Määritä ja käytä YubiKey Secure Login paikalliselle tilille Windows 10:ssä

Käyttäjät voivat käyttää ruotsalaisen Yubicon(Yubico) valmistamia laitteiston suojausavaimia kirjautuakseen paikalliselle tilille Windows 10 :ssä . Yritys julkaisi äskettäin ensimmäisen vakaan version Yubico Login for Windows -sovelluksesta(Login for Windows application) . Tässä viestissä näytämme, kuinka YubiKey asennetaan ja määritetään käytettäväksi Windows 10 -tietokoneissa.

YubiKey on laitteistotodennuslaite, joka tukee kertakäyttöisiä salasanoja, julkisen avaimen salausta ja todennusta sekä FIDO Alliancen kehittämiä (FIDO Alliance)Universal 2nd Factor (U2F) - ja FIDO2- protokollia . Sen avulla käyttäjät voivat kirjautua sisään tililleen turvallisesti lähettämällä kertaluonteisia salasanoja tai käyttämällä laitteen luomaa FIDO-pohjaista julkista/yksityistä avainparia. YubiKey mahdollistaa myös staattisten salasanojen tallentamisen käytettäväksi sivustoissa, jotka eivät tue kertakäyttöisiä salasanoja. Facebook käyttää YubiKeyta(YubiKey) työntekijöiden tunnistetiedoissa, ja Google tukee sitä sekä työntekijöille että käyttäjille. Jotkut salasananhallintaohjelmat tukevat YubiKeyä(YubiKey) .Yubico valmistaa myös suojausavainta , joka on (Security Key)YubiKeyn(YubiKey) kaltainen laite , mutta joka keskittyy julkisen avaimen todentamiseen.

YubiKeyn avulla käyttäjät voivat allekirjoittaa, salata ja purkaa viestejä paljastamatta yksityisiä avaimia ulkomaailmalle. Tämä ominaisuus oli aiemmin saatavilla vain Mac- ja Linux - käyttäjille.

To configure/set up YubiKey on Windows 10, you’ll need the following:

  1. YubiKey USB - laitteisto .
  2. Yubico Login ohjelmisto Windowsille.
  3. YubiKey Manager -ohjelmisto.

Kaikki ne ovat saatavilla yubico.com -sivustolta niiden Tuotteet(Product) - välilehdeltä. Huomaa myös, että YubiKey- sovellus ei tue paikallisia Windows - tilejä, joita hallitsee Azure Active Directory ( AAD ) tai Active Directory (AD) eikä Microsoft-tilejä .

YubiKey- laitteistotodennuslaite

Ennen kuin asennat Yubico Login for Windows -ohjelmiston, kirjoita muistiin paikallisen tilin Windows -käyttäjänimesi ja salasanasi. Ohjelmiston asentavalla henkilöllä on oltava tilinsä Windows - käyttäjätunnus ja salasana. Ilman näitä mitään ei voida määrittää, eikä tiliä voi käyttää. Windowsin(Windows) tunnistetietojen tarjoajan oletuskäyttäytyminen on muistaa viimeisin kirjautumisesi, joten sinun ei tarvitse kirjoittaa käyttäjänimeä.

Tästä syystä monet ihmiset eivät ehkä muista käyttäjänimeä. Kuitenkin, kun asennat työkalun ja käynnistät sen uudelleen, uusi Yubico- tunnistetietojen tarjoaja ladataan, joten sekä järjestelmänvalvojien että loppukäyttäjien on todella kirjoitettava käyttäjänimi. Näistä syistä ei vain järjestelmänvalvojan vaan myös kaikkien, joiden tili on määritettävä Yubico Login for Windows -sovelluksella , varmistaakseen, että he voivat kirjautua sisään käyttämällä paikallisen tilinsä Windows -käyttäjänimeä ja salasanaa ENNEN kuin järjestelmänvalvoja asentaa työkalun ja määrittää asetukset. - käyttäjien tilit.

On myös tärkeää huomata, että kun Yubico Login for Windows on määritetty, siellä on:

  • Ei Windows-salasanavinkkiä
  • Ei tapaa nollata salasanoja
  • Ei Remember Previous User/Login .

