Nakonfigurujte a používajte zabezpečené prihlásenie YubiKey pre lokálny účet v systéme Windows 10

Používatelia môžu na prihlásenie do lokálneho účtu v systéme Windows 10(Windows 10) použiť hardvérové ​​bezpečnostné kľúče vyrobené švédskou spoločnosťou Yubico . Spoločnosť nedávno vydala prvú stabilnú verziu aplikácie Yubico Login for Windows(Login for Windows application) . V tomto príspevku vám ukážeme, ako nainštalovať a nakonfigurovať YubiKey na použitie na počítačoch so systémom Windows 10.

YubiKey je hardvérové ​​autentifikačné zariadenie, ktoré podporuje jednorazové heslá, šifrovanie a autentifikáciu verejným kľúčom a protokoly Universal 2nd Factor (U2F) a FIDO2 vyvinuté alianciou FIDO(FIDO Alliance) . Umožňuje používateľom bezpečne sa prihlásiť do svojich účtov zadávaním jednorazových hesiel alebo pomocou páru verejného/súkromného kľúča založeného na FIDO vygenerovaného zariadením. YubiKey tiež umožňuje ukladanie statických hesiel na použitie na stránkach, ktoré nepodporujú jednorazové heslá. Facebook používa YubiKey pre prihlasovacie údaje zamestnancov a Google ho podporuje pre zamestnancov aj používateľov. Niektorí správcovia hesiel podporujú YubiKey .Yubico tiež vyrába bezpečnostný kľúč(Security Key) , zariadenie podobné YubiKey , ale zamerané na autentifikáciu verejným kľúčom.

YubiKey umožňuje používateľom podpisovať, šifrovať a dešifrovať správy bez vystavenia súkromných kľúčov vonkajšiemu svetu. Táto funkcia bola predtým k dispozícii iba pre používateľov počítačov Mac a Linux .

To configure/set up YubiKey on Windows 10, you’ll need the following:

  1. USB hardvér YubiKey.
  2. Softvér Yubico Login pre Windows.
  3. Softvér YubiKey Manager.

Všetky sú dostupné na yubico.com na karte Produkt(Product) . Mali by ste tiež poznamenať, že aplikácia YubiKey nepodporuje lokálne účty Windows spravované službou Azure Active Directory ( AAD ) alebo Active Directory (AD), ako aj účty Microsoft .

(YubiKey)Hardvérové ​​autentifikačné zariadenie YubiKey

Pred inštaláciou softvéru Yubico Login for Windows si poznačte svoje používateľské meno a heslo systému Windows(Windows) pre lokálny účet. Osoba, ktorá inštaluje softvér, musí mať pre svoj účet Windows používateľské meno a heslo. Bez nich nie je možné nič nakonfigurovať a účet je neprístupný. Predvolené správanie poskytovateľa poverení systému Windows(Windows) je zapamätať si vaše posledné prihlásenie, takže nemusíte zadávať používateľské meno.

Z tohto dôvodu si veľa ľudí nemusí pamätať používateľské meno. Po nainštalovaní nástroja a reštarte sa však načíta nový poskytovateľ poverení Yubico , takže správcovia aj koncoví používatelia musia v skutočnosti zadať používateľské meno. Z týchto dôvodov by nielen správca, ale aj každý, koho účet má byť nakonfigurovaný cez Yubico Login for Windows , mal skontrolovať, či sa môže prihlásiť pomocou používateľského mena a hesla Windows pre svoj lokálny účet PREDTÝM, ako správca nainštaluje nástroj a nakonfiguruje koniec - užívateľské účty.

Je tiež nevyhnutné poznamenať, že po nakonfigurovaní prihlásenia Yubico(Yubico Login) pre Windows existuje:

  • Žiadna nápoveda pre heslo systému Windows
  • Žiadny spôsob, ako obnoviť heslá
  • Žiadna funkcia Remember Previous User/Login .

