ГлавнаяJak

Skonfiguruj i używaj bezpiecznego logowania YubiKey dla konta lokalnego w systemie Windows 10

Użytkownicy mogą używać sprzętowych kluczy bezpieczeństwa, wyprodukowanych przez szwedzką firmę Yubico, aby zalogować się na konto lokalne w systemie Windows 10. Firma niedawno wydała pierwszą stabilną wersję Yubico Zaloguj się do aplikacji Windows. W tym poście pokażemy, jak zainstalować i skonfigurować YubiKey do użytku na komputerach z systemem Windows 10.

YubiKey to sprzętowe urządzenie uwierzytelniające, które obsługuje hasła jednorazowe, szyfrowanie i uwierzytelnianie klucza publicznego oraz Universal 2nd Factor (U2F) i FIDO2 protokoły opracowane przez FIDO Alliance. Pozwala użytkownikom bezpiecznie zalogować się na swoje konta, wysyłając jednorazowe hasła lub używając pary kluczy publiczny / prywatny oparty na FIDO generowanej przez urządzenie. YubiKey umożliwia także przechowywanie haseł statycznych do użytku w witrynach, które nie obsługują haseł jednorazowych. Facebook używa YubiKey do poświadczeń pracowników oraz Google obsługuje to zarówno dla pracowników, jak i użytkowników. Niektóre menedżery haseł obsługują YubiKey. Yubico produkuje również klucz bezpieczeństwa, urządzenie podobne do YubiKey, ale koncentruje się na uwierzytelnianiu za pomocą klucza publicznego.

YubiKey pozwala użytkownikom podpisywać, szyfrować i deszyfrować wiadomości bez narażania kluczy prywatnych na świat zewnętrzny. Ta funkcja była wcześniej dostępna tylko dla komputerów Mac Użytkownicy systemu Linux.

Aby skonfigurować / skonfigurować YubiKey w systemie Windows 10, potrzebujesz:

  1. Sprzęt USB YubiKey.
  2. Oprogramowanie Yubico Login dla systemu Windows.
  3. Oprogramowanie YubiKey Manager.

Wszystkie są dostępne na stronie yubico.com w zakładce Produkty. Należy również pamiętać, że aplikacja YubiKey nie obsługuje lokalnych kont Windows zarządzanych przez Azure Active Directory (AAD) lub Active Directory (AD), a także kont Microsoft.

Sprzętowe urządzenie uwierzytelniające YubiKey

Przed zainstalowaniem oprogramowania Yubico Login dla systemu Windows zanotuj nazwę użytkownika Windows i hasło do konta lokalnego. Osoba, która instaluje oprogramowanie, musi mieć nazwę użytkownika Windows i hasło do swojego konta. Bez nich nic nie można skonfigurować, a konto jest niedostępne. Domyślne zachowanie dostawcy poświadczeń systemu Windows polega na zapamiętywaniu ostatniego logowania, więc nie trzeba wpisywać nazwy użytkownika.

Z tego powodu wiele osób może nie pamiętać nazwy użytkownika. Jednak po zainstalowaniu narzędzia i zrestartowaniu zostanie załadowany nowy dostawca poświadczeń Yubico, tak że zarówno administratorzy, jak i użytkownicy końcowi muszą wpisać nazwę użytkownika. Z tych powodów nie tylko administrator, ale także wszyscy, których konto ma zostać skonfigurowane za pomocą Yubico Login dla Windows, powinni sprawdzić, czy mogą się zalogować przy użyciu nazwy użytkownika i hasła Windows dla swojego konta lokalnego PRZED administratorem zainstaluje narzędzie i skonfiguruje koniec — konta użytkowników.

Należy również pamiętać, że po skonfigurowaniu usługi Yubico Login dla systemu Windows dostępne są:

  • Brak podpowiedzi do hasła systemu Windows
  • Nie ma możliwości zresetowania hasła
  • Nie Pamiętaj, poprzedni użytkownik / funkcja logowania.

Ponadto automatyczne logowanie do systemu Windows nie jest zgodne z funkcją Yubico Login dla systemu Windows. Jeśli użytkownik, którego konto zostało skonfigurowane do automatycznego logowania, nie pamięta już swojego oryginalnego hasła, gdy zacznie obowiązywać konfiguracja Yubico Login dla Windows, dostęp do konta będzie niemożliwy. Zajmij się tym problemem zapobiegawczo poprzez:

  • Posiadanie przez użytkowników nowych haseł przed wyłączeniem automatycznego logowania.
  • Poproś wszystkich użytkowników, aby sprawdzili, czy mogą uzyskać dostęp do swoich kont przy użyciu nazwy użytkownika i nowego hasła, zanim użyjesz Yubico Login dla Windows do skonfigurowania swoich kont.

