已为Windows 11启用账户级双重验证、本地登录二次验证及Windows Hello双因子登录。需依次通过Microsoft账户网页开启TOTP/短信验证,组策略强化登录安全,并配置TPM保护的PIN与生物识别组合认证。
如果您已为 Windows 11 配置了微软账户登录,但尚未启用账户级二步验证(即双重验证),则系统在关键操作时无法强制校验第二重身份凭证。以下是为 Win11 账户激活二步验证密码的完整操作路径:
一、通过 Microsoft 账户网页端启用双重验证
该方式直接作用于账户层,适用于所有绑定该账户的设备,包括 Windows 11 登录、Microsoft Store、OneDrive 等场景,验证机制基于时间的一次性密码(TOTP)或推送通知。
1、在任意浏览器中访问 account.microsoft.com/security,使用您的微软账户登录。
2、在“安全性”页面中,找到“双重验证”区域,点击“设置双重验证”按钮。
3、系统将提示您确认当前设备可信性,点击“下一步”继续。
4、选择验证方式:推荐选择“身份验证器应用”(更安全)或短信(兼容性更强)。
5、若选身份验证器,扫描网页上动态生成的 QR 码,完成与 Microsoft Authenticator 应用的绑定。
6、完成设置后,返回页面确认状态显示为“已开启”,并记录备用验证码(用于应急恢复)。
二、在 Windows 11 系统设置中强制启用登录后二次验证
此方法不改变账户全局设置,而是通过本地组策略或安全策略,在用户输入密码进入桌面后,额外触发一次验证请求,适用于需强化本地登录安全的场景。
1、按下 Win + R,输入 gpedit.msc 并回车(仅限专业版/企业版)。
2、导航至:计算机配置 → Windows 设置 → 安全设置 → 帐户策略 → 密码策略。
3、双击“帐户锁定阈值”,设为3 次无效登录后锁定 15 分钟,增强暴力尝试防护。
4、返回组策略编辑器根目录,依次展开:计算机配置 → 管理模板 → 系统 → 登录。
5、双击“要求按 Ctrl+Alt+Del 登录”,设为“已启用”,防止恶意软件模拟登录界面窃取凭证。
6、重启电脑,首次登录时将提示启用 Windows Hello 或 PIN;完成设置后,每次登录均需先输密码,再通过指纹/PIN/手机通知完成第二重确认。
三、结合 Windows Hello 生物识别与 PIN 构建本地双因素登录链
该方案利用设备内置 TPM 芯片保护 PIN,并将生物特征(人脸/指纹)作为第一因子、PIN 作为第二因子,形成不可远程复现的本地双因素验证闭环。
1、打开“设置”→“账户”→“登录选项”,确保Windows Hello 人脸或指纹已成功设置并启用。
2、在同一页面下,点击“PIN”右侧的“添加”,按向导创建 6 位以上数字 PIN。
3、系统自动检测设备是否具备 TPM 2.0,若提示“TPM 不可用”,请进入 BIOS 启用PTT(Intel)或 fTPM(AMD)。
4、完成 PIN 设置后,返回“登录选项”,点击“高级选项”,开启“需要 Windows Hello 登录”。
5、此时登录界面将默认显示人脸/指纹图标;若识别失败,可点击“登录其他方式” → 输入 PIN,构成明确的双因子路径。
6、验证成功后,任务栏右下角用户头像旁将出现双锁图标,表示当前会话已通过双因素认证建立。
