Как исправить ошибку входа Windows 0x80280013 (PIN/Windows Hello)

Важно: ниже приведены безопасные пошаговые инструкции и дополнительные сценарии для пользователей и ИТ‑администраторов. Некоторые операции требуют прав администратора и перезагрузки.

Краткое описание проблемы

Windows поддерживает несколько способов входа: распознавание лица, отпечатка пальца, PIN и аппаратный ключ безопасности. Ошибка 0x80280013 чаще всего появляется при попытке входа через PIN (Windows Hello). Она может быть связана с проблемами обновлений Windows, повреждением хранилища PIN (папка Ngc), отключенным TPM или неправильными настройками служб и политик.

Почему возникает ошибка 0x80280013?

Коротко о возможных причинах:

• Системный баг в недавно установленном обновлении Windows. Обновления могут как исправлять, так и непреднамеренно ломать компоненты Windows Hello.
• Повреждение папки Ngc, где хранится конфигурация PIN и ключи, используемые Windows Hello.
• Отключённый или некорректно настроенный TPM (Trusted Platform Module) в системе или BIOS/UEFI.
• Отключённые сервисы или групповые политики, отвечающие за вход по PIN.
• Конфликты с функцией Быстрого запуска или политиками безопасности домена.

Быстрая методика устранения (мини‑методология)

Порядок действий, который обычно решает проблему для большинства пользователей:

1. Попробуйте перезагрузить компьютер (полная перезагрузка, не режим гибернации).
2. Проверьте и установите последние обновления Windows. Если проблема появилась после обновления — откатите его.
3. Очистите папку Ngc (требуются права администратора).
4. Убедитесь, что TPM включён и инициализирован.
5. Отключите Быстрый запуск.
6. Проверьте политики и службы (включая IPsec Policy Agent и настройки PIN в групповой политике).
7. Сбросьте PIN через «Я забыл PIN» в настройках учётной записи.

Если после всех шагов проблема остаётся — откройте тикет в службе поддержки или используйте чек-листы ниже для ИТ‑админов.

Подробные шаги по исправлению

1. Обновление Windows или откат последнего обновления

Иногда ошибка вызвана багом в конкретном накопительном обновлении. Сначала проверьте наличие новых исправлений:

1. Откройте Настройки → Обновление Windows.
2. Нажмите «Проверить наличие обновлений».

Если после установки последних обновлений проблема возникла, откатите недавний апдейт:

1. Откройте меню Пуск, введите «Панель управления» и нажмите Enter.
2. Перейдите в Программы → Программы и компоненты.
3. Слева выберите «Просмотр установленных обновлений».
4. Найдите последнее обновление, нажмите «Удалить» рядом с ним и подтвердите.

После удаления обновления перезагрузите ПК и проверьте вход по PIN.

2. Очистка папки Ngc

Папка Ngc хранит данные PIN/Windows Hello. Если она повреждена, вход по PIN перестаёт работать. Для удаления содержимого папки потребуются права администратора.

Примечание: лучше сначала создать точку восстановления системы. Удаление всего содержимого Ngc приведёт к необходимости заново настроить PIN.

1. Откройте диалог «Выполнить» (Win + R). Вставьте и подтвердите путь:

C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft

2. Щёлкните правой кнопкой по папке Ngc и удалите её содержимое.

Если вы получите отказ в доступе, выполните в командной строке с правами администратора следующие команды, чтобы взять владение и дать права администратора, затем удалите папку:

takeown /f "C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc" /r /d y
icacls "C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc" /grant Administrators:F /t

После успешного удаления перезагрузите компьютер и заново настройте PIN через «Настройки» → Учетные записи → Параметры входа.

Важно: эти команды дают полные права администраторам на целевую папку; используйте их только при необходимости.

3. Настройка и инициализация TPM

TPM — аппаратный модуль безопасности, используемый для хранения ключей Windows Hello. Если TPM отключён или не подготовлен, вход по PIN может не работать.

1. Откройте «Выполнить» (Win + R), введите tpm.msc и нажмите Enter.
2. В окне управления TPM выберите «Действие» → «Подготовить TPM» (Prepare the TPM).

Если пункт «Подготовить TPM» неактивен, значит TPM уже настроен.

Примечания по BIOS/UEFI:

• На некоторых ноутбуках TPM можно включить/отключить в настройках UEFI/BIOS (описание в руководстве производителя).
• Иногда требуется очистка TPM (Clear TPM) только при повторной инициализации; делать это можно только осознанно, т.к. очистка удалит ключи, защищённые TPM.

После внесения изменений перезагрузите систему.

4. Отключение Быстрого