Вход в учетную запись Майкрософт с помощью Windows Hello или ключа безопасности
Если вам надоело вспоминать или сбрасывать пароль, попробуйте использовать Windows Hello или ключ безопасности, совместимый с платформой FIDO 2, для входа в свою учетную запись Майкрософт. Для этого вам понадобится только устройство с Windows 11 и браузер Microsoft Edge. (Эта функция пока недоступна для консолей Xbox и телефонов.)
Что такое Windows Hello?
Windows Hello — это персонализированный способ входа с помощью функции распознавания лица, отпечатка пальца или ПИН-кода. Windows Hello можно использовать для входа на устройство с экрана блокировки и для входа в учетную запись в Интернете.
Что такое ключ безопасности?
Ключ безопасности — это физическое устройство, которое можно использовать вместо имени пользователя и пароля для входа в систему. Это может быть USB-ключ, который можно хранить в связке ключей, или NFC-устройство, например смартфон или карточка доступа. Он используется в дополнение к отпечатку пальца или ПИН-коду, поэтому даже если кто-либо получит ваш ключ безопасности, он не сможет войти в систему без вашего ПИН-кода или отпечатка пальца.
Ключи безопасности обычно можно приобрести в розничных магазинах, где продаются периферийные устройства для компьютеров.
Как выполнить вход с помощью Windows Hello
Выполните описанные ниже действия, чтобы настроить Windows Hello, а затем войдите в свою учетную запись Майкрософт в браузере Microsoft Edge.
Нажмите Пуск > Параметры > Учетные записи > Варианты входа.
В разделе Варианты входа выберите элемент Windows Hello, который нужно добавить.
Чтобы добавить Windows Hello в качестве способа входа для своей учетной записи Майкрософт:
Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.
Выберите Безопасность > Расширенные параметры безопасности.
Нажмите Добавьте новый способ входа или проверки.
Выберите Используйте компьютер с Windows.
Следуйте инструкциям по настройке Windows Hello в качестве способа входа в систему.
Как выполнить вход с помощью ключа безопасности
Существуют различные типы ключей безопасности, например USB-ключ, который подключается к устройству, или NFC-ключ, которым нужно коснуться NFC-сканера. Обязательно ознакомьтесь с типом своего ключа безопасности, прочитав прилагающееся к нему руководство от производителя.
Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.
Выберите Безопасность > Расширенные параметры безопасности.
Нажмите Добавьте новый способ входа или проверки.
Определите тип ключа (USB или NFC) и нажмите Далее.
Запустится процесс настройки, в ходе которого нужно будет вставить ключ или коснуться им устройства.
Создайте ПИН-код (или введите существующий ПИН-код, если вы его уже создали).
Выполните следующее действие, коснувшись кнопки или золотого диска на своем ключе (или прочтите руководство, чтобы узнать, какое действие требуется).
Присвойте ключу безопасности имя, чтобы его можно было отличить от других ключей.
Выйдите из своей учетной записи и откройте Microsoft Edge, выберите Использовать Windows Hello или ключ безопасности, затем вставьте ключ или коснитесь им устройства, чтобы выполнить вход.
Примечание: Производитель ключа безопасности может предоставить программное обеспечение, которое позволяет управлять ключом, например менять ПИН-код или создавать отпечаток пальца.
Управление ключами
Выполните описанные ниже действия, чтобы удалить ключи, настроенные для вашей учетной записи.
Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.
Выберите Безопасность > Расширенные параметры безопасности. Управляйте ключами безопасности в разделе Способы подтверждения вашей личности.
Если вам надоело вспоминать или сбрасывать пароль, попробуйте использовать Windows Hello или ключ безопасности, совместимый с платформой FIDO 2, для входа в свою учетную запись Майкрософт. Для этого вам понадобится только устройство с Windows 10 версии 1809 или выше и браузер Microsoft Edge. (Эта функция пока недоступна для консолей Xbox и телефонов.)
Что такое Windows Hello?
