Как включить вход в систему по отпечатку пальца в создателях доменов Windows 10 через GPO?
Я хочу включить вход по отпечатку пальца с помощью объекта групповой политики. Я установил файлы ADMX для Windows 10 1703 (Создатели).
Во-первых, я прочитал, что ТРЕБУЕТСЯ "Включить удобный вход с помощью PIN-кода" из "Компьютер / политики / шаблоны администратора / система / вход в систему" ... Это правда? Если это так, это кажется нелепым... Я понимаю, что пароль пользователя домена должен был бы быть зашифрован локально для преобразования отпечатка пальца в пароль, однако я не хочу разрешать булавки для входа в систему. Если логин по отпечатку пальца пользователя не работает, я бы предпочел вернуться к парольному логину, а не к хакерской булавке.
Во-вторых, я прочитал, что некоторые пользователи предлагают установить очень высокие требования к сложности выводов, чтобы исправить идиотизм доступа к выводам из 4 или 6 цифр. Эти параметры использовались в разделе "Компьютер / политики / шаблоны администратора / компоненты Windows / Windows Hello для бизнеса", но в файлах ADMX создателей Windows 10 этот параметр был удален??!?!?!
Обновление: Похоже, что "Сложность выводов" была перемещена в Системе... Тем не менее, почему ДОЛЖЕН быть включен вывод, чтобы биометрия работала, когда ВСЕГДА доступен ручной ввод пароля?
1 ответ
Я получил это, изменив следующее в GPO:
- Я включил "Включить удобный вход с помощью PIN-кода"
- Я установил нелепые требования к сложности для булавок
- Я случайным образом сгенерировал 20-символьный ПИН-код для каждого пользователя отпечатка пальца и заставил его установить ПИН-код, немедленно забыв ПИН-код и не распространяя его.
Я до сих пор не понимаю, зачем нужен какой-либо ПИН-код, потому что даже в приведенном выше сценарии, когда Microsoft указывает, что ПИН-код необходим в случае повреждения пальца... ВЫ МОЖЕТЕ ПОТЕРЯТЬ ТИП В ПАРОЛЕ...
Это продолжает казаться серьезной дырой в безопасности, требующей, чтобы ПИН входная дверь / задняя дверь ТОЛЬКО использовала биометрию...