Do zainstalowania oprogramowania wymagane są uprawnienia administratora.

Instalacja YubiKey

Najpierw sprawdź swoją nazwę użytkownika. Po zainstalowaniu Yubico Login dla Windows i ponownym uruchomieniu, musisz podać to oprócz hasła, aby się zalogować. Aby to zrobić, otwórz Wiersz polecenia lub PowerShell z menu Start i uruchom poniższe polecenie

kim jestem

Zwróć uwagę na pełny wynik, który powinien mieć postać DESKTOP-1JJQRDF \ jdoe, gdzie jdoe to nazwa użytkownika.

  1. Pobierz tutaj oprogramowanie Yubico Login dla Windows.
  2. Uruchom instalator, klikając dwukrotnie plik do pobrania.
  3. Zaakceptuj umowę licencyjną użytkownika końcowego.
  4. W kreatorze instalacji określ lokalizację folderu docelowego lub zaakceptuj lokalizację domyślną.
  5. Uruchom ponownie komputer, na którym oprogramowanie zostało zainstalowane. Po ponownym uruchomieniu dostawca poświadczeń Yubico wyświetla ekran logowania z monitem o podanie YubiKey.

Ponieważ YubiKey nie został jeszcze zainicjowany, musisz zmienić użytkownika i wprowadzić nie tylko hasło do lokalnego konta Windows, ale także nazwę użytkownika dla tego konta. W razie potrzeby konieczna może być zmiana konta Microsoft na konto lokalne.

Po zalogowaniu wyszukaj „Konfiguracja logowania” z zieloną ikoną. (Element faktycznie oznaczony jako Yubico Login dla Windows to tylko instalator, a nie aplikacja).

Konfiguracja YubiKey

Do skonfigurowania oprogramowania wymagane są uprawnienia administratora.
Tylko obsługiwane konta można skonfigurować dla Yubico Login dla Windows. Jeśli uruchomisz kreatora konfiguracji, a konto, którego szukasz, nie jest wyświetlane, nie jest obsługiwane i dlatego nie jest dostępne do konfiguracji.

Podczas procesu konfiguracji wymagane będą:

  • Klucze podstawowe i zapasowe: Użyj innego YubiKey dla każdej rejestracji. Jeśli konfigurujesz klucze kopii zapasowej, każdy użytkownik powinien mieć jeden klucz YubiKey dla klucza podstawowego i drugi dla klucza kopii zapasowej.
  • Kod odzyskiwania: Kod odzyskiwania jest ostatecznym mechanizmem uwierzytelniania użytkownika, jeśli wszystkie YubiKeys zostały utracone. Kody odzyskiwania można przypisać do określonych użytkowników; Kod odzyskiwania jest jednak użyteczny tylko wtedy, gdy dostępna jest także nazwa użytkownika i hasło do konta. Opcja generowania kodu odzyskiwania jest prezentowana podczas procesu konfiguracji.

Krok 1: W systemie Windows Początek menu wybierz Yubico > Konfiguracja logowania.

Krok 2: Pojawi się okno dialogowe Kontrola konta użytkownika. Jeśli uruchamiasz to z konta innego niż Administrator, pojawi się monit o podanie poświadczeń lokalnego administratora. Strona powitalna przedstawia kreatora udostępniania konfiguracji logowania Yubico:

Sprzętowe urządzenie uwierzytelniające YubiKey

Krok 3: Kliknij Kolejny. Pojawi się domyślna strona konfiguracji logowania do systemu Windows Yubico.

Krok 4: Konfigurowalne elementy to:

Automaty: Wybierz miejsce, w którym będzie przechowywany sekret odpowiedzi na wyzwanie. Wszystkie YubiKeys, które nie zostały dostosowane, są fabrycznie załadowane poświadczeniem w gnieździe 1, więc jeśli używasz Yubico Login dla systemu Windows do skonfigurowania YubiKeys, które są już używane do logowania się na inne konta, nie nadpisuj miejsca 1.

Wyzwanie / sekret odpowiedzi: Ten element umożliwia określenie, w jaki sposób sekret zostanie skonfigurowany i gdzie będzie przechowywany. Dostępne są następujące opcje:

  • Użyj istniejącego hasła, jeśli skonfigurowano — wygeneruj, jeśli nie skonfigurowano: Istniejący sekret klucza zostanie użyty w określonym gnieździe. Jeśli urządzenie nie ma żadnego tajnego klucza, proces udostępniania wygeneruje nowy tajny klucz.
  • Wygeneruj nowy, losowy sekret, nawet jeśli sekret jest obecnie skonfigurowany: Nowy sekret zostanie wygenerowany i zaprogramowany w gnieździe, zastępując wcześniej skonfigurowany sekret.
  • Ręcznie wprowadź sekret: Dla zaawansowanych użytkowników: Podczas procesu udostępniania aplikacja poprosi cię o ręczne wprowadzenie hasła tajnego HMAC-SHA1 (20 bajtów — 40 znaków w kodzie szesnastkowym).

