使用 Active Directory 进行生物识别身份验证

使用 Active Directory 进行生物识别身份验证

已经有各种博客、MSDN 页面、帖子等介绍 Windows 7 和 Windows 2008 R2 支持内置生物特征身份验证(或看起来如此)。(http://technet.microsoft.com/en-us/library/dd759228.aspx) 在 Windows 7 和 Windows 2008 R2 中它还包含一些组策略设置。

有人知道如何启用它以与 Active Directory 配合使用吗?以便它显示在登录屏幕或 UAC 提示上?

答案1

Windows 7 提供了一个设备抽象层,假设您的指纹读取器制造商编写了适当的驱动程序软件,那么读取器本身将“与”Windows 配合使用。Microsoft 这样做的目的是提供一致的用户体验:注册生物特征数据。(Windows 7 中的“提供程序”功能仅支持指纹。Microsoft 可扩展该框架以支持其他类型的生物特征数据,但 Windows 7 中仅添加了指纹 UI。没有视网膜扫描仪供您使用……>微笑<)

从我找到的少量文章来看,似乎至少有一名用户“登记”了他们的指纹后,基于生物特征的登录才可用,并且适用于本地用户帐户和域用户帐户。

我不清楚微软实际上将生物特征数据和用户密码存储在哪里。由于必须在登录前访问这些数据,我猜他们使用某个机器专用密钥对其进行加密,并将其打包在计算机注册表的某个地方。(是的——每本文这似乎就是正在发生的事情……)

微软似乎根本没有考虑过如何在计算机组之间部署此功能。我看不出有任何方法可以将生物特征数据“预加载”到计算机组中。我猜想,例如,如果您想要“企业范围”的生物特征登录功能,则需要每位员工在他们要登录的每台计算机上“登记”他们的指纹。

如果集中式生物特征凭证分发(可以说,它带来了很多有趣的安全挑战)确实不是 Windows 7 中生物特征身份验证功能的一部分,那么可以说它没什么用。

答案2

您可以在 win7/server2K8R2+ 中使用组策略设置允许使用生物识别技术进行域凭据登录。这些凭据需要注册,但它们应该可以在工作站之间漫游。就程序化注册而言……显然您需要先获得指纹数据……这是我目前正在研究的东西。

上述帖子关于生物特征数据的存储方式以及需要在每台工作站上进行注册的说法是不正确的。自从这个问题得到回答以来,WBF 已经完全记录在案。

它不会“将数据打包到注册表中”。

Active Directory 是用于企业范围解决方案的机制。它通过 GPO 启用。它还可用于 UAC 提升。我一直在 Windows 8 上使用它,它真的很棒。

这些链接可能会有帮助:

http://technet.microsoft.com/en-us/library/dd759228.aspx

http://msdn.microsoft.com/en-us/library/windows/desktop/dd401509%28v=vs.85%29.aspx

该 API 确实非常容易理解,并且有详尽的文档记录,并且源代码易于构建。

编辑:指纹数据不会漫游。这是我的实验室被充分利用的副作用。:)

答案3

从相反的方向来看可能更容易。找到适合你需求的设备,然后询问他们了解他们对 AD 和组策略的支持程度。 像这样随机选择的搜索结果。

相关内容