使用连接到 LDAP 服务器的生物识别系统验证窗口用户

Posted 2023-04-13

【中文标题】使用连接到 LDAP 服务器的生物识别系统验证窗口用户

【英文标题】：Authenticating window user using biometric system connected to LDAP server

【发布时间】：2018-01-29 09:36:57

【问题描述】：

我正在尝试构建一个 Intranet 应用程序。我要做的是使用生物识别系统对用户进行身份验证，准确地说是指纹。就像我见过的一些笔记本电脑或笔记本电脑一样 指纹认证系统。我正在尝试构建相同的东西，但不是针对特定的人。唯一的区别是该人的生物特征信息将存储在 LDAP 服务器上。所以 任何有权使用该特定机器的人都可以在通过身份验证后使用。我正在尝试使用外部生物识别设备获取用户的生物识别信息。我在Windows Biometric Framework 上浏览了一些文档。并且使用sensor adapter和engine adapter作为插件，我可以获取用户的生物特征信息，也可以得到处理并发送到服务器。 我在这里遇到的唯一问题是：

首先，我这样做是否违反了 Microsoft 的任何政策？ 如果没有，我怎样才能获得 Windows 系统锁定和解锁后 无论用户是否有效，都从服务器获取响应？

有人试过吗？ 谁能帮我搞定这个？ 提前谢谢你。

【参考方案1】：

如果您要实际通知内置 Windows 登录/身份验证系统（称为 系统凭据提供程序）用户已通过身份验证，则 不支持由官方 Windows API 支持。 如果支持此功能，任何人都可以创建恶意软件，简单地通知 API 用户已通过身份验证/授权，从而基本上使所有 Windows 安全性变得毫无意义。所以我们应该感谢这没有得到官方支持。

在没有官方 API 支持的情况下尝试实现类似的东西肯定会违反使用条款。由于它没有得到官方的支持，你将不得不求助于一些可怕的黑客来让它工作，微软的法律团队几乎肯定会考虑逆向工程内核或破解内核（或两者兼而有之）。即使您认为他们错了……您真的想与他们（以及他们的财力雄厚）抗争吗？

我们也考虑一下，如果不存在官方的解锁 API，那么您将需要使用某种后门来实现它。如果这样的事情甚至存在，那么它肯定会被 MS 更新变得无用（这会破坏你的应用程序的登录实现）。

既然火与怒已经过去，让我声明，只要您的目标是更新版本的 windows，一切都不会丢失。

您可以按照您的描述实施自己的生物识别安全系统。这现在称为第三方凭据提供程序 这将是一个单独的系统，Microsoft 建议您要求用户设置系统凭据提供程序作为备用，以防您的第三方凭据系统因任何原因出现故障.如果没有，用户帐户将无法恢复。同样，它们与第一个示例的主要区别在于您的系统与系统凭据提供程序（Windows 原生锁定屏幕）是分开的和不同的。 p>

不过，我想强调的是，实施第三方凭证系统仍然远非微不足道。您将需要广泛阅读您必须实现的正确接口。我建议从这里开始：

https://msdn.microsoft.com/en-us/library/windows/desktop/mt158211%28v=vs.85%29.aspx?f=255&MSPPError=-2147217396

在\Samples\Security\CredentialProvider 下的Windows SDK 安装目录中显然也有一个示例。此外，这里还有一个很好的凭证提供者技术参考：

https://msdn.microsoft.com/en-us/library/windows/desktop/bb648647%28v=vs.85%29.aspx?f=255&MSPPError=-2147217396

单击“凭据提供程序驱动的 Windows 登录体验”链接下载技术文档。