Windows Hello — это персонализированный способ входа с помощью функции распознавания лица, отпечатка пальца или ПИН-кода. Windows Hello можно использовать для входа на устройство с экрана блокировки и для входа в учетную запись в Интернете.
Что такое ключ безопасности?
Ключ безопасности — это физическое устройство, которое можно использовать вместо имени пользователя и пароля для входа в систему. Это может быть USB-ключ, который можно хранить в связке ключей, или NFC-устройство, например смартфон или карточка доступа. Он используется в дополнение к отпечатку пальца или ПИН-коду, поэтому даже если кто-либо получит ваш ключ безопасности, он не сможет войти в систему без вашего ПИН-кода или отпечатка пальца.
Ключи безопасности обычно можно приобрести в розничных магазинах, где продаются периферийные устройства для компьютеров.
Как выполнить вход с помощью Windows Hello
Выполните описанные ниже действия, чтобы настроить Windows Hello, а затем войдите в свою учетную запись Майкрософт в браузере Microsoft Edge.
Перейдите в раздел Учетные записи > Варианты входа.
В разделе Управление входом в устройство выберите пункт Windows Hello, чтобы добавить его.
Чтобы добавить Windows Hello в качестве способа входа для своей учетной записи Майкрософт:
Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.
Выберите Безопасность > Расширенные параметры безопасности
Нажмите Добавьте новый способ входа или проверки
Выберите Используйте компьютер с Windows
Следуйте инструкциям в диалоговых окнах, чтобы настроить Windows Hello как способ входа в систему.
Как выполнить вход с помощью ключа безопасности
Существуют различные типы ключей безопасности, например USB-ключ, который подключается к устройству, или NFC-ключ, которым нужно коснуться NFC-сканера. Обязательно ознакомьтесь с типом своего ключа безопасности, прочитав прилагающееся к нему руководство от производителя.
Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.
Выберите Безопасность > Расширенные параметры безопасности
Нажмите Добавьте новый способ входа или проверки
Определите тип ключа (USB или NFC) и нажмите Далее.
Запустится процесс настройки, в ходе которого нужно будет вставить ключ или коснуться им устройства.
Создайте ПИН-код (или введите существующий ПИН-код, если вы его уже создали).
Выполните следующее действие, коснувшись кнопки или золотого диска на своем ключе (или прочтите руководство, чтобы узнать, какое действие требуется).
Присвойте ключу безопасности имя, чтобы его можно было отличить от других ключей.
Выйдите из своей учетной записи и откройте Microsoft Edge, выберите Использовать Windows Hello или ключ безопасности, затем вставьте ключ или коснитесь им устройства, чтобы выполнить вход.
Примечание: Производитель ключа безопасности может предоставить программное обеспечение, которое позволяет управлять ключом, например менять ПИН-код или создавать отпечаток пальца.
Управление ключами
Выполните описанные ниже действия, чтобы удалить ключи, настроенные для вашей учетной записи.
Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.
Выберите Безопасность > Расширенные параметры безопасности, затем в разделе Windows Hello и ключи безопасности нажмите Управление способами входа.
Сведения о приложении Windows Hello и его настройке
Windows Hello — это индивидуально настраиваемый и более безопасный способ получить мгновенный доступ к устройствам Windows 11 с помощью ПИН-кода, распознавания лица или отпечатков пальцев. Вам потребуется настроить ПИН-код при настройке входа с использованием отпечатков пальцев или распознавания лица. Впрочем, можно входить в систему с использованием только ПИН-кода.
Эти варианты упрощают процедуру входа на ваш компьютер и делают ее безопаснее, поскольку ваш ПИН-код связан только с одним устройством, а для резервного копирования он связывается с вашей учетной записью Майкрософт.
Нажмите кнопку выше, чтобы перейти непосредственно к параметрам, или выполните следующие действия для настройки Windows Hello:
В разделе Способы входа приведены три варианта входа с помощью Windows Hello:
Выберите Распознавание лиц Windows Hello, чтобы настроить вход с использованием функции распознавания лица с помощью инфракрасной камеры вашего компьютера или внешней инфракрасной камеры.
