تكوين واستخدام YubiKey Secure تسجيل الدخول للحساب المحلي في نظام التشغيل Windows 10

يمكن للمستخدمين استخدام مفاتيح أمان الأجهزة ، التي تصنعها شركة Yubico السويدية لتسجيل الدخول إلى حساب محلي على Windows 10 . أصدرت الشركة مؤخرًا أول إصدار مستقر من تطبيق Yubico Login for Windows(Login for Windows application) . في هذا المنشور ، سنوضح لك كيفية تثبيت YubiKey وتكوينه للاستخدام على أجهزة الكمبيوتر التي تعمل بنظام Windows 10.

YubiKey هو جهاز مصادقة للأجهزة يدعم كلمات المرور لمرة واحدة ، وتشفير المفتاح العام والمصادقة ، وبروتوكولات Universal 2nd Factor (U2F) و FIDO2 التي طورها تحالف FIDO(FIDO Alliance) . يسمح للمستخدمين بتسجيل الدخول بأمان إلى حساباتهم عن طريق إرسال كلمات مرور لمرة واحدة أو استخدام زوج مفاتيح عام / خاص قائم على FIDO تم إنشاؤه بواسطة الجهاز. يسمح YubiKey(YubiKey) أيضًا بتخزين كلمات المرور الثابتة لاستخدامها في المواقع التي لا تدعم كلمات المرور لمرة واحدة. يستخدم Facebook مفتاح YubiKey(YubiKey) للحصول على بيانات اعتماد الموظف ، وتدعمه Google لكل من الموظفين والمستخدمين. يدعم بعض مديري كلمات المرور YubiKey .تقوم Yubico(Yubico) أيضًا بتصنيع مفتاح الأمان(Security Key) ، وهو جهاز مشابه لمفتاح YubiKey(YubiKey) ، لكنه يركز على مصادقة المفتاح العام.

يسمح YubiKey للمستخدمين بتوقيع الرسائل وتشفيرها وفك تشفيرها دون الكشف عن المفاتيح الخاصة للعالم الخارجي. كانت هذه الميزة متاحة سابقًا فقط لمستخدمي Mac و Linux .

To configure/set up YubiKey on Windows 10, you’ll need the following:

  1. جهاز YubiKey USB.
  2. برنامج تسجيل الدخول Yubico لنظام التشغيل Windows.
  3. برنامج YubiKey Manager.

كل منهم متاح على yubico.com تحت علامة تبويب المنتجات(Product) الخاصة بهم . أيضًا ، يجب أن تلاحظ أن تطبيق YubiKey لا يدعم حسابات Windows المحلية المُدارة بواسطة Azure Active Directory ( AAD ) أو Active Directory (AD) بالإضافة إلى حسابات Microsoft .

(YubiKey)جهاز مصادقة الأجهزة YubiKey

قبل تثبيت برنامج Yubico Login for Windows ، قم بتدوين اسم مستخدم Windows وكلمة المرور للحساب المحلي. يجب أن يكون لدى الشخص الذي يقوم بتثبيت البرنامج اسم مستخدم وكلمة مرور Windows لحسابه. بدونها ، لا يمكن تكوين أي شيء ، ولا يمكن الوصول إلى الحساب. يتمثل السلوك الافتراضي لموفر بيانات اعتماد Windows في تذكر آخر تسجيل دخول لك ، لذلك لا يتعين عليك كتابة اسم المستخدم.

لهذا السبب ، قد لا يتذكر الكثير من الأشخاص اسم المستخدم. ومع ذلك ، بمجرد تثبيت الأداة وإعادة التشغيل ، يتم تحميل موفر بيانات اعتماد Yubico الجديد ، بحيث يتعين على كل من المسؤولين والمستخدمين كتابة اسم المستخدم. لهذه الأسباب ، ليس فقط المسؤول ولكن أيضًا يجب على كل شخص سيتم تكوين حسابه عبر Yubico Login for Windows التحقق للتأكد من أنه يمكنهم تسجيل الدخول باستخدام اسم مستخدم Windows وكلمة المرور لحسابهم المحلي قبل أن يقوم المسؤول بتثبيت الأداة وتكوين النهاية - حسابات المستخدمين.

من الضروري أيضًا ملاحظة أنه بمجرد تكوين Yubico Login(Yubico Login) for Windows ، يكون هناك:

  • لا يوجد تلميح كلمة مرور Windows
  • لا توجد طريقة لإعادة تعيين كلمات المرور
  • لا Remember Previous User/Login وظيفة تسجيل الدخول.