Wygeneruj kod odzyskiwania: Dla każdego udostępnionego użytkownika zostanie wygenerowany nowy kod odzyskiwania. Ten kod odzyskiwania umożliwia użytkownikowi końcowemu zalogowanie się do systemu, jeśli stracił swój YubiKey.
Uwaga: Jeśli wybierzesz zapisanie kodu odzyskiwania podczas udostępniania użytkownikowi drugiego klucza, każdy poprzedni kod odzyskiwania stanie się nieprawidłowy i będzie działał tylko nowy kod odzyskiwania.

Utwórz urządzenie kopii zapasowej dla każdego użytkownika: Użyj tej opcji, aby proces inicjowania zarejestrował dwa klucze dla każdego użytkownika, podstawowy YubiKey i zapasowy YubiKey. Jeśli nie chcesz udostępniać kodów odzyskiwania użytkownikom, dobrą praktyką jest zapewnienie każdemu użytkownikowi kopii zapasowej YubiKey. Aby uzyskać więcej informacji, zobacz sekcję Klucze podstawowe i klucze zapasowe powyżej.

Krok 5: kliknij Kolejny, aby wybrać użytkownika (użytkowników) do udostępnienia. The Wybierz konta użytkowników strona (jeśli nie ma żadnych lokalnych kont użytkowników obsługiwanych przez Yubico Login dla Windows, lista będzie pusta).

Krok 6: Wybierz konta użytkowników, które mają zostać przydzielone podczas bieżącego uruchomienia logowania do Yubico dla Windows, zaznaczając pole wyboru obok nazwy użytkownika, a następnie kliknij Kolejny. The Konfigurowanie użytkownika pojawi się strona.

Krok 7: Nazwa użytkownika pokazana w polu Konfigurowanie użytkownika pokazanym powyżej to użytkownik, dla którego YubiKey jest aktualnie konfigurowany. Gdy wyświetlana jest każda nazwa użytkownika, proces monituje o wstawienie klucza YubiKey w celu rejestracji dla tego użytkownika.

Krok 8: Poczekaj na urządzenie strona jest wyświetlana podczas wykrywania wstawionego YubiKey i przed zarejestrowaniem dla użytkownika, którego nazwa użytkownika znajduje się w polu Użytkownik konfigurujący u góry strony. Jeśli wybrałeś Utwórz urządzenie kopii zapasowej dla każdego użytkownika na stronie Domyślne w polu Użytkownik konfigurujący wyświetli się również, który z YubiKeys jest rejestrowany, Podstawowy lub Utworzyć kopię zapasową.

Krok 9: Jeśli skonfigurowano proces udostępniania, aby używał ręcznie określonego klucza tajnego, wyświetlane jest pole dla 40 kluczy szesnastkowych. Wprowadź sekret i kliknij Kolejny.

Krok 10: Strona Programowanie urządzenia wyświetla postęp programowania każdego YubiKey. The Potwierdzenie urządzenia strona pokazana poniżej wyświetla szczegóły YubiKey wykrytego przez proces udostępniania, w tym numer seryjny urządzenia (jeśli jest dostępny) i status konfiguracji każdego gniazda hasła jednorazowego (OTP). Jeśli występują konflikty między ustawieniami domyślnymi a możliwymi w przypadku wykrytego YubiKey, wyświetlany jest symbol ostrzegawczy. Jeśli wszystko jest gotowe, pojawi się znacznik wyboru. Jeśli linia stanu pokazuje ikonę błędu, błąd jest opisany, a instrukcje dotyczące jego naprawy są wyświetlane na ekranie.

Krok 11: Po zakończeniu programowania konta użytkownika, dostęp do tego konta nie będzie już możliwy bez odpowiedniego YubiKey. Zostanie wyświetlony monit o usunięcie właśnie skonfigurowanego YubiKey, a proces udostępniania automatycznie przejdzie do kolejnej kombinacji konta użytkownika / YubiKey.