Выберите Распознавание отпечатков пальцев Windows Hello, чтобы настроить вход с помощью сканера отпечатков пальцев.
Выберите ПИН-код Windows Hello, чтобы настроить вход с помощью ПИН-кода.
Статьи по теме
Windows Hello — это индивидуально настраиваемый и более безопасный способ получить мгновенный доступ к устройствам Windows 10 с помощью ПИН-кода, распознавания лица или отпечатков пальцев. Вам потребуется настроить ПИН-код при настройке входа с использованием отпечатков пальцев или распознавания лица. Впрочем, можно входить в систему с использованием только ПИН-кода.
Эти варианты упрощают процедуру входа на ваш компьютер и делают ее безопаснее, поскольку ваш ПИН-код связан только с одним устройством, а для резервного копирования он связывается с вашей учетной записью Майкрософт.
Нажмите кнопку выше, чтобы перейти непосредственно к параметрам, или выполните следующие действия для настройки Windows Hello:
В разделе Управление входом на устройство вы увидите три варианта входа с помощью Windows Hello:
Выберите Распознавание лиц Windows Hello, чтобы настроить вход с использованием распознавания лица с помощью инфракрасной камеры вашего компьютера или внешней инфракрасной камеры.
Выберите Распознавание отпечатков пальцев Windows Hello, чтобы настроить вход с сканера отпечатков пальцев.
Выберите ПИН-код Windows Hello, чтобы настроить вход с ПИН-кодом.
Windows Hello для бизнеса
Область применения
В Windows 10, Windows Hello для бизнеса заменяет пароли сильной двух факторов проверки подлинности на устройствах. В процессе проверки подлинности используется новый тип учетных данных пользователя, привязанных к устройству, включая биометрические данные или ПИН-код.
В первых выпусках Windows 10 предоставлялись службы Microsoft Passport и Windows Hello, которые вместе обеспечивали многофакторную проверку подлинности. Чтобы упростить развертывание и расширить возможности поддержки, Microsoft объединила эти технологии в единое решение — Windows Hello. Пользователи, которые уже выполнили развертывание этих технологий, не заметят никаких изменений в функционировании этих служб. Клиентам, которым еще предстоит оценить возможности Windows Hello, будет гораздо легче выполнить развертывание благодаря упрощенным политикам, документации и семантике.
Windows Hello решает следующие проблемы, связанные с паролями.
Windows Hello позволяет пользователям проверять подлинность:
После первоначальной двухэтапной проверки пользователя при регистрации на устройстве настраивается служба Windows Hello, и пользователю Windows предлагается создать ПИН-код или жест, который может быть биометрическим (например, отпечаток пальца). Пользователь делает жест для подтверждения своей личности. В дальнейшем Windows использует Windows Hello для проверки подлинности пользователей.
Администратор предприятия или образовательного учреждения может создать политики для управления службой Windows Hello для бизнеса на устройствах с Windows 10, подключенных к корпоративной сети.
Вход с использованием биометрических данных
Windows Hello обеспечивает надежную комплексную биометрическую проверку подлинности на основе распознавания лиц или отпечатков пальцев. В Windows Hello используется сочетание из особых инфракрасных (ИК)-камер и программного обеспечения, что повышает точность и защищает от спуфинга. Ведущие производители оборудования поставляют устройства со встроенными камерами, совместимыми с Windows Hello. Оборудование для чтения отпечатков пальцев можно использовать или добавлять на устройства, которые в настоящее время не имеют его. На устройствах, Windows Hello, простой биометрический жест открывает учетные данные пользователей.
Биометрические данные, используемые для реализации Windows Hello, надежно хранятся в Windows только на локальном устройстве. Биометрические данные не перемещаются и никогда не отправляются на внешние устройства или серверы. Поскольку Windows Hello только хранит данные биометрической идентификации на устройстве, нет ни одной точки сбора, на который злоумышленник может скомпрометировать, чтобы украсть биометрические данные. Дополнительные сведения о биометрической проверке подлинности Windows Hello для бизнеса см. в Windows Hello биометрии предприятия.
