指紋認証(Finger Print Reader)(備忘録)
2月
18日
新しいThinkPad X201sには指紋認証デバイスをオプションで付けたが使わなければ意味がないので本番インストールなので設定した。
仕事柄ログインのアカウントは機能制約の無いBuilt-In Administratorを使ってきたが何と最高権限であるはずのこのアカウントでも出来ないことがあったとは・・・
その出来ないこととはBuilt-In Administratorアカウントでは肝心の指紋認証用の指紋登録がMicrosoft's Built-In Operating System policyによって制限されているということである。
最初Built-In Administratorアカウントで指紋登録するとセキュリティ・ポリシー違反ということで拒否された。
セキュリティを高めるためにしていることが出来ないとはおかしな話である。
そこでBuilt-In Administrator関係のローカルポリシーの設定内容を確認したが該当するところは見当たらない。
ネットにヒントがあるかとサーチしたらありました。
同じ様な問題に遭遇した人がマイクロソフトのテックネットのBBSに問題を投げかけていた。
そこにはマイクロソフトのBiometric Engineerから直接の回答がありトリッキーではあるが出来るという。
以下はその回答文のコピー
-----------------------------------------
The built-in administrator account is not supported by Microsoft WBF and in their policy guidance FMAs are advised to inform organizational admins that biometry is unavailable for built-in administrator and guest accounts. However, there is a work-around to the ever annoying:
Error Code: E7210005 "Operation is not allowed by operating system policies."
First, you have to understand how Fingerprint Software works, at least UPEK, Inc. in this case. Put simply, the UPEK software takes your username and password and links that data to a biometric fingerprint which is given its own unique identifier.
Every username created in Windows is also given a unique identifier, a numerical "fingerprint." This is by design and is separate from the Biometry that comes later. Because the UPEK software does not record this unique user identifier or process it in any way, its fairly simple circumvent Microsoft's Built-In Operating System policy:
1. You will never be able to enroll fingerprints in a built-in admin or guest account directly, you must import them.
2. If you are going to use this feature in contravention to Microsoft operating system policy you are going to have to come up with some renaming conventions.
3. Use Windows Key +R (Run) and type "control userpasswords2"
4. Create a new user with a password and admin rights, choose a username that you will want to rename the built-in Administrator account to, i.e. SysAdmin, or Admin etc.
5. Log Off Administrator and log on to the new account. Enroll all the fingerprints you are going to want to use. Then use the application to "Export" to a file in the root of C or some commonly accessible area.
6. Once this file is exported, log off the new user, log on to the built-in Administrator, first delete the newly created user via Run: "control userpasswords2";
7. Next you want to rename your built-in Administrator account in the Advanced tab to the username you just deleted. It must be the same username exactly.
8. Once you have renamed your built-in Administrator account. Log off. Then Log back on.
9. Start your UPEK suite or Biometry application, and go through the Import process. Once you select your exported file for import, you will generally need to enter the password you created for it when you exported it, but its important to remember that you will only be able to use the fingerprints you enrolled under the other user, you will never be able to add new fingerprints to enroll, or otherwise edit the enrolled fingerprints.
10. For office environments, there are 10 slots so a maximum of 10 users could theoretically have biometric access to the built-in Administrator account in direct violation of operating system policy, a very dumb operating system policy.
Proposed As Answer by Biometric Engineer Tuesday, October 13, 2009 1:10 PM
-----------------------------------------
回答に従い我がニュー・ノートPCもBuilt-In Administratorで指紋認証機能が完璧に使えるようになった。
指紋は10本の指全部登録できるので万が一のことを考えて全部登録した。
しかし、従来のパス・フレーズ入力も有効なのでパス・フレーズさえ忘れなければ両腕を無くしてもログインはできるので心配することは無い(笑)。
で、指紋認証機能を使うと電源オンからログインまで一度のセンサータッチで完結するところが素晴らしい。
後、指紋認証と連動してデーターの暗号化も自動的に行えるようにすることもできる。
この機能を使えばノートPC盗難によるデータ漏洩の危険からも守ることができる。
ただ、マイクロソフトサイトには指紋認証は完ぺきなデバイスではない(指紋認識が状況によってはうまくできない)ので重要な用途には使うなという注意があった。
このポリシーに関連してBuilt-In Administratorアカウントには敢えて使用できなくしたのかと推測できるが何だか変な話である。
【撮影データ】
Canon PowerShot S95
2011/02/15 21:39:53
SS1/15 F2.8 ISO80
露出補正 -1
投稿日 2011-02-18 07:16
ワオ!と言っているユーザー
投稿日 2011-02-20 21:34
ワオ!と言っているユーザー
投稿日 2011-02-18 14:34
ワオ!と言っているユーザー
投稿日 2011-02-20 21:42
ワオ!と言っているユーザー
投稿日 2011-02-18 17:23
ワオ!と言っているユーザー
投稿日 2011-02-20 21:47
ワオ!と言っているユーザー