Krok 12: W końcu zainicjowano obsługę YubiKeys dla określonego konta użytkownika:

  • Jeśli na stronie Domyślne wybrano opcję Generuj kod odzyskiwania, zostanie wyświetlona strona Kod odzyskiwania.
  • Jeśli nie zostanie wybrana opcja Generuj kod odzyskiwania, proces udostępniania będzie automatycznie kontynuowany do następnego konta użytkownika.
  • Proces udostępniania zostanie przeniesiony do Skończone po wykonaniu ostatniego konta użytkownika.

Kod odzyskiwania jest długim ciągiem. (W celu wyeliminowania problemów spowodowanych przez użytkownika końcowego mylącego cyfrę 1 z małą literą L i 0 z literą O, kod odzyskiwania jest kodowany w Base32, który traktuje znaki alfanumeryczne, które wyglądają podobnie, jakby były takie same.)

The Kod odzyskiwania strona jest wyświetlana po skonfigurowaniu wszystkich YubiKeys dla określonego konta użytkownika.

Krok 13: Na stronie Kod odzyskiwania wygeneruj i ustaw kod odzyskiwania dla wybranego użytkownika. Po wykonaniu tej czynności, Kopiuj i Zapisać stają się dostępne przyciski po prawej stronie pola kodu odzyskiwania.

Krok 14: Skopiuj kod odzyskiwania i zapisz go przed udostępnieniem użytkownikowi i zachowaj na wypadek, gdyby użytkownik go zgubił.

Uwaga: Pamiętaj, aby zapisać kod odzyskiwania na tym etapie procesu. Po przejściu do następnego ekranu odzyskanie kodu nie jest możliwe.

Krok 15: Aby przejść do następnego konta użytkownika z Wybierz użytkowników kliknij przycisk Kolejny. Po skonfigurowaniu ostatniego użytkownika proces udostępniania wyświetla Skończone strona.

Krok 16: Daj każdemu użytkownikowi kod odzyskiwania. Użytkownicy końcowi powinni zapisać swój kod odzyskiwania w bezpiecznym miejscu dostępnym, gdy nie mogą się zalogować.

YubiKey User Experience

Gdy lokalne konto użytkownika zostało skonfigurowane tak, aby wymagało użycia YubiKey, użytkownik jest uwierzytelniany przez Dostawca poświadczeń Yubico zamiast domyślnego dostawcy poświadczeń systemu Windows. Użytkownik zostanie poproszony o wstawienie swojego YubiKey. Następnie wyświetlony zostanie ekran logowania Yubico. Użytkownik wprowadza swoją nazwę użytkownika i hasło.

Uwaga: Nie trzeba naciskać przycisku na sprzęcie YubiKey USB, aby się zalogować. W niektórych przypadkach naciśnięcie przycisku powoduje niepowodzenie logowania.

Gdy użytkownik końcowy loguje się, musi włożyć poprawny YubiKey do portu USB w swoim systemie. Jeśli użytkownik wprowadzi swoją nazwę użytkownika i hasło bez podania poprawnego YubiKey, uwierzytelnienie zakończy się niepowodzeniem, a użytkownikowi zostanie wyświetlony komunikat o błędzie.

Jeśli konto użytkownika końcowego jest skonfigurowane do Yubico Login dla Windows, a jeśli wygenerowano kod odzyskiwania, a użytkownik straci swoje klucze YubiKey, może użyć swojego kodu odzyskiwania do uwierzytelnienia. Użytkownik końcowy odblokowuje komputer za pomocą nazwy użytkownika, kodu odzyskiwania i hasła.

Do czasu skonfigurowania nowego YubiKey użytkownik końcowy musi wprowadzić kod odzyskiwania przy każdym logowaniu.

Jeśli Logowanie do Yubico w systemie Windows nie wykrywa, że ​​wstawiono klucz YubiKey, jest to prawdopodobnie spowodowane tym, że klucz nie ma włączonego trybu OTP lub nie wkładasz klucza YubiKey, ale klucz bezpieczeństwa, który nie jest zgodny z tą aplikacją. Użyj Menedżer YubiKey aplikacja, aby zapewnić, że wszystkie YubiKeys, które mają być obsługiwane, mają włączony interfejs OTP.

Ważny: Nie wpłynie to na alternatywne metody logowania obsługiwane przez system Windows. Dlatego musisz ograniczyć dodatkowe lokalne i zdalne metody logowania do kont użytkowników, które chronisz za pomocą Yubico Login dla Windows, aby mieć pewność, że nie pozostawiłeś otwartych tylnych drzwi.

Jeśli wypróbujesz YubiKey, daj nam znać o swoich doświadczeniach w sekcji komentarzy poniżej.

Udostępnij znajomym:
Udostępnij to
Prześlij
Do klasy
Link do głównej publikacji
Podobne publikacje
© 2024 Wszystkie prawa zastrzeżone Copyright.