Устройство блокируется, если пользователь ввел неверный PIN-код устройства больше определенного количества раз.
Максимальное количество попыток ввода PIN-кода пользователем задает администратор в разделе Выпуск → Инициализация устройства политики использования устройств.
Существует два режима разблокировки устройства пользователя: онлайн и офлайн.
Онлайн-разблокировка осуществляется пользователем в окне входа ОС Windows. Пользователь отвечает на секретные вопросы, задает и подтверждает новый PIN-код, после чего устройство разблокируется.
Обязательные условия для онлайн-разблокировки:
- Рабочая станция пользователя, к которой подключено заблокированное устройство, связана с сервером Rutoken KeyBox.
- Пользователь задал ответы на секретные вопросы в Сервисе самообслуживания.
Если секретные вопросы пользователя не установлены, онлайн-разблокировка устройства будет недоступна. Разблокировать устройство можно в офлайн-режиме.
Пример онлайн-разблокировки устройства в окне входа ОС Windows 11
Введите ответы на секретные вопросы и нажмите
.
- Введите Новый PIN и его Подтверждение.
- В случае успешной разблокировки устройства появится сообщение.
Механизм разблокировки устройства в ОС Windows других версий выглядит похожим образом.
Разблокировать устройство офлайн можно в окне входа Windows или в Windows сессии.
Разблокировка устройства на экране входа в Windows не поддерживается при удаленном подключении через Remote Desktop.
Офлайн-разблокировка осуществляется оператором Rutoken KeyBox по принципу аутентификации вида запрос-ответ (challenge-response authentication mechanism).
При исчерпании заданного числа попыток ввода PIN-кода пользователь получает сообщение, что его устройство заблокировано. Вместе с сообщением пользователь получает уникальный код-запрос из 16 символов. Пользователю необходимо связаться с оператором системы (например, по телефону), подтвердить свою личность, ответив на секретные вопросы, и сообщить полученный код.
Пример экрана офлайн-разблокировки устройства в окне входа ОС Windows 11
Оператор системы открывает карточку пользователя и в перечне действий над устройством выбирает пункт Разблокировать. Прежде чем выполнить генерацию ответного кода для разблокировки устройства, администратор системы задает секретный вопрос (или несколько вопросов, в зависимости от настроек политики использования устройств) и вводит полученный от пользователя ответ в соответствующую форму.
Опцию Разрешить офлайновую разблокировку можно отключить в разделе Поведение политики использования устройств. В этом случае кнопка Разблокировать в карточке устройства будет недоступна.
Необходимость проверки ответов на секретные вопросы при офлайн-разблокировке определяется опцией Проверять ответы на секретные вопросы в разделе Поведение политики использования устройств.
Если ответы на все вопросы даны верно, то оператор вводит код, полученный от пользователя, и система генерирует ответный код, который оператор сообщает пользователю.
Пользователь вводит код, полученный от оператора, и задает новый PIN-код устройства. В случае успешной разблокировки отображается соответствующее сообщение.
Механизм разблокировки устройства в ОС Windows других версий выглядит похожим образом.