В случае, если пользователь ввел неверный PIN-код устройства больше определенного количества раз, оно блокируется.
Максимальное количество попыток ввода PIN-кода пользователем задается администратором в разделе Выпуск → Инициализация устройства политики использования устройств.
Существует два режима разблокировки устройства пользователя:
- Оnline-разблокировка.
- Offline-разблокировка.
Разблокировка устройства (смарт-карты, USB-токена) на экране входа в Windows не поддерживается при удаленном подключении через Remote Desktop.
Если секретные вопросы пользователя не установлены, online-разблокировка устройства будет недоступна. Разблокировать устройство можно будет в offline-режиме.
Если устройство не использовалось для входа на компьютер и было заблокировано, то для разблокировки применяется утилита Indeed CM-Unblock.
Online-разблокировка
Осуществляется пользователем в интерфейсе операционной системы. Пользователь отвечает на секретные вопросы, задает и подтверждает новый PIN-код, после чего устройство разблокируется.
Для online-разблокировки обязательными условиями является:
- Наличие соединения рабочей станции пользователя, к которой подключено заблокированное устройство, с сервером Indeed Certificate Manager.
- У пользователя заданы ответы на секретные вопросы в Сервисе самообслуживания.
Offline-разблокировка
Осуществляется оператором системы по принципу аутентификации вида запрос-ответ (англ. challenge-response authentication mechanism).
При исчерпании заданного числа попыток ввода PIN-кода, пользователь получает сообщение о том, что его устройство заблокировано. Вместе с сообщением пользователь получает уникальный 16 символьный код-запрос. Пользователю необходимо связаться с оператором системы (например, по телефону), подтвердить свою личность, ответив на секретные вопросы и сообщить полученный код.
Необходимость ответов на секретные вопросы при offline-разблокировке определяется в опцией Проверять ответы на секретные вопросы в разделе Поведение политики использования устройств.
Оператор системы открывает карточку пользователя и в перечне действий над устройством выбирает пункт Разблокировать. Прежде, чем выполнить генерацию ответного кода для разблокировки устройства, администратор системы задаёт секретный вопрос (или несколько вопросов, в зависимости от настроек политики использования устройств) и вводит полученный от пользователя ответ в соответствующую форму.
Если ответы на все вопросы даны верно, то оператор вводит код, который ему сообщает пользователь и система генерирует ответный код, который оператор сообщает пользователю.
Пользователь вводит код, полученный от оператора, и задает новый PIN-код устройства. В случае успешной разблокировки отображается соответствующее сообщение.
Разблокировка устройства при помощи утилиты Indeed CM-Unblock
Если устройство не используется для входа на компьютер и было заблокировано, то в этом случае для его разблокировки применяется утилита Indeed CM-Unblock.
Расположение по умолчанию: %ProrgamFiles%/IndeedCM/IndeedCM.Unblock.exe).
Чтобы разблокировать устройство при помощи утилиты:
- Подключите устройство к компьютеру и запустите утилиту. Выберите устройство из списка и апплет (PKI или ГОСТ).
- В поле Запрос появится код разблокировки устройства, который нужно сообщить оператору Рутокен KeyBox. Оператор может запросить у вас ответы на секретные вопросы для подтверждения личности и сообщит новый код. Введите его в поле Ответ утилиты разблокировки.
- Введите новый PIN-код, его подтверждение и нажмите Разблокировать. После этого ваше устройство разблокируется (значение поля Статус станет «Устройство не заблокировано»), а PIN-код изменится на указанный.
- Завершите работу с утилитой.