Automatické prihlásenie do systému Windows(Windows) navyše nie je kompatibilné s prihlásením Yubico(Yubico Login) pre systém Windows(Windows) . Ak si používateľ, ktorého konto bolo nastavené na automatické prihlásenie, už nepamätá svoje pôvodné heslo, keď konfigurácia Yubico Login for Windows nadobudne účinnosť, k účtu už nebude možné pristupovať. Vyriešte(Address) tento problém preventívne:

  • Pred zakázaním automatického prihlásenia si používatelia nastavia nové heslá.
  • Požiadajte všetkých používateľov, aby overili, že majú prístup k svojim účtom pomocou používateľského mena a svojho nového hesla, skôr než použijete Yubico Login for Windows na konfiguráciu ich účtov.

Na inštaláciu softvéru sú potrebné oprávnenia správcu .

Inštalácia YubiKey

Najprv overte svoje používateľské meno. Po nainštalovaní Yubico Login for Windows a reštartovaní budete musieť zadať toto spolu s heslom na prihlásenie. Ak to chcete urobiť, otvorte príkazový riadok(Command Prompt) alebo PowerShell z ponuky Štart(Start) a spustite príkaz nižšie

whoami

Všimnite si(Take) úplný výstup, ktorý by mal byť v tvare DESKTOP-1JJQRDF\jdoe , kde  jdoe  je používateľské meno.

  1. Stiahnite(Download) si softvér Yubico Login for Windows tu(here) .
  2. Spustite inštalačný program dvojitým kliknutím na stiahnutie.
  3. Prijmite licenčnú zmluvu s koncovým používateľom.
  4. V sprievodcovi inštaláciou zadajte umiestnenie cieľového priečinka alebo akceptujte predvolené umiestnenie.
  5. Reštartujte počítač, na ktorom je nainštalovaný softvér. Po reštarte poskytovateľ poverení Yubico zobrazí prihlasovaciu obrazovku s výzvou na zadanie kľúča YubiKey(YubiKey) .

Pretože YubiKey ešte nebol poskytnutý, musíte prepnúť používateľa a zadať nielen heslo pre svoj lokálny účet Windows , ale aj svoje používateľské meno pre tento účet. Ak je to potrebné, možno budete musieť zmeniť účet Microsoft na lokálny účet .

Po prihlásení vyhľadajte „Konfigurácia prihlásenia“ so zelenou ikonou. (Položka v skutočnosti označená Yubico Login for Windows je len inštalátor, nie aplikácia.)

Konfigurácia YubiKey

(Administrator)Na konfiguráciu softvéru sú potrebné oprávnenia správcu .
Iba účty, ktoré sú podporované, môžu byť nakonfigurované pre Yubico Login for Windows . Ak spustíte sprievodcu konfiguráciou a hľadaný účet sa nezobrazí, nie je podporovaný, a preto nie je k dispozícii na konfiguráciu.

Počas procesu konfigurácie sa bude vyžadovať nasledovné;

  • Primárny a záložný(Primary and Backup Keys) kľúč: Pre každú registráciu použite iný kľúč YubiKey . (YubiKey)Ak konfigurujete záložné kľúče, každý používateľ by mal mať jeden kľúč YubiKey(YubiKey) pre primárny a druhý pre záložný kľúč.
  • Obnovovací kód(Recovery Code) : Obnovovací kód je mechanizmus poslednej možnosti na overenie používateľa v prípade straty všetkých kľúčov YubiKey. Obnovovacie(Recovery) kódy môžu byť priradené používateľom, ktorých určíte; obnovovací kód je však použiteľný len vtedy, ak je k dispozícii aj používateľské meno a heslo účtu. Možnosť vygenerovať obnovovací kód sa zobrazí počas procesu konfigurácie.

Krok 1: V ponuke Štart(Start) systému Windows vyberte položku Yubico > Konfigurácia prihlásenia(Login Configuration) .

Krok 2: Zobrazí sa dialógové okno Kontrola používateľských kont(User Account Control) . Ak to spúšťate z účtu, ktorý nie je správcom, zobrazí sa výzva na zadanie poverení miestneho správcu. Úvodná stránka predstavuje sprievodcu poskytovaním konfigurácie prihlásenia Yubico(Yubico Login Configuration) :

Hardvérové ​​autentifikačné zariadenie YubiKey

Krok 3: Kliknite na Ďalej(Next) . Zobrazí sa predvolená(Default) stránka Yubico Windows Login Configuration .

Krok 4: Konfigurovateľné položky sú:

Automaty(Slots) : Vyberte slot, kde bude uložené tajomstvo výzvy a odpovede. Všetky kľúče YubiKey, ktoré neboli prispôsobené, sú vopred nahrané s poverením v slote 1, takže ak používate Yubico Login for Windows na konfiguráciu kľúčov YubiKey, ktoré sa už používajú na prihlásenie do iných účtov, neprepisujte slot 1.

Challenge/Response Secret : Táto položka vám umožňuje určiť, ako bude tajný kľúč nakonfigurovaný a kde bude uložený. Možnosti sú:

  • Použiť existujúci tajný kľúč, ak je nakonfigurovaný – vygenerovať, ak nie je nakonfigurovaný(Use existing secret if configured – generate if not configured) : V špecifikovanom slote sa použije existujúci tajný kľúč. Ak zariadenie nemá žiadne existujúce tajomstvo, proces poskytovania vygeneruje nový tajný kľúč.
  • Vygenerovať nový, náhodný tajný kľúč, aj keď je tajný kľúč aktuálne nakonfigurovaný(Generate new, random secret, even if a secret is currently configured) : Vygeneruje sa nový tajný kľúč a naprogramuje sa do slotu, pričom prepíše akékoľvek predtým nakonfigurované tajomstvo.
  • Manuálne zadanie tajného kľúča(Manually input secret)Pre pokročilých používateľov(For advanced users) : Počas procesu poskytovania vás aplikácia vyzve, aby ste manuálne zadali tajný kľúč HMAC-SHA1 (20 bajtov – 40 znakov hex-kódovaných).

Generovať kód obnovy(Generate Recovery Code) : Pre každého poskytnutého používateľa sa vygeneruje nový kód obnovy. Tento obnovovací kód umožňuje koncovému používateľovi prihlásiť sa do systému, ak stratil svoj YubiKey.
Poznámka: Ak zvolíte uloženie kódu obnovenia pri poskytovaní druhého kľúča používateľovi, predchádzajúci kód obnovenia sa stane neplatným a bude fungovať iba nový kód obnovenia.

Vytvoriť záložné zariadenie pre každého používateľa(Create Backup Device for Each User) : Túto možnosť použite, ak chcete, aby proces poskytovania zaregistroval dva kľúče pre každého používateľa, primárny YubiKey a záložný YubiKey . Ak nechcete svojim používateľom poskytovať kódy na obnovenie, je dobrou praxou poskytnúť každému používateľovi záložný kľúč YubiKey(YubiKey) . Ďalšie informácie nájdete v časti Primárne(Primary) a záložné kľúče(Backup Keys)  vyššie.

Krok 5: Kliknite na Ďalej(Next) a vyberte používateľov, ktorých chcete poskytnúť. Zobrazí sa stránka Select User Accounts (Ak (Select User Accounts)Yubico Login for Windows nepodporuje žiadne lokálne používateľské účty , zoznam bude prázdny).

Krok 6: Vyberte používateľské účty, ktoré sa majú zriadiť počas aktuálneho spustenia prihlásenia Yubico(Yubico Login) pre Windows začiarknutím políčka vedľa používateľského mena a potom kliknite na tlačidlo Ďalej(Next) . Zobrazí sa stránka Configuring User .

Krok 7: Používateľské meno zobrazené v poli Configuring User zobrazenom vyššie je používateľ, pre ktorého sa práve konfiguruje YubiKey. Keď sa zobrazí každé používateľské meno, proces vás vyzve na vloženie kľúča YubiKey na registráciu daného používateľa.

Krok 8: Stránka Čakať na zariadenie(Wait for Device) sa zobrazí, kým sa zisťuje vložený kľúč YubiKey a kým sa zaregistruje pre používateľa, ktorého používateľské meno je v poli Konfigurácia používateľa(Configuring User) v hornej časti stránky. Ak ste na stránke Predvolené vybrali (Defaults)možnosť Vytvoriť záložné zariadenie pre každého používateľa(Create Backup Device for Each User) , v poli Konfigurácia používateľa(Configuring User) sa tiež zobrazí, ktorý z kľúčov YubiKey(YubiKeys) sa registruje, či ide o primárne(Primary) alebo záložné(Backup) .

Krok 9: Ak ste nakonfigurovali proces poskytovania na používanie manuálne zadaného tajného kľúča, zobrazí sa pole pre 40 hexadecimálnych tajných kľúčov. Zadajte tajný kód a kliknite na tlačidlo Ďalej(Next) .

Krok 10: Stránka Programming Device zobrazuje priebeh programovania každého YubiKey . Stránka potvrdenia zariadenia(Device Confirmation) uvedená nižšie zobrazuje podrobnosti o kľúči YubiKey(YubiKey) zistenom procesom poskytovania vrátane sériového čísla zariadenia (ak je k dispozícii) a stavu konfigurácie každého slotu na jednorazové heslo(One-Time Password) ( OTP ). Ak dôjde ku konfliktom medzi tým, čo ste nastavili ako predvolené, a tým, čo je možné pomocou rozpoznaného kľúča YubiKey(YubiKey) , zobrazí sa varovný symbol. Ak je všetko v poriadku, zobrazí sa značka začiarknutia. Ak sa v stavovom riadku zobrazuje ikona chyby, chyba je opísaná a na obrazovke sa zobrazia pokyny na jej odstránenie.

Krok 11: Po dokončení programovania pre používateľský účet už nebude možné pristupovať k tomuto účtu bez príslušného kľúča YubiKey(YubiKey) . Zobrazí sa výzva na odstránenie práve nakonfigurovaného kľúča YubiKey(YubiKey) a proces poskytovania automaticky pokračuje na ďalšiu kombináciu používateľského účtu a kľúča YubiKey(YubiKey) .

Krok 12: Koniec koncov, YubiKeys pre zadaný používateľský účet boli poskytnuté:

  • Ak ste  zvolili Generate Recovery Code na stránke (Generate Recovery Code)Defaults , zobrazí sa stránka Recovery Code .
  • Ak   nebola vybratá možnosť Generovať kód obnovy , proces poskytovania bude automaticky pokračovať na ďalšie používateľské konto.(Generate Recovery Code)
  •  Po dokončení posledného používateľského účtu sa proces poskytovania presunie do  stavu Dokončené .(Finished)

Obnovovací kód je dlhý reťazec. (Na odstránenie problémov spôsobených koncovým používateľom, ktorý si pomýlil číslo 1 s malým písmenom L a 0 s písmenom O, kód obnovy je zakódovaný v Base32 , ktorý zaobchádza s alfanumerickými znakmi, ktoré vyzerajú podobne, ako keby boli rovnaké.)

Stránka s kódom obnovy(Recovery Code) sa zobrazí po nakonfigurovaní všetkých kľúčov YubiKey(YubiKeys) pre zadaný používateľský účet.

Krok 13: Na stránke Recovery Code vygenerujte a nastavte kód obnovy pre vybraného používateľa. Keď to urobíte, sprístupnia sa tlačidlá Kopírovať(Copy)  a  Uložiť(Save) napravo od poľa s kódom na obnovenie.

Krok 14: Skopírujte kód na obnovenie a uložte ho pred zdieľaním s používateľom a uschovajte ho pre prípad, že ho používateľ stratí.

Poznámka(Note) : V tomto bode procesu nezabudnite uložiť kód na obnovenie. Keď prejdete na ďalšiu obrazovku, nie je možné získať kód.

