Windows 10 не добавляет PIN — как исправить

Краткое введение

PIN для входа — это удобный способ авторизации с помощью короткого кода, который проще запомнить, чем пароль. Однако иногда Windows 10 отказывается принимать новый PIN или перестаёт предлагать вход по PIN после обновления системы.

Ниже описаны типичные симптомы и подробная пошаговая инструкция по диагностике и исправлению. Материал подойдёт как для продвинутых пользователей, так и для системных администраторов.

Important: перед выполнением операций по изменению системных прав или очистке TPM создайте резервную копию данных и убедитесь, что знаете учётные данные администратора.

Симптомы, с которыми помогает этот материал

• Невозможно добавить или обновить PIN
• Добавили PIN, но опция входа по PIN не появляется на экране входа
• Опция есть, но система отклоняет PIN
• Вход по PIN зависает, помогает только перезагрузка или другой способ входа
• После обновления Windows PIN перестал работать

Основная последовательность действий — быстрый план

1. Проверьте политику групп и включите функцию удобного входа по PIN
2. Исправьте права доступа папки NGC, где хранятся данные PIN
3. Сбросьте ACL для папки NGC через icacls
4. Отключите стороннее защитное ПО на время проверки
5. Очистите TPM, если оно мешает работе PIN
6. Проверьте и восстановите системные файлы через SFC и DISM
7. Попробуйте локальную учётную запись или другой профиль
8. Если компьютер — в домене, обратитесь к администратору сети

Что делать, если Windows не даёт добавить PIN

1. Включите вход по PIN через Редактор локальной групповой политики

1. В строке поиска введите CMD, затем нажмите Enter.
2. Выберите Command Prompt, щёлкните правой кнопкой и запустите «Запуск от имени администратора».
3. В окне командной строки введите gpedit.msc и нажмите Enter.
4. Откройте Computer configuration.
5. Перейдите в Administrative Templates.
6. Откройте System.
7. Перейдите в Logon.
8. Найдите параметр Turn on convenience PIN sign in.
9. Выберите Enable.

Примечание: Редактор локальной групповой политики доступен не во всех редакциях Windows 10, например Home может не содержать gpedit.msc. Для таких случаев см. раздел “Альтернативные подходы”.

2. Измените владельца и права доступа папки NGC

Папка NGC хранит ключи и данные для PIN. Если у неё некорректные права, Windows не сможет использовать PIN.

1. Откройте Проводник и включите отображение скрытых элементов через вкладку View → Show/Hide → Hidden Items.
2. Перейдите в папку C:\Windows\ServiceProfiles.
3. Откройте папку LocalService.
4. Идите по пути AppData\Local\Microsoft.
5. Найдите папку Ngc.
6. Щёлкните правой кнопкой по папке Ngc и выберите Properties.
7. Откройте вкладку Security и нажмите Advanced.
8. Нажмите Change рядом с Owner в окне Advanced Security Settings.
9. Заберите на себя владение папкой Ngc.
10. Отметьте Replace owner on sub-containers and objects и Replace all child object permission entries with inheritable permission entries from this object.
11. Нажмите Change permissions, затем Add.
12. Выберите Select a principal и введите SYSTEM как имя объекта.
13. Нажмите Check Names и ОК.
14. Дайте Full Control и подтвердите изменения.

После изменения прав попробуйте снова добавить PIN.

3. Временно отключите или перенастройте антивирус и брандмауэр

Иногда стороннее антивирусное ПО или брандмауэр блокирует powershell.exe или другие компоненты, используемые при добавлении PIN. На время диагностики разрешите или полностью отключите защитное ПО, затем попробуйте добавить PIN вновь.

Note: Многие антивирусы ведут себя корректно, но встречаются продукты с чрезмерно агрессивными правилами. Если вы используете корпоративный продукт, уточните у службы безопасности организации.

Важно: в тексте оригинала упоминается ESET NOD32 как пример корректно работающего решения. Мы не делаем рекомендации в виде единственной опции, но отмечаем, что выбор антивируса влияет на совместимость с компонентами Windows Hello.

4. Сброс ACL для папки NGC через icacls

1. Откройте CMD от имени администратора.
2. Выполните команду:

icacls C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc /T /Q /C /RESET

3. Нажмите Enter и дождитесь завершения.
4. Закройте командную строку.

