WBF：Windows 7与Windows Server 2008 R2之生物识别功能初探

发布:admin | 发布时间: 2011年5月30日

一、WBF与生物识别技术
    单纯采用沿袭多年的用户名+密码的登录方式已不能满足某些新系统的安全要求，其实在Windows 2000等网路操作系统中的组策略和域以及网站登录普遍采用的验证码就提供了更高级别的安全设置。采用多重认证方式总可以提高安全性；而更为理想安全认证方式当属指纹、虹膜等生物识别技术，但难点是提高了应用成本和技术难度。
   作为新事物的生物识别技术，以往实现时需要有外部硬件甚至第三方软件支持。但在Windows 7和Windows Server 2008 R2中发生了重大变化，它们均提供了专门用于支持生物识别的技术框架WBF (Windows Biometric Framework)，尤其针对指纹识别。WBF组件包括：（1）支持相关标准生物识别外设的驱动界面定义WBDI(Windows Biometric Driver Interface)；（2）用于存储识别指纹数据的WBS (Windows Biometric Service)；（3）用于应用开发平台的Client API；（4）在Windows 7和2008 R2中的设备管理器Device Manager和组策略Group Policy中都提供了本地配置和域范围的配置，包括Biometrics Devices Control Panel和Biometrics等栏目；（5）通过Windows Update发布开发商最新WBF驱动等。WBF所体现的实际功能表现在生物识别登录Biometric Logon（本地机和域）以及具有智能化特征的UAC，指纹识别模板可支持读卡器等设备。
二、Windows 7中的指纹识别登录功能
    在Windows 7中要实现Biometric Logon功能，系统需具有指纹阅读器，当然它可以是附加外设，但有些新款笔记本本身就内置有阅读器，Windows 7及Windows Update网站也提供了配套的驱动程序。
    安装好驱动程序后，下一步就是设置生物识别软件，其步骤包括：（1）登录账户（该账户将用于未来生物识别登录账号）；（2）点击开始菜单中的控制面板，在总体查看栏目点击Biometric Devices applet，如果看不到该栏目，从设备管理器列表中确认有无该生物设备；（3）从弹出对话框点击“Use your fingerprint with Windows”，在下拉框Fingerprint Reader点击指纹识别选项；（4）下一步需要确认是否将指纹作为阅读使用，如果记录成功会有绿色标志，然后点击“完成”，如此这般将所有账户和指纹样本一一输入记录。
    完成上述工作后，进行系统注销，在登录界面就会出现指纹式样图标，它表示系统默认登录方式就是指纹识别。此时如果指纹登录失败。可以点击“其它认证登录”按钮即可切换到普通用户名+密码登录界面。
三、在Windows Server 2008 R2域中有关生物识别的配置管理
    管理员可以在系统域Windows Domain中调用组策略Group Policy限制或阻止生物设备。在2008 R2提供的编辑器Group Policy Management Editor中，右点Group Policy Object (GPO)后在左侧面板会看到Policies，点击其下方的减号，会依次出现Administrative Templates，Policy definitions，Windows Components,，点击Biometrics，会看到下图：

在上图右侧面板中，可以看到有四个策略选项，其含义可解读为如下内容：
(1)Allow the use of biometrics：如果激活此项策略设置, 那么将会使得服务项目Windows Biometric Service 作用于用户应用，即意味着用户能够在Windows Server 2008 R2 servers 或Windows 7 客户端运行生物识别类软件。但该项设置并不意味着能够让用户以生物识别方式登录。如果对该项策略不作配置，WBS依然有效（其实这也是系统默认设置），如果你希望其禁用，即不希望用户运行生物识别应用，此时只要右点选择“Edit”后会有三种选择：Not Configured, Enabled 和 Disabled，点击其中的选项即可。
（2）Allow users to log on using biometrics：如果激活此策略设置，用户就可通过指纹扫描方式登录本地机，同时也表示UAC (User Account Control) 支持指纹识别，但并不表示会支持用户登录系统域。该策略右点菜单同样有编辑功能，可用于设置用户禁用该策略。
（3）Allow domain users to log on using biometrics：本策略的目的是进行自身认证，若激活之，拥有域账户的用户将能通过指纹登录Windows domain。但系统默认设置在此处与上述两策略有所不同，因为在域中的最小权限在默认时并不能通过生物识别方式登录，因而此处的选项“Not Configured”等同于“Disabled”选项，所以此时如果希望用户以生物方式登录域，就必须进行专门配置。
（4）Timeout for fast user switching events:用于设置用户切换事件的最短时间（以秒数计），默认是10秒，最大是60秒。
上述设置内容在Windows7中设置也类似，不作赘述。

文章如转载，请注明转载自：http://www.5iadmin.com/post/849.html