Где хранится пин-код в Windows 10

Обновлено: 03.07.2024

Эта тема заблокирована. Вы можете подписаться на вопрос или проголосовать за него как полезный, но вы не можете отвечать в этой теме.

Сообщить о нарушении

Домогательство – это любое поведение, направленное на то, чтобы побеспокоить или расстроить человека или группу людей. К угрозам относятся любые угрозы самоубийства, насилия или причинения вреда другому человеку. Любой контент на тему для взрослых или неуместный для веб-сайта сообщества. Любое изображение, ссылка или обсуждение наготы. Любое поведение, которое является оскорбительным, грубым, вульгарным, оскверняет или демонстрирует неуважение. Любое поведение, которое может нарушать лицензионные соглашения с конечными пользователями, включая предоставление ключей продукта или ссылок на пиратское программное обеспечение. Незапрашиваемая массовая рассылка или массовая реклама. Любые ссылки на вирусы, шпионское ПО, вредоносное ПО или фишинговые сайты или их пропаганда. Любой другой неприемлемый контент или поведение, как это определено Условиями использования или Кодексом поведения. Любое изображение, ссылка или обсуждение, связанные с детской порнографией, детской наготой или другим жестоким обращением с детьми или их эксплуатацией.

Ответы (1) 

Привет, Эд. Я Грег, специалист по установке, обладатель 10-летнего опыта работы с Windows MVP и модератор-добровольец, и я здесь, чтобы помочь вам.

Перейдите в "Настройки Windows" > "Учетные записи" > "Параметры входа" > "ПИН-код Windows Hello" > "Изменить".

Если вы не можете изменить PIN-код в меню «Настройки» > «Учетные записи» > «Параметры входа» даже после перезагрузки, отобразите скрытые файлы в проводнике > вкладка «Вид» > «Параметры» > «Параметры папки и поиска» > вкладка «Вид» > установите флажок «Показать скрытые файлы».

Перейдите к C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc

Удалите или переименуйте эту папку в Ngc.old, чтобы сбросить PIN-код.

После того как вы удалите или переименуете папку, она будет создана заново, чтобы вы могли добавить PIN-код, как обычно, в параметрах входа. Возможно, сначала потребуется перезагрузить компьютер.

Надеюсь, это поможет. Не стесняйтесь задавать любые вопросы и дайте нам знать, как это происходит. Я буду продолжать работать с вами, пока проблема не будет решена.

________________________________________________________
Стандартный отказ от ответственности. Имеются ссылки на веб-сайты, не принадлежащие Microsoft. Страницы, кажется, предоставляют точную и безопасную информацию. Следите за рекламой на сайтах, которые могут рекламировать продукты, часто классифицируемые как ПНП (потенциально нежелательные продукты). Тщательно изучите любой продукт, рекламируемый на сайтах, прежде чем вы решите загрузить и установить его.

Windows MVP 2010-20

Миллионы людей помогли через мои уроки и лично на форумах в течение 12 лет. Теперь независимый советник.

Я не ухожу из-за вежливых и готовых к сотрудничеству.

Сообщить о нарушении

Домогательство – это любое поведение, направленное на то, чтобы побеспокоить или расстроить человека или группу людей. К угрозам относятся любые угрозы самоубийства, насилия или причинения вреда другому человеку. Любой контент на тему для взрослых или неуместный для веб-сайта сообщества. Любое изображение, ссылка или обсуждение наготы. Любое поведение, которое является оскорбительным, грубым, вульгарным, оскверняет или демонстрирует неуважение. Любое поведение, которое может нарушать лицензионные соглашения с конечными пользователями, включая предоставление ключей продукта или ссылок на пиратское программное обеспечение. Незапрашиваемая массовая рассылка или массовая реклама. Любые ссылки на вирусы, шпионское ПО, вредоносное ПО или фишинговые сайты или их пропаганда. Любой другой неприемлемый контент или поведение, как это определено Условиями использования или Кодексом поведения. Любое изображение, ссылка или обсуждение, связанные с детской порнографией, детской наготой или другим жестоким обращением с детьми или их эксплуатацией.

