Настройте и используйте безопасный вход YubiKey для локальной учетной записи в Windows 10
Пользователи могут использовать аппаратные ключи безопасности, произведенные шведской компанией Yubico , для входа в локальную учетную запись в Windows 10 . Недавно компания выпустила первую стабильную версию приложения Yubico Login для Windows(Login for Windows application) . В этом посте мы покажем вам, как установить и настроить YubiKey для использования на ПК с Windows 10.
YubiKey — это аппаратное устройство аутентификации, которое поддерживает одноразовые пароли, шифрование и аутентификацию с открытым ключом, а также протоколы Universal 2nd Factor (U2F) и FIDO2 , разработанные FIDO Alliance . Это позволяет пользователям безопасно входить в свои учетные записи, выдавая одноразовые пароли или используя пару открытого/закрытого ключа на основе FIDO, сгенерированную устройством. YubiKey также позволяет хранить статические пароли для использования на сайтах, которые не поддерживают одноразовые пароли. Facebook использует YubiKey для учетных данных сотрудников, а Google поддерживает его как для сотрудников, так и для пользователей. Некоторые менеджеры паролей поддерживают YubiKey .Yubico также производит ключ безопасности(Security Key) , устройство, похожее на YubiKey , но ориентированное на аутентификацию с открытым ключом.
YubiKey позволяет пользователям подписывать, шифровать и расшифровывать сообщения, не раскрывая закрытые ключи внешнему миру. Ранее эта функция была доступна только для пользователей Mac и Linux .
To configure/set up YubiKey on Windows 10, you’ll need the following:
- Аппаратное USB-устройство YubiKey.
- Программное обеспечение Yubico Login для Windows.
- Программное обеспечение YubiKey Manager.
Все они доступны на yubico.com во вкладке « Продукты(Product) ». Также следует отметить, что приложение YubiKey не поддерживает локальные учетные записи Windows , управляемые Azure Active Directory ( AAD ) или Active Directory (AD), а также учетные записи Microsoft .
(YubiKey)Аппаратное устройство аутентификации YubiKey
Перед установкой программного обеспечения Yubico Login для Windows запишите свое имя пользователя и пароль Windows для локальной учетной записи . (Windows)Лицо, устанавливающее программное обеспечение, должно иметь имя пользователя и пароль Windows для своей учетной записи. (Windows)Без них ничего настроить нельзя, а учетная запись недоступна. По умолчанию поставщик учетных данных Windows запоминает ваш последний вход в систему, поэтому вам не нужно вводить имя пользователя.
По этой причине многие люди могут не помнить имя пользователя. Однако после установки инструмента и перезагрузки загружается новый поставщик учетных данных Yubico , так что и администраторы, и конечные пользователи фактически должны вводить имя пользователя. (Yubico)По этим причинам не только администратор, но и все, чья учетная запись должна быть настроена через Yubico Login для Windows , должны убедиться, что они могут войти в систему, используя имя пользователя и пароль Windows для своей локальной учетной записи, ДО того, как администратор установит инструмент и настроит конец. -аккаунты пользователей.
Также необходимо отметить, что после настройки Yubico Login для Windows есть:
- Нет подсказки пароля Windows
- Нет возможности сбросить пароли
- Нет функции « Remember Previous User/Login .
Кроме того, автоматический вход в Windows несовместим с Yubico Login для Windows . Если пользователь, чья учетная запись была настроена для автоматического входа, больше не помнит свой первоначальный пароль, когда конфигурация Yubico Login для Windows вступит в силу, доступ к учетной записи будет невозможен. Решите(Address) эту проблему заблаговременно:
- Предоставление пользователям установки новых паролей перед отключением автоматического входа в систему.
- Попросите всех пользователей убедиться, что они могут получить доступ к своим учетным записям с помощью имени пользователя и нового пароля, прежде чем использовать Yubico Login для Windows для настройки их учетных записей.
Для установки программного обеспечения требуются права администратора .
Установка ЮбиКей
Во-первых, подтвердите свое имя пользователя. После того, как вы установили Yubico Login для Windows и перезагрузились, вам нужно будет ввести его в дополнение к вашему паролю для входа в систему. Для этого откройте командную строку(Command Prompt) или PowerShell из меню « Пуск(Start) » и выполните приведенную ниже команду.
whoami
Обратите(Take) внимание на полный вывод, который должен иметь вид DESKTOP-1JJQRDF\jdoe , где jdoe — имя пользователя.
