我想使用 GPO 启用指纹登录。我安装了 Windows 10 1703 (Creators) ADMX 文件。
首先,我读到“计算机/策略/管理模板/系统/登录”中“启用便捷 PIN 登录”是必需的……这是真的吗?如果是这样,这似乎很荒谬……我理解用户的域密码必须在本地加密,以便将指纹转换为密码,但是,我不想允许使用 PIN 登录。如果用户的指纹登录不起作用,我宁愿恢复为密码登录,而不是非常容易被黑客入侵的 PIN。
其次,我读到一些用户建议将 PIN 复杂度要求设置得非常高,以纠正 4 位或 6 位 PIN 访问的愚蠢行为。这些设置曾经存在于“计算机/策略/管理模板/Windows 组件/Windows Hello for Business”下,但 Windows 10 Creators ADMX 文件已删除此选项?!?!?!
更新:看起来“PIN 复杂度”已移至系统下... 但是,为什么必须启用 PIN 才能使生物识别技术工作,而手动输入密码始终可用?
答案1
我通过在 GPO 中更改以下内容来实现这一点:
- 我启用了“开启便捷 PIN 登录”
- 我对别针设置了荒谬的复杂性要求
- 我为每个指纹用户随机生成一个 20 个字符的 PIN 码,并让他们将 PIN 码设置为该值,然后立即忘记 PIN 码并且不分发它。
我仍然不明白为什么需要 PIN 码,因为即使在上述情况下,微软表示如果手指受损则需要输入 PIN 码...您仍然可以输入密码...
这似乎仍然像是一个重大的安全漏洞,仅需要 PIN 前门/后门才能使用生物识别技术......