После выполнения команды попробуйте снова добавить новый PIN.

5. Используйте локальную учётную запись для сброса PIN

1. На экране входа выберите Sign-in options.
2. Войдите с помощью пароля Microsoft или локальной учётной записи.
3. Откройте меню Пуск, кликните по аватару учётной записи и выберите Change account settings.
4. В меню Accounts откройте Sign-in options.
5. В разделе PIN нажмите Remove.
6. Подтвердите удаление PIN и введите пароль учётной записи, когда откроется окно подтверждения.
7. После удаления добавьте новый PIN и подтвердите.
8. Перезагрузите компьютер и проверьте вход по новому PIN.

Если опция Remove недоступна, вероятно, у вас включены корпоративные политики или отсутствуют нужные разрешения.

6. Попробуйте другой профиль пользователя или сброс пароля через control userpasswords2

1. Щёлкните правой кнопкой по Пуск и выберите Run.
2. Введите control userpasswords2 и нажмите Enter.
3. Выберите проблемную учётную запись и нажмите Reset Password.
4. Установите новый пароль и попробуйте войти.

Если компьютер подключён к домену, обратитесь к администратору сети. В доменной среде проблема может быть связана с Kerberos или настройками контроллера домена.

7. Очистите TPM, если необходимо

Если PIN хранится с использованием TPM и данный модуль повреждён или содержит устаревшие ключи, очистка TPM может помочь. Перед очисткой TPM убедитесь, что у вас есть резервные копии и вы знаете учётные данные для восстановления.

1. В строке поиска введите tpm.msc и нажмите Enter.
2. Нажмите Clear TPM. Система загрузится в раздел UEFI/BIOS для подтверждения.
3. Подтвердите действие согласно подсказкам производителя материнской платы, обычно требуется подтвердить клавишей F1 или через интерфейс UEFI.
4. После очистки загрузитесь в Windows, откройте Settings → Accounts и попробуйте Add PIN.

Important: очистка TPM приведёт к удалению ключей, которые могли быть использованы для шифрования данных. Убедитесь, что у вас есть доступ к резервным ключам BitLocker и другим сервисам, использующим TPM.

8. Запустите проверку системных файлов SFC

1. Откройте CMD от имени администратора.
2. Выполните команду:

sfc /scannow

3. Дождитесь окончания. Возможные результаты:

• Интеграция не выявила нарушений
• Windows Resource Protection выявила и восстановила файлы
• Windows Resource Protection не смогла исправить некоторые файлы — в этом случае перейдите к DISM

9. Восстановите образ Windows через DISM

1. Откройте CMD от имени администратора.
2. Выполните по очереди команды и нажимайте Enter после каждой:

Dism /Online /Cleanup-Image /ScanHealth
Dism /Online /Cleanup-Image /CheckHealth
Dism /Online /Cleanup-Image /RestoreHealth

Примечание: выполнение RestoreHealth может занимать 15 минут и более. Не прерывайте процесс. После завершения рекомендуется повторно запустить sfc /scannow.

Дополнительные проверки и советы

• Убедитесь, что служба Windows Biometric Service и связанные службы работают корректно.
• Проверьте системный журнал событий на предмет ошибок, связанных с Ngc, PIN или WinBio.
• Если ошибка проявилась после крупного обновления Windows, попробуйте откатить последнее обновление или дождаться исправлений от Microsoft.
• Попробуйте создать новый локальный профиль и добавить в нём PIN. Это поможет понять, локализована ли проблема в конкретной учётной записи.

Когда описанные методы не помогут

• Компьютер управляется организацией и политика блокирует изменение параметров входа
• Контроллер домена или Kerberos некорректно настроены
• Коррупция профиля пользователя требует переноса данных в новый профиль
• Повреждён TPM аппаратно

В таких случаях обратитесь к администратору или в сервисный центр.

