Вопрос: Можно ли обойти Windows Hello (PIN) при входе в Windows 11, привязанном к беспарольной учетной записи Microsoft? Зачем? Хочу принудительно использовать аппаратный ключ безопасности для аутентификации.
- У меня есть учетная запись Microsoft без пароля в профиле Windows 11
- Хотите обойти Windows Hello (PIN-код) и использовать аппаратный ключ безопасности для аутентификации?
- https://www.yubico.com/products/computer-login-tools/
- По данным Yubico... «YubiKey нельзя использовать совместно»… «на вашем компьютере с учетной записью Microsoft».
решение1
Как вы уже отметили,
Yubico Login для Windows не поддерживает ни одно из следующих:
- Управляемые учетные записи Active Directory (AD)
- Управляемые учетные записи Azure Active Directory (AAD)
Microsoft Accounts (MSA)
Вам необходимо будет использовать локальную учетную запись.
Источник:Руководство по настройке входа в Yubico для Windows
решение2
(Тема не обновлялась несколько месяцев, но я находил ее не раз, когда гуглил похожие вопросы, так что вот решение. Надеюсь, оно кому-нибудь поможет.)
Вам не нужен Yubico Login для Windows для учетной записи MS без пароля, если ваш компьютер присоединен к AzureAD (может подойти и для гибридного присоединения, но я пробовал только на машинах, присоединенных к AzureAD).
Я сделал это на своей машине Windows 11 и виртуальной машине Windows 10 (VirtualBox позволяет сквозную передачу SecurityKey, Hyper-V — нет).
Инструкции MS по включению ключей FIDO в Azure AD:
- https://learn.microsoft.com/en-us/azure/active-directory/authentication/howto-authentication-passwordless-security-key
- Убедитесь, что вы выбрали «Все пользователи» или ваша учетная запись включена в одну из разрешенных групп.
Инструкции MS по добавлению ключа безопасности в вашу учетную запись MS:
- https://support.microsoft.com/en-us/account-billing/set-up-a-security-key-as-your-verification-method-2911cacd-efa5-4593-ae22-e09ae14c6698
- Это не указано, но этот шаг добавляет ваши учетные данные AzureAD/MS к вашему ключу.
Перезагрузите систему после выполнения этих шагов, чтобы изменения AzureAD вступили в силу. (По моему ограниченному опыту, возможно, вам придется подождать 10–15 минут, пока изменения вступят в силу.)
Этот шаг может быть необходим, а может и нет, но я никогда не пробовал обойтись без него:
- После перезапуска перейдите в Пуск>Параметры>Учетные записи>Параметры входа>Ключ безопасности и нажмите [Управление].
- Вам будет предложено вставить ключ и ввести его PIN-код. Закройте окно, которое загрузится (сброс ключа или PIN-кода из этого интерфейса, скорее всего, удалит учетные данные из вашего ключа).
--
Выйдите из системы для проверки. Вы должны получить стандартный запрос на ввод пароля/пин-кода, но при вставке ключа (и/или выборе дополнительных опций и выборе значка USB для ключа безопасности) будет запрошен ваш пин-код. После того, как вы сделаете это в первый раз, методом входа по умолчанию будет ключ безопасности.
Единственный способ, который я нашел, чтобы ЗАПРОСИТЬ ключ для Windows, это вот:
https://swjm.blog/three-ways-of-enforcing-security-key-sign-in-on-windows-10-windows-11-4f0f27227372
Этоговорит3 способа, но на самом деле это просто 3 разных способа сделать одно и то же — отключить всех поставщиков учетных данных Windows, кроме ключей безопасности и смарт-карт.
ВАЖНЫЕ СООБРАЖЕНИЯ:
- Хотя вы можете добавить к ключу несколько учетных записей пользователей, Windows Logon распознает только последние учетные данные, добавленные к ключу.
- Если вы отключите всех поставщиков учетных данных, кроме ключей безопасности и смарт-карт, убедитесь, что у вас есть возможность включить их снова, если вы потеряете ключ. Мои машины управляются Intune, поэтому я могу запустить скрипт PowerShell, чтобы снова включить других поставщиков, но я не знаю, что бы вы делали без MDM, если бы ключ был утерян.
- Если вы отключите всех поставщиков учетных данных, кроме ключей безопасности и смарт-карт, вы не сможете использовать функцию «Запуск от имени администратора», если вы вошли в систему как обычный пользователь.Я попробовал войти в систему с помощью StandardKey, а затем попытаться предоставить учетные данные администратора с помощью AdminKey, но Windows не распознает, что новый ключ имеет другие учетные данные.(Я пробовал это только в Windows 10 Pro — Windows 11, возможно, сможет распознать новые учетные данные.)
решение3
Итог: можно обойти пин-код windows hello и принудительно использовать любой аппаратный ключ безопасности, связанный с учетной записью Microsoft в профиле windows. Не требуется никакого программного обеспечения или специальной настройки.
Наиболее важные части:
- иметь ключ безопасности HW, связанный с учетной записью MS без пароля
- используйте эту учетную запись для входа
- вручную удалите пин-код Win hello и перезагрузите компьютер
- Затем вам будет предложено ввести ключ HW.
- Windows потребует, чтобы вы сбросили приветственный PIN-код
- просто проигнорируйте это, и вход будет завершен без использования приветственного PIN-кода
- не требуется никакого программного обеспечения, специальной конфигурации, изменений в управлении учетными данными и т. д.
- не элегантное решение, но работает безупречно, обеспечивая использование аппаратного ключа и устраняя потенциальную уязвимость, позволяющую кому-то взломать PIN-код для входа в систему
Предостережения:
- придется удалить штифт Windows
- для каждого последующего входа нажмите «настроить мой PIN-код»
- затем нажмите «войти с помощью ключа безопасности» и
- наконец нажмите «отмена»
Это приведет к принудительному использованию любого аппаратного ключа безопасности, привязанного к вашей учетной записи Microsoft.