Настройте и используйте безопасный вход YubiKey для локальной учетной записи в Windows 10

Пользователи могут использовать аппаратные ключи безопасности, произведенные шведской компанией Yubico , для входа в локальную учетную запись в Windows 10 . Недавно компания выпустила первую стабильную версию приложения Yubico Login для Windows(Login for Windows application) . В этом посте мы покажем вам, как установить и настроить YubiKey для использования на ПК с Windows 10.

YubiKey — это аппаратное устройство аутентификации, которое поддерживает одноразовые пароли, шифрование и аутентификацию с открытым ключом, а также протоколы Universal 2nd Factor (U2F) и FIDO2 , разработанные FIDO Alliance . Это позволяет пользователям безопасно входить в свои учетные записи, выдавая одноразовые пароли или используя пару открытого/закрытого ключа на основе FIDO, сгенерированную устройством. YubiKey также позволяет хранить статические пароли для использования на сайтах, которые не поддерживают одноразовые пароли. Facebook использует YubiKey для учетных данных сотрудников, а Google поддерживает его как для сотрудников, так и для пользователей. Некоторые менеджеры паролей поддерживают YubiKey .Yubico также производит ключ безопасности(Security Key) , устройство, похожее на YubiKey , но ориентированное на аутентификацию с открытым ключом.

YubiKey позволяет пользователям подписывать, шифровать и расшифровывать сообщения, не раскрывая закрытые ключи внешнему миру. Ранее эта функция была доступна только для пользователей Mac и Linux .

To configure/set up YubiKey on Windows 10, you’ll need the following:

  1. Аппаратное USB-устройство YubiKey.
  2. Программное обеспечение Yubico Login для Windows.
  3. Программное обеспечение YubiKey Manager.

Все они доступны на yubico.com во вкладке « Продукты(Product) ». Также следует отметить, что приложение YubiKey не поддерживает локальные учетные записи Windows , управляемые Azure Active Directory ( AAD ) или Active Directory (AD), а также учетные записи Microsoft .

(YubiKey)Аппаратное устройство аутентификации YubiKey

Перед установкой программного обеспечения Yubico Login для Windows запишите свое имя пользователя и пароль Windows для локальной учетной записи . (Windows)Лицо, устанавливающее программное обеспечение, должно иметь имя пользователя и пароль Windows для своей учетной записи. (Windows)Без них ничего настроить нельзя, а учетная запись недоступна. По умолчанию поставщик учетных данных Windows запоминает ваш последний вход в систему, поэтому вам не нужно вводить имя пользователя.

По этой причине многие люди могут не помнить имя пользователя. Однако после установки инструмента и перезагрузки загружается новый поставщик учетных данных Yubico , так что и администраторы, и конечные пользователи фактически должны вводить имя пользователя. (Yubico)По этим причинам не только администратор, но и все, чья учетная запись должна быть настроена через Yubico Login для Windows , должны убедиться, что они могут войти в систему, используя имя пользователя и пароль Windows для своей локальной учетной записи, ДО того, как администратор установит инструмент и настроит конец. -аккаунты пользователей.

Также необходимо отметить, что после настройки Yubico Login для Windows есть:

  • Нет подсказки пароля Windows
  • Нет возможности сбросить пароли
  • Нет функции « Remember Previous User/Login .

Кроме того, автоматический вход в Windows несовместим с Yubico Login для Windows . Если пользователь, чья учетная запись была настроена для автоматического входа, больше не помнит свой первоначальный пароль, когда конфигурация Yubico Login для Windows вступит в силу, доступ к учетной записи будет невозможен. Решите(Address) эту проблему заблаговременно:

  • Предоставление пользователям установки новых паролей перед отключением автоматического входа в систему.
  • Попросите всех пользователей убедиться, что они могут получить доступ к своим учетным записям с помощью имени пользователя и нового пароля, прежде чем использовать Yubico Login для Windows для настройки их учетных записей.

Для установки программного обеспечения требуются права администратора .

