Windows10でローカルアカウントのYubiKeyセキュアログインを構成して使用する

ユーザーは、スウェーデンの会社Yubicoによって製造されたハードウェアセキュリティキーを使用して、 (Yubico)Windows10の(Windows 10)ローカルアカウントにログインできます。同社は最近、Yubico LoginforWindows(Yubico)アプリケーション(Login for Windows application)の最初の安定バージョンをリリースしました。この投稿では、 Windows10PCで使用するためにYubiKeyをインストールして構成する方法を紹介します。

YubiKeyは、ワンタイムパスワード、公開鍵暗号化と認証、およびFIDOAllianceによって開発されたユニバーサル2ndファクター(U2F)(Universal 2nd Factor (U2F))(FIDO Alliance)FIDO2プロトコル(FIDO2)をサポートするハードウェア認証デバイスです。これにより、ユーザーはワンタイムパスワードを発行するか、デバイスによって生成されたFIDOベースの公開鍵と秘密鍵のペアを使用して、自分のアカウントに安全にログインできます。YubiKeyでは、ワンタイムパスワードをサポートしていないサイトで使用するための静的パスワードを保存することもできます。Facebookは従業員の資格情報にYubiKeyを使用し、 Googleは従業員とユーザーの両方に対してYubiKeyをサポートしています。一部のパスワードマネージャーはYubiKeyをサポートしています。Yubicoは、 (Yubico)YubiKeyに似たデバイスであるセキュリティキー(Security Key)も製造していますが、公開鍵認証に重点を置いています。

YubiKeyを使用すると、ユーザーは秘密鍵を外部に公開することなく、メッセージに署名、暗号化、および復号化できます。この機能は、以前はMacおよびLinuxユーザーのみが利用できました。

To configure/set up YubiKey on Windows 10, you’ll need the following:

  1. YubiKeyUSBハードウェア。
  2. Windows用のYubicoログインソフトウェア。
  3. YubiKeyManagerソフトウェア。

それらはすべて、yubico.comの[(yubico.com)製品(Product)]タブから入手できます。また、YubiKeyアプリは、 (YubiKey)Azure Active DirectoryAAD)またはActive Directory(AD)によって管理されるローカルWindowsアカウント、および(Windows)Microsoftアカウントをサポートしていないことに注意してください。

YubiKeyハードウェア認証デバイス

Yubico Login for Windowsソフトウェアをインストールする前に、ローカルアカウントのWindowsユーザー名とパスワードをメモしてください。ソフトウェアをインストールする人は、自分のアカウントのWindowsユーザー名とパスワードを持っている必要があります。これらがないと、何も構成できず、アカウントにアクセスできません。Windowsクレデンシャルプロバイダーのデフォルトの動作は、最後のログインを記憶することであるため、ユーザー名を入力する必要はありません。

このため、多くの人はユーザー名を覚えていない可能性があります。ただし、ツールをインストールして再起動すると、新しいYubicoクレデンシャルプロバイダーが読み込まれるため、管理者とエンドユーザーの両方が実際にユーザー名を入力する必要があります。これらの理由から、管理者だけでなく、Yubico Login for Windowsを介してアカウントを構成するすべてのユーザーは、管理者がツールをインストールして構成する前に、ローカルアカウントの(Windows)Windowsユーザー名とパスワードを使用してログインできることを確認する必要があります。 -ユーザーのアカウント。

また、Yubico Login for Windowsを構成すると、次のことに注意する必要があります。

  • Windowsパスワードヒントなし
  • パスワードをリセットする方法はありません
  • 以前のユーザー/ログイン機能をRemember Previous User/Loginません。

さらに、Windows自動ログインはYubico LoginforWindowsと互換性がありませ(Windows)(Yubico Login)。自動ログイン用にアカウントが設定されているユーザーが、Yubico Login for Windowsの設定が有効になったときに元のパスワードを覚えていない場合、アカウントにアクセスできなくなります。次の方法でこの問題に先制的に対処します(Address)

  • 自動ログインを無効にする前に、ユーザーに新しいパスワードを設定してもらいます。
  • Yubico Login for Windowsを使用してアカウントを構成する前に、すべてのユーザーにユーザー名と新しいパスワードを使用してアカウントにアクセスできることを確認してもらいます。

ソフトウェアをインストールするには、管理者権限が必要です。

YubiKeyのインストール

まず、ユーザー名を確認します。Yubico Login for Windowsをインストールして再起動したら、ログインするためのパスワードに加えてこれを入力する必要があります。これを行うには、 [スタート(Start)]メニューからコマンドプロンプト(Command Prompt)またはPowerShellを開き、以下のコマンドを実行します。(PowerShell)

whoami

(Take)完全な出力に注意してください。これは、DESKTOP-1JJQRDFjdoeの形式である必要がありDESKTOP-1JJQRDF\jdoe。ここで、  jdoe はユーザー名です。

  1. (Download)ここ(here)からYubicoLoginforWindows(Yubico Login)ソフトウェアをダウンロードます(Windows)
  2. ダウンロードをダブルクリックして、インストーラーを実行します。
  3. エンドユーザー使用許諾契約に同意します。
  4. インストールウィザードで、インストール先フォルダーの場所を指定するか、デフォルトの場所を受け入れます。
  5. ソフトウェアがインストールされているマシンを再起動します。再起動後、Yubicoクレデンシャルプロバイダーは、 (Yubico)YubiKeyの入力を求めるログイン画面を表示します。

YubiKeyはまだプロビジョニングされていないため、ユーザーを切り替えて、ローカルWindowsアカウントのパスワードだけでなく、そのアカウント(Windows)のユーザー名も入力する必要があります。必要に応じて、Microsoftアカウントをローカルアカウントに変更する必要がある場合があります。

ログイン後、緑色のアイコンで「ログイン設定」を検索してください。(実際にYubico Login for Windowsというラベルが付いている項目は、単なるインストーラーであり、アプリケーションではありません。)

YubiKeyの設定

(Administrator)ソフトウェアを構成するには、管理者権限が必要です。
サポートされているアカウントのみがYubicoLoginforWindows(Yubico Login)用に設定できます(Windows)。構成ウィザードを起動し、探しているアカウントが表示されない場合、そのアカウントはサポートされていないため、構成に使用できません。

構成プロセス中に、以下が必要になります。

  • プライマリキーとバックアップキー(Primary and Backup Keys):登録ごとに異なるYubiKeyを使用します。(YubiKey)バックアップキーを設定する場合、各ユーザーはプライマリ用に1つのYubiKeyを持ち、バックアップキー用に2つ目のYubiKeyを持っている必要があります。
  • 回復コード(Recovery Code):回復コードは、すべてのYubiKeyが失われた場合にユーザーを認証するための最後の手段のメカニズムです。指定したユーザーにリカバリ(Recovery)コードを割り当てることができます。ただし、リカバリコードは、アカウントのユーザー名とパスワードも使用できる場合にのみ使用できます。リカバリコードを生成するオプションは、構成プロセス中に表示されます。

ステップ1:Windowsの[スタート(Start)]メニューで、[ Yubico ] >[ログイン構成(Login Configuration)]を選択します。

手順2:[ユーザーアカウント制御(User Account Control)]ダイアログが表示されます。管理者以外のアカウントからこれを実行している場合は、ローカル管理者の資格情報の入力を求められます。ウェルカムページでは、Yubicoログイン設定(Yubico Login Configuration)プロビジョニングウィザードを紹介しています。

YubiKeyハードウェア認証デバイス

ステップ3:[次へ(Next)]をクリックします。YubicoWindowsログイン設定(Yubico Windows Login Configuration)デフォルト(Default)ページが表示されます。

ステップ4:構成可能な項目は次のとおりです。

スロット(Slots):チャレンジ/レスポンスシークレットが保存されるスロットを選択します。カスタマイズされていないすべてのYubiKeyは、スロット1にクレデンシャルがプリロードされているため、Yubico Login for Windowsを使用して、他のアカウントへのログインにすでに使用されているYubiKeyを構成する場合は、スロット1を上書きしないでください。

Challenge/Response Secret:このアイテムを使用すると、シークレットの構成方法と保存場所を指定できます。オプションは次のとおりです。

  • 構成されている場合は既存のシークレットを使用–構成されていない場合は生成(Use existing secret if configured – generate if not configured):キーの既存のシークレットは指定されたスロットで使用されます。デバイスに既存のシークレットがない場合、プロビジョニングプロセスは新しいシークレットを生成します。
  • シークレットが現在構成されている場合でも、新しいランダムシークレットを生成します(Generate new, random secret, even if a secret is currently configured)。新しいシークレットが生成されてスロットにプログラムされ、以前に構成されたシークレットが上書きされます。
  • シークレットを手動で入力する(Manually input secret): 上級ユーザー(For advanced users)の場合:プロビジョニングプロセス中に、アプリケーションはHMAC-SHA1シークレット(20バイト– 16進エンコードされた40文字)を手動で入力するように要求します。

リカバリコードの生成(Generate Recovery Code):プロビジョニングされたユーザーごとに、新しいリカバリコードが生成されます。この回復コードにより、エンドユーザーはYubiKeyを紛失した場合にシステムにログインできます。
注:ユーザーに2番目のキーをプロビジョニングするときにリカバリー・コードを保存することを選択した場合、以前のリカバリー・コードは無効になり、新しいリカバリー・コードのみが機能します。

ユーザーごとにバックアップデバイスを作成(Create Backup Device for Each User)する:このオプションを使用して、プロビジョニングプロセスにユーザーごとにプライマリYubiKeyとバックアップYubiKeyの2つのキーを登録させます。ユーザーにリカバリコードを提供したくない場合は、各ユーザーにバックアップYubiKeyを提供することをお勧めします。詳細については、上記の「プライマリ(Primary)キーとバックアップキー(Backup Keys) 」セクションを参照してください。

ステップ5:[次へ(Next)]をクリックして、プロビジョニングするユーザーを選択します。「ユーザーアカウント(Select User Accounts)の選択」ページ(Yubico Login for Windowsでサポートされているローカルユーザーアカウントがない場合、リストは空になります)が表示されます。

ステップ6:ユーザー名の横にあるチェックボックスを選択して、Yubico Login for Windowsの現在の実行中にプロビジョニングするユーザーアカウントを選択し、[(Windows)次へ(Next)]をクリックします。「ユーザー(Configuring User)の構成」ページが表示されます。

ステップ7:上記の「ユーザーの設定(Configuring User)」フィールドに表示されるユーザー名は、YubiKeyが現在設定されているユーザーです。各ユーザー名が表示されると、プロセスはそのユーザーに登録するためにYubiKeyを挿入するように促します。

ステップ8:挿入されたYubiKeyが検出されている間、およびページ上部の「ユーザーの構成(Configuring User)」フィールドにユーザー名が記載されているユーザーに登録される前に、「デバイスの待機」ページが表示されます。(Wait for Device)「デフォルト(Defaults)」ページで「ユーザーごとにバックアップデバイスを作成」を選択した場合、「ユーザーの構成(Create Backup Device for Each User)フィールド(Configuring User)は、登録されているYubiKeyの(YubiKeys)プライマリ(Primary)またはバックアップ(Backup)も表示されます。

ステップ9:手動で指定されたシークレットを使用するようにプロビジョニングプロセスを構成した場合、40桁の16進数のシークレットのフィールドが表示されます。シークレットを入力し、[次へ(Next)]をクリックします。

ステップ10:「プログラミングデバイス(Programming Device)」ページには、各YubiKeyのプログラミングの進行状況が表示されます。以下に示すデバイス確認(Device Confirmation)ページには、デバイスのシリアル番号(使用可能な場合)や各ワンタイムパスワード(One-Time Password)OTP)スロットの構成ステータスなど、プロビジョニングプロセスによって検出されたYubiKeyの詳細が表示されます。(YubiKey)デフォルトとして設定したものと、検出されたYubiKeyで可能なこととの間に矛盾がある場合は、警告記号が表示されます。すべてが順調に進むと、チェックマークが表示されます。ステータス行にエラーアイコンが表示されている場合は、エラーが説明され、修正手順が画面に表示されます。

ステップ11:ユーザーアカウントのプログラミングが完了すると、対応するYubiKey(YubiKey)がないとそのアカウントにアクセスできなくなります。設定したばかりのYubiKey(YubiKey)を削除するように求められ、プロビジョニングプロセスは自動的に次のユーザーアカウント/ YubiKeyの組み合わせに進みます。

ステップ12:結局、指定されたユーザーアカウントのYubiKeysがプロビジョニングされました:(YubiKeys)