Различия между Windows Hello и Windows Hello для бизнеса
Для удобства входа пользователи могут создать ПИН-код или биометрический жест на своих личных устройствах. Это использование Windows Hello уникально для устройства, на котором оно настроено, но может использовать простой хаш пароля в зависимости от типа учетной записи человека. Эта конфигурация именуется Windows Hello пин-кодом удобства и не опирается на асимметричную (общедоступный или частный ключ) или проверку подлинности на основе сертификатов.
Windows Hello для бизнеса, который настроен политикой групповой политики или управления мобильными устройствами (MDM), всегда использует проверку подлинности на основе ключей или сертификатов. Это делает его гораздо более безопасным, чем Windows Hello пин-код удобства.
Преимущества Windows Hello
Сообщения о хищении персональных данных и широкомасштабных взломах часто появляются в СМИ. Никто не хочет получить уведомление о том, что его имя пользователя и пароль были раскрыты.
Вам может быть интересно, как ПИН-код помогает защитить устройство лучше, чем пароль. Пароли представляют собой общие секреты; они вводятся на устройстве и передаются по сети на сервер. Перехваченное имя и пароль учетной записи может использоваться любым человеком в любом месте. Учетные данные могут быть раскрыты при взломе сервера, на котором они хранятся.
В Windows 10 служба Windows Hello заменяет пароли. Если поставщик удостоверений поддерживает ключи, Windows Hello подготовка создает пару ключей шифрования, привязанную к модулем доверенных платформ (TPM), если устройство имеет TPM 2.0 или в программном обеспечении. Доступ к этим ключам и подпись, подтверждающая владение закрытым ключом, предоставляются только при вводе PIN-кода или биометрического жеста. В процессе двухэтапной проверки, выполняемой при регистрации в службе Windows Hello, создаются доверительные взаимоотношения между поставщиком удостоверений и пользователем. При этом открытая часть пары «открытый/закрытый ключ» отправляется поставщику удостоверений и связывается с учетной записью пользователя. Когда пользователь выполняет жест на устройстве, поставщик удостоверений определяет по комбинации ключей и жеста Hello, что это проверенное удостоверение, и предоставляет маркер проверки подлинности, с помощью которого Windows 10 получает доступ к ресурсам и службам.
Windows Hello — удобный метод входа в систему, основанный на проверке подлинности по имени пользователя и паролю и одновременно позволяющий пользователям отказаться от ввода паролей.
Представьте, что кто-то подсматривает через ваше плечо при получении денежных средств из банкомата и видит вводимый вами PIN-код. Наличие этого PIN-кода не поможет им получить доступ к учетной записи, так как у них нет банковской карты. Аналогичным образом перехват PIN-кода устройства не позволяет злоумышленнику получить доступ к учетной записи, так как PIN-код привязан к конкретному устройству и не обеспечивает никакой проверки подлинности при попытке доступа с других устройств.
Windows Hello защищает удостоверения и учетные данные пользователей. Поскольку пользователь не вводит пароль (за исключением этапа подготовки), можно предотвратить фишинговые атаки и атаки методом подбора. Эта технология также позволяет предотвратить взломы серверов, так как учетные данные Windows Hello являются асимметричной парой ключей. Поскольку эти ключи защищены доверенными платформенными модулями (TPM), снижается угроза атак с повторением пакетов.
Как работает Windows Hello для бизнеса: основные положения
Учетные данные службы Windows Hello основаны на сертификате или асимметричной паре ключей. Учетные данные Windows Hello привязаны к устройству так же, как и маркер, получаемый с помощью этих учетных данных.
Поставщик удостоверений (например, Active Directory, Azure AD или учетная запись Майкрософт) проверяет удостоверение пользователя и сопоставляет открытый ключ Windows Hello с учетной записью пользователя на этапе регистрации.
