This topic created in 2373 days ago, the information mentioned may be changed or developed.
先上干货再扯淡, 实现方式
打开组策略编辑器, 定位到 Computer Configuration\Administrative Templates\Windows Components\Windows Hello for Business
修改 Configure device unlock factors 策略, 你可以在这里配置你需要哪两种解锁设备的方式, 比如我在 Surafce 上配置的策略是:
第一个解锁因素: 和谐测试 (人脸)
第二个解锁因素: 和谐测试 (PIN)
对应的 GUID(部分):
PIN 和谐测试
指纹 和谐测试
人脸 和谐测试
Trusted Signal (手机靠近, 网络位置) 和谐测试
我并不使用 Trusted Signal 作为验证方式, 所以没有测试用起来是否流畅. 不过估计 Trusted Signal 可以给那些没有指纹 /人脸的设备做额外验证, 比如 手机蓝牙信号 + PIN 双因素, 这样只有两个因素都具备了才能解锁计算机.
文档就在帮助信息里面.
实际使用效果
Surface Go, Facial Recognition + PIN:
-
登陆界面先扫脸成功, 会提示组织需要额外的验证步骤以登录计算机, 输入 PIN 即可解锁.
-
如果手动选择 PIN 登陆, 则 PIN 验证完后会有一个转圈动画, 然后自动启动人脸识别, 识别成功就登陆了.
-
如果输入密码, 则不需要任何的额外验证. 这符合需求, 万一 PIN 忘记了或者人脸识别抽风了(我只遇到过一次)也能登录.
扯淡时间
ps: 我也是最近才发现这个功能的, 我的计算机不受 AD 域的管理, 纯个人计算机, 所以不清楚这样是否有额外的隐患, 比如特定操作让两个因素的验证变成一个因素也能登录这种... 如果有误, 感谢指正.
pps: 传统的仅人脸 /指纹的方式让我很不放心, 人脸 /指纹信息基本无法改变, 又容易泄露, 纯 PIN 登陆在公共场合也不方便. 而生物因素验证 + PIN 验证在一定程度上能作为互补, 增大破解难度, 我个人觉得还是有用的, 不知道大家怎样看待这种双因素验证?
ppps: 作为微软的粉丝我真的好累, 一边骂微软 Bug 万年不修, 一边又真香...
pppps: 如果计算机没有生物识别设备(指纹 /人脸 /虹膜), 感兴趣的也可以试试 PIN + Trusted Sinal 这种双因素验证方式
 |
1
Osk OP 不好意思, V 站的和谐策略太粗暴, GUID 我实在发布出来, 有需要的各位自己参照 MS 的文档将 `和谐测试` 替换成正确的 GUID
hxxps://docs.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/feature-multifactor-unlock 我也不想评论 V2 的过滤策略和为何会这样的深层次原因了, 无语 |
 |
2
hljjhb Nov 11, 2019 via Android
配合 4 位 pin 感觉体验应该不错
|
 |
3
shutongxinq Nov 11, 2019
Linux 似乎也可以,不过就各种 2 factor 的支持,微软厉害多了。微软牛逼!
|
 |
4
Sharuru Jan 15, 2020
AD 域机器路过,试着配置了 PIN + 指纹的双因素认证,感觉舒服多了……原来的 7 位 PIN 总觉得不安全
|
Select Language