  • [デフォルト](Defaults)ページで[リカバリコードの生成](Generate Recovery Code) が選択されている場合は、[リカバリコード](Recovery Code)ページが表示されます。
  • [リカバリコードの生成](Generate Recovery Code)が選択されていない場合  、プロビジョニングプロセスは自動的に次のユーザーアカウントに進みます。
  •  最後のユーザーアカウントが完了すると、プロビジョニングプロセスは[完了]に移動し ます。(Finished)

リカバリコードは長い文字列です。(エンドユーザーが数字の1を小文字のLと間違え、0を文字のOと間違えることによって引き起こされる問題を排除するために、回復コードはBase32でエンコードされ、同じように見える英数字を扱います。)

指定されたユーザーアカウントのすべてのYubiKey(YubiKeys)が設定されると、リカバリコード(Recovery Code)ページが表示されます。

手順13:[回復コード(Recovery Code)]ページで、選択したユーザーの回復コードを生成して設定します。これが完了すると、リカバリコードフィールドの右側にある[コピー(Copy)]ボタン と [保存]ボタンが使用可能になります。(Save)

ステップ14:リカバリコードをコピーしてユーザーと共有されないように保存し、ユーザーが紛失した場合に備えて保管します。

(Note):プロセスのこの時点で、必ずリカバリコードを保存してください。次の画面に進むと、コードを取得できなくなります。

手順15: [ユーザーの選択(Select Users)]ページから次のユーザーアカウントに移動するには、[次へ(Next)]をクリックします。最後のユーザーを構成すると、プロビジョニングプロセスで[完了](Finished)ページが表示されます。

手順16:各ユーザーにリカバリコードを提供します。エンドユーザーは、ログインできないときにアクセスできる安全な場所にリカバリコードを保存する必要があります。

YubiKeyユーザーエクスペリエンス

ローカルユーザーアカウントがYubiKeyを要求するように設定されている場合、ユーザーはデフォルトのWindowsクレデンシャルプロバイダーではなく、 Yubicoクレデンシャルプロバイダー(Yubico Credential Provider)によって認証されます。ユーザーはYubiKeyを挿入するように求められます。次に、Yubicoログイン(Yubico Login)画面が表示されます。ユーザーはユーザー名とパスワードを入力します。

(Note):ログインするためにYubiKey USBハードウェアのボタンを押す必要はありません。場合によっては、ボタンを押すとログインが失敗します。

エンドユーザーがログインするとき、システムのUSBポートに正しいYubiKeyを挿入する必要があります。エンドユーザーが正しいYubiKey(YubiKey)を挿入せずにユーザー名とパスワードを入力すると、認証は失敗し、ユーザーにはエラーメッセージが表示されます。

エンドユーザーのアカウントがYubicoLoginfor (Yubico Login)Windows用(Windows)に構成されていて、リカバリコードが生成され、ユーザーがYubiKeyを紛失した場合、ユーザーはリカバリコードを使用して認証できます。エンドユーザーは、ユーザー名、回復コード、およびパスワードを使用してコンピューターのロックを解除します。

新しいYubiKeyが設定されるまで、エンドユーザーはログインするたびにリカバリコードを入力する必要があります。

Yubico Login for Windowsが(Windows)YubiKeyが挿入されたことを検出しない場合は、キーのOTPモードが有効になっていないか、YubiKeyを挿入しておらず、代わりにこのアプリケーションと互換性のないセキュリティキーが原因である可能性があります。(Security Key)YubiKey Managerアプリケーションを使用して、プロビジョニングされる すべてのYubiKeyで(YubiKeys)OTPインターフェースが有効になっていることを確認します。

重要: (Important)Windowsでサポートされている代替のサインイン方法は影響を受けません。したがって、Yubico Login for Windowsで保護しているユーザーアカウントの追加のローカルおよびリモートログイン方法を制限して、「バックドア」を開いたままにしないようにする必要があります。

YubiKeyをお試しになる場合は、下のコメントセクションで経験をお知らせください。(If you try out YubiKey, let us know your experience in the comments section below.)



About the author

私は、Windows アプリとファイルを専門とする、10 年以上の経験を持つコンピューター セキュリティの専門家です。私は、コンピュータ セキュリティに関連するさまざまなトピックについて何百もの記事を書いたり、レビューしたりして、個人がオンラインで安全に過ごせるように支援してきました。また、データ侵害やサイバー攻撃からシステムを保護するために支援が必要な企業向けの経験豊富なコンサルタントでもあります。



Related posts