記事検索

数押しゃ撮れる

https://jp.bloguru.com/ProDriver

指紋認証(Finger Print Reader)(備忘録)

スレッド
指紋認証(Finger Pri...
ノートPCのインストールで新しい機能に挑戦してみた。
新しいThinkPad X201sには指紋認証デバイスをオプションで付けたが使わなければ意味がないので本番インストールなので設定した。
仕事柄ログインのアカウントは機能制約の無いBuilt-In Administratorを使ってきたが何と最高権限であるはずのこのアカウントでも出来ないことがあったとは・・・
その出来ないこととはBuilt-In Administratorアカウントでは肝心の指紋認証用の指紋登録がMicrosoft's Built-In Operating System policyによって制限されているということである。

最初Built-In Administratorアカウントで指紋登録するとセキュリティ・ポリシー違反ということで拒否された。
セキュリティを高めるためにしていることが出来ないとはおかしな話である。
そこでBuilt-In Administrator関係のローカルポリシーの設定内容を確認したが該当するところは見当たらない。
ネットにヒントがあるかとサーチしたらありました。

同じ様な問題に遭遇した人がマイクロソフトのテックネットのBBSに問題を投げかけていた。
そこにはマイクロソフトのBiometric Engineerから直接の回答がありトリッキーではあるが出来るという。
以下はその回答文のコピー
-----------------------------------------
The built-in administrator account is not supported by Microsoft WBF and in their policy guidance FMAs are advised to inform organizational admins that biometry is unavailable for built-in administrator and guest accounts. However, there is a work-around to the ever annoying:

Error Code: E7210005 "Operation is not allowed by operating system policies."

First, you have to understand how Fingerprint Software works, at least UPEK, Inc. in this case. Put simply, the UPEK software takes your username and password and links that data to a biometric fingerprint which is given its own unique identifier.

Every username created in Windows is also given a unique identifier, a numerical "fingerprint." This is by design and is separate from the Biometry that comes later. Because the UPEK software does not record this unique user identifier or process it in any way, its fairly simple circumvent Microsoft's Built-In Operating System policy:

1. You will never be able to enroll fingerprints in a built-in admin or guest account directly, you must import them.
2. If you are going to use this feature in contravention to Microsoft operating system policy you are going to have to come up with some renaming conventions.
3. Use Windows Key +R (Run) and type "control userpasswords2"
4. Create a new user with a password and admin rights, choose a username that you will want to rename the built-in Administrator account to, i.e. SysAdmin, or Admin etc.
5. Log Off Administrator and log on to the new account. Enroll all the fingerprints you are going to want to use. Then use the application to "Export" to a file in the root of C or some commonly accessible area.
6. Once this file is exported, log off the new user, log on to the built-in Administrator, first delete the newly created user via Run: "control userpasswords2";
7. Next you want to rename your built-in Administrator account in the Advanced tab to the username you just deleted. It must be the same username exactly.
8. Once you have renamed your built-in Administrator account. Log off. Then Log back on.
9. Start your UPEK suite or Biometry application, and go through the Import process. Once you select your exported file for import, you will generally need to enter the password you created for it when you exported it, but its important to remember that you will only be able to use the fingerprints you enrolled under the other user, you will never be able to add new fingerprints to enroll, or otherwise edit the enrolled fingerprints.
10. For office environments, there are 10 slots so a maximum of 10 users could theoretically have biometric access to the built-in Administrator account in direct violation of operating system policy, a very dumb operating system policy.

Proposed As Answer by Biometric Engineer Tuesday, October 13, 2009 1:10 PM
-----------------------------------------

回答に従い我がニュー・ノートPCもBuilt-In Administratorで指紋認証機能が完璧に使えるようになった。
指紋は10本の指全部登録できるので万が一のことを考えて全部登録した。
しかし、従来のパス・フレーズ入力も有効なのでパス・フレーズさえ忘れなければ両腕を無くしてもログインはできるので心配することは無い(笑)。

で、指紋認証機能を使うと電源オンからログインまで一度のセンサータッチで完結するところが素晴らしい。

後、指紋認証と連動してデーターの暗号化も自動的に行えるようにすることもできる。
この機能を使えばノートPC盗難によるデータ漏洩の危険からも守ることができる。

ただ、マイクロソフトサイトには指紋認証は完ぺきなデバイスではない(指紋認識が状況によってはうまくできない)ので重要な用途には使うなという注意があった。
このポリシーに関連してBuilt-In Administratorアカウントには敢えて使用できなくしたのかと推測できるが何だか変な話である。

【撮影データ】
Canon PowerShot S95
2011/02/15 21:39:53
SS1/15 F2.8 ISO80
露出補正 -1
#PC #テクノロジー #ネット

ワオ!と言っているユーザー

  • ブログルメンバーの方は下記のページからログインをお願いいたします。
    ログイン
  • まだブログルのメンバーでない方は下記のページから登録をお願いいたします。
    新規ユーザー登録へ
内倉憲一
内倉憲一さんからコメント
投稿日 2011-02-18 07:16

私が買った Lnovo には顔認識のログインがあります。私の写真でも入れるかも・・・

ワオ!と言っているユーザー

ProDriver
ProDriverさんからコメント
投稿日 2011-02-20 21:34

顔認証の場合写真で認証されたら生態認証の意味がないですが一卵性双生児の場合等はかなりの確率で通るそうです。
また、加齢による変化にも弱いようでしょっちゅう再登録が必要となりそうですね。
その点指紋認証は同一性とか変わるという面では問題なさそうですが。

ワオ!と言っているユーザー

Toshiaki Nomura
Toshiaki Nomuraさんからコメント
投稿日 2011-02-18 14:34

なんだかあまりセキュリティのことを考えたことがないので、
どうもよく分かりません・・・。

パソコンにも指紋認証って入るんですね・・・。
それすらもただいま知りました・・・(ーー;)

ワオ!と言っているユーザー

ProDriver
ProDriverさんからコメント
投稿日 2011-02-20 21:42

今はどうか知りませんが以前Docomoの富士通製携帯にも指紋認証は付いていました。
仕事メインで使用するノートPCなので盗難などからのデータ保護のため付けました。
最近は情報漏えいの問題が頻発してますからね。
車に置いておいて盗られでもしたら大変ですから。

ワオ!と言っているユーザー

KUMA
KUMAさんからコメント
投稿日 2011-02-18 17:23

指紋認証は誤作動があるので、使用を辞めました、どうも乾いた指はダメみたいです。

ワオ!と言っているユーザー

ProDriver
ProDriverさんからコメント
投稿日 2011-02-20 21:47

確かに場合によっては読み取りエラーとなります。
しかし、私は全指登録したのでどれかで通っているので使えると思っています。
電源オンからログオンまで一発で済むのは便利だと感じています。
主要なフォルダーだけ暗号化も設定しておこうかと思います。
全領域だとしょっちゅうエンコード・デコードで処理時間を喰われ体感的に遅くなっても困りますからね。

ワオ!と言っているユーザー

ハッピー
悲しい
びっくり