Pe PrimaryDomainController se va crea politica GPO: Allow_BiometricAuth (se poate numi in orice fel dorit). In politica Allow_BiometricAuth, click dreapta si ales Edit, se vor configura urmatoarele pe rutele:

• Computer Configuration > Policies > Administrative Templates > Windows Components > Biometrics

Allow the use of biometrics: De pus pe “Enabled”
Allow users to log on using biometrics: De pus pe “Enabled”
Allow domain users to log on using biometrics: De pus pe “Enabled”

• Computer Configuration > Policies > Administrative Templates > System > Logon

Turn on convenience PIN sign-in: Pus pe “Enabled”
Turn off picture password sign-in: Pus pe “Enabled”

Pentru Windows Hello:

• Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Hello for Business

Use Windows Hello for Business: De pus pe “Enabled”
Configure device unlock factors: De pus pe “allow biometric factors”

• Computer Configuration > Policies > Windows Settings > System Services
  

  De pus pe enabled: “Enable Windows Biometric Service” si sa se treaca “Windows Biometric Service” pe “Automatic”.

Pentru aplicare unitara:

• De verificat la Security Filtering (in Group Policy Management) pentru Authenticated Users ca la permisiuni sa existe “Read” si “Apply group policy”
• Aplicarea doar pentru cativa utilizatori: se va crea un grup de securitate in AD. Respectivul grup de securitate se va trece in Security Filtering (aflat in Group Policy Management) si se vor acorda aceleasi permisiuni ca si la Authenticated Users. In grupul de securitate se vor adauga doar utilizatorii care necesita autentificare biometrica.
• La final sa se verifice ca politica sa fie pe ”Enabled” si sa se activeze cu gpupdate /force pe server.
• Pentru aplicare politica, se poate verifica in admin cmd cu gpresult /r pe server sau cu gpresult /h C:\Users\nume.utilizator\Desktop\report.html pe statia din domeniu.

Inainte de configurare si aplicare politica, sa se verifice pe statii ca:

• Query din Registru “HKLM\SOFTWARE\Policies\Microsoft\Biometrics” sa fie pe ”enabled”
• Driverele pe statii sa fie instalate in cazul in care autentificarea biometrica se realizeaza de o solutie third-party
• Serviciile WbioSrvc(Microsoft Biometric Service) si NgcIso.exe(Windows Hello Security Process) sa fie pornite
• In Win+R si notat tpm.msc sa fie verificata ca versiunea TPM2.0 activa pe statie
• Sa aiba Windows 10/11 Pro sau Enterprise si ca statia sa fie conectata la reteaua firmei.
• De verificat ca firewall local sa nu blocheze porturile TCP 135, 139, 445 de pe statii. Daca este o solutie third-party pentru autentificare biometrica, sa se faca regula separata in Firewall pentru allow porturi SQL database 1433, respectiv allow porturi specifice pentru dispozitive cum ar fi portul 43870.
• Sa se noteze gpupdate /force in cmd pe statie urmat apoi de restart
• De verificat si gpresult.html de pe statie ca sa se vada daca noua politica se aplica.

Nota Bene:
Utilizatorii trebuie sa inteleaga procesul de inregistrare si faptul ca configurarea codului PIN este obligatorie inainte de inregistrarea biometrica.

Pasii pentru utilizatori sunt urmatori:

1. Utilizatorii vor accesa Settings > Accounts > Sign-in options
2. Mai intai trebuie sa configureze un cod PIN(cerinta obligatorie)
3. Apoi trebuie sa inregistreze datele biometrice(amprenta digitala/aspectul vizual)

Daca sunt erori, se pot verifica pe urmatoarele rute pe statii:

• Applications and Services Logs > Microsoft > Windows > Biometrics
• Applications and Services Logs > Microsoft > Windows > HelloForBusiness.