Как настроить YubiKey в Windows 10

Как настроить YubiKey в Windows 10

Пользуясь аппаратными ключами безопасности для двухфакторной аутентификации, вы получаете дополнительный уровень защиты, что делает процедуру входа в учетные записи безопасной. Следуйте этим пошаговым инструкциям чтобы с легкостью настроить YubiKey для работы с учетными записями Windows 10.

Требования

  • Microsoft Windows 10 Домашняя, Pro, или Корпоративная
    • (Требуется версия 1607 с номером сборки 14393.321 или новее)
    • Чтобы узнать какую версию Windows вы используете, нажмите клавишу Windows вместе с клавишей R, в поле «Открыть» введите winver и нажмите OK. Диалоговое окно «Сведения» отображает информацию о версии и номере сборки ОС Windows 10.
  • YubiKey
  • Режим CCID должен быть включен на вашем YubiKey
  • Учетная запись пользователя (локальная или в облаке)
  • Локальная политика безопасности должна разрешать использование устройств-компаньонов для дополнительной аутентификации.
  • PIN-код должен быть установлен для пользователя, который будет использовать YubiKey (обязательно)

Загрузка и установка YubiKey для приложения Windows Hello

  1. В Windows Store, найдите приложение YubiKey for Windows Hello.
  2. Click Получить.
  3. По окончанию установки, нажмите Запустить.

Для доступа к приложению YubiKey for Windows Hello

  • Из меню Пуск, выберите All Apps >Start > YubiKey for Windows Hello

Для удаления приложения YubiKey for Windows Hello

Убедитесь в том, что вы сняли с регистрации все ключи YubiKey перед тем, как проводить удаление приложения.

  1. В меню Пуск, перейдите к приложению YubiKey for Windows Hello.
  2. Нажмите правым щелчком на приложение и выберите Удалить.
  3. Следуйте диалогам. При необходимости, перезагрузите компьютер.

Настройки локальной политики безопасности для разрешения использования вспомогательных устройств

Для систем под управлением Windows Pro или Windows Корпоративная, вам требуется включить опцию «Разрешить использовать вспомогательное устройство для дополнительной проверки подлинности» в настройках раздела Локальная политика безопасности. Если ваша политика безопасности управляется организацией, свяжитесь с вашим системным администратором и потребуйте сменить локальные политики безопасности до установки приложения. На системах под управлением Windows Домашняя локальные политики безопасности изменять невозможно, но данная опция включена по умолчанию.

Для изменения локальной политики безопасности

  1. Откройте Редактор локальной групповой политики. Для этого, нажмите клавишу Windows и нажмите R, а затем наберите gpedit.msc и нажмите OK.
  2. В Редакторе локальной групповой политики, перейдите к Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Фактор дополнительной проверки подлинности Microsoft.
  3. В правой панели, нажмите на ссылку Изменить параметр политики. (Также, вы можете открыть двойным щелчком опцию «Разрешить использовать вспомогательное устройство для дополнительной проверки подлинности.») По умолчанию эта опция имеет состояние «Не задана».
    • Если опция отображается как «Не задана» или «Включена», тогда изменений не требуется. Нажмите Отмена.
    • Если опция отображается как «Отключена», продолжайте со следующего пункта.
  4. На экране настроек, выберите опцию Включено и нажмите ОК.
  5. Закройте Редактор локальной групповой политики и Администрирование.

Примечания

  • Данное приложение используется только для разблокировки вашей системы — не работает для входа в учетную запись (выход из ждущего/спящего режима требует входа в учетную запись).
  • Данное приложение позволяет зарегистрировать до четырех YubiKey на одну учетную запись.
  • Нет возможности зарегистрировать один и тот же YubiKey на более чем одну учетную запись в системе.
  • Мы рекомендуем использовать данное приложение только с однопользовательскими конфигурациями Windows; приложение не поддерживает нескольких пользователей.

Известные проблемы

  • Yubico Authenticator с установленным паролем. Вы не сможете использовать YubiKey для разблокировки системы, если вы используете Yubico Authenticator с установленным паролем. Тем не менее, вы можете зарегистрировать YubiKey, если Yubico Authenticator открыт и вы уже подтвердили пароль.
  • Обязательное требование YubiKey. На данный момент нет возможности требовать YubiKey для разблокировки системы — вы всегда можете получить доступ к системе с помощью вашего PIN-кода или пароля.
  • Удаление всех ключей. Если вы удалили все ключи YubiKey, но не удалили приложение, для разблокировки системы все еще будет требоваться ключ. Для устранения этой проблемы, удалите приложение.
  • Удаление ключа. Если вы удаляете ключ YubiKey, но при этом ключ не подключен к системе, это приводит к созданию двух учетных записей OATH. Вам потребуется удалить их используя более раннюю версию Yubico Authenticator (2.3.0 или ранее), или сбросить настройки OATH апплета (при помощи утилиты командной строки ykneomgr или opensc-tool).
  • Сброс настроек OATH апплета на YubiKey. Если вы используете в командной строке утилиты opensc-tool или ykneomgr для сброса OATH апплета на YubiKey, таким образом вы стираете все учетные данные, зарегистрированные для приложения YubiKey for Windows Hello.

FAQ: Часто задаваемые вопросы

  • Когда я пытаюсь зарегистрировать YubiKey при помощи приложения YubiKey для Windows Hello, почему я получаю ошибку?

Это может быть вызвано тем, что ваши настройки локальной политики безопасности не разрешают использование вспомогательных устройств (касается только систем под управлением Windows Pro или Windows Корпоративная). Для изменения вашей локальной политики безопасности смотрите пункты в предыдущей секции.

Будем рады услышать Вас

7 + 8 =