Як налаштувати YubiKey для облікового запису
Windows 10

Як налаштувати YubiKey для захисту облікових записів Windows 10?

Користуючись апаратними ключами безпеки для двофакторної автентифікації, ви отримуєте додатковий рівень захисту, що робить процедуру входу в облікові записи безпечною. Дотримуйтесь цих поетапних інструкцій щоб з легкістю налаштувати U2F ключ безпеки для роботи з обліковими записами Windows 10.

Вимоги

  • Microsoft Windows 10 Home, Pro, або Enterprise
    • (Обов’язково версія 1607 з номером збірки 14393.321 або новіша)
    • Щоб дізнатися якою версією Windows ви користуєтесь, натисніть клавішу Windows разом з клавішею R, в поле “Відкрити” введіть winver і натисніть OK. У діалоговому вікні “Відомості” відобразиться інформація про версію і номер збірки ОС Windows 10.
  • YubiKey
  • Режим CCID має бути ввімкненим на вашому YubiKey
  • Обліковий запис користувача (локальний або в хмарі)
  • Локальна політика безпеки повинна дозволяти використання пристроїв-компаньйонів для додаткової автентифікації.
  • Для користувача, який буде використовувати YubiKey, повинен бути встановлений PIN-код (обов’язково)

Завантаження і установка YubiKey для додатка Windows Hello

  1. У Windows Store, знайдіть додаток YubiKey for Windows Hello.
  2. Натисніть завантажити.
  3. По закінченню завантаження, натисніть Запустити.

Для доступу до програми YubiKey for Windows Hello

  • З меню Пуск, оберіть All Apps >Start > YubiKey for Windows Hello

Для видалення програми YubiKey for Windows Hello

Переконайтеся в тому, що ви зняли з реєстрації всі ключі YubiKey перед тим, як проводити видалення програми.

  1. У меню Пуск, перейдіть до додатка YubiKey for Windows Hello.
  2. Натисніть правим клацанням на додаток і виберіть Видалити.
  3. Дотримуйтесь підказок. При необхідності, перезавантажте комп’ютер.

Налаштування локальної політики безпеки для дозволу використання допоміжних пристроїв

Для систем під управлінням Windows Pro або Windows Enterprise, вам потрібно включити опцію “Дозволити використовувати допоміжний пристрій для додаткової перевірки автентичності” в налаштуваннях розділу Локальна політика безпеки. Якщо ваша організація керує політикою безпеки, зверніться до свого ІТ-адміністратора і надішліть запит на зміну, перш ніж встановлювати цей додаток. На системах під управлінням Windows Home локальну політику безпеки змінити неможливо, але ця опція включена за замовчуванням.

Для зміни локальної політики безпеки

  1. Відкрийте Редактор локальної групової політики. Для цього, натисніть клавішу Windows і натисніть R, а потім наберіть gpedit.msc і натисніть OK.
  2. У редакторі локальної групової політики, перейдіть до Конфігурація комп’ютера > Адміністративні шаблони > Компоненти Windows > Фактор додаткової перевірки автентичності Microsoft.
  3. У правій панелі, натисніть на посилання Змінити параметр політики. (Також, ви можете відкрити, натиснувши два рази на опцію “Дозволити використовувати допоміжний пристрій для додаткової перевірки автентичності.”) За умовчанням ця опція має стан “Не задана”.
    • Якщо опція відображається як “Не задана” або “Ввімкнена”, тоді зміни не потрібні. Натисніть кнопку Скасувати.
    • Якщо опція відображається як “Вимкнено”, слідуйте інструкціям наступного пункту.
  4. На екрані налаштувань, виберіть опцію Ввімкнено і натисніть ОК.
  5. Закрийте Редактор локальної групової політики і Адміністрування.

Примітки

  • Цей додаток використовується тільки для розблокування вашої системи – не працює для входу в обліковий запис (вихід з режиму очікування / сплячого режиму вимагає входу в обліковий запис).
  • Цей додаток дозволяє зареєструвати до чотирьох YubiKey на один обліковий запис.
  • Немає можливості зареєструвати один і той же YubiKey на більш ніж один обліковий запис в системі.
  • Ми рекомендуємо використовувати цю програму тільки з однокористувацькими конфігураціями Windows; програма не підтримує обробку декількох користувачів.

Відомі проблеми

  • Yubico Authenticator із встановленим паролем. Ви не зможете використовувати YubiKey для розблокування системи, якщо ви використовуєте Yubico Authenticator з встановленим паролем. Тим не менш, ви можете зареєструвати YubiKey, якщо Yubico Authenticator відкритий і ви вже підтвердили пароль.
  • Обов’язкова вимога YubiKey. Наразі немає можливості вимагати від YubiKey розблокувати вашу систему – ви завжди можете отримати доступ до свого облікового запису, використовуючи свій PIN-код або пароль.
  • Видалення всіх ключів. Якщо ви видалили всі ключі YubiKey, але не видалили додаток, для розблокування системи все ще буде вимагатися ключ. Для усунення цієї проблеми, спершу видаліть цю програму.
  • Видалення ключа. Якщо ви видаляєте ключ YubiKey, але при цьому ключ не підключений до системи, це призводить до створення двох облікових записів OATH. Вам буде потрібно видалити їх використовуючи більш ранню версію Yubico Authenticator (2.3.0 або раніше), або скинути настройки OATH аплету (за допомогою утиліти командного рядка ykneomgr або opensc-tool).
  • Скидання налаштувань OATH аплету на YubiKey. Використовуючи в командному рядку утиліти opensc-tool або ykneomgr для скидання OATH аплету на YubiKey, ви зітрете всі облікові дані, зареєстровані для застосування YubiKey for Windows Hello.

FAQ: Відповіді на запитання

  • Коли я намагаюся зареєструвати YubiKey за допомогою додатка YubiKey для Windows Hello, чому я отримую помилку?

Це може бути викликано тим, що ваші налаштування локальної політики безпеки не дозволяють використання допоміжних пристроїв (стосується тільки систем під управлінням Windows Pro або Windows Enterprise). Для зміни вашої локальної політики безпеки дивіться інструкціі в попередньому розділі.