夥伴套件中找到需求和範本的檔。 如果您沒有 Connect 的存取權,請連絡您的 Microsoft 代表。
步驟三:修改驅動程式組態 xml 檔案
當您提交驅動程式時,Windows 10 版本 1703 指紋 HLK 測試會檢查以確保 <vendorCompliance> 和 <securityReview> 標籤包含下列欄位:
bugId:先前 HLK 提交的標識符,其中包含先前核准的安全性檢閱資訊,如果提交正在進行全新的安全性檢閱,則為 0。
updateExistingSubmission:如果提交做為先前提交進行安全性檢閱的更新,則為 true;否則為 false。
範例
<?xml version="1.0" encoding="utf-8"?>
<bioTestConfiguration version="0" runOptional="false" runInteractive="true" abortOnFailure="false" manualStep="false" priority="3" logType="WTT">
<vendorCompliance>
<securityReview bugId="12345678" updateExistingSubmission="true"/>
</vendorCompliance>
<testSuites>
<testSuite deviceRequired="false" id="StorageAdapter">
<library>storagetest.dll</library>
<description>storage Adapter Test Suite</description>
</testSuite>
</testSuites>
<deviceInfo>
<sensorAdapterLib>WinbioSensorAdapter.dll</sensorAdapterLib>
<engineAdapterLib>vcsWBFEngineAdapter.dll</engineAdapterLib>
<storageAdapterLib>winbiostorageadapter.dll</storageAdapterLib>
<indicatorSupported>0</indicatorSupported>
<supportedModes>
<supportedMode>0x01</supportedMode>
</supportedModes>
<supportedPurposes>
<supportedPurpose>0x01</supportedPurpose>
<supportedPurpose>0x02</supportedPurpose>
<supportedPurpose>0x04</supportedPurpose>
</supportedPurposes>
</deviceInfo>
</bioTestConfiguration>
步驟四:修改驅動程序組態 inf
生物特徵辨識驅動程式套件必須提交至新的 DevCenter 入口網站,才能取得所需的 Windows Hello 簽章,並上傳至 WU。 套件必須在驅動程式 INF 檔案中包含特定屬性,才能正確指定配接器 dll 取得數位簽名。 下列範例示範如何設定格式,以取得配接器二進制檔及其相關連結庫上的生物簽章。
例如,如果驅動程式套件分別包含名為 sensor.dll、engine.dll 和 storage.dll 的感測器、引擎和記憶體配接器,以及一個載入的 stringparser.dll,則 INF 檔案必須包含下列元件:
[SignatureAttributes]
sensor.dll = SignatureAttributes.WindowsHello
engine.dll = SignatureAttributes.WindowsHello
storage.dll = SignatureAttributes.WindowsHello
stringparser.dll = SignatureAttributes.WindowsHello
[SignatureAttributes.WindowsHello]
WindowsHello = true
此步驟是確保驅動程式收到適當的認證最重要的步驟。 所有第三方生物特徵辨識配接器檔案,以及這些配接器所載入的任何第三方 dll,都必須以這種方式加上標籤,並在提交至 DevCenter 時取得生物特徵辨識簽章。
步驟五:執行 HLK 測試套件
HLK 測試可確保上述修改已在步驟 3 和 4 中進行,而且如果設定資訊不存在,將會失敗。 在 HLK Studio 中封裝最終 HLK 時,會將 Bug 中提交的安全性檢閱範本作為補充檔案。
步驟六:提交驅動程式套件和 HLK 記錄
將封裝的 HLK 檔案提交至 DevCenter 以供檢閱。 Microsoft 內的功能小組會在提交到達手動檢閱程式時收到通知。 小組將會檢閱 HLK 套件中提交的範本,以確保自我驗證資訊符合 Microsoft 生物特徵辨識需求。
步驟七:等候 Microsoft 核准和簽署
Microsoft 將會核准提交,前提是其符合所有生物特徵辨識需求 取得生物特徵辨識簽章不是驅動程式將搭配使用 Windows Hello 的認證。 例如,在已檢查簽章的 inf 組態檔中,可以排除檔案。 如果操作系統強制執行簽章時載入此檔案,載入將會失敗,且驅動程式不會使用 Windows Hello 運作。 IHV 和 OEM 應測試已簽署的驅動程式,以確保它在整體系統中運作。
步驟八:更新現有的驅動程式
如果需要更新先前簽署的驅動程式,請遵循步驟 3 底下的指示,在更新驅動程式的驅動程式組態 xml 中填入 bugId 和 updateExistingSubmission 欄位。 如果要對祖父驅動程序進行更新,則應該使用相同的步驟。 bugId 欄位應該設定為父系驅動程式的提交標識碼,updateExistingSubmission 字段應設定為 true。 驅動程式組態 xml 應該包含在提交的驅動程式套件中。