بالإضافة إلى ذلك ، لا يتوافق تسجيل الدخول التلقائي إلى Windows مع (Windows)تسجيل الدخول إلى Yubico(Yubico Login) لنظام التشغيل Windows(Windows) . إذا لم يعد المستخدم الذي تم إعداد حسابه لتسجيل الدخول التلقائي يتذكر كلمة المرور الأصلية عند تفعيل تكوين Yubico Login for Windows ، فلن يكون من الممكن الوصول إلى الحساب. قم بمعالجة(Address) هذه المشكلة بشكل استباقي من خلال:

  • مطالبة المستخدمين بتعيين كلمات مرور جديدة قبل تعطيل تسجيل الدخول التلقائي.
  • اطلب من جميع المستخدمين التحقق من قدرتهم على الوصول إلى حساباتهم باستخدام اسم المستخدم وكلمة المرور الجديدة الخاصة بهم قبل استخدام Yubico Login for Windows لتكوين حساباتهم.

أذونات المسؤول مطلوبة لتثبيت البرنامج.

تثبيت YubiKey

أولاً ، تحقق من اسم المستخدم الخاص بك. بمجرد تثبيت Yubico Login for Windows وإعادة التشغيل ، ستحتاج إلى إدخال هذا بالإضافة إلى كلمة المرور لتسجيل الدخول. للقيام بذلك ، افتح Command Prompt أو PowerShell من قائمة ابدأ(Start) وقم بتشغيل الأمر أدناه

whoami

(Take)لاحظ الناتج الكامل ، والذي يجب أن يكون بصيغة DESKTOP-1JJQRDF\jdoe، حيث  jdoe  هو اسم المستخدم.

  1. قم بتنزيل(Download) برنامج Yubico Login لنظام التشغيل Windows(Windows) من هنا(here) .
  2. قم بتشغيل برنامج التثبيت بالنقر نقرًا مزدوجًا فوق التنزيل.
  3. اقبل اتفاقية ترخيص المستخدم النهائي.
  4. في معالج التثبيت ، حدد موقع مجلد الوجهة أو اقبل الموقع الافتراضي.
  5. أعد تشغيل الجهاز الذي تم تثبيت البرنامج عليه. بعد إعادة التشغيل ، يقدم موفر بيانات اعتماد Yubico شاشة تسجيل الدخول التي تطالب بمفتاح YubiKey(YubiKey) .

نظرًا لأنه لم يتم توفير مفتاح YubiKey حتى الآن ، يجب عليك تبديل المستخدم وإدخال ليس فقط كلمة المرور لحساب (YubiKey)Windows المحلي الخاص بك ، ولكن أيضًا اسم المستخدم الخاص بك لهذا الحساب. إذا لزم الأمر ، قد تضطر إلى تغيير حساب Microsoft إلى حساب محلي .

بعد تسجيل الدخول ، ابحث عن "تكوين تسجيل الدخول" بالأيقونة الخضراء. (العنصر المسمى بالفعل Yubico Login for Windows هو المثبت فقط ، وليس التطبيق.)

تكوين مفتاح يوبي

أذونات المسؤول(Administrator) مطلوبة لتكوين البرنامج.
يمكن فقط تكوين الحسابات المدعومة لتسجيل الدخول إلى Yubico(Yubico Login) لنظام التشغيل Windows(Windows) . إذا قمت بتشغيل معالج التكوين ، ولم يتم عرض الحساب الذي تبحث عنه ، فلن يكون مدعومًا وبالتالي غير متاح للتكوين.

أثناء عملية التكوين ، سيكون ما يلي مطلوبًا ؛

  • المفاتيح الأساسية والنسخ الاحتياطي(Primary and Backup Keys) : استخدم مفتاح YubiKey(YubiKey) مختلف لكل تسجيل. إذا كنت تقوم بتكوين مفاتيح النسخ الاحتياطي ، فيجب أن يكون لدى كل مستخدم مفتاح Yubi(YubiKey) واحد للمفتاح الأساسي ومفتاح ثانٍ لمفتاح النسخ الاحتياطي.
  • رمز الاسترداد(Recovery Code) : يعد رمز الاسترداد آلية الملاذ الأخير لمصادقة المستخدم في حالة فقد جميع مفاتيح YubiKeys. يمكن تعيين رموز الاسترداد للمستخدمين الذين تحددهم ؛ (Recovery)ومع ذلك ، لا يمكن استخدام رمز الاسترداد إلا إذا كان اسم المستخدم وكلمة المرور للحساب متاحين أيضًا. يتم تقديم خيار إنشاء رمز الاسترداد أثناء عملية التكوين.

