Autenticação biométrica com o Active Directory

O Windows 7 fornece uma camada de abstração de dispositivo de tal forma que, supondo que o fabricante do seu leitor de impressões digitais tenha escrito o software de driver apropriado, o próprio leitor "funcionará" com o Windows. O objetivo da Microsoft ao fazer isso era fornecer uma experiência de usuário consistente para registrar dados biométricos. (A funcionalidade "provedor" no Windows 7 suporta apenas impressões digitais. A estrutura é extensível, pela Microsoft, para suportar outros tipos de dados biométricos, mas apenas UI de impressão digital foi adicionado no Windows 7. Nenhum scanner de retina para você ... > sorrir <)

Dos artigos escassos que estou encontrando, parece que o logon baseado em biometria se torna disponível depois que pelo menos um usuário "registrou" suas impressões digitais e funcionará tanto para contas de usuários locais quanto para contas de usuários de domínio.

Não está claro para mim onde a Microsoft está realmente armazenando os dados biométricos e a senha do usuário. Como tem que ser acessível antes do logon, meu palpite é que eles estão criptografando-o com alguma chave específica da máquina e guardando-o no registro do computador em algum lugar. (Sim-- por este artigo que parece ser o que está acontecendo ...)

Certamente parece que a Microsoft não pensou em como implantar essa funcionalidade em grupos de computadores. Não vejo nenhum método para "pré-carregar" dados biométricos em grupos de máquinas. Meu palpite é que, se, por exemplo, você quisesse a capacidade de logon biométrico "em toda a empresa", precisaria que cada funcionário "registrasse" suas impressões digitais em cada computador no qual iriam se conectar.

Se, de fato, a distribuição centralizada de credenciais biométricas (que, provavelmente, apresenta muitos desafios de segurança divertidos) não faz parte da funcionalidade de autenticação biométrica no Windows 7, então, sem dúvida, é de pouca utilidade.

Você pode permitir o logon de credenciais de domínio com o Biometrics no win7 / server2K8R2 + com uma configuração de política de grupo. Essas credenciais exigirão inscrição, mas devem ser transferidas da estação de trabalho para a estação de trabalho. No que diz respeito à inscrição programática ... obviamente você precisaria dos dados das impressões digitais para começar ... É algo que estou pesquisando no momento.

A postagem acima está incorreta sobre como os dados biométricos são armazenados e a necessidade de se inscrever em cada estação de trabalho que será usada. Desde que esta pergunta foi respondida, a WBF foi completamente documentada.

Ele NÃO "compacta os dados no registro".

O Active Directory é o mecanismo usado para soluções para toda a empresa. Está ativado com um GPO. Eu também trabalho para a elevação do UAC. Eu tenho usado isso com o Windows 8 e é muito legal.

Esses links podem ajudar:

link

link

A API é realmente muito fácil de entender e muito bem documentada com código-fonte que cria facilmente.

EDIT: Os dados das impressões digitais NÃO são transferidos. Esse foi um efeito colateral do meu laboratório sendo muito bem usado. :)

Pode ser mais fácil chegar a isso na direção oposta. Encontre um dispositivo que atenda às suas necessidades e pergunte a eles sobre seu nível de suporte para políticas de grupo e AD. Algo parecido com este resultado de pesquisa selecionado aleatoriamente.