Krok 15: Ak chcete prejsť na ďalší používateľský účet zo stránky Výber používateľov(Select Users) , kliknite na Ďalej(Next) . Keď ste nakonfigurovali posledného používateľa, proces poskytovania zobrazí stránku Dokončené(Finished) .

Krok 16: Dajte každému používateľovi jeho kód na obnovenie. Koncoví používatelia by si mali uložiť svoj obnovovací kód na bezpečné miesto, ktoré bude dostupné, keď sa nebudú môcť prihlásiť.

Používateľská skúsenosť YubiKey

Keď je miestne používateľské konto nakonfigurované tak, aby vyžadovalo YubiKey , používateľa overí poskytovateľ poverení Yubico(Yubico Credential Provider) namiesto predvoleného poskytovateľa poverení systému Windows . Používateľ je vyzvaný, aby vložil svoj YubiKey . Potom sa zobrazí prihlasovacia obrazovka Yubico . (Yubico Login)Používateľ zadá svoje používateľské meno a heslo.

Poznámka(Note) : Na prihlásenie nie je potrebné stlačiť tlačidlo na hardvéri YubiKey USB(YubiKey USB) . V niektorých prípadoch stlačenie tlačidla spôsobí zlyhanie prihlásenia.

Keď sa koncový používateľ prihlási, musí vložiť správny kľúč YubiKey(YubiKey) do portu USB na svojom systéme. Ak koncový používateľ zadá svoje používateľské meno a heslo bez vloženia správneho kľúča YubiKey(YubiKey) , overenie zlyhá a používateľovi sa zobrazí chybové hlásenie.

Ak je konto koncového používateľa nakonfigurované na prihlásenie Yubico(Yubico Login) pre Windows a ak bol vygenerovaný obnovovací kód a používateľ stratí svoje kľúče YubiKey, môže na overenie použiť svoj obnovovací kód. Koncový používateľ odomkne svoj počítač pomocou svojho používateľského mena, kódu na obnovenie a hesla.

Kým nie je nakonfigurovaný nový kľúč YubiKey(YubiKey) , koncový používateľ musí pri každom prihlásení zadať obnovovací kód.

Ak Yubico Login for Windows nezistí, že bol vložený YubiKey , je to pravdepodobne spôsobené tým, že kľúč nemá povolený režim OTP , alebo (OTP)nevkladáte YubiKey(YubiKey) , ale bezpečnostný kľúč(Security Key) , ktorý nie je kompatibilný s touto aplikáciou. Použite aplikáciu YubiKey Manager  , aby ste sa uistili, že všetky YubiKey(YubiKeys) , ktoré sa majú poskytovať, majú povolené rozhranie OTP .

Dôležité(Important) : Alternatívne spôsoby prihlásenia podporované systémom Windows nebudú ovplyvnené. Preto musíte obmedziť dodatočné metódy lokálneho a vzdialeného prihlásenia pre používateľské účty, ktoré chránite pomocou Yubico Login for Windows , aby ste sa uistili, že ste nenechali otvorené žiadne „zadné dvierka“.

Ak vyskúšate YubiKey, dajte nám vedieť o svojich skúsenostiach v sekcii komentárov nižšie.(If you try out YubiKey, let us know your experience in the comments section below.)



About the author

V podnikaní je to všetko o vytváraní hodnoty pre vašich klientov a zákazníkov. Zameriavam sa na poskytovanie podrobných pokynov, ktoré pomôžu mojim čitateľom vyťažiť maximum zo svojho hardvéru a softvéru pomocou balíka Microsoft Office. Medzi moje zručnosti patrí inštalácia klávesnice a ovládačov, ako aj podpora Microsoft Office. S mojimi dlhoročnými skúsenosťami v tomto odvetví vám môžem pomôcť pokryť akékoľvek hardvérové ​​alebo softvérové ​​potreby, ktoré by ste mohli mať.



Related posts