الخطوة 1: في قائمة ابدأ(Start) في Windows ، حدد Yubico > تكوين تسجيل الدخول(Login Configuration) .

الخطوة 2: يظهر مربع حوار التحكم في حساب المستخدم . (User Account Control)إذا كنت تقوم بتشغيل هذا من حساب غير المسؤول ، فستتم مطالبتك ببيانات اعتماد المسؤول المحلي. تقدم صفحة الترحيب معالج توفير تكوين تسجيل الدخول إلى Yubico(Yubico Login Configuration) :

جهاز مصادقة الأجهزة YubiKey

الخطوة 3: انقر فوق التالي(Next) . تظهر الصفحة الافتراضية لـ (Default)Yubico Windows تكوين تسجيل الدخول(Yubico Windows Login Configuration) .

الخطوة 4: العناصر القابلة للتكوين هي:

الفتحات(Slots) : حدد الفتحة حيث سيتم تخزين سر التحدي والاستجابة. تأتي جميع مفاتيح YubiKeys التي لم يتم تخصيصها محملة مسبقًا ببيانات اعتماد في الفتحة 1 ، لذلك إذا كنت تستخدم Yubico Login for Windows لتكوين YubiKeys التي يتم استخدامها بالفعل لتسجيل الدخول إلى حسابات أخرى ، فلا تقم بالكتابة فوق الفتحة 1.

Challenge/Response Secret : يمكّنك هذا العنصر من تحديد كيفية تكوين السر ومكان تخزينه. الخيارات هي:

  • استخدم السر الموجود إذا تم تكوينه - إنشاء إذا لم يتم تكوينه(Use existing secret if configured – generate if not configured) : سيتم استخدام السر الحالي للمفتاح في الفتحة المحددة. إذا لم يكن للجهاز أي سر موجود ، ستنشئ عملية التوفير سرًا جديدًا.
  • قم بإنشاء سر عشوائي جديد ، حتى إذا تم تكوين(Generate new, random secret, even if a secret is currently configured) سر جديد: سيتم إنشاء سر جديد وبرمجته في الفتحة ، والكتابة فوق أي سر تم تكوينه مسبقًا.
  • سر الإدخال اليدوي(Manually input secret)للمستخدمين المتقدمين(For advanced users) : أثناء عملية التوفير ، سيطالبك التطبيق بإدخال سر HMAC-SHA1 يدويًا (20 بايت - 40 حرفًا بترميز سداسي عشري).

إنشاء رمز الاسترداد(Generate Recovery Code) : لكل مستخدم يتم توفيره ، سيتم إنشاء رمز استرداد جديد. يمكّن رمز الاسترداد هذا المستخدم النهائي من تسجيل الدخول إلى النظام إذا فقد مفتاح Yubi الخاص به.
ملاحظة: إذا اخترت حفظ رمز الاسترداد أثناء توفير مفتاح ثانٍ لمستخدم ، يصبح أي رمز استرداد سابق غير صالح ، وسيعمل رمز الاسترداد الجديد فقط.

إنشاء جهاز نسخ احتياطي لكل مستخدم(Create Backup Device for Each User) : استخدم هذا الخيار لجعل عملية التوفير تسجل مفتاحين لكل مستخدم ، مفتاح YubiKey الأساسي ومفتاح (YubiKey)YubiKey الاحتياطي . إذا كنت لا ترغب في توفير رموز الاسترداد للمستخدمين ، فمن الممارسات الجيدة أن تمنح كل مستخدم نسخة احتياطية من YubiKey . لمزيد من المعلومات ، راجع قسم المفاتيح (Backup Keys)الأساسية(Primary) والاحتياطية  أعلاه.

الخطوة 5: انقر فوق " التالي(Next) " ، لتحديد المستخدم (المستخدمين) المطلوب توفيره. تظهر صفحة تحديد حسابات المستخدمين(Select User Accounts) (إذا لم يكن هناك حسابات مستخدمين محليين يدعمها تسجيل الدخول إلى Yubico(Yubico Login) لنظام التشغيل Windows(Windows) ، فستكون القائمة فارغة).

الخطوة 6: حدد حسابات المستخدمين المراد توفيرها أثناء التشغيل الحالي لتسجيل الدخول إلى Yubico(Yubico Login) لنظام التشغيل Windows(Windows) عن طريق تحديد مربع الاختيار بجوار اسم المستخدم ، ثم انقر فوق التالي(Next) . تظهر صفحة تكوين المستخدم(Configuring User) .

الخطوة 7: اسم المستخدم الموضح في حقل تكوين المستخدم(Configuring User) الموضح أعلاه هو المستخدم الذي يتم حاليًا تكوين مفتاح YubiKey له. عندما يتم عرض كل اسم مستخدم ، تطالبك العملية بإدخال مفتاح YubiKey للتسجيل لهذا المستخدم.

الخطوة 8: يتم عرض صفحة انتظار الجهاز(Wait for Device) أثناء اكتشاف مفتاح YubiKey المُدرج وقبل تسجيله للمستخدم الذي يكون اسم المستخدم الخاص به في حقل تكوين المستخدم أعلى الصفحة. (Configuring User)إذا كنت قد حددت إنشاء جهاز نسخ احتياطي لكل مستخدم(Create Backup Device for Each User) في صفحة الإعدادات الافتراضية(Defaults) ، فسيعرض حقل تكوين المستخدم أيضًا أيًا من (Configuring User)مفاتيح Yubi(YubiKeys) يتم تسجيله ، الأساسي(Primary) أو النسخ الاحتياطي(Backup) .

الخطوة 9: إذا قمت بتكوين عملية التوفير لاستخدام سر محدد يدويًا ، فسيتم عرض حقل 40 من الأسرار المكونة من 40 رقمًا سداسيًا. أدخل السر وانقر فوق التالي(Next) .

الخطوة 10: تعرض صفحة جهاز البرمجة تقدم برمجة كل (Programming Device)مفتاح Yubi(YubiKey) . تعرض صفحة تأكيد الجهاز(Device Confirmation) الموضحة أدناه تفاصيل مفتاح YubiKey(YubiKey) الذي تم اكتشافه من خلال عملية التوفير ، بما في ذلك الرقم التسلسلي للجهاز (إن وجد) وحالة التكوين لكل فتحة كلمة مرور لمرة واحدة(One-Time Password) ( OTP ). إذا كان هناك تعارض بين ما قمت بتعيينه كإعدادات افتراضية وما هو ممكن باستخدام مفتاح YubiKey(YubiKey) المكتشف ، فسيتم عرض رمز تحذير. إذا كان كل شيء على ما يرام ، فستظهر علامة اختيار. إذا أظهر سطر الحالة رمز خطأ ، فسيتم وصف الخطأ وإرشادات إصلاحه على الشاشة.

الخطوة 11: بمجرد اكتمال البرمجة لحساب مستخدم ، لا يمكن الوصول إلى هذا الحساب بدون مفتاح YubiKey(YubiKey) المقابل . تتم مطالبتك بإزالة مفتاح YubiKey(YubiKey) الذي تم تكوينه للتو ، وستنتقل عملية التوفير تلقائيًا إلى مجموعة حساب المستخدم / YubiKey التالية(YubiKey) .

الخطوة 12: بعد كل شيء ، تم توفير مفاتيح YubiKeys(YubiKeys) لحساب المستخدم المحدد:

  • إذا تم تحديد إنشاء رمز الاسترداد(Generate Recovery Code)  في صفحة الإعدادات الافتراضية ، فسيتم عرض صفحة (Defaults)رمز الاسترداد(Recovery Code) .
  • إذا  لم يتم تحديد إنشاء رمز الاسترداد(Generate Recovery Code)  ، فستستمر عملية التوفير تلقائيًا إلى حساب المستخدم التالي.
  • تنتقل عملية التوفير إلى  انتهى(Finished)  بعد الانتهاء من آخر حساب مستخدم.

رمز الاسترداد عبارة عن سلسلة طويلة. (للتخلص من المشكلات التي يسببها المستخدم النهائي لظن الخطأ في الرقم 1 للحرف الصغير L و 0 للحرف O ، يتم ترميز رمز الاسترداد في Base32 ، والذي يتعامل مع الأحرف الأبجدية الرقمية التي تبدو متشابهة كما لو كانت متشابهة.)

يتم عرض صفحة رمز الاسترداد بعد تكوين جميع (Recovery Code)مفاتيح Yubi(YubiKeys) لحساب المستخدم المحدد.

الخطوة 13: في صفحة رمز الاسترداد(Recovery Code) ، قم بإنشاء وتعيين رمز استرداد للمستخدم المحدد. بمجرد الانتهاء من ذلك ، يصبح زري (Save)النسخ(Copy)  والحفظ  على يمين حقل رمز الاسترداد متاحين.