Установка ЮбиКей

Во-первых, подтвердите свое имя пользователя. После того, как вы установили Yubico Login для Windows и перезагрузились, вам нужно будет ввести его в дополнение к вашему паролю для входа в систему. Для этого откройте командную строку(Command Prompt) или PowerShell из меню « Пуск(Start) » и выполните приведенную ниже команду.

whoami

Обратите(Take) внимание на полный вывод, который должен иметь вид DESKTOP-1JJQRDF\jdoe , где  jdoe  — имя пользователя.

  1. Загрузите(Download) программное обеспечение Yubico Login(Yubico Login) для Windows отсюда(here) .
  2. Запустите программу установки, дважды щелкнув файл загрузки.
  3. Примите лицензионное соглашение с конечным пользователем.
  4. В мастере установки укажите расположение папки назначения или примите расположение по умолчанию.
  5. Перезагрузите компьютер, на котором было установлено программное обеспечение. После перезапуска поставщик учетных данных Yubico отображает экран входа в систему, который запрашивает YubiKey .

Поскольку YubiKey еще не предоставлен, вы должны сменить пользователя и ввести не только пароль для вашей локальной учетной записи Windows , но и ваше имя пользователя для этой учетной записи. При необходимости вам может потребоваться изменить учетную запись Microsoft на локальную учетную запись .

После входа в систему найдите «Конфигурация входа» с зеленым значком. (Элемент, помеченный как Yubico Login for Windows , — это просто установщик, а не приложение.)

Конфигурация ЮбиКей

(Administrator)Для настройки программного обеспечения требуются права администратора .
Только поддерживаемые учетные записи могут быть настроены для входа в Yubico(Yubico Login) для Windows . Если вы запускаете мастер настройки, а искомая учетная запись не отображается, значит, она не поддерживается и, следовательно, недоступна для настройки.

В процессе настройки потребуется следующее;

  • Первичный и резервный ключи(Primary and Backup Keys) : используйте разные YubiKey для каждой регистрации. Если вы настраиваете резервные ключи, у каждого пользователя должен быть один YubiKey для основного и второй для резервного ключа.
  • Код восстановления(Recovery Code) : Код восстановления — это последний механизм аутентификации пользователя, если все ключи YubiKey были утеряны. Коды восстановления(Recovery) можно назначать указанным вами пользователям; однако код восстановления можно использовать только в том случае, если имя пользователя и пароль для учетной записи также доступны. В процессе настройки предоставляется возможность сгенерировать код восстановления.

Шаг 1: В меню « Пуск(Start) » Windows выберите Yubico > Конфигурация входа(Login Configuration) .

Шаг 2: Появится диалоговое окно контроля учетных записей(User Account Control) . Если вы запускаете это из учетной записи без прав администратора, вам будет предложено ввести учетные данные локального администратора. На странице приветствия представлен мастер настройки конфигурации входа в систему Yubico(Yubico Login Configuration) :

Аппаратное устройство аутентификации YubiKey

Шаг 3: Нажмите «Далее»(Next) . Появится страница конфигурации входа Yubico Windows по (Yubico Windows Login Configuration)умолчанию(Default) .

Шаг 4: Настраиваемые элементы:

Слоты(Slots) : выберите слот, в котором будет храниться секрет запроса-ответа. Все ненастроенные ключи YubiKey поставляются с предварительно загруженными учетными данными в слоте 1, поэтому, если вы используете Yubico Login для Windows для настройки ключей YubiKey, которые уже используются для входа в другие учетные записи, не перезаписывайте слот 1.

Challenge/Response Secret : этот элемент позволяет указать, как будет конфигурироваться секрет и где он будет храниться. Варианты:

  • Использовать существующий секрет, если настроено — сгенерировать, если не настроено(Use existing secret if configured – generate if not configured) : существующий секрет ключа будет использоваться в указанном слоте. Если у устройства нет существующего секрета, процесс подготовки создаст новый секрет.
  • Генерировать новый случайный секрет, даже если секрет в данный момент сконфигурирован(Generate new, random secret, even if a secret is currently configured) : Новый секрет будет сгенерирован и запрограммирован в слот, перезаписывая любой ранее настроенный секрет.
  • Ввод секрета вручную(Manually input secret)для опытных пользователей(For advanced users) : в процессе подготовки приложение предложит вам вручную ввести секрет HMAC-SHA1 (20 байтов — 40 символов в шестнадцатеричном кодировании).