Ключи могут генерироваться в аппаратном (TPM 1.2 или 2.0 для предприятий и TPM 2.0 для потребителей) или программном обеспечении на основании политики.
Проверка подлинности — это двухфакторная проверка подлинности с сочетанием ключа или сертификата, привязанного к устройству, и чем-то, что человек знает (ПИН-код) или чем-то, чем является человек (биометрия). Жест Windows Hello не перемещается между устройствами и не разделяется с сервером. Шаблоны биометрии хранятся локально на устройстве. ПИН-код никогда не хранится и не является общим.
Закрытый ключ никогда не оставляет устройство при использовании TPM. На проверяющем подлинность сервере хранится открытый ключ, который был сопоставлен с учетной записью пользователя во время регистрации.
При вводе ПИН-кода или использовании биометрического жеста Windows 10 криптографически подписывает данные, передаваемые поставщику удостоверений, с помощью закрытого ключа. Поставщик удостоверений проверяет удостоверение пользователя и подтверждает его подлинность.
Личные (учетная запись Майкрософт) или корпоративные учетные записи (Active Directory или Azure AD) используют единый контейнер для ключей. Все ключи разделены по доменам поставщиков удостоверений в целях обеспечения конфиденциальности пользователя.
Закрытые ключи сертификатов могут быть защищены контейнером Windows Hello и жестом Windows Hello.
Сравнение проверки подлинности на основе ключа и сертификата
Для подтверждения личности служба Windows Hello для бизнеса может использовать ключи (аппаратные или программные) или сертификаты в аппаратном или программном обеспечении. Предприятия, которые имеют инфраструктуру общедоступных ключей (PKI) для выдачи и управления сертификатами конечных пользователей, могут продолжать использовать PKI в сочетании с Windows Hello. Предприятия, которые не используют PKI или хотят сократить усилия, связанные с управлением пользовательскими сертификатами, могут полагаться на учетные данные на основе ключей для Windows Hello но по-прежнему используют сертификаты на контроллерах домена в качестве корня доверия.
Windows Hello для бизнеса с ключом не поддерживает предоставленные учетные данные для RDP. RDP не поддерживает проверку подлинности с помощью ключа или сертификата самозаверяемой подписи. RDP с Windows Hello для бизнеса поддерживается развертыванием на основе сертификатов в качестве предоставленных учетных данных. Windows Hello для бизнеса доверие ключа можно использовать с помощью Защитник Windows Remote Credential Guard.
Windows Hello для бизнеса в начале 2022 г. внедряет новую модель доверия, называемую облачным доверием. Эта модель доверия позволит развертывать Windows Hello для бизнеса с помощью инфраструктуры, внедренной для поддержки входных ключевых элементов безопасности на присоединенных устройствах Hybrid Azure AD и локальном доступе к ресурсам на устройствах Azure AD Joined. Дополнительные сведения будут доступны в Windows Hello для облачного доверия бизнеса, как только он будет доступен.
Подробнее
Видеопрезентация Microsoft Virtual Academy Знакомство с Windows Hello.
Что такое Windows Hello или как научить компьютер узнавать своего владельца
Разработчики Windows регулярно выпускают новые интересные опции для пользователей своей операционной системы. Одна из них — Windows Hello. Данная возможность впервые была представлена в 2015 году. Но не все клиенты Windows знают о ней. Рассмотрим назначение и настройку этой опции.
Что такое Windows Hello
Исходя из названия, можно предположить, что функция Windows Hello — встроенный сервис, который должен приветствовать пользователя в системе. В действительности, так и есть. Когда человек входит в свою учётную запись на ПК или просто запускает устройство, система здоровается с ним и просит пройти идентификацию. Последняя происходит за счёт распознавания отпечатка пальца человека, который владеет данной учётной записью. Кроме того, идентификация может быть по лицу или радужной оболочке глаза.
