Search Bloguru posts

数押しゃ撮れる

https://en.bloguru.com/ProDriver

指紋認証(Finger Print Reader)(備忘録)

thread
指紋認証(Finger Pri...
ノートPCのインストールで新しい機能に挑戦してみた。
新しいThinkPad X201sには指紋認証デバイスをオプションで付けたが使わなければ意味がないので本番インストールなので設定した。
仕事柄ログインのアカウントは機能制約の無いBuilt-In Administratorを使ってきたが何と最高権限であるはずのこのアカウントでも出来ないことがあったとは・・・
その出来ないこととはBuilt-In Administratorアカウントでは肝心の指紋認証用の指紋登録がMicrosoft's Built-In Operating System policyによって制限されているということである。

最初Built-In Administratorアカウントで指紋登録するとセキュリティ・ポリシー違反ということで拒否された。
セキュリティを高めるためにしていることが出来ないとはおかしな話である。
そこでBuilt-In Administrator関係のローカルポリシーの設定内容を確認したが該当するところは見当たらない。
ネットにヒントがあるかとサーチしたらありました。

同じ様な問題に遭遇した人がマイクロソフトのテックネットのBBSに問題を投げかけていた。
そこにはマイクロソフトのBiometric Engineerから直接の回答がありトリッキーではあるが出来るという。
以下はその回答文のコピー
-----------------------------------------
The built-in administrator account is not supported by Microsoft WBF and in their policy guidance FMAs are advised to inform organizational admins that biometry is unavailable for built-in administrator and guest accounts. However, there is a work-around to the ever annoying:

Error Code: E7210005 "Operation is not allowed by operating system policies."

First, you have to understand how Fingerprint Software works, at least UPEK, Inc. in this case. Put simply, the UPEK software takes your username and password and links that data to a biometric fingerprint which is given its own unique identifier.

Every username created in Windows is also given a unique identifier, a numerical "fingerprint." This is by design and is separate from the Biometry that comes later. Because the UPEK software does not record this unique user identifier or process it in any way, its fairly simple circumvent Microsoft's Built-In Operating System policy:

1. You will never be able to enroll fingerprints in a built-in admin or guest account directly, you must import them.
2. If you are going to use this feature in contravention to Microsoft operating system policy you are going to have to come up with some renaming conventions.
3. Use Windows Key +R (Run) and type "control userpasswords2"
4. Create a new user with a password and admin rights, choose a username that you will want to rename the built-in Administrator account to, i.e. SysAdmin, or Admin etc.
5. Log Off Administrator and log on to the new account. Enroll all the fingerprints you are going to want to use. Then use the application to "Export" to a file in the root of C or some commonly accessible area.
6. Once this file is exported, log off the new user, log on to the built-in Administrator, first delete the newly created user via Run: "control userpasswords2";
7. Next you want to rename your built-in Administrator account in the Advanced tab to the username you just deleted. It must be the same username exactly.
8. Once you have renamed your built-in Administrator account. Log off. Then Log back on.
9. Start your UPEK suite or Biometry application, and go through the Import process. Once you select your exported file for import, you will generally need to enter the password you created for it when you exported it, but its important to remember that you will only be able to use the fingerprints you enrolled under the other user, you will never be able to add new fingerprints to enroll, or otherwise edit the enrolled fingerprints.
10. For office environments, there are 10 slots so a maximum of 10 users could theoretically have biometric access to the built-in Administrator account in direct violation of operating system policy, a very dumb operating system policy.

Proposed As Answer by Biometric Engineer Tuesday, October 13, 2009 1:10 PM
-----------------------------------------

回答に従い我がニュー・ノートPCもBuilt-In Administratorで指紋認証機能が完璧に使えるようになった。
指紋は10本の指全部登録できるので万が一のことを考えて全部登録した。
しかし、従来のパス・フレーズ入力も有効なのでパス・フレーズさえ忘れなければ両腕を無くしてもログインはできるので心配することは無い(笑)。

で、指紋認証機能を使うと電源オンからログインまで一度のセンサータッチで完結するところが素晴らしい。

後、指紋認証と連動してデーターの暗号化も自動的に行えるようにすることもできる。
この機能を使えばノートPC盗難によるデータ漏洩の危険からも守ることができる。

ただ、マイクロソフトサイトには指紋認証は完ぺきなデバイスではない(指紋認識が状況によってはうまくできない)ので重要な用途には使うなという注意があった。
このポリシーに関連してBuilt-In Administratorアカウントには敢えて使用できなくしたのかと推測できるが何だか変な話である。

【撮影データ】
Canon PowerShot S95
2011/02/15 21:39:53
SS1/15 F2.8 ISO80
露出補正 -1
#PC #テクノロジー #ネット

People Who Wowed This Post

  • If you are a bloguru member, please login.
    Login
  • If you are not a bloguru member, you may request a free account here:
    Request Account
* indicates required fields

🙂 Using emojis in your blog:
• Keyboard shortcuts: For Mac, press [Ctrl + Cmd + Space]; for Windows, press [ Windows Key + . ]
• Copy and paste: Find a list of emojis and paste them into the text field.
  • none
  • center
  • left
  • right
If checked, your avatar will be displayed
Captcha
内倉憲一
Commented by 内倉憲一
Posted at 2011-02-17 14:16

私が買った Lnovo には顔認識のログインがあります。私の写真でも入れるかも・・・

People Who Wowed This Post

ProDriver
Commented by ProDriver
Posted at 2011-02-20 04:34

顔認証の場合写真で認証されたら生態認証の意味がないですが一卵性双生児の場合等はかなりの確率で通るそうです。
また、加齢による変化にも弱いようでしょっちゅう再登録が必要となりそうですね。
その点指紋認証は同一性とか変わるという面では問題なさそうですが。

People Who Wowed This Post

Toshiaki Nomura
Commented by Toshiaki Nomura
Posted at 2011-02-17 21:34

なんだかあまりセキュリティのことを考えたことがないので、
どうもよく分かりません・・・。

パソコンにも指紋認証って入るんですね・・・。
それすらもただいま知りました・・・(ーー;)

People Who Wowed This Post

ProDriver
Commented by ProDriver
Posted at 2011-02-20 04:42

今はどうか知りませんが以前Docomoの富士通製携帯にも指紋認証は付いていました。
仕事メインで使用するノートPCなので盗難などからのデータ保護のため付けました。
最近は情報漏えいの問題が頻発してますからね。
車に置いておいて盗られでもしたら大変ですから。

People Who Wowed This Post

KUMA
Commented by KUMA
Posted at 2011-02-18 00:23

指紋認証は誤作動があるので、使用を辞めました、どうも乾いた指はダメみたいです。

People Who Wowed This Post

ProDriver
Commented by ProDriver
Posted at 2011-02-20 04:47

確かに場合によっては読み取りエラーとなります。
しかし、私は全指登録したのでどれかで通っているので使えると思っています。
電源オンからログオンまで一発で済むのは便利だと感じています。
主要なフォルダーだけ暗号化も設定しておこうかと思います。
全領域だとしょっちゅうエンコード・デコードで処理時間を喰われ体感的に遅くなっても困りますからね。

People Who Wowed This Post

Happy
Sad
Surprise