Windows Hello для бизнеса предоставляет пользователям возможность сбрасывать забытые PIN-коды с помощью ссылки «Я забыл свой PIN-код» на странице параметров входа в настройках или над экраном блокировки. Пользователь должен пройти аутентификацию и пройти многофакторную аутентификацию, чтобы сбросить свой PIN-код.

Существует две формы сброса PIN-кода: деструктивный и недеструктивный. Деструктивный сброс PIN-кода используется по умолчанию и не требует настройки. Во время деструктивного сброса ПИН-кода существующий ПИН-код пользователя и базовые учетные данные, включая любые ключи или сертификаты, добавленные в его контейнер Windows Hello, будут удалены из клиента, а новый ключ входа и ПИН-код будут подготовлены. Для неразрушающего сброса ПИН-кода необходимо развернуть службу сброса ПИН-кода Майкрософт и политику клиента, чтобы включить функцию восстановления ПИН-кода. Во время неразрушающего сброса ПИН-кода контейнер и ключи пользователя Windows Hello для бизнеса сохраняются, но ПИН-код пользователя, который он использует для авторизации использования ключа, изменяется.

Использование сброса PIN-кода

Требования

  • Сброс из настроек — Windows 10, версия 1703
  • Сброс выше блокировки — Windows 10, версия 1709

При деструктивном и недеструктивном сбросе PIN-кода используются одни и те же точки входа для инициации сброса PIN-кода. Если пользователь забыл свой PIN-код, но у него есть альтернативный метод входа, он может перейти к параметрам входа в настройках и инициировать сброс PIN-кода из параметров PIN-кода. Если у них нет другого способа войти на свое устройство, сброс ПИН-кода также можно инициировать над экраном блокировки в поставщике учетных данных ПИН-кода.

Для гибридных устройств, присоединенных к Azure AD, пользователи должны иметь подключение к корпоративной сети с контроллерами домена, чтобы выполнить деструктивный сброс ПИН-кода. Если AD FS используется для доверия сертификатов или только для локальных развертываний, пользователи также должны иметь подключение к корпоративной сети к службам федерации, чтобы сбросить свой ПИН-код.

Сброс PIN-кода в настройках

  1. Войдите в Windows 10 версии 1703 или более поздней, используя альтернативные учетные данные.
  2. Откройте "Настройки", нажмите "Учетные записи", нажмите "Параметры входа".
  3. В разделе PIN-код нажмите Я забыл свой PIN-код и следуйте инструкциям.

Сбросить PIN-код над экраном блокировки

Для устройств, присоединенных к Azure AD:

  1. Если поставщик учетных данных с PIN-кодом не выбран, разверните ссылку "Параметры входа" и выберите значок панели с PIN-кодом.
  2. Нажмите Я забыл свой PIN-код от поставщика учетных данных PIN-кода.
  3. Выберите вариант аутентификации из списка представленных вариантов. Этот список будет основан на различных методах проверки подлинности, включенных в вашем клиенте (например, пароль, PIN-код, ключ безопасности).
  4. Следуйте инструкциям, предоставленным в процессе подготовки.
  5. По завершении разблокируйте свой рабочий стол, используя только что созданный PIN-код.

Для гибридных устройств, присоединенных к Azure AD:

  1. Если поставщик учетных данных с PIN-кодом не выбран, разверните ссылку "Параметры входа" и выберите значок панели с PIN-кодом.
  2. Нажмите Я забыл свой PIN-код от поставщика учетных данных PIN-кода.
  3. Введите пароль и нажмите Enter.
  4. Следуйте инструкциям, предоставленным в процессе подготовки.
  5. По завершении разблокируйте свой рабочий стол, используя только что созданный PIN-код.