- Загрузите(Download) программное обеспечение Yubico Login(Yubico Login) для Windows отсюда(here) .
- Запустите программу установки, дважды щелкнув файл загрузки.
- Примите лицензионное соглашение с конечным пользователем.
- В мастере установки укажите расположение папки назначения или примите расположение по умолчанию.
- Перезагрузите компьютер, на котором было установлено программное обеспечение. После перезапуска поставщик учетных данных Yubico отображает экран входа в систему, который запрашивает YubiKey .
Поскольку YubiKey еще не предоставлен, вы должны сменить пользователя и ввести не только пароль для вашей локальной учетной записи Windows , но и ваше имя пользователя для этой учетной записи. При необходимости вам может потребоваться изменить учетную запись Microsoft на локальную учетную запись .
После входа в систему найдите «Конфигурация входа» с зеленым значком. (Элемент, помеченный как Yubico Login for Windows , — это просто установщик, а не приложение.)
Конфигурация ЮбиКей
(Administrator)Для настройки программного обеспечения требуются права администратора .
Только поддерживаемые учетные записи могут быть настроены для входа в Yubico(Yubico Login) для Windows . Если вы запускаете мастер настройки, а искомая учетная запись не отображается, значит, она не поддерживается и, следовательно, недоступна для настройки.
В процессе настройки потребуется следующее;
- Первичный и резервный ключи(Primary and Backup Keys) : используйте разные YubiKey для каждой регистрации. Если вы настраиваете резервные ключи, у каждого пользователя должен быть один YubiKey для основного и второй для резервного ключа.
- Код восстановления(Recovery Code) : Код восстановления — это последний механизм аутентификации пользователя, если все ключи YubiKey были утеряны. Коды восстановления(Recovery) можно назначать указанным вами пользователям; однако код восстановления можно использовать только в том случае, если имя пользователя и пароль для учетной записи также доступны. В процессе настройки предоставляется возможность сгенерировать код восстановления.
Шаг 1: В меню « Пуск(Start) » Windows выберите Yubico > Конфигурация входа(Login Configuration) .
Шаг 2: Появится диалоговое окно контроля учетных записей(User Account Control) . Если вы запускаете это из учетной записи без прав администратора, вам будет предложено ввести учетные данные локального администратора. На странице приветствия представлен мастер настройки конфигурации входа в систему Yubico(Yubico Login Configuration) :
Шаг 3: Нажмите «Далее»(Next) . Появится страница конфигурации входа Yubico Windows по (Yubico Windows Login Configuration)умолчанию(Default) .
Шаг 4: Настраиваемые элементы:
Слоты(Slots) : выберите слот, в котором будет храниться секрет запроса-ответа. Все ненастроенные ключи YubiKey поставляются с предварительно загруженными учетными данными в слоте 1, поэтому, если вы используете Yubico Login для Windows для настройки ключей YubiKey, которые уже используются для входа в другие учетные записи, не перезаписывайте слот 1.
Challenge/Response Secret : этот элемент позволяет указать, как будет конфигурироваться секрет и где он будет храниться. Варианты:
- Использовать существующий секрет, если настроено — сгенерировать, если не настроено(Use existing secret if configured – generate if not configured) : существующий секрет ключа будет использоваться в указанном слоте. Если у устройства нет существующего секрета, процесс подготовки создаст новый секрет.
- Генерировать новый случайный секрет, даже если секрет в данный момент сконфигурирован(Generate new, random secret, even if a secret is currently configured) : Новый секрет будет сгенерирован и запрограммирован в слот, перезаписывая любой ранее настроенный секрет.
- Ввод секрета вручную(Manually input secret) : для опытных пользователей(For advanced users) : в процессе подготовки приложение предложит вам вручную ввести секрет HMAC-SHA1 (20 байтов — 40 символов в шестнадцатеричном кодировании).
Создать код восстановления(Generate Recovery Code) : для каждого подготовленного пользователя будет создан новый код восстановления. Этот код восстановления позволяет конечному пользователю войти в систему, если он потерял свой YubiKey.
Примечание. Если вы выберете сохранение кода восстановления при предоставлении пользователю второго ключа, любой предыдущий код восстановления станет недействительным, и будет работать только новый код восстановления.