الخطوة 14: انسخ رمز الاسترداد واحفظه من مشاركته مع المستخدم واحتفظ به في حالة فقده.

ملاحظة(Note) : تأكد من حفظ رمز الاسترداد في هذه المرحلة من العملية. بمجرد المتابعة إلى الشاشة التالية ، لا يمكن استرداد الرمز.

الخطوة 15: للانتقال إلى حساب المستخدم التالي من صفحة تحديد المستخدمين(Select Users) ، انقر فوق " التالي(Next) " . عندما تقوم بتكوين المستخدم الأخير ، تعرض عملية التوفير الصفحة " انتهى(Finished) " .

الخطوة 16: أعط كل مستخدم رمز الاسترداد الخاص به. يجب على المستخدمين النهائيين حفظ رمز الاسترداد الخاص بهم في مكان آمن يمكن الوصول إليه عندما لا يتمكنون من تسجيل الدخول.

تجربة مستخدم YubiKey

عندما يتم تكوين حساب المستخدم المحلي للمطالبة بمفتاح YubiKey(YubiKey) ، تتم مصادقة المستخدم بواسطة موفر اعتماد Yubico بدلاً من (Yubico Credential Provider)موفر اعتماد Windows الافتراضي . يُطلب من المستخدم إدخال مفتاح YubiKey(YubiKey) الخاص به . ثم يتم عرض شاشة تسجيل الدخول إلى Yubico(Yubico Login) . يقوم المستخدم بإدخال اسم المستخدم وكلمة المرور الخاصة به.

ملاحظة(Note) : ليس من الضروري الضغط على الزر الموجود على جهاز YubiKey USB لتسجيل الدخول. في بعض الحالات ، يؤدي الضغط على الزر إلى فشل تسجيل الدخول.

عندما يقوم المستخدم النهائي بتسجيل الدخول ، يجب عليه إدخال مفتاح YubiKey(YubiKey) الصحيح في منفذ USB على نظامه. إذا أدخل المستخدم اسم المستخدم وكلمة المرور دون إدخال مفتاح YubiKey(YubiKey) الصحيح ، فستفشل المصادقة ، وستظهر للمستخدم رسالة خطأ.

إذا تم تكوين حساب المستخدم النهائي لـ Yubico Login for Windows ، وإذا تم إنشاء رمز الاسترداد ، وفقد المستخدم مفتاح (مفاتيح) Yubi الخاص به ، فيمكنه استخدام رمز الاسترداد الخاص به للمصادقة. يفتح المستخدم النهائي جهاز الكمبيوتر الخاص به باستخدام اسم المستخدم ورمز الاسترداد وكلمة المرور.

حتى يتم تكوين مفتاح YubiKey(YubiKey) جديد ، يجب على المستخدم النهائي إدخال رمز الاسترداد في كل مرة يقوم فيها بتسجيل الدخول.

إذا لم يكتشف Yubico Login(Yubico Login) for Windows أن مفتاح YubiKey(YubiKey) قد تم إدراجه ، فمن المحتمل أن يكون ذلك بسبب عدم تمكين وضع OTP ، أو عدم قيامك بإدخال مفتاح YubiKey(YubiKey) ، ولكن بدلاً من ذلك مفتاح أمان(Security Key) ، وهو غير متوافق مع هذا التطبيق. استخدم تطبيق YubiKey Manager  للتأكد من تمكين واجهة OTP في جميع (OTP)مفاتيح YubiKeys(YubiKeys) المراد توفيرها .

هام(Important) : لن تتأثر طرق تسجيل الدخول البديلة التي يدعمها Windows . لذلك ، يجب عليك تقييد طرق تسجيل الدخول المحلية والبعيدة الإضافية لحسابات المستخدمين التي تحميها باستخدام Yubico Login for Windows للتأكد من أنك لم تترك أي "أبواب خلفية" مفتوحة.

إذا جربت YubiKey ، فأخبرنا بتجربتك في قسم التعليقات أدناه.(If you try out YubiKey, let us know your experience in the comments section below.)



About the author

أنا مهندس برمجيات بدوام كامل ولدي أكثر من 10 سنوات من الخبرة في العمل مع برامج Windows و Mac. أعرف كيفية تصميم التطبيقات واختبارها ونشرها على كلا النظامين الأساسيين. لدي أيضًا خبرة في إدارة الأمن والنظام. يمكن أن تساعدك مهاراتي ومعرفي في بناء نظام كمبيوتر أفضل وأكثر كفاءة.



Related posts