Доверие ключей на гибридных устройствах, присоединенных к Azure AD, не поддерживает деструктивный сброс ПИН-кода над экраном блокировки. Это связано с задержкой синхронизации между подготовкой пользователем своих учетных данных Windows Hello для бизнеса и возможностью использовать их для входа. Для этой модели развертывания необходимо развернуть неразрушающий сброс PIN-кода, чтобы описанный выше сброс PIN-кода блокировки работал.

Вы можете обнаружить, что сброс PIN-кода из настроек работает только после входа в систему, и что функция сброса PIN-кода «экрана блокировки» не будет работать, если у вас есть какое-либо соответствующее ограничение сброса пароля SSPR с экрана блокировки. Дополнительные сведения см. в разделе Включение самостоятельного сброса пароля Azure Active Directory на экране входа в Windows — Общие .

Неразрушающий сброс PIN-кода

Требования:

  • Azure Active Directory
  • Гибридное развертывание Windows Hello для бизнеса
  • Зарегистрирована Azure AD, присоединена к Azure AD и присоединена к гибридной Azure AD
  • Windows 10, версии 1709–1809, Enterprise Edition. Начиная с версии 1903, для этой функции не требуется лицензирование.

Если на клиенте включен неразрушающий сброс ПИН-кода, 256-битный ключ AES генерируется локально и добавляется в контейнер и ключи Windows Hello для бизнеса пользователя в качестве средства защиты от сброса ПИН-кода. Этот предохранитель сброса ПИН-кода шифруется с помощью открытого ключа, полученного из службы сброса ПИН-кода Майкрософт, а затем сохраняется на клиенте для последующего использования во время сброса ПИН-кода. После того как пользователь инициирует сброс ПИН-кода, завершает проверку подлинности в Azure и выполняет многофакторную проверку подлинности, зашифрованный предохранитель сброса ПИН-кода отправляется в службу сброса ПИН-кода Майкрософт, расшифровывается и возвращается клиенту. Предохранитель сброса расшифрованного PIN-кода используется для изменения PIN-кода, используемого для авторизации ключей Windows Hello для бизнеса, после чего он удаляется из памяти.

С помощью групповой политики, Microsoft Intune или совместимого MDM вы можете настроить устройства Windows для безопасного использования службы сброса ПИН-кода Microsoft, которая позволяет пользователям сбрасывать забытый ПИН-код в настройках или над экраном блокировки без необходимости повторной регистрации.

Служба сброса ПИН-кода Microsoft работает только с Enterprise Edition для Windows 10 версий 1709–1809. Эта функция работает с Enterprise Edition и Pro Edition с Windows 10 версии 1903 и новее. Служба сброса ПИН-кода Майкрософт в настоящее время недоступна в Azure для государственных организаций.

Подключение службы сброса PIN-кода Microsoft к вашему арендатору Intune

Прежде чем вы сможете удаленно сбрасывать PIN-коды, вы должны подключить службу сброса PIN-кода Microsoft к вашему арендатору Azure Active Directory и настроить устройства, которыми вы управляете.

Подключите Azure Active Directory к службе сброса PIN-кода

Перейдите на веб-сайт службы Microsoft для сброса PIN-кода и войдите в систему, используя учетную запись глобального администратора, которую вы используете для управления своим арендатором Azure Active Directory.

После входа в систему выберите «Принять», чтобы разрешить службе сброса PIN-кода доступ к вашей учетной записи.

Приложение службы сброса ПИН-кода в Azure.

Перейдите на веб-сайт Microsoft PIN Reset Client Production и войдите в систему, используя учетную запись глобального администратора, которую вы используете для управления арендатором Azure Active Directory.

После входа в систему выберите «Принять», чтобы дать согласие на доступ клиента сброса PIN-кода к вашей учетной записи.

Клиентское приложение сброса ПИН-кода в Azure.