Создать код восстановления(Generate Recovery Code) : для каждого подготовленного пользователя будет создан новый код восстановления. Этот код восстановления позволяет конечному пользователю войти в систему, если он потерял свой YubiKey.
Примечание. Если вы выберете сохранение кода восстановления при предоставлении пользователю второго ключа, любой предыдущий код восстановления станет недействительным, и будет работать только новый код восстановления.

Создать резервное устройство для каждого пользователя(Create Backup Device for Each User) : используйте эту опцию, чтобы в процессе инициализации было зарегистрировано два ключа для каждого пользователя: основной YubiKey и резервный YubiKey . Если вы не хотите предоставлять коды восстановления своим пользователям, рекомендуется предоставить каждому пользователю резервную копию YubiKey . Дополнительные сведения см. в разделе « Основные(Primary) и резервные ключи(Backup Keys)  » выше.

Шаг 5: Нажмите « Далее(Next) », чтобы выбрать пользователей для предоставления. Появится страница выбора учетных записей пользователей(Select User Accounts) (если нет локальных учетных записей пользователей, поддерживаемых Yubico Login for Windows , список будет пустым).

Шаг 6: Выберите учетные записи пользователей, которые будут подготовлены во время текущего запуска Yubico Login for Windows , установив флажок рядом с именем пользователя, а затем нажмите « Далее(Next) » . Появится страница Настройка пользователя .(Configuring User)

Шаг 7: Имя пользователя, показанное в поле « Настройка пользователя(Configuring User) », показанном выше, является пользователем, для которого в настоящее время настраивается YubiKey. Когда отображается каждое имя пользователя, процесс предлагает вам вставить YubiKey, чтобы зарегистрироваться для этого пользователя.

Шаг 8: Страница « Ожидание устройства(Wait for Device) » отображается во время обнаружения вставленного YubiKey и до того, как он будет зарегистрирован для пользователя, чье имя пользователя указано в поле « Настройка пользователя(Configuring User) » в верхней части страницы. Если вы выбрали « Создать резервное устройство для каждого пользователя(Create Backup Device for Each User) » на странице « Настройки по умолчанию », в поле « (Defaults)Настройка пользователя(Configuring User) » также будет отображаться, какой из ключей YubiKey(YubiKeys) регистрируется: основной(Primary) или резервный(Backup) .

Шаг 9: Если вы настроили процесс подготовки для использования секрета, указанного вручную, отображается поле для 40 шестнадцатеричных секретов. Введите секрет и нажмите « Далее»(Next) .

Шаг 10: На странице Programming Device отображается ход программирования каждого YubiKey . На странице подтверждения устройства(Device Confirmation) , показанной ниже, отображаются сведения о ключе YubiKey(YubiKey) , обнаруженном в процессе подготовки, включая серийный номер устройства (если он доступен) и состояние конфигурации каждого слота одноразового пароля(One-Time Password) ( OTP ). Если есть конфликты между тем, что вы установили по умолчанию, и тем, что возможно с обнаруженным YubiKey , отображается предупреждающий символ. Если все в порядке, появится галочка. Если в строке состояния отображается значок ошибки, ошибка описывается, а на экране отображаются инструкции по ее устранению.

Шаг 11: После завершения программирования для учетной записи пользователя доступ к этой учетной записи будет невозможен без соответствующего YubiKey . Вам будет предложено удалить только что настроенный YubiKey , и процесс подготовки автоматически переходит к следующей комбинации учетной записи пользователя и YubiKey .

Шаг 12: В конце концов, YubiKeys для указанной учетной записи пользователя были предоставлены:

  • Если на странице «По умолчанию(Defaults) »  был выбран « Создать код(Generate Recovery Code) восстановления» , отображается страница « Код восстановления» .(Recovery Code)
  • Если  параметр « Создать код восстановления»(Generate Recovery Code)  не был выбран, процесс инициализации автоматически продолжится для следующей учетной записи пользователя.
  • Процесс подготовки переходит в  состояние « Завершено»(Finished)  после создания последней учетной записи пользователя.

