Принудительное использование аппаратного ключа безопасности с учетной записью Windows Hello
Вопрос: Можно ли обойти Windows Hello (Pin) при входе в Windows 11, привязанном к беспарольной учетной записи Microsoft? Почему? Хотите принудительно использовать аппаратный ключ безопасности для аутентификации.
- У меня есть учетная запись Microsoft без пароля в профиле Windows 11.
- Хотите обойти Windows Hello (PIN) и использовать аппаратный ключ безопасности для аутентификации.
- https://www.yubico.com/products/computer-login-tools/
- По словам Юбико... «YubiKey нельзя использовать совместно»... «на вашем компьютере с учетной записью Microsoft».
3 ответа
(Тема не обновлялась уже несколько месяцев, но я находил ее не раз, когда искал в Google вопросы, так что вот решение. Надеюсь, оно кому-нибудь поможет.)
Вам не нужен Yubico Login для Windows для учетной записи MS без пароля, если ваш компьютер присоединен к AzureAD (также может работать и для гибридного присоединения, но я пробовал только на компьютерах, присоединенных к AzureAD).
Я сделал это на своем компьютере с Windows 11 и виртуальной машине с Windows 10 (VirtualBox позволяет передавать ключ безопасности, а Hyper-V — нет).
Инструкции MS по включению ключей FIDO в Azure AD:
- https://learn.microsoft.com/en-us/azure/active-directory/authentication/howto-authentication-passwordless-security-key
- Убедитесь, что вы выбрали «Все пользователи» или ваша учетная запись включена в одну из разрешенных групп.
Инструкции MS по добавлению ключа безопасности в вашу учетную запись MS:
- https://support.microsoft.com/en-us/account-billing/set-up-a-security-key-as-your-verification-method-2911cacd-efa5-4593-ae22-e09ae14c6698
- Это не указано, но на этом этапе ваши учетные данные AzureAD/MS добавляются к вашему ключу.
Перезагрузите систему после этих шагов, чтобы применить изменения AzureAD. (По моему ограниченному опыту, возможно, вам придется подождать 10–15 минут, чтобы изменения вступили в силу.)
Этот шаг может быть необходимым, а может и не быть, но я никогда не пробовал обойтись без этого шага:
- После перезагрузки перейдите в «Пуск»> «Настройки»> «Учетные записи»> «Параметры входа»> «Ключ безопасности» и нажмите «Управление».
- Вам будет предложено вставить ключ и ввести его PIN-код. Закройте загружаемое окно (сброс ключа или PIN-кода из этого интерфейса, скорее всего, приведет к удалению учетных данных из вашего ключа).
--
Выйдите из системы, чтобы протестировать. Вы должны получить стандартный запрос пароля/ПИН-кода, но при вставке ключа (и/или выборе дополнительных параметров и выборе значка в виде USB для ключа безопасности) будет запрошен ваш ПИН-код. Как только вы сделаете это в первый раз, методом входа по умолчанию будет ключ безопасности.
Единственный способ, которым я нашел ТРЕБУЕТСЯ ключ для Windows, находится здесь:
https://swjm.blog/three-ways-of-enforcing-security-key-sign-in-on-windows-10-windows-11-4f0f27227372
Там написано «3 способа», но на самом деле это всего лишь три разных способа сделать одно и то же — отключить всех поставщиков учетных данных Windows, кроме ключей безопасности и смарт-карт.
ВАЖНЫЕ СООБРАЖЕНИЯ:
- Хотя вы можете добавить к ключу несколько учетных записей пользователей, вход в систему Windows распознает только последние учетные данные, добавленные к ключу.
- Если вы отключите всех поставщиков учетных данных, кроме электронных ключей и смарт-карт, убедитесь, что у вас есть возможность повторно включить их, если вы потеряете ключ. Мои машины управляются Intune, поэтому я могу запустить сценарий PowerShell для повторного включения других поставщиков, но я не знаю, что бы вы делали без MDM, если бы ключ был утерян.
- Если вы отключите всех поставщиков учетных данных, кроме ключей безопасности и смарт-карт, вы не сможете использовать «Запуск от имени администратора», если вы вошли в систему как обычный пользователь. Я попытался войти в систему с помощью StandardKey, а затем попытался предоставить учетные данные администратора с помощью AdminKey, но Windows не распознает, что новый ключ имеет другие учетные данные. (Я пробовал это только в Windows 10 Pro — Windows 11 может распознать новые учетные данные. )
Итог: можно обойти PIN-код Windows hello и принудительно использовать любой аппаратный ключ безопасности, связанный с учетной записью Microsoft в профиле Windows. Никакого программного обеспечения или специальной настройки не требуется.
Наиболее важными частями являются:
- иметь ключ безопасности HW, связанный с учетной записью MS без пароля
- используйте эту учетную запись для входа
- вручную удалите PIN-код Win hello и перезагрузите компьютер
- вам будет предложено ввести аппаратный ключ
- Windows потребует сбросить PIN-код приветствия
- просто проигнорируйте это, и вход в систему завершится без использования PIN-кода hello.
- никакого программного обеспечения, специальной конфигурации, изменений в управлении учетными данными... и т. д. необходимый
- не элегантное решение, но работает безупречно, обеспечивая использование аппаратного ключа и устраняя потенциальную уязвимость, из-за которой некоторые могут взломать PIN-код для входа в систему.
Предостережения:
- нужно удалить пин-код Windows
- при каждом последующем входе в систему нажимайте «настроить мой PIN-код»
- затем нажмите «Войти с помощью ключа безопасности» и
- наконец нажмите «отменить»
Это приведет к принудительному использованию любого аппаратного ключа безопасности, привязанного к вашей учетной записи Microsoft.
Как вы уже отметили,
Yubico Login для Windows не поддерживает ничего из следующего:
- Управляемые учетные записи Active Directory (AD)
- Управляемые учетные записи Azure Active Directory (AAD)
Microsoft Accounts (MSA)
Вам нужно будет использовать локальную учетную запись.
Источник: Yubico Login для руководства по настройке Windows.