Richiedi impronta digitale e password / pin per l'accesso a Windows

Ho bisogno di un'autenticazione a doppio fattore su una workstation Windows 10 NON connessa a un dominio. Gli account utente sono locali. Non sono stato in grado di trovare soluzioni che funzionino senza AD, esiste un modo per utilizzare smart card, chiavi yubico o dati biometrici in combinazione con password / pin per l'accesso? Per favore fatemi sapere se sono necessarie ulteriori informazioni.

Grazie!

— Josh Barton
fonte

Potresti potenzialmente usare BitLocker con PIN in modo da avere il livello di protezione della crittografia HD, quindi hai il livello di PIN necessario per l'avvio e, infine, il nome utente e la password corretti per accedere in modo che siano tre livelli di protezione, suppongo a seconda del chi chiedi, ecc. Tieni presente che puoi avere 10 livelli di autenticazione e farlo in modo da avere 10 cose a cui autenticare prima che ti consenta l'accesso e, a meno che l'HD non sia crittografato, i dati sul disco non sono protetti se qualcuno aveva accesso alla macchina. Cosa stai esattamente cercando di proteggere o realizzare qui?

— Pimp Juice IT

"esiste un modo per utilizzare smart card, chiavi yubico o dati biometrici in combinazione con password / pin per l'accesso?" - Sì; Questo è possibile. ma in particolare Smartcard e un pin sono possibili. Le altre combinazioni non lo sono.

— Ramhound,

Si tratta di un nuovo requisito tramandato dalla leadership, come posso impostare l'accesso con smart card senza un dominio? Non sono a conoscenza di come associare una carta a un account Windows locale

— Josh Barton,

Sembra possibile una soluzione per smart card, che richiede principalmente l'installazione locale di Servizi certificati. Il resto coinvolge le carte fisiche, i lettori e il software del fornitore. Le smart card possono sostituire l'accesso e il software del fornitore può anche richiedere password / PIN specifici per la scheda. Senza il DC il fastidio sarebbe l'installazione individuale per computer. Penso che Yubico faccia quello che vuoi e puoi verificarlo direttamente con loro.

— harrymc,

@dylanweber Volevo almeno mostrarti la mia risposta qui superuser.com/questions/1104810/… da circa un anno fa, ma ho controllato la sezione Configurazione delle impostazioni dei criteri di gruppo locali per BitLocker per ottenere la configurazione della configurazione del PIN di BitLocker. Usa l'autenticazione tramite impronta digitale integrata e esegui i tuoi due livelli per autenticarti. Con BitLocker ottieni sia il PIN che la crittografia, quindi utilizza Wave o qualsiasi software di configurazione delle impronte digitali fornito con la tua macchina (modello).

— Pimp Juice IT

In base a questa discussione TechNet non è possibile richiedere due fattori per l'accesso utilizzando Windows Hello (il servizio di accesso per la biometria su Windows) su sistemi autonomi (al di fuori di Active Directory). I fattori sono tutti o / o come impronte digitali o PIN.

Potrebbe essere possibile farlo con software di terze parti se si installa come una DLL GINA e può leggere il fattore biometrico o altro e richiede un PIN in aggiunta. Non sono sicuro, tuttavia, se Windows 10 supporta ancora accessi alternativi tramite DLL GINA. Dovresti anche trovare un programma GINA DLL di terze parti in grado di leggere il tuo secondo fattore e avere l'opzione di richiedere un pin in aggiunta.

Esiste un provider GINA DLL di terze parti che è open source e potrebbe essere in grado di essere realizzato per soddisfare le tue esigenze chiamato pGINA ma non è chiaro se funzionerà in Windows 10 o se è ancora in fase di sviluppo attivo .

— Ben Franske
fonte

Sì. Sto usando sia un'impronta digitale che uno Yubikey con Windows 10. Oppure potresti usare la password più Yubikey. Basta installare lo strumento di accesso Yubikey che richiede l'installazione della chiave quando si effettua l'accesso per la scheda PIV di secondo fattore.

— Jorge Gonzalez
fonte