Создать резервное устройство для каждого пользователя(Create Backup Device for Each User) : используйте эту опцию, чтобы в процессе инициализации было зарегистрировано два ключа для каждого пользователя: основной YubiKey и резервный YubiKey . Если вы не хотите предоставлять коды восстановления своим пользователям, рекомендуется предоставить каждому пользователю резервную копию YubiKey . Дополнительные сведения см. в разделе « Основные(Primary) и резервные ключи(Backup Keys) » выше.
Шаг 5: Нажмите « Далее(Next) », чтобы выбрать пользователей для предоставления. Появится страница выбора учетных записей пользователей(Select User Accounts) (если нет локальных учетных записей пользователей, поддерживаемых Yubico Login for Windows , список будет пустым).
Шаг 6: Выберите учетные записи пользователей, которые будут подготовлены во время текущего запуска Yubico Login for Windows , установив флажок рядом с именем пользователя, а затем нажмите « Далее(Next) » . Появится страница Настройка пользователя .(Configuring User)
Шаг 7: Имя пользователя, показанное в поле « Настройка пользователя(Configuring User) », показанном выше, является пользователем, для которого в настоящее время настраивается YubiKey. Когда отображается каждое имя пользователя, процесс предлагает вам вставить YubiKey, чтобы зарегистрироваться для этого пользователя.
Шаг 8: Страница « Ожидание устройства(Wait for Device) » отображается во время обнаружения вставленного YubiKey и до того, как он будет зарегистрирован для пользователя, чье имя пользователя указано в поле « Настройка пользователя(Configuring User) » в верхней части страницы. Если вы выбрали « Создать резервное устройство для каждого пользователя(Create Backup Device for Each User) » на странице « Настройки по умолчанию », в поле « (Defaults)Настройка пользователя(Configuring User) » также будет отображаться, какой из ключей YubiKey(YubiKeys) регистрируется: основной(Primary) или резервный(Backup) .
Шаг 9: Если вы настроили процесс подготовки для использования секрета, указанного вручную, отображается поле для 40 шестнадцатеричных секретов. Введите секрет и нажмите « Далее»(Next) .
Шаг 10: На странице Programming Device отображается ход программирования каждого YubiKey . На странице подтверждения устройства(Device Confirmation) , показанной ниже, отображаются сведения о ключе YubiKey(YubiKey) , обнаруженном в процессе подготовки, включая серийный номер устройства (если он доступен) и состояние конфигурации каждого слота одноразового пароля(One-Time Password) ( OTP ). Если есть конфликты между тем, что вы установили по умолчанию, и тем, что возможно с обнаруженным YubiKey , отображается предупреждающий символ. Если все в порядке, появится галочка. Если в строке состояния отображается значок ошибки, ошибка описывается, а на экране отображаются инструкции по ее устранению.
Шаг 11: После завершения программирования для учетной записи пользователя доступ к этой учетной записи будет невозможен без соответствующего YubiKey . Вам будет предложено удалить только что настроенный YubiKey , и процесс подготовки автоматически переходит к следующей комбинации учетной записи пользователя и YubiKey .
Шаг 12: В конце концов, YubiKeys для указанной учетной записи пользователя были предоставлены:
- Если на странице «По умолчанию(Defaults) » был выбран « Создать код(Generate Recovery Code) восстановления» , отображается страница « Код восстановления» .(Recovery Code)
- Если параметр « Создать код восстановления»(Generate Recovery Code) не был выбран, процесс инициализации автоматически продолжится для следующей учетной записи пользователя.
- Процесс подготовки переходит в состояние « Завершено»(Finished) после создания последней учетной записи пользователя.
Код восстановления представляет собой длинную строку. (Чтобы устранить проблемы, возникающие из-за того, что конечный пользователь ошибочно принимает цифру 1 за строчную букву L и 0 за букву O, код восстановления закодирован в Base32 , который обрабатывает буквенно-цифровые символы, которые выглядят одинаково, как если бы они были одинаковыми.)
Страница кода восстановления(Recovery Code) отображается после настройки всех ключей YubiKeys(YubiKeys) для указанной учетной записи пользователя.
Шаг 13: На странице « Код восстановления»(Recovery Code) сгенерируйте и установите код восстановления для выбранного пользователя. После этого становятся доступными кнопки « Копировать(Copy) » и « Сохранить(Save) » справа от поля кода восстановления.