После того, как вы примете услугу сброса ПИН-кода и запросы клиентов, вы попадете на страницу с надписью "У вас нет разрешения на просмотр этого каталога или страницы". Такое поведение ожидаемо. Убедитесь, что для вашего клиента указаны два приложения для сброса PIN-кода.

На портале Azure убедитесь, что служба сброса PIN-кода Microsoft и клиент сброса PIN-кода Microsoft интегрированы в колонку корпоративных приложений. Отфильтруйте статус приложения «Включено», и в вашем арендаторе отобразятся как Microsoft Pin Reset Service Production, так и Microsoft Pin Reset Client Production.

Страница разрешений службы сброса PIN-кода.

Настройка устройств Windows для сброса ПИН-кода с помощью групповой политики

Вы можете настроить Windows для использования службы сброса PIN-кода Microsoft, используя часть конфигурации компьютера объекта групповой политики.

  1. С помощью консоли управления групповыми политиками (GPMC) настройте доменную групповую политику на учетные записи компьютеров в Active Directory.
  2. Измените объект групповой политики с шага 1.
  3. Включите параметр политики «Использовать восстановление PIN-кода», расположенный в разделе «Конфигурация компьютера» > «Административные шаблоны» > «Компоненты Windows» > «Windows Hello для бизнеса».
  4. Закройте редактор управления групповыми политиками, чтобы сохранить объект групповой политики. Закройте консоль управления групповыми политиками.

Создайте профиль конфигурации устройства для сброса PIN-кода с помощью Microsoft Intune

  1. Войдите в центр администрирования Endpoint Manager, используя учетную запись глобального администратора.
  2. Нажмите Endpoint Security > Защита учетной записи > Свойства.
  3. Установите для параметра Включить восстановление PIN-кода значение Да.

Вы также можете настроить восстановление PIN-кода с помощью профилей конфигурации.

  1. Войдите в Endpoint Manager.
  2. Нажмите «Устройства» > «Профили конфигурации» > «Создайте новый профиль» или отредактируйте существующий профиль, используя тип профиля «Защита личных данных».
  3. Установите для параметра Включить восстановление PIN-кода значение Да.

Назначить профиль конфигурации устройства для сброса PIN-кода с помощью Microsoft Intune

  1. Войдите на портал Azure, используя учетную запись глобального администратора.
  2. Перейдите к колонке Microsoft Intune. Выберите Конфигурация устройства > Профили. В списке профилей конфигурации устройства выберите профиль, содержащий конфигурацию сброса PIN-кода.
  3. В профиле конфигурации устройства выберите «Назначения».
  4. Используйте вкладки "Включить" и/или "Исключить", чтобы настроить профиль конфигурации устройства для выбора групп.

Подтвердите, что на клиенте применяется политика восстановления PIN-кода

Конфигурацию сброса PIN-кода для пользователя можно просмотреть, запустив dsregcmd /status из командной строки. Это состояние можно найти под выводом в разделе пользовательского состояния как элемент строки CanReset. Если CanReset сообщает как DestructiveOnly, то разрешен только деструктивный сброс PIN-кода. Если CanReset сообщает DestructiveAndNonDestructive, значит включен неразрушающий сброс PIN-кода.

Пример вывода состояния пользователя для деструктивного сброса PIN-кода

Пример вывода состояния пользователя для неразрушающего сброса PIN-кода

Настройка разрешенных URL-адресов для веб-входа для сторонних поставщиков удостоверений на устройствах, присоединенных к Azure AD

Относится к:

  • Windows 10 версии 1803 или более поздней.
  • Windows 11
  • Присоединение к Azure AD

Политика ConfigureWebSignInAllowedUrls позволяет указать список доменов, к которым разрешен переход во время потоков сброса PIN-кода на устройствах, присоединенных к Azure AD. Если у вас есть федеративная среда и проверка подлинности выполняется с помощью AD FS или стороннего поставщика удостоверений, эту политику следует настроить так, чтобы страницы проверки подлинности от этого поставщика удостоверений можно было использовать во время сброса ПИН-кода, присоединенного к Azure AD.