Lisäksi Windowsin(Windows) automaattinen sisäänkirjautuminen ei ole yhteensopiva Yubico Login for Windows -sovelluksen kanssa . Jos käyttäjä, jonka tili on määritetty automaattista sisäänkirjautumista varten, ei enää muista alkuperäistä salasanaansa Yubico Login for Windows -määrityksen tullessa voimaan, tiliä ei voi enää käyttää. Ratkaise(Address) tämä ongelma ennaltaehkäisevästi seuraavasti:

  • Käyttäjien on asetettava uudet salasanat ennen automaattisen kirjautumisen poistamista käytöstä.
  • Pyydä kaikkia käyttäjiä varmistamaan, että he pääsevät tililleen käyttäjänimellään ja uudella salasanallaan, ennen kuin käytät Yubico Login for Windows -sovellusta tilien määrittämiseen.

Ohjelmiston asentamiseen tarvitaan järjestelmänvalvojan oikeudet.

YubiKeyn asennus

Vahvista ensin käyttäjätunnuksesi. Kun olet asentanut Yubico Login for Windows -sovelluksen ja käynnistetty uudelleen, sinun on annettava tämä salasanan lisäksi kirjautuaksesi sisään. Voit tehdä tämän avaamalla komentokehote(Command Prompt) tai PowerShellin (PowerShell)Käynnistä(Start) -valikosta ja suorittamalla alla olevan komennon.

whoami

Ota(Take) huomioon koko tulos, jonka tulee olla muodossa DESKTOP-1JJQRDF\jdoe , jossa  jdoe  on käyttäjänimi.

  1. Lataa(Download) Yubico Login(Yubico Login) for Windows -ohjelmisto täältä(here) .
  2. Suorita asennusohjelma kaksoisnapsauttamalla latausta.
  3. Hyväksy loppukäyttäjän käyttöoikeussopimus.
  4. Määritä ohjatussa asennustoiminnossa kohdekansion sijainti tai hyväksy oletussijainti.
  5. Käynnistä uudelleen kone, johon ohjelmisto on asennettu. Uudelleenkäynnistyksen jälkeen Yubico- tunnistetietojen tarjoaja näyttää sisäänkirjautumisnäytön, joka kehottaa antamaan YubiKeyn(YubiKey) .

Koska YubiKeyä(YubiKey) ei ole vielä varattu, sinun on vaihdettava käyttäjää ja syötettävä paikallisen Windows - tilisi salasanan lisäksi myös kyseisen tilin käyttäjänimesi. Tarvittaessa saatat joutua muuttamaan Microsoft-tilin paikalliseksi tiliksi .

Kun olet kirjautunut sisään, etsi "Kirjautumisasetukset" vihreällä kuvakkeella. ( Yubico Login for Windows -niminen kohde on vain asennusohjelma, ei sovellus.)

YubiKey-asetukset

(Administrator)Ohjelmiston määrittämiseen tarvitaan järjestelmänvalvojan oikeudet.
Vain tuetut tilit voidaan määrittää Yubico Login for Windowsille(Windows) . Jos käynnistät ohjatun määritystoiminnon eikä etsimääsi tiliä näytetä, sitä ei tueta, joten se ei ole käytettävissä määrityksessä.

Määritysprosessin aikana vaaditaan seuraavat:

  • Ensisijainen ja vara-avain(Primary and Backup Keys) : Käytä eri YubiKey -avainta jokaiseen rekisteröintiin. Jos määrität vara-avaimia, jokaisella käyttäjällä tulee olla yksi YubiKey ensisijaiselle avaimelle ja toinen varaavaimelle.
  • Palautuskoodi(Recovery Code) : Palautuskoodi on viimeinen keino todentaa käyttäjä, jos kaikki YubiKeys ovat kadonneet. Palautuskoodit(Recovery) voidaan määrittää määrittämillesi käyttäjille. palautuskoodia voi kuitenkin käyttää vain, jos tilin käyttäjätunnus ja salasana ovat myös saatavilla. Mahdollisuus luoda palautuskoodi esitetään konfigurointiprosessin aikana.

Vaihe 1: Valitse Windowsin Käynnistä(Start) - valikosta Yubico > Kirjautumisasetukset(Login Configuration) .

Vaihe 2: Käyttäjätilien valvonta(User Account Control) -valintaikkuna tulee näkyviin. Jos käytät tätä muulla kuin järjestelmänvalvojatilillä, sinua pyydetään antamaan paikallisen järjestelmänvalvojan tunnistetiedot. Tervetuloa-sivulla esitellään ohjattu Yubico Login Configuration -määritystoiminto(Yubico Login Configuration) :

YubiKey-laitteistotodennuslaite

Vaihe 3: Napsauta Seuraava(Next) . Yubico Windows Login Configuration -oletussivu (Yubico Windows Login Configuration)tulee(Default) näkyviin .

Vaihe 4: Määritettävät kohteet ovat:

Slots : Valitse paikka, johon haaste-vastauksen salaisuus tallennetaan. Kaikki YubiKeys, joita ei ole mukautettu, tulevat valmiiksi ladatulla tunnistetiedolla paikkaan 1, joten jos käytät Yubico Login for Windowsia(Windows) määrittääksesi YubiKey-avaimet, joita jo käytetään kirjautumiseen muille tileille, älä korvaa paikkaa 1.

Challenge/Response Secret : Tämän kohdan avulla voit määrittää, kuinka salaisuus konfiguroidaan ja mihin se tallennetaan. Vaihtoehdot ovat:

  • Käytä olemassa olevaa salaisuutta, jos se on määritetty – luo, jos ei ole määritetty(Use existing secret if configured – generate if not configured) : Avaimen olemassa olevaa salaisuutta käytetään määritetyssä paikassa. Jos laitteessa ei ole olemassa olevaa salaisuutta, hallintaprosessi luo uuden salaisuuden.
  • Luo uusi, satunnainen salaisuus, vaikka salaisuus olisi tällä hetkellä määritetty(Generate new, random secret, even if a secret is currently configured) : Uusi salaisuus luodaan ja ohjelmoidaan paikkaan, joka korvaa kaikki aiemmin määritetyt salaisuudet.
  • Syötä salaisuus manuaalisesti(Manually input secret)Edistyneet käyttäjät(For advanced users) : Valmisteluprosessin aikana sovellus kehottaa syöttämään manuaalisesti HMAC-SHA1-salaisuuden (20 tavua – 40 merkkiä heksakoodattu).

Luo palautuskoodi(Generate Recovery Code) : Jokaiselle käyttäjälle luodaan uusi palautuskoodi. Tämän palautuskoodin avulla loppukäyttäjä voi kirjautua sisään järjestelmään, jos hän on kadottanut YubiKeyn.
Huomautus: Jos valitset palautuskoodin tallentamisen samalla, kun annat käyttäjälle toisen avaimen, kaikki aiempi palautuskoodi ei kelpaa ja vain uusi palautuskoodi toimii.

Luo varmuuskopiolaite kullekin käyttäjälle(Create Backup Device for Each User) : Käytä tätä vaihtoehtoa, jos haluat, että hallintaprosessi rekisteröi kullekin käyttäjälle kaksi avainta, ensisijaisen YubiKeyn(YubiKey) ja vara -YubiKeyn(YubiKey) . Jos et halua antaa palautuskoodeja käyttäjillesi, on hyvä käytäntö antaa jokaiselle käyttäjälle varmuuskopio YubiKey . Katso lisätietoja yllä olevasta Ensisijaiset(Primary) ja vara-avaimet(Backup Keys)  -osiosta.

Vaihe 5: Valitse luotavat käyttäjät napsauttamalla Seuraava(Next) . Valitse käyttäjätilit(Select User Accounts) -sivu (jos Yubico Login(Yubico Login) for Windows ei tue paikallisia käyttäjätilejä , luettelo on tyhjä).

Vaihe 6: Valitse nykyisen Yubico Login for Windows -ajon aikana käytettävät käyttäjätilit valitsemalla käyttäjänimen vieressä oleva valintaruutu ja napsauta sitten Seuraava(Next) . Configuring User -sivu tulee näkyviin .