Шаг 14: Скопируйте код восстановления и сохраните его, чтобы пользователь не делился им, и сохраните его на случай, если пользователь его потеряет.
Примечание(Note) . Обязательно сохраните код восстановления на этом этапе процесса. Как только вы перейдете к следующему экрану, получить код будет невозможно.
Шаг 15: Чтобы перейти к следующей учетной записи пользователя со страницы « Выбор пользователей(Select Users) », нажмите « Далее(Next) » . Когда вы настроили последнего пользователя, в процессе подготовки отображается страница « Готово ».(Finished)
Шаг 16: Дайте каждому пользователю свой код восстановления. Конечные пользователи должны сохранить свой код восстановления в безопасном месте, доступном, когда они не могут войти в систему.
Пользовательский опыт YubiKey
Когда локальная учетная запись пользователя настроена на использование YubiKey , пользователь проходит аутентификацию с помощью поставщика учетных данных Yubico вместо поставщика учетных (Yubico Credential Provider)данных Windows по умолчанию . Пользователю предлагается вставить свой YubiKey . Затем появится экран входа в Yubico . (Yubico Login)Пользователь вводит свое имя пользователя и пароль.
Примечание(Note) . Для входа в систему не обязательно нажимать кнопку на USB-устройстве YubiKey(YubiKey USB) . В некоторых случаях нажатие кнопки приводит к сбою входа в систему.
Когда конечный пользователь входит в систему, он должен вставить правильный YubiKey в USB - порт своей системы. Если конечный пользователь введет свое имя пользователя и пароль, не вставив правильный YubiKey , аутентификация завершится ошибкой, и пользователю будет представлено сообщение об ошибке.
Если учетная запись конечного пользователя настроена для входа в систему Yubico(Yubico Login) для Windows и если был сгенерирован код восстановления, а пользователь потерял свой ключ(и) YubiKey, он может использовать свой код восстановления для аутентификации. Конечный пользователь разблокирует свой компьютер с помощью имени пользователя, кода восстановления и пароля.
Пока новый YubiKey не настроен, конечный пользователь должен вводить код восстановления каждый раз при входе в систему.
Если Yubico Login для Windows не обнаруживает, что был вставлен YubiKey , это, вероятно, связано с тем, что в ключе не включен режим OTP , или вы вставляете не YubiKey , а вместо этого ключ безопасности(Security Key) , который несовместим с этим приложением. Используйте приложение YubiKey Manager , чтобы убедиться, что все ключи YubiKey(YubiKeys) , которые необходимо подготовить, имеют включенный интерфейс OTP .
Важно(Important) : это не повлияет на альтернативные методы входа, поддерживаемые Windows . Поэтому вы должны ограничить дополнительные локальные и удаленные методы входа в систему для учетных записей пользователей, которые вы защищаете с помощью Yubico Login для Windows , чтобы убедиться, что вы не оставили открытыми «черные ходы».
Если вы попробуете YubiKey, сообщите нам о своем опыте в разделе комментариев ниже.(If you try out YubiKey, let us know your experience in the comments section below.)
Related posts
View Security Questions and Answers для Local Account в Windows 10
Как установить Windows 11 и Windows 10 на USB-накопитель (Windows To Go)
3 способа загрузить ПК с Windows 10 с USB-накопителя —
Switch User Option отсутствует от Windows 10 login screen
Reset Local Account password на Windows 10 с использованием Installation Media
Список ПК, которые поддерживают Windows Hello в Windows 10
Включить или отключить Secure Login в Windows 10
Как удалить телефон от Windows 10 (Unlight Phone)
Best External Bluetooth Адаптеры для компьютеров Windows 10
Connect Android phone до Windows 10 laptop or PC через Bluetooth
Лучшие сканеры отпечатков пальцев для Windows 10
Как выйти другие пользователи в Windows 10
Как включить и выключить экономию заряда батареи в Windows 10
Как настроить микрофон и динамики в Skype для Windows 10
Отправляйте файлы со смартфона Android на Windows 10 с помощью Bluetooth
Как протестировать и использовать веб-камеру в Windows 10 с помощью приложения «Камера»
Где найти Windows 10 refresh rate? Как изменить это?
Игровой режим в Windows 10: тестирование реальной производительности в современных играх
Ночной свет Windows 10: что он делает и как его использовать
Как использовать Windows Mobility Center в Windows 10