打开组策略编辑器, 定位到 Computer Configuration\Administrative Templates\Windows Components\Windows Hello for Business
修改 Configure device unlock factors
策略, 你可以在这里配置你需要哪两种解锁设备的方式, 比如我在 Surafce 上配置的策略是:
第一个解锁因素: 和谐测试
(人脸)
第二个解锁因素: 和谐测试
(PIN)
对应的 GUID(部分):
PIN 和谐测试
指纹 和谐测试
人脸 和谐测试
Trusted Signal (手机靠近, 网络位置) 和谐测试
我并不使用 Trusted Signal 作为验证方式, 所以没有测试用起来是否流畅. 不过估计 Trusted Signal 可以给那些没有指纹 /人脸的设备做额外验证, 比如 手机蓝牙信号 + PIN 双因素, 这样只有两个因素都具备了才能解锁计算机.
文档就在帮助信息里面.
Surface Go, Facial Recognition + PIN:
登陆界面先扫脸成功, 会提示组织需要额外的验证步骤以登录计算机, 输入 PIN 即可解锁.
如果手动选择 PIN 登陆, 则 PIN 验证完后会有一个转圈动画, 然后自动启动人脸识别, 识别成功就登陆了.
如果输入密码, 则不需要任何的额外验证. 这符合需求, 万一 PIN 忘记了或者人脸识别抽风了(我只遇到过一次)也能登录.
ps: 我也是最近才发现这个功能的, 我的计算机不受 AD 域的管理, 纯个人计算机, 所以不清楚这样是否有额外的隐患, 比如特定操作让两个因素的验证变成一个因素也能登录这种... 如果有误, 感谢指正.
pps: 传统的仅人脸 /指纹的方式让我很不放心, 人脸 /指纹信息基本无法改变, 又容易泄露, 纯 PIN 登陆在公共场合也不方便. 而生物因素验证 + PIN 验证在一定程度上能作为互补, 增大破解难度, 我个人觉得还是有用的, 不知道大家怎样看待这种双因素验证?
ppps: 作为微软的粉丝我真的好累, 一边骂微软 Bug 万年不修, 一边又真香...
pppps: 如果计算机没有生物识别设备(指纹 /人脸 /虹膜), 感兴趣的也可以试试 PIN + Trusted Sinal 这种双因素验证方式
1
Osk OP 不好意思, V 站的和谐策略太粗暴, GUID 我实在发布出来, 有需要的各位自己参照 MS 的文档将 `和谐测试` 替换成正确的 GUID
hxxps://docs.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/feature-multifactor-unlock 我也不想评论 V2 的过滤策略和为何会这样的深层次原因了, 无语 |
2
hljjhb 2019-11-11 00:52:12 +08:00 via Android
配合 4 位 pin 感觉体验应该不错
|
3
shutongxinq 2019-11-11 01:08:34 +08:00
Linux 似乎也可以,不过就各种 2 factor 的支持,微软厉害多了。微软牛逼!
|
4
Sharuru 2020-01-15 14:40:54 +08:00
AD 域机器路过,试着配置了 PIN + 指纹的双因素认证,感觉舒服多了……原来的 7 位 PIN 总觉得不安全
|