Альтернативные подходы

• Использовать Windows Hello Fingerprint или Face (если оборудование поддерживает)
• Отключить PIN и перейти на пароль, затем добавить PIN заново
• Временное создание локальной учётной записи администратора для диагностики

Ментальные модели для быстрого принятия решения

• Масштаб проблемы: локальная учётная запись vs доменная — если проблема встречается у одного пользователя, сосредоточьтесь на профиле и папке Ngc; если у многих — смотрите групповые политики и серверы домена.
• Слойность: аппаратный (TPM) → ОС и службы (SFC, DISM) → настройки/права (NGC, ACL) → стороннее ПО (антивирус).
• Принцип минимального вмешательства: сначала изменяйте настройки с наименьшим риском, затем переходите к очистке TPM и сбросу прав.

Быстрая методология для тех, кто спешит (SOP)

Шаг 0 — подготовка:

• Сделайте резервную копию важных данных
• Убедитесь, что у вас есть пароль администратора

Шаг 1 — простые проверки:

• Перезагрузите ПК и попробуйте снова
• Отключите стороннее антивирусное ПО

Шаг 2 — права и ACL:

• Проверьте и исправьте владельца и разрешения папки Ngc
• Выполните icacls с ключами /T /Q /C /RESET

Шаг 3 — целостность системы:

• Выполните sfc /scannow и при необходимости DISM

Шаг 4 — TPM и аппаратное:

• Очистите TPM только при полной уверенности в восстановлении ключей

Шаг 5 — проверка профилей:

• Попробуйте другой локальный профиль или создайте временный аккаунт

Шаг 6 — эскалация:

• Если компьютер в домене, обратитесь к администратору
• При аппаратных ошибках обратитесь в сервис

Критерии приёмки

• Можно добавить новый PIN и войти по нему после перезагрузки
• Ошибки в журнале событий, связанные с Ngc, отсутствуют
• После восстановления прав ACL папка Ngc имеет владельца SYSTEM и полноту прав

Рольовые чек-листы

Для пользователя:

• Иметь под рукой пароль учётной записи
• Перезагрузить и попробовать снова
• Отключить антивирус временно

Для системного администратора:

• Проверить групповые политики, влияющие на Windows Hello
• Анализировать журнал событий и ошибки Kerberos
• Проверить состояние контроллера домена и обновления

Риски и меры по снижению

Риск: потеря ключей при очистке TPM Меры: резервное копирование ключей BitLocker, сохранение паролей восстановления

Риск: нарушение доступа к профилю при некорректном изменении владельца Меры: перед изменением прав создать точку восстановления или резервную копию профиля

Безопасность и конфиденциальность

• PIN связан с локальным устройством и по умолчанию не передаётся на серверы Microsoft в открытом виде
• Очистка TPM повлияет на все сервисы, использующие модуль, включая BitLocker
• При передаче проблем в службу поддержки не сообщайте PIN или пароли, достаточно описаний ошибок и действий
• Если устройство управляется организацией, действия могут нарушать корпоративную политику

Глоссарий (1 строка каждый)

• PIN — короткий числовой код для локального входа в Windows
• NGC — папка, где Windows хранит ключи и данные PIN
• ACL — список управления доступом, определяет права на файлы и папки
• TPM — Trusted Platform Module, аппаратный модуль для безопасного хранения ключей
• SFC — System File Checker, инструмент проверки целостности системных файлов
• DISM — Deployment Image Servicing and Management, инструмент обслуживания образов Windows

Частые ошибки и их интерпретация

• “Не удалось изменить PIN” — обычно проблема с правами в папке Ngc или групповой политикой
• “PIN просит подтвердить личность по PIN” — цикл при сбое аутентификации, проверьте права и состояние службы
• “Опция Remove недоступна” — вероятно, политика запрещает изменение PIN

Краткое резюме

• Большинство проблем с добавлением PIN связано с правами доступа к папке Ngc, конфликтами стороннего ПО или повреждением системных файлов.
• Начинайте с проверки антивируса и прав папки Ngc, затем переходите к SFC и DISM, а при необходимости к очистке TPM.
• Если устройство в домене, согласуйте действия с администратором сети.

Если описанные методы помогли, оставьте комментарий и опишите решение. Если нет — укажите шаги, которые вы пробовали, и ошибки из журнала событий.

Read more about this topic

• Fix: PRIMARY_TRANSPORT_CONNECT_FAILED Error
• ERROR_IO_PRIVILEGE_FAILED: How to Fix
• How to Fix MFReadWrite.dll is Missing on Windows N