Такой тип идентификации призван обеспечить пользователя Windows максимально надёжной защитой от несанкционированного доступа к его учётной записи. Человек, который захочет зайти в ПК, просто не сможет этого сделать без вас: подделать лицо, отпечаток пальца и радужную оболочку глаза невозможно.
Плюс данной технологии также в том, что она избавит от необходимости придумывать пароль, запоминать его, а потом каждый раз вводить.
Какие устройства поддерживают функцию Windows Hello
Многие современные устройства, в том числе ноутбуки и смартфоны, оснащены специальными 3D-камерами, которые способны распознавать лица, и сканером отпечатков пальцев (на ноутбуках это обычно какая-либо из клавиш).
Если у вас нет встроенной 3D-камеры, вы можете отдельно её приобрести, например, аксессуар под названием RealScene 3D, чтобы пользоваться этой функцией.
Windows Hello работает на следующих ноутбуках:
Новая опция для идентификации пользователя доступна также на планшетах и смартфонах с операционной системой Windows 10, в частности, на современных телефонах Lumia и планшетах-трансформерах Windows Surface Pro.
Как включить и настроить Windows Hello на Windows 10
Активировать и настроить режим идентификации Windows Hello можно следующим образом:
Видео: как внести свой отпечаток пальца в базу Windows Hello
Если на устройстве есть камера с функцией распознавания лица или даже радужной оболочки глаза либо сканер отпечатков пальцев, воспользуйтесь опцией биометрической идентификации Windows Hello, чтобы защитить данные, хранящиеся на ПК, от посторонних лиц. И тогда никто, кроме вас, не сможет работать в этом устройстве. При этом придумывать сложный пароль не придётся.
Windows Hello расширенная безопасность входа
Как усиленная безопасность входа защищает биометрические данные
Распознавание лиц
При включении усиленной безопасности входа алгоритм распознавания лиц защищен с помощью VBS, чтобы изолировать его от остальных Windows. Гипервизор используется для указания и защиты областей памяти, чтобы они были доступны только процессам, выполняемым в VBS. Гипервизор позволяет фотокамере записывать данные в эти регионы памяти, предоставляя изолированный путь для доставки данных о лицах из камеры в алгоритм сопоставления лиц.
Шаблоны лиц создаются в VBS с помощью алгоритма защищенного лица. Когда они не используются, данные шаблонов лиц шифруются с помощью созданных ключей и доступны только для VBS, а затем сохраняются на диске.
Fingerprint
Улучшенная безопасность входа поддерживается только для датчиков отпечатков пальцев с совпадением с возможностями датчика. Этот тип датчика включает в себя микропроцессор и память, которые можно использовать для изоляции сопоставления и хранилища шаблонов с помощью оборудования.
Датчики, поддерживающие улучшенную безопасность входа, имеют сертификат, внедренный во время производства. этот сертификат можно проверить с помощью Windows биометрических компонентов, выполняемых в VBS, и использовать его для установления безопасного сеанса с датчиком. компоненты биометрических датчиков и Windows используют этот сеанс для обмена операциями регистрации и безопасной согласованности результатов.
Операции с учетными данными
Windows биометрические компоненты, выполняемые в VBS, устанавливают безопасный канал к доверенному платформенному модулю, используя сведения, совместно используемые доверенным платформенным модулем во время загрузки. когда операция сопоставления является успешной, биометрические компоненты в VBS используют этот канал для авторизации использования ключей Windows Hello для проверки подлинности пользователя с помощью поставщика удостоверений, приложений и служб.
Разделы справки получить повышенную безопасность входа
Включение зависит от специализированного оборудования, драйверов и встроенного по, предварительно установленного в системе. Изготовители устройств могут включить повышенную безопасность входа на устройствах во время настройки устройства в фабрике.
Совместимость систем
Для обеспечения повышенной безопасности входа требуются совместимые аппаратные и программные компоненты.
Совместимость биометрических датчиков
Биометрический датчик лица
Улучшенная безопасность входа поддерживает только некоторые ИК-камеры USB на наборах микросхем Intel. Поддерживаемые камеры должны поддерживать улучшенную безопасность входа в встроенное по. требуется использовать драйвер увк для папки «входящие» Windows. Чтобы проверить, поддерживает ли модуль камеры улучшенную безопасность входа, сначала перейдите к диспетчер устройств и разверните раздел «универсальные последовательные контроллеры шины». Щелкните правой кнопкой мыши устройство с именем «Intel (R) USB 3,1 расширенный хост-контроллер — 1,10 (Microsoft)» и выберите пункт Свойства, чтобы просмотреть свойства устройства. Если для контроллера узла имеется несколько записей, проверьте параметры обоих параметров в разделе Свойства. Перейдите на вкладку Сведения драйвера и выберите возможности в раскрывающемся меню Свойства. На одном из устройств должна отображаться возможность «CM_DEVCAP_SECUREDEVICE».
Затем проверьте разделы «Свойства» камеры ПК, перейдя к разделу «камеры» в диспетчер устройств. Если имеется несколько записей для камер PC, проверьте оба раздела свойств. Перейдите на вкладку Сведения драйверов и выберите возможности в раскрывающемся меню Свойства. Одно из устройств камеры должно иметь возможность «CM_DEVCAP_SECUREDEVICE».
Биометрический датчик отпечатков пальцев
Усовершенствованные датчики отпечатков пальцев с поддержкой безопасности при входе должны соответствовать микросхемам. Датчик должен иметь сертификат, выданный корпорацией Майкрософт, который был записан на устройство во время производства. Драйвер устройства и встроенное по должны поддерживать расширенные функции безопасности входа. Чтобы проверить, поддерживает ли модуль отпечатков пальцев безопасный вход, сначала выберите Открыть Диспетчер устройств и разверните раздел биометрические устройства. Должна быть запись для датчика отпечатков пальцев. Щелкните правой кнопкой мыши запись о сканере отпечатков пальцев и выберите свойства, а затем — сведения. В параметре свойства выберите «путь к экземпляру устройства».
Откройте regedit.exe и перейдите к HKLM\SYSTEM\CurrentControlSet\Enum\[DeviceInstancePath]\Device Parameters\WinBio\Configurations папке, где девицеинстанцепас — путь, указанный в Диспетчер устройств. Выберите «конфигурации». Должен быть указан раздел реестра с именем «Секурефинжерпринт» и значением данных 1. Если устройство не существует, оно не поддерживает защиту.
В конфигурациях также должны находиться две папки под ней: одна с меткой «0» и одна с меткой «1». Если имеется только одна папка, а не две, устройство не поддерживает защиту.
Разделы справки выяснить, включена ли усиленная безопасность входа
Центр безопасности
в разделе «безопасность устройства» приложения Безопасность Windows будет добавлена запись для повышения безопасности входа, если она включена в системе. В этой записи будут описаны аппаратные возможности системы. Если раздел Улучшенный вход в систему отсутствует, эта функция не включена в системе.
При наличии биометрического датчика, встроенного в устройство, которое не поддерживает повышенную безопасность входа или отсутствие в системе биометрического оборудования, оно будет отмечено описанием «недоступно из-за несовместимого оборудования» рядом с соответствующим датчиком. Это сообщение означает, что оборудование не соответствует требованиям датчика, необходимым для поддержки повышенной безопасности входа.
Просмотр событий
если биометрическое устройство правильно загружено с помощью Windowsной платформы биометрической метрики, для соответствующего датчика будет зарегистрировано событие журнала с идентификатором 1108. Если устройство работает с включенной усиленной безопасностью входа, датчик будет указан как изолированный в процессе виртуального безопасного режима. Если устройство не использует улучшенную безопасность входа, оно будет указано как изолированное в системном процессе.
в событии 1108 камеры будут описываться с помощью устройства «Windows Hello» программное обеспечение «(ROOT\WINDOWSHELLOFACESOFTWAREDRIVER\0000)», а устройства отпечатков пальцев будут описаны с помощью конкретного модуля и идентификатора устройства. Для устройств отпечатков пальцев идентификатор устройства можно найти в диспетчере устройств в разделе Биометрические устройства [модуль отпечатка] > сведения о > пути к экземпляру устройства.
Совместимость приложений
Для устройств с улучшенными камерами, поддерживающими безопасность входа, требуется таблица Secure Devices (СДЕВ). После реализации таблицы СДЕВ и включения VBS таблица СДЕВ анализируется с помощью безопасного ядра, а ограничения применяются для доступа к области конфигурации устройства PCI. Эти ограничения применяются для предотвращения манипулирования вредоносными процессами пространства конфигурации защищенных устройств, указанных в таблице СДЕВ.
приложения, пытающиеся выполнить чтение и запись конфигурационной области PCI, за исключением случаев, явно поддерживаемых Windows, приведут к проверке ошибок при анализе и применении таблицы сдев.
Все драйверы и программное обеспечение, входящее в образ устройства, должны быть протестированы на совместимость, учитывая эти ограничения по. программное обеспечение или драйверы, распространяемые в систему с помощью Центр обновления Windows, Microsoft Store или других допустимых каналов производителя устройства, также должны проверяться на совместимость. Без этой проверки может возникнуть непредвиденное поведение системы.
Неподдерживаемые сценарии
включение поддержки расширенного входа при обновлении Windows
в настоящее время улучшенная безопасность входа поддерживается только на устройствах, настроенных производителем устройства, чтобы обеспечить возможность обновления Windows 10 октября 2020. На рынке устройств, поддерживающих оборудование, обновление до этой сборки ОС в настоящее время не поддерживается.
Датчики, поддерживающие нерасширенные входы
При включении усиленной безопасности входа в систему будут работать только биометрические датчики, поддерживающие улучшенную безопасность входа. все неподдерживаемые датчики не будут перечисляться Windowsной структурой биометрической метрики. Для использования датчика, несовместимого с расширенной безопасностью входа, пользователю потребуется отключить VBS.
Изготовитель принимает решение о том, какое оборудование они включают в систему, и включена ли по умолчанию Улучшенная безопасность входа. Если биометрическая модальностей заблокирована, обратитесь к изготовителю устройства за поддержкой.
Биометрические датчики подключаемых модулей и периферийных устройств
Улучшенная безопасность входа не поддерживается для внешних датчиков отпечатков пальцев или модулей камеры. Благодаря расширенной безопасности входа внешние или периферийные операции биометрического датчика будут заблокированы независимо от того, являются ли они безопасными.
Пробуждение сенсорного экрана для датчиков отпечатков пальцев
Устранение неполадок
Проверка подлинности лиц и отпечатков пальцев не работает
Если биометрическая проверка подлинности не работает, сначала проверьте, выполняется ли VBS и запущен ли безопасный компонент. чтобы проверить, выполняется ли VBS, откройте Сведения о системе и проверьте раздел «сводка системы». должна быть запись «безопасность на основе виртуализации» в списке «работает».
ПИН-код не работает
ПИН-код можно сбросить на экране блокировки в разделе Параметры входа. Для этого удалите ПИН-код и добавьте его снова. При этом будет предложено сбросить ПИН-код, который должен восстановить функциональность ПИН-кода.
Что происходит, если пользователь отключает улучшенную безопасность входа
Отключить усиленную безопасность входа не рекомендуется, но если по какой-либо причине эта функция отключена, пользователю следует принудительно выполнить сброс ПИН. Ранее установленные учетные данные больше не будут доступны через границу безопасности после выключения усиленной безопасности входа. Пользователь должен иметь возможность повторно регистрировать ПИН-код и (или) биометрию, независимо от того, были ли они использованы в безопасном режиме после отключения усиленной безопасности входа. Кроме того, оборудование, которое не поддерживалось во время включения усиленной безопасности входа, теперь должно работать с отключенной безопасностью входа.