Vaihe 7: Yllä olevassa Configuring User -kentässä näkyvä käyttäjätunnus on käyttäjä, jolle YubiKeyä parhaillaan konfiguroidaan. Kun jokainen käyttäjätunnus näytetään, prosessi kehottaa sinua lisäämään YubiKeyn rekisteröidäksesi kyseiselle käyttäjälle.

Vaihe 8: Odota laitetta(Wait for Device) -sivu näytetään, kun lisättyä YubiKey-avainta havaitaan ja ennen kuin se rekisteröidään käyttäjälle, jonka käyttäjätunnus on Sivun yläreunan Käyttäjän määritys -kentässä. (Configuring User)Jos olet valinnut Oletusarvot(Defaults) - sivulla Luo varmuuskopiolaite kullekin käyttäjälle(Create Backup Device for Each User) , Configuring User -kentässä näkyy myös, mikä YubiKeys on rekisteröity, ensisijainen(Primary) vai varmuuskopio(Backup) .

Vaihe 9: Jos olet määrittänyt valmisteluprosessin käyttämään manuaalisesti määritettyä salaisuutta, 40 heksanumeroisen salaisuuden kenttä tulee näkyviin. Kirjoita salaisuus ja napsauta Seuraava(Next) .

Vaihe 10: Ohjelmointilaite(Programming Device) -sivu näyttää kunkin YubiKeyn(YubiKey) ohjelmoinnin edistymisen . Alla näkyvällä Laitteen vahvistussivulla(Device Confirmation) näkyvät valmisteluprosessin havaitseman YubiKeyn(YubiKey) tiedot , mukaan lukien laitteen sarjanumero (jos saatavilla) ja kunkin kertakäyttöisen salasanan(One-Time Password) ( OTP ) paikan konfigurointitila. Jos oletusasetuksiksi määrittämäsi ja havaitun YubiKeyn(YubiKey) mahdollisen välillä on ristiriitoja , näyttöön tulee varoitussymboli. Jos kaikki on kunnossa, näkyviin tulee valintamerkki. Jos tilarivillä näkyy virhekuvake, virhe on kuvattu ja ohjeet sen korjaamiseksi näytetään näytöllä.

Vaihe 11: Kun käyttäjätilin ohjelmointi on valmis, tiliä ei voi enää käyttää ilman vastaavaa YubiKeyä(YubiKey) . Sinua kehotetaan poistamaan juuri määritetty YubiKey , ja hallintaprosessi etenee automaattisesti seuraavaan käyttäjätiliin/ YubiKey- yhdistelmään.

Vaihe 12: Loppujen lopuksi määritetyn käyttäjätilin YubiKeys on varattu:(YubiKeys)

  • Jos Generate Recovery Code  on valittuna Oletusarvot(Defaults) - sivulla, Palautuskoodi(Recovery Code) - sivu tulee näkyviin.
  • Jos  Luo palautuskoodia(Generate Recovery Code)  ei valittu, hallintaprosessi jatkuu automaattisesti seuraavalle käyttäjätilille.
  • Käyttöönottoprosessi siirtyy  Valmis(Finished) -tilaan,  kun viimeinen käyttäjätili on valmis.

Palautuskoodi on pitkä merkkijono. (Jotta loppukäyttäjä sekoittaa numeron 1 pieneen kirjaimeen L ja 0 kirjaimeen O, palautuskoodi on koodattu Base32 :een , joka käsittelee samanlaisilta näyttäviä aakkosnumeerisia merkkejä ikään kuin ne olisivat samoja, jotta loppukäyttäjän aiheuttamat ongelmat voidaan poistaa.

Palautuskoodi -sivu tulee näkyviin, kun määritetyn käyttäjätilin kaikki YubiKeys-avaimet on määritetty (Recovery Code).(YubiKeys)

Vaihe 13: Luo ja aseta palautuskoodi valitulle käyttäjälle Palautuskoodi-sivulla . (Recovery Code)Kun tämä on tehty, Kopioi-(Copy)  ja  Tallenna(Save) -painikkeet palautuskoodikentän oikealla puolella ovat käytettävissä.