Настройка политики с помощью Intune

Войдите в центр администрирования Endpoint Manager, используя учетную запись глобального администратора.

Нажмите "Устройства". Щелкните Профили конфигурации. Нажмите Создать профиль.

В поле "Платформа" выберите Windows 10 и более поздние версии, а в поле "Тип профиля" выберите "Шаблоны". В списке загруженных шаблонов выберите «Пользовательский» и нажмите «Создать».

В поле Имя введите Разрешенные URL-адреса для веб-входа и при необходимости укажите описание конфигурации. Нажмите «Далее».

На странице настроек конфигурации нажмите «Добавить», чтобы добавить пользовательский параметр OMA-URI. Предоставьте следующую информацию для пользовательских настроек

Пользовательская конфигурация для политики ConfigureWebSignInAllowedUrls.

Нажмите кнопку "Сохранить", чтобы сохранить пользовательскую конфигурацию.

На странице "Назначения" используйте разделы "Включенные группы" и "Исключенные группы", чтобы определить группы пользователей или устройств, которые должны получить эту политику. После завершения настройки групп нажмите кнопку «Далее».

На странице правил применимости нажмите "Далее".

Проверьте конфигурацию, показанную на странице просмотра и создания, чтобы убедиться в ее точности. Нажмите «Создать», чтобы сохранить профиль и применить его к настроенным группам.

LeGioN

Итак... Это ужасно медленная рабочая неделя, и я решил изучить пин-код Windows 10.

Перед созданием булавки папка NGC пуста
C\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc

После того, как я добавил его, теперь есть подпапка
C\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc\

Этот каталог содержит множество подпапок и файлов.

Однако я не могу понять, что это за файлы и какое шифрование использовалось.

В нескольких папках есть куча файлов .dat, содержащих всевозможные случайные числа. (Ну.. Я думаю, они не случайны..)
В папке есть файл 1.dat, который содержит SID S-1-5-21-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxx-1001.

В моем случае 32 файла .dat разбросаны по всем подкаталогам.
1 выглядит зашифрованным.
4 содержит что-то похожее на хэши.

Кто-нибудь знает, как можно извлечь PIN-код для входа в Windows из данных, найденных в папке?

Я только что включил ПИН-код в качестве параметра входа и установил для него строку из 4 цифр. Это сгенерировало все файлы и структуру папок, на которые вы ссылались. Интересно;

Ngc\\1.day содержит SID моего текущего пользователя.

Я много раз менял свой PIN-код, но имена папок, файлов и соответствующие им значения не меняются (те же хэши и имена файлов).

В данный момент я не могу проверить свой файл SAM. Возможно, если он добавлен в качестве ссылки (учитывая ссылку на SID пользователя, как указано выше), возможно, в том же файле SAM сохранено другое значение.

Я не в состоянии сделать это в данный момент, но, возможно, попробуйте экспортировать свой SAM, зарегистрируйте его, измените свой PIN-код и просмотрите его снова, чтобы выявить любые изменения.

ПИН-код привязан к устройству

ПИН-код не хранится ни на одном сервере и зависит от устройства. Это означает, что если кто-то узнает PIN-код вашей системы, злоумышленник не сможет ничего из этого получить, если только он не украдет устройство. ПИН-код нельзя использовать на любом другом устройстве, принадлежащем тому же человеку.

ПИН-код резервируется аппаратным обеспечением TPM

Узнайте, как создать PIN-код Windows, содержащий более четырех цифр.


Те из вас, кто создает PIN-код для резервного копирования своего пароля в Windows, вероятно, полагаются на стандартное 4-значное число, но знаете ли вы, что вы можете создать более длинный и сложный PIN-код? Вы можете придумать PIN-код из 6, 8, 10, 12 и более цифр. Вы также можете создать PIN-код с буквами и специальными символами, а также с цифрами. Хитрость заключается в том, чтобы придумать PIN-код, который будет максимально надежным и безопасным, но при этом достаточно простым, чтобы его можно было запомнить и вводить каждый раз. А если вы ИТ-администратор, вы можете контролировать ПИН-коды, создаваемые пользователями, с помощью групповой политики.