Код восстановления представляет собой длинную строку. (Чтобы устранить проблемы, возникающие из-за того, что конечный пользователь ошибочно принимает цифру 1 за строчную букву L и 0 за букву O, код восстановления закодирован в Base32 , который обрабатывает буквенно-цифровые символы, которые выглядят одинаково, как если бы они были одинаковыми.)

Страница кода восстановления(Recovery Code) отображается после настройки всех ключей YubiKeys(YubiKeys) для указанной учетной записи пользователя.

Шаг 13: На странице « Код восстановления»(Recovery Code) сгенерируйте и установите код восстановления для выбранного пользователя. После этого становятся доступными кнопки « Копировать(Copy) »  и  « Сохранить(Save) » справа от поля кода восстановления.

Шаг 14: Скопируйте код восстановления и сохраните его, чтобы пользователь не делился им, и сохраните его на случай, если пользователь его потеряет.

Примечание(Note) . Обязательно сохраните код восстановления на этом этапе процесса. Как только вы перейдете к следующему экрану, получить код будет невозможно.

Шаг 15: Чтобы перейти к следующей учетной записи пользователя со страницы « Выбор пользователей(Select Users) », нажмите « Далее(Next) » . Когда вы настроили последнего пользователя, в процессе подготовки отображается страница « Готово ».(Finished)

Шаг 16: Дайте каждому пользователю свой код восстановления. Конечные пользователи должны сохранить свой код восстановления в безопасном месте, доступном, когда они не могут войти в систему.

Пользовательский опыт YubiKey

Когда локальная учетная запись пользователя настроена на использование YubiKey , пользователь проходит аутентификацию с помощью поставщика учетных данных Yubico вместо поставщика учетных (Yubico Credential Provider)данных Windows по умолчанию . Пользователю предлагается вставить свой YubiKey . Затем появится экран входа в Yubico . (Yubico Login)Пользователь вводит свое имя пользователя и пароль.

Примечание(Note) . Для входа в систему не обязательно нажимать кнопку на USB-устройстве YubiKey(YubiKey USB) . В некоторых случаях нажатие кнопки приводит к сбою входа в систему.

Когда конечный пользователь входит в систему, он должен вставить правильный YubiKey в USB - порт своей системы. Если конечный пользователь введет свое имя пользователя и пароль, не вставив правильный YubiKey , аутентификация завершится ошибкой, и пользователю будет представлено сообщение об ошибке.

Если учетная запись конечного пользователя настроена для входа в систему Yubico(Yubico Login) для Windows и если был сгенерирован код восстановления, а пользователь потерял свой ключ(и) YubiKey, он может использовать свой код восстановления для аутентификации. Конечный пользователь разблокирует свой компьютер с помощью имени пользователя, кода восстановления и пароля.

Пока новый YubiKey не настроен, конечный пользователь должен вводить код восстановления каждый раз при входе в систему.

Если Yubico Login для Windows не обнаруживает, что был вставлен YubiKey , это, вероятно, связано с тем, что в ключе не включен режим OTP , или вы вставляете не YubiKey , а вместо этого ключ безопасности(Security Key) , который несовместим с этим приложением. Используйте приложение YubiKey Manager  , чтобы убедиться, что все ключи YubiKey(YubiKeys) , которые необходимо подготовить, имеют включенный интерфейс OTP .

Важно(Important) : это не повлияет на альтернативные методы входа, поддерживаемые Windows . Поэтому вы должны ограничить дополнительные локальные и удаленные методы входа в систему для учетных записей пользователей, которые вы защищаете с помощью Yubico Login для Windows , чтобы убедиться, что вы не оставили открытыми «черные ходы».

Если вы попробуете YubiKey, сообщите нам о своем опыте в разделе комментариев ниже.(If you try out YubiKey, let us know your experience in the comments section below.)



About the author

Я инженер-программист с более чем 15-летним опытом работы с Microsoft Office и Edge. Я также разработал несколько инструментов, используемых конечными пользователями, например, приложение для отслеживания важных медицинских данных и детектор программ-вымогателей. Мои навыки заключаются в разработке элегантного кода, который хорошо работает на различных платформах, а также в отличном понимании взаимодействия с пользователем.



Related posts