Vaihe 14: Kopioi palautuskoodi ja tallenna se, jotta sitä ei jaeta käyttäjän kanssa, ja säilytä se siltä varalta, että käyttäjä kadottaa sen.

Huomautus(Note) : Muista tallentaa palautuskoodi prosessin tässä vaiheessa. Kun siirryt seuraavaan näyttöön, koodia ei voi noutaa.

Vaihe 15: Siirry seuraavaan käyttäjätiliin Valitse käyttäjät(Select Users) -sivulta napsauttamalla Seuraava(Next) . Kun olet määrittänyt viimeisen käyttäjän, hallintaprosessi näyttää Valmis(Finished) - sivun.

Vaihe 16: Anna jokaiselle käyttäjälle palautuskoodi. Loppukäyttäjien tulee tallentaa palautuskoodinsa turvalliseen paikkaan, joka on käytettävissä, kun he eivät voi kirjautua sisään.

YubiKeyn käyttökokemus

Kun paikallinen käyttäjätili on määritetty vaatimaan YubiKeyn(YubiKey) , Yubico Credential Provider todentaa käyttäjän(Yubico Credential Provider) oletusarvoisen Windows Credential Providerin sijaan . Käyttäjää kehotetaan lisäämään YubiKey . Sitten Yubico Login -näyttö avautuu. Käyttäjä syöttää käyttäjätunnuksensa ja salasanansa.

Huomautus : (Note)YubiKey USB -laitteiston painiketta ei tarvitse painaa kirjautuaksesi sisään. Joissain tapauksissa painikkeen painaminen aiheuttaa kirjautumis epäonnistumisen.

Kun loppukäyttäjä kirjautuu sisään, hänen on asetettava oikea YubiKey järjestelmänsä USB -porttiin. Jos loppukäyttäjä syöttää käyttäjätunnuksensa ja salasanansa syöttämättä oikeaa YubiKeyä(YubiKey) , todennus epäonnistuu ja käyttäjälle näytetään virheilmoitus.

Jos loppukäyttäjän tili on määritetty Yubico Login for Windowsille(Windows) ja jos palautuskoodi luotiin ja käyttäjä kadottaa YubiKey-avaimensa, hän voi käyttää palautuskoodiaan todentamiseen. Loppukäyttäjä avaa tietokoneensa lukituksen käyttäjätunnuksellaan, palautuskoodillaan ja salasanallaan.

Ennen kuin uusi YubiKey on määritetty, loppukäyttäjän on syötettävä palautuskoodi joka kerta, kun he kirjautuvat sisään.

Jos Yubico Login for Windows ei havaitse, että YubiKey on asetettu, se johtuu todennäköisesti siitä, että avaimessa ei ole OTP - tilaa käytössä, tai et lisää YubiKeyä(YubiKey) vaan suojausavainta(Security Key) , joka ei ole yhteensopiva tämän sovelluksen kanssa. Käytä YubiKey Manager  -sovellusta varmistaaksesi, että kaikissa varustetuissa YubiKeysissä(YubiKeys) on OTP - liitäntä käytössä.

Tärkeää(Important) : Tämä ei vaikuta Windowsin(Windows) tukemiin vaihtoehtoisiin kirjautumistapoihin . Sinun on siksi rajoitettava muita paikallisia ja etäkirjautumismenetelmiä käyttäjätileille, joita suojaat Yubico Login(Yubico Login) for Windows -sovelluksella , jotta et ole jättänyt avoimia "takaovia".

Jos kokeilet YubiKeyta, kerro meille kokemuksesi alla olevassa kommenttiosassa.(If you try out YubiKey, let us know your experience in the comments section below.)



Hugo Luiro

About the author

Olen laitteisto-insinööri ja ohjelmistokehittäjä, jolla on yli 10 vuoden kokemus Applen ja Googlen alustoista. Taitoni on tehokkaiden, käyttäjäystävällisten ratkaisujen kehittäminen vaikeisiin suunnitteluongelmiin. Minulla on kokemusta sekä MacOS- että iOS-laitteista sekä näppäimistön ja hiiren ohjaimista. Vapaa-ajallani tykkään uida, katsella tennistä ja kuunnella musiikkia.


Related posts