Зачем вообще создавать ПИН-код Windows, если у вас уже есть пароль? Есть несколько причин. PIN-код более надежен, чем пароль. Пароли передаются и хранятся на сервере (хотя и с использованием шифрования), поэтому они доступны за пределами вашего устройства. Кто-то, кто получит пароль от вашей учетной записи Microsoft, может войти с его помощью в любом месте. PIN-код сохраняется и является локальным для вашего компьютера или устройства, поэтому его нельзя использовать где-либо еще. Ваш ПИН-код Windows Hello также хранится в модуле доверенной платформы (TPM) на вашем устройстве, где он защищен от атак методом грубой силы и других методов взлома. PIN-код также требуется в качестве резервной копии, если вы пытаетесь включить любой из других методов аутентификации Windows Hello, таких как отпечаток пальца или распознавание лица.

Несмотря на то, что ваш PIN-код по своей природе более надежен, чем пароль, вы все же хотите создать более сложный PIN-код, поскольку PIN-код, состоящий из 6 или более цифр или символов, сложнее взломать, чем PIN-код, состоящий всего из 4 цифр.

Вы можете установить свой PIN-код при первой установке и настройке Windows, но давайте предположим, что у вас уже есть PIN-код и вы хотите изменить его на что-то более сложное. Для этого в Windows 10 перейдите в «Настройки», а затем «Учетные записи». Выберите запись для параметров входа. В разделе PIN-кода для Windows Hello нажмите кнопку «Изменить» (рис. A).

Рисунок А


В окне «Изменение PIN-кода» установите флажок «Включить буквы и цифры», а затем нажмите ссылку «Требования к PIN-коду» (рис. B).

Рисунок Б


Если ваша организация не изменила настройки, требования по умолчанию для PIN-кода Windows Hello следующие (рис. C):

  • ПИН-код должен содержать не менее четырех символов.
  • ПИН-код не может быть длиннее 127 символов.
  • ПИН-код может содержать прописные и строчные буквы.
  • ПИН-код может содержать цифры.
  • ПИН-код может содержать специальные символы.

Рисунок C


Теперь придумайте новый PIN-код для своего устройства, используя требования по умолчанию. При создании нового PIN-кода подумайте о том, как и где вы используете свой компьютер или устройство. Если вы используете настольный компьютер дома или в своем изолированном офисе, вы, вероятно, сможете обойтись более простым PIN-кодом. Если это портативный компьютер, который вы используете в дороге, или рабочий компьютер, доступный другим людям, вам, вероятно, понадобится более длинный и надежный PIN-код.

В окне «Изменение PIN-кода» введите текущий PIN-код. Введите и повторите ввод нового PIN-кода. Когда закончите, нажмите OK (рис. D). Вы должны выйти из Windows, а затем снова войти с новым PIN-кодом, чтобы проверить его.

Рисунок D


ИТ-администраторы, использующие групповую политику, могут управлять сложностью PIN-кодов Windows. Для этого просмотрите и включите определенные настройки. Откройте редактор групповой политики или консоль управления групповой политикой. Перейдите к следующему ключу: Конфигурация компьютера | Административные шаблоны | Компоненты Windows | Windows Hello для бизнеса. Вы можете настроить параметры политики Windows Hello для бизнеса (рис. E).

Рисунок Д


Перейти к конфигурации компьютера | Административные шаблоны | Система| Вход. Вы можете включить политику для включения входа с помощью удобного PIN-кода (рис. F).

Рисунок F


Перейти к конфигурации компьютера | Административные шаблоны | Система | PIN-комплекс, где вы можете установить требования к PIN-кодам, которые могут создавать ваши пользователи (рис. G).

Читайте также: