Как запретить установку ПИН-кода в Windows 10

В данной статье показаны действия, с помощью которых можно запретить установку ПИН-кода для Windows Hello в операционной системе Windows 10.

Windows Hello в Windows 10 позволяет пользователям входить в систему, приложения и службы с помощью ПИН-кода, но при необходимости, можно запретить установку нового ПИН-кода, а также изменение существующего ПИН-кода всем пользователям компьютера. В этом случае пользователи смогут только лишь удалить ранее созданный ПИН-код.

Кроме того, также будет запрещено устанавливать распознавание лиц Windows Hello и распознавание отпечатков пальцев Windows Hello.

Чтобы запретить пользователям установку ПИН-кода, необходимо войти в систему с правами администратора

Как запретить установку ПИН-кода в редакторе локальной групповой политики

Редактор локальной групповой политики доступен в Windows 10 редакций Pro, Enterprise, Education.

Чтобы запретить пользователям установку ПИН-кода, откройте редактор локальной групповой политики, для этого нажмите сочетание клавиш + R, в открывшемся окне Выполнить введите (скопируйте и вставьте) gpedit.msc и нажмите клавишу Enter ↵.

В открывшемся окне редактора локальной групповой политики, разверните следующие элементы списка:

Конфигурация компьютера ➯ Административные шаблоны ➯ Компоненты Windows ➯ Windows Hello для бизнеса

Далее, в правой части окна дважды щелкните левой кнопкой мыши по параметру политики с названием Использовать Windows Hello для бизнеса

В окне «Использовать Windows Hello для бизнеса» установите переключатель в положение Отключено и нажмите кнопку OK.

Чтобы изменения вступили в силу, перезагрузите компьютер, и после этого пользователи не смогут добавить «ПИН-код для Windows Hello», а также «Распознавание лиц Windows Hello» и «Распознавание отпечатков пальцев Windows Hello», так как настройки станут неактивны и появится сообщение:
Что-то пошло не так. Повторите попытку позже.

Ниже на скриншоте показан пример запрета для установки (добавления) ПИН-кода.

Как запретить установку ПИН-кода используя файл реестра

Данный способ актуален для Windows 10 Домашняя, так как в ней отсутствует редактор локальной групповой политики, но также подходит для всех редакций операционной системы Windows 10.

Данный способ позволяет запретить установку ПИН-кода, с помощью внесения изменений в системный реестр Windows посредством файла реестра.

Прежде чем вносить какие-либо изменения в реестр, настоятельно рекомендуется создать точку восстановления системы

Все изменения производимые в реестре отображены ниже в листингах файлов реестра.

Чтобы запретить установку ПИН-кода, создайте и примените файл реестра следующего содержания:

Windows Registry Editor Version 5.00.

Чтобы разрешить установку ПИН-кода, создайте и примените файл реестра следующего содержания:

Windows Registry Editor Version 5.00.

После применения файлов реестра, чтобы изменения вступили в силу, перезагрузите компьютер.

Используя рассмотренные выше действия, можно запретить (разрешить) установку ПИН-кода для Windows Hello, а также запретить распознавание лиц Windows Hello и распознавание отпечатков пальцев Windows Hello в операционной системе Windows 10.

Защитите Windows 10 с помощью PIN-кода вместо пароля

Дилемма, хорошо известная каждому пользователю компьютера: пароли должны быть настолько сложными, насколько это возможно, чтобы обеспечить безопасность, но чем сложнее они, тем сложнее их запомнить пароли. Функция Windows Hello предлагает нам удобный и безопасный способом решения этой проблемы. Но, не все готовы подключать к компьютеру биометрическую камеру или датчик отпечатков пальцев.

Вместе с тем, в Windows 10 есть и другой удобный и безопасный способ: защита компьютер с помощью PIN-кода.

Компьютер остается защищенным паролем, установленным для личной учетной записи. Но, при разблокировке компьютера вам не нужно трудоемко вводить длинный пароль, достаточно ввести сравнительно простой PIN-код. Вы также можете использовать этот PIN-код для входа во многие приложения и службы, которые запускаете на компьютере. В случае критически важных действий по-прежнему необходимо ввести пароль.

PIN-код действительно безопасен

Да, поскольку ПИН-код применяется только для доступа к определенному локальному компьютеру. Компьютер остается защищенным снаружи более надежным паролем. Даже если ПИН-код получит кто-то посторонний, он сначала должен получить физический доступ к компьютеру, который защищен ПИН-кодом.

Как защитить компьютер с помощью PIN-кода

1. Перейдите в «Параметры Windows 10», затем переключитесь на «Учетные записи» → «Варианты входа».
2. В разделе «PIN-код» нажмите кнопку «Добавить».

Вас попросят ввести ваш пароль.

Затем вы сможете ввести PIN-код (и подтвердить его, введя снова).

PIN-код не обязательно должен быть четырехзначным. Вы также можете выбрать более длинный PIN-код, при этом каждая дополнительная цифра увеличивает безопасность PIN-кода в 10 раз. Символы и специальные символы также могут быть использованы. Максимальная длина составляет 127 символов, но ни один пользователь Windows 10 не сможет использовать это. И ещё одно важное правило: числовые шаблоны не допускаются. Поэтому вы не должны использовать PIN-код, например, «1111» или «1234».

Вход по PIN-коду

На экране входа в систему просто введите PIN-код вместо пароля для учетной записи Windows.

Как установить PIN-код для учетной записи Windows 10

C выходом каждой новой версии Windows, новые функции стараются улучшить удобство использования различными способами. Популярность Windows 10 стремительно растет благодаря инновационным функциям безопасности, и среди них этих опций безопасности появилась новая возможность — установка PIN-кода.

Вы можете ввести цифровой PIN-код или указать последовательность жестов на картинке или при наличии необходимого оборудования Вы можете использовать службу Windows Hello, поддерживающую биометрические методы аутентификации, в частности сканирование отпечатков пальцев, распознавание лица или радужной оболочки глаза. В данной статье мы покажем, как установить PIN-код для учетной записи Windows 10.

Почему использование PIN-кода улучшает безопасность

Если пароль был каким-либо образом скомпрометирован, посторонний человек, который смог войти в систему, получает доступ к другим платформам, привязанным к этому же паролю. С другой стороны, если взломан PIN-код, постороннее лицо получает доступ только к одному устройству. Злоумышленник не сможет использовать PIN для авторизации на других привязанных к аккаунту устройствах.

Кроме того, человек должен физически присутствовать около устройства, чтобы ввести PIN, а с паролем совсем другая история. Если кто-либо украдет компьютер, он не сможет войти в систему, если не знает PIN. Кроме того, имейте в виду, что метод авторизации с помощью PIN просто необходим, если Вы хотите получить преимущества расширенных функций безопасности, которые предоставляет служба Windows Hello, например, сканирование отпечатков пальцев и распознавание радужной оболочки глаза.

Кроме того, PIN легче вводить на устройствах с сенсорным экраном, например, на планшетах.

Добавляем PIN-код в аккаунт

Откройте приложение “Параметры”, выберите раздел “Учетные записи”. Затем выберите вкладку “Параметры входа” и нажмите кнопку “Добавить” в секции ПИН-код.

Если появился запрос ввода пароля, введите пароль от локальной учетной записи и нажмите “OK”.

Если Вы используете учетную запись Microsoft. тогда введите пароль от аккаунта Microsoft и нажмите “Вход”. После ввода пароля для подтверждения своей личности, введите цифры в диалоговом окне. Минимальная длина PIN-кода составляет 4 символа (цифры 0-9, буквы и спецсимволы не допускаются), а вот максимальная длина PIN-кода не ограничена. Если Вы хотите проверить введенные цифры, нажмите иконку в правой части поля ввода PIN. В этом случае во время нажатия иконки заданные символы будут отображаться.

Единственным требованием для выбора PIN является минимальная длина в 4 цифры. Ограничения по сложности и максимальной длине отсутствуют. Приведем несколько соображений по поводу выбора ПИН:

• Использование большего количества символов уменьшит вероятность угадывания PIN-кода, но убедитесь, что Вы можете ввести PIN быстро и точно, иначе Вы получаете минимальные преимущества по сравнению с использованием пароля.
• Использование простого PIN-кода (0000, 0123, 1111 и т.д.) увеличивает вероятность его разгадывания. Используйте случайные числа.
• Использование PIN-кодов от банковских аккаунтов или кредитных карт должно быть исключено. Кроме того, избегайте использование одинакового PIN на разных устройствах.

Изменение PIN-кода для вашей учетной записи

Откройте приложение “Параметры”, выберите раздел “Учетные записи”. Затем выберите вкладку “Параметры входа” и нажмите кнопку “Изменить” в секции ПИН-код.

Введите ваш текущий PIN-код, введите в поле “Новый ПИН-код” требуемые цифры, а затем нажмите “OK”.

Если у Вас не получается войти в учетную запись Windows с помощью PIN-кода, Вам будет предложено перейти по ссылке “Параметры входа”. После этого Вам предлагаются все возможные способы входа, которые были предварительно настроены: графический пароль, PIN, Windows Hello и обычный пароль.

Сброс PIN-кода

Откройте приложение “Параметры”, выберите раздел “Учетные записи”. Затем выберите вкладку “Параметры входа” и нажмите ссылку “ Я не помню свой пароль” в секции ПИН-код.

Введите пароль от учетной записи и продолжите установку нового PIN-кода. Помните, что при загрузке в безопасный режим, Вам нужно будет авторизоваться с помощью обычного пароля, другие параметры входа не допускаются. Таким образом, установить PIN довольно легко, и, если Вы еще не настроили PIN это на своем устройстве, сделайте это прямо сейчас.

Почему ПИН-код лучше пароля Why a PIN is better than a password

Область применения Applies to

Windows Hello в Windows 10 позволяет пользователям войти на свое устройство с помощью ПИН-кода. Windows Hello in Windows10 enables users to sign in to their device using a PIN. В чем заключаются отличия ПИН-кода от пароля и его преимущества? How is a PIN different from (and better than) a password? На первый взгляд, ПИН-код во многом аналогичен паролю. On the surface, a PIN looks much like a password. ПИН-код может представлять собой набор цифр, однако политикой предприятия может быть разрешено использование сложных ПИН-кодов, содержащих специальные знаки и буквы как в верхнем, так и в нижнем регистре. A PIN can be a set of numbers, but enterprise policy might allow complex PINs that include special characters and letters, both upper-case and lower-case. Например, значение t758A! Something like t758A! может использоваться в качестве пароля учетной записи или сложного ПИН-кода в Hello. could be an account password or a complex Hello PIN. Преимущества ПИН-кода в сравнении с паролем связаны не с его структурой (длиной и сложностью), а с принципом работы. It isn’t the structure of a PIN (length, complexity) that makes it better than a password, it’s how it works.

Посмотрите, как Дана Гуанг объясняет, почему ПИН-код Windows Hello для бизнеса более безопасный, чем пароль. Watch Dana Huang explain why a Windows Hello for Business PIN is more secure than a password.

ПИН-код привязан к устройству PIN is tied to the device

Важным различием между паролем и ПИН-кодом Hello является привязка ПИН-кода к конкретному устройству, на котором он был задан. One important difference between a password and a Hello PIN is that the PIN is tied to the specific device on which it was set up. ПИН-код не может использоваться без конкретного оборудования. That PIN is useless to anyone without that specific hardware. Злоумышленник, получивший доступ к паролю, может войти в учетную запись с любого устройства, но в случае кражи ПИН-кода вход в учетную запись будет невозможен без доступа к соответствующему устройству. Someone who steals your password can sign in to your account from anywhere, but if they steal your PIN, they’d have to steal your physical device too!

Даже сам пользователь сможет выполнить вход с помощью ПИН-кода только на конкретном устройстве. Even you can’t use that PIN anywhere except on that specific device. Чтобы выполнять вход на нескольких устройствах, потребуется настроить Hello на каждом из них. If you want to sign in on multiple devices, you have to set up Hello on each device.

ПИН-код хранится на устройстве локально PIN is local to the device

Пароль передается на сервер и может быть перехвачен в процессе передачи или украден с сервера. A password is transmitted to the server — it can be intercepted in transmission or stolen from a server. ПИН-код задается на устройстве на локальном уровне, не передается и не хранится на сервере. A PIN is local to the device — it isn’t transmitted anywhere and it isn’t stored on the server. При создании ПИН-кода устанавливаются доверительные отношения с поставщиком удостоверений и создается пара асимметричных ключей, используемых для проверки подлинности. When the PIN is created, it establishes a trusted relationship with the identity provider and creates an asymmetric key pair that is used for authentication. При вводе ПИН-кода ключ проверки подлинности разблокируется и используется для подтверждения запроса, отправляемого на сервер для проверки подлинности. When you enter your PIN, it unlocks the authentication key and uses the key to sign the request that is sent to the authenticating server.

Подробную информацию об использовании пар ассиметричных ключей для проверки подлинности в Hello см. в разделе Windows Hello для бизнеса. For details on how Hello uses asymetric key pairs for authentication, see Windows Hello for Business.

ПИН-код поддерживается оборудованием PIN is backed by hardware

ПИН-код Hello поддерживается микросхемой доверенного платформенного модуля (TPM), представляющей собой надежный криптографический процессор для выполнения операций шифрования. The Hello PIN is backed by a Trusted Platform Module (TPM) chip, which is a secure crypto-processor that is designed to carry out cryptographic operations. Эта микросхема содержит несколько механизмов физической защиты для предотвращения взлома, и вредоносные программы не могут обойти функции безопасности TPM. The chip includes multiple physical security mechanisms to make it tamper resistant, and malicious software is unable to tamper with the security functions of the TPM. Все телефоны Windows 10 Mobile и множество современных ноутбуков имеют TPM. All Windows10 Mobile phones and many modern laptops have TPM.

Материал ключа пользователя создается и становится доступным в доверенном платформенном модуле (TPM) на устройстве пользователя, что защищает материал от перехвата и использования злоумышленниками. User key material is generated and available within the Trusted Platform Module (TPM) of the user device, which protects it from attackers who want to capture the key material and reuse it. Так как Hello использует пары асимметричных ключей, учетные данные пользователей не могут быть украдены в случаях, когда поставщик удостоверений или веб-сайты, к которые пользователь получает доступ, были скомпрометированы. Because Hello uses asymmetric key pairs, users credentials can’t be stolen in cases where the identity provider or websites the user accesses have been compromised.

TPM защищает от множества известных и потенциальных атак, в том числе атак методом подбора ПИН-кода. The TPM protects against a variety of known and potential attacks, including PIN brute-force attacks. После определенного количества попыток ввода неправильного ПИН-кода устройство блокируется. After too many incorrect guesses, the device is locked.

ПИН-код может быть сложным PIN can be complex

К ПИН-коду Windows Hello для бизнеса применяется тот же набор политик управления ИТ, что и к паролю, в том числе сложность, длина, срок действия и журнал изменений. The Windows Hello for Business PIN is subject to the same set of IT management policies as a password, such as complexity, length, expiration, and history. Несмотря на уверенность большинства пользователей в том, что ПИН-код представляет собой простой код из 4 цифр, администраторы могут устанавливать для управляемых устройств политики , предполагающие уровень сложности ПИН-кода, сопоставимый с паролем. Although we generally think of a PIN as a simple four-digit code, administrators can set policies for managed devices to require a PIN complexity similar to a password. Вы можете сделать обязательными или запретить специальные знаки, буквы в верхнем и нижнем регистрах, а также и цифры. You can require or block: special characters, uppercase characters, lowercase characters, and digits.

Что произойдет в случае кражи ноутбука или телефона? What if someone steals the laptop or phone?

Чтобы скомпрометировать учетные данные Windows Hello, защищенные TPM, злоумышленник должен иметь доступ к физическому устройству, а затем найти способ подмены биометрических данных пользователя или угадать свой ПИН-код. Все это необходимо сделать, прежде чем защита от взлома TPM заблокировит устройство. To compromise a Windows Hello credential that TPM protects, an attacker must have access to the physical device, and then must find a way to spoof the user’s biometrics or guess his or her PIN—and all of this must be done before TPM anti-hammering protection locks the device. Для ноутбуков, не имеющих TPM, можно настроить дополнительную защиту, активировав BitLocker и ограничив количество неудачных попыток входа в систему. You can provide additional protection for laptops that don’t have TPM by enabling BitLocker and setting a policy to limit failed sign-ins.

Настройка BitLocker без TPM Configure BitLocker without TPM

С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику: Use the Local Group Policy Editor (gpedit.msc) to enable the following policy:

Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Шифрование диска BitLocker > Диски операционной системы > Обязательная дополнительная проверка подлинности при запуске Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives > Require additional authentication at startup

В параметрах политики выберите Разрешить использование BitLocker без совместимого TPM, а затем нажмите кнопку ОК. In the policy option, select Allow BitLocker without a compatible TPM, and then click OK.

Перейдите в меню Панель управления > Система и безопасность > Шифрование диска BitLocker и выберите диск с операционной системой, который требуется защитить. Go to Control Panel > System and Security > BitLocker Drive Encryption and select the operating system drive to protect. Установка порога блокировки учетной записи Set account lockout threshold

С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику: Use the Local Group Policy Editor (gpedit.msc) to enable the following policy:

Конфигурация компьютера > Параметры Windows > Параметры безопасности > Политики учетных записей > Политика блокировки учетных записей > Порог блокировки учетной записи Computer Configuration > Windows Settings > Security Settings > Account Policies > Account Lockout Policy > Account lockout threshold

Установите допустимое количество неудачных попыток входа в систему и нажмите кнопку «ОК». Set the number of invalid logon attempts to allow, and then click OK.

Почему для использования биометрии нужен ПИН-код? Why do you need a PIN to use biometrics?

Windows Hello включает биометрический вход в Windows 10: отпечаток пальца, радужной оболочки радужной оболочки или распознавание лиц. Windows Hello enables biometric sign-in for Windows10: fingerprint, iris, or facial recognition. При первоначальной настройке Windows Hello предлагается создать ПИН-код. When you set up Windows Hello, you’re asked to create a PIN first. Этот PIN-код позволяет войти в систему с помощью ПИН-кода, если вы не можете использовать предпочтительный биометрический метод из-за повреждения или из-за недоступности или неправильной работы датчика. This PIN enables you to sign in using the PIN when you can’t use your preferred biometric because of an injury or because the sensor is unavailable or not working properly.

Если вы настроите только биометрические данные для входа в систему и не сможете по какой-либо причине выполнить вход с их использованием, вы должны будете ввести имя и пароль от учетной записи, что менее безопасно, чем вход с помощью Hello. If you only had a biometric sign-in configured and, for any reason, were unable to use that method to sign in, you would have to sign in using your account and password, which doesn’t provide you the same level of protection as Hello.