Windows Hello Segurança de Entrada Aprimorada

O Windows Hello permite a autenticação biométrica ou por PIN, eliminando a necessidade de uma senha. A autenticação biométrica usa reconhecimento facial ou impressão digital para provar a identidade de um usuário de forma segura, pessoal e conveniente.

A segurança de entrada avançada (ESS) fornece um nível adicional de segurança aos dados biométricos com o uso de componentes de hardware e software especializados. A Segurança baseada em virtualização (VBS) e o Trusted Platform Module 2.0 são usados para isolar e proteger os dados de autenticação do usuário e proteger o canal de comunicação de dados.

Como a Segurança de Entrada Aprimorada protege os dados biométricos

ESS e reconhecimento facial

Quando a ESS está habilitada, o algoritmo de detecção facial é protegido usando a VBS para isolá-lo do restante do Windows. O hipervisor é usado para especificar e proteger regiões de memória, para que elas só possam ser acessadas por processos em execução na VBS. O hipervisor permite que a câmera facial escreva nessas regiões de memória, fornecendo um caminho isolado para fornecer dados faciais da câmera para o algoritmo de correspondência facial.

Os modelos de detecção facial são gerados na VBS pelo algoritmo de detecção facial protegido. Quando não estão em uso, os dados do modelo de detecção facial são criptografados usando chaves geradas e acessíveis apenas para VBS e, em seguida, armazenados em disco.

ESS e reconhecimento de impressão digital

A ESS só é suportada em sensores de impressão digital com recursos de sensor correspondentes. Esse tipo de sensor inclui um microprocessador e memória que podem ser usados para isolar a correspondência de impressões digitais e o armazenamento de modelo usando hardware.

Os sensores que suportam a ESS têm um certificado embutido durante a fabricação. O certificado pode ser validado pelos componentes biométricos do Windows em execução na VBS e é usado para estabelecer uma sessão segura com o sensor. O sensor e os componentes biométricos do Windows usam a sessão para comunicar as operações de registro e corresponder aos resultados com segurança.

Operações de credencial

Os componentes biométricos do Windows em execução na VBS estabelecem um canal seguro para o TPM usando informações compartilhadas com a VBS pelo TPM durante a inicialização. Quando uma operação de correspondência é bem-sucedida, os componentes biométricos na VBS usam o canal seguro para autorizar o uso de chaves do Windows Hello para autenticar o usuário com seu provedor de identidade, aplicativos e serviços.

Habilitar a Segurança de entrada avançada

A habilitação da ESS depende de hardware, drivers e firmware especializados pré-instalados no sistema. Os fabricantes de dispositivos podem optar por habilitar a Segurança de entrada aprimorada durante a configuração do dispositivo na fábrica.

Requisitos do sistema

Componentes de hardware e software compatíveis são necessários para habilitar a Segurança de Entrada Aprimorada:

• Atender aos requisitos de Segurança baseada em virtualização (VBS),, incluindo a habilitação do Device Guard e o Trusted Platform Module 2.0
• Hardware de sensor biométrico que suporta a ESS
• Drivers de sensor biométrico compatíveis com ESS
• Firmware de dispositivo com uma tabela ACPI de dispositivos seguros (SDEV) configurada pelo fabricante do dispositivo para o hardware biométrico incluído

Compatibilidade do sensor biométrico

Sensor biométrico de detecção facial

A ESS foi projetada para funcionar com uma variedade selecionada de câmeras IR e requer chipsets específicos. As câmeras que suportam a ESS devem ter esse recurso embutido em seu firmware e é necessário usar o driver de câmera UVC padrão do Windows que vem com o sistema operacional.

Para verificar se o módulo de câmera é compatível com a ESS, primeiro, acesse o Gerenciador de dispositivos e expanda a seção Controladores de Barramento serial universal. Clique com o botão direito do mouse no dispositivo que tem Controlador de Host Extensível no nome e selecione a opção Propriedades para exibir as propriedades relacionadas. Se houver diversas entradas para um controlador de host, verifique a seção de propriedades de todas elas. Navegue até a guia Detalhes dos drivers e selecione Recursos no menu suspenso Propriedade. Um dos dispositivos deve mostrar o recurso CM_DEVCAP_SECUREDEVICE.

Em seguida, verifique as seções de propriedades das câmeras do computador acessando a seção Câmeras no Gerenciador de dispositivos. Se houver diversas entradas para câmeras de PC, verifique a seção de propriedades de todas elas. Navegue até a guia Detalhes dos drivers e selecione Recursos no menu suspenso Propriedade. Um dos dispositivos de câmera do computador deve ter a capacidade CM_DEVCAP_SECUREDEVICE.

Sensor biométrico de impressão digital

Os sensores de impressão digital compatíveis com ESS devem ser correspondentes no chip:

• O sensor deve ter um certificado emitido pela Microsoft gravado no dispositivo durante a fabricação
• O driver do dispositivo e o firmware devem dar suporte à funcionalidade de Segurança de entrada aprimorada

Para verificar se um módulo de impressão digital é compatível com ESS, primeiro vá para o Gerenciador de dispositivos e expanda a seção Dispositivos biométricos. Deve haver uma entrada para um sensor de impressão digital. Clique com o botão direito do mouse na entrada do leitor de impressão digital e vá para Propriedades>Detalhes. Na opção Propriedade, selecione Caminho da instância do dispositivo.

Abra regedit.exe e navegue até HKLM\SYSTEM\CurrentControlSet\Enum\[DeviceInstancePath]\Device Parameters\WinBio\Configurations, onde DeviceInstancePath é o caminho listado no Gerenciador de dispositivos. Selecionar Configurações. Deve haver uma chave do registro listada como SecureFingerprint com um valor de dados igual a 1. Se não existir, o dispositivo não é compatível com a segurança.

As configurações também devem ter duas pastas abaixo dela: uma rotulada como 0 e outra rotulada como 1. Se houver apenas uma pasta e não duas, o dispositivo não é compatível com a segurança.

Verificar se a ESS está habilitada

Central de Segurança

Se a ESS estiver habilitada, a seção Segurança do Dispositivo do aplicativo Segurança do Windows terá uma entrada para Segurança de entrada aprimorada. A entrada descreve a funcionalidade de hardware do sistema. Se a seção Segurança de entrada aprimorada não estiver presente, o recurso não está habilitado no sistema.

Se houver um sensor biométrico inserido no dispositivo que não suporte a ESS, ou se esse tipo de hardware biométrico estiver ausente no sistema, será indicado pela descrição Indisponível devido a hardware incompatível ao lado do sensor correspondente. Esta mensagem indica que o hardware não segue os requisitos de sensor necessários para suportar a ESS.

Visualizador de Eventos

A estrutura biométrica do Windows gera eventos de logs quando cada sensor em um sistema é enumerado. Esses logs incluem informações que indicam se um sensor está operando com a Segurança de Entrada Aprimorada habilitada. Os logs de eventos biométricos são encontrados no Visualizador de eventos em Visualizador de eventos>Logs de aplicativos e serviços>Microsoft>Windows>Biometria>Operacional.

Se o dispositivo biométrico for carregado corretamente pela estrutura biométrica do Windows, haverá um ID evento de log 1108 para o sensor correspondente. Se o dispositivo estiver operando com a ESS habilitada, o sensor estará especificado como isolado em um processo do Modo seguro virtual. Se o dispositivo não estiver usando a ESS, ele estará especificado como isolado em um processo do Sistema.

No evento 1108, as câmeras são descritas usando o Dispositivo de software de detecção facial do Windows Hello (ROOT\WINDOWSHELLOFACESOFTWAREDRIVER\0000) e os dispositivos de impressão digital são descritos usando o módulo e a ID do dispositivo específicos dele. Para dispositivos de impressão digital, a ID do dispositivo está listada no Gerenciador de dispositivos em Dispositivos Biométricos>[Módulo de Impressão Digital]>Propriedades>Detalhes>Caminho da instância do dispositivo.

Compatibilidade de aplicativos

Para dispositivos com câmeras compatíveis com ESS, uma tabela de dispositivos seguros (SDEV) é necessária. Quando uma tabela SDEV é implementada e a VBS é ativado, a tabela SDEV é analisada pelo Kernel Seguro e as restrições são impostas ao acessar o espaço de configuração do dispositivo PCI (Interconexão de Componente Periférico). Essas restrições são decretadas para impedir que processos mal-intencionados manipulem o espaço de configuração de dispositivos protegidos especificados na tabela SDEV.

Aplicativos que tentam ler/gravar o espaço de configuração PCI, exceto por meios explicitamente compatíveis com o Windows, resultam em verificações de bugs quando a tabela de SDEV for analisada e imposta.

Todos os drivers e softwares incluídos na imagem do dispositivo devem ser testados quanto à compatibilidade, considerando essas restrições de software. Softwares ou drivers distribuídos para o sistema por meio do Windows Update, da Microsoft Store ou de outros canais aceitáveis pelo fabricante do dispositivo também devem ser verificados quanto à compatibilidade. Sem essa verificação, pode haver um comportamento inesperado no sistema.

Cenários sem suporte

Sensores não suportados pela ESS

Quando a ESS está ativada, apenas os sensores biométricos que suportam a ESS funcionam no sistema. Nenhum sensor não compatível será enumerado pela estrutura biométrica do Windows.

É decisão do fabricante sobre qual hardware eles incluem no sistema e se a Segurança de entrada aprimorada é habilitada por padrão. Se houver alguma preocupação com o bloqueio de modalidades biométricas, entre em contato com o fabricante do dispositivo para obter suporte.

Sensores biométricos conectáveis/periféricos

A ESS não é compatível com sensores de impressão digital externos ou módulos de câmera. Com a ESS habilitada, as operações de sensor biométrico externo ou periférico são bloqueadas, independentemente de terem ou não capacidade de segurança. Se você quiser usar um periférico com a ESS para entrar com o Windows Hello, consulte Desabilitar/habilitar a ESS

Ativar o toque para sensores de impressão digital

A WoT (ativação por toque) é a capacidade do sensor de impressão digital de ativar o sistema e fazer o logon do usuário sem exigir que ele toque no sensor duas vezes. Dispositivos que dão suporte ao Modo de Espera Moderno normalmente habilitam o comportamento do sensor WoT.

A partir do Windows 11, versão 22H2 com KB5027303, a WoT está disponível para dispositivos ESS.

Solução de problemas

A autenticação de detecção facial/impressão digital não está funcionando

Se a autenticação biométrica não estiver funcionando, primeiro verifique se a VBS está em execução e se o componente de segurança foi iniciado. Para verificar se a VBS está em execução, abra Informações do sistema>Resumo do sistema. Deve haver uma entrada para a Segurança baseada em virtualização listada como Em execução.

Verifique, também, se as relações de confiança de isolamento biométrico estão em execução. Devem estar listados em Informações do sistema>Ambiente do software>Tarefas em execução como bioiso.exe e ngciso.exe. Se uma dessas verificações falhar, o sistema poderá não atender aos requisitos de Segurança de entrada aprimorada. Tente reiniciar o serviço biométrico usando a etapa #3.

1. Em Configurações>Opções de entrada, remova o registro que não funciona e registre-se novamente
   1. se a entrada para a detecção facial/impressão digital do Windows Hello não estiver disponível com a condição Não foi possível encontrar um scanner de impressão digital compatível com o Windows Hello Face, ou algo semelhante, avance para a próxima etapa
2. No gerenciador de dispositivos, o sensor deve ser listado em Dispositivos de biometria. Reinstale o driver clicando com o botão direito do mouse no nome do dispositivo e selecione Desinstalar dispositivo. Reinicie o dispositivo para que o Windows tente reinstalar o driver. Verifique se a autenticação está funcionando
3. Para reiniciar o serviço biométrico, primeiro remova o PIN do sistema acessando Opções de entrada e removendo o PIN. Abra uma solicitação de comando como um administrador e digite net stop wbiosrvc && net start wbiosrvc. Verifique se a autenticação de impressão digital está funcionando
4. Se a biometria ainda não estiver funcionando no dispositivo, registre um item de comentários usando o Hub de comentários

Para verificar se a conexão segura foi bem-sucedida, consulte a seção Verificar se a ESS está habilitada.

O PIN não está funcionando

O PIN pode ser redefinido na tela de bloqueio em Opções de entrada. Para fazer isso, remova o PIN e adicione-o novamente. Isso solicitará a redefinição do PIN, que deve restaurar a funcionalidade do PIN.

Habilitar/desabilitar a ESS

Na inicialização do Windows 11, versão 22H2 com KB5031455, os usuários podem desativar temporariamente o ESS se quiserem utilizar um periférico externo para autenticar com o Windows Hello nos seus dispositivos.

Você pode utilizar o aplicativo Configurações para desabilitar o ESS. Selecione Iniciar>Configurações>Contas>Opções de entrada ou utilize o seguinte atalho:

Em Configurações adicionais>Entrar com uma câmera externa ou leitor de impressão digital, há uma alternância que permite que você habilite ou desabilite o ESS:

• Quando a alternância estáDesativada, o ESS está habilitado e você não pode usar periféricos externos para entrar. Lembre-se de que você ainda pode utilizar periféricos externos em aplicativos como o Teams
• Quando a alternância está Ativada, o ESS é desabilitado e você pode utilizar periféricos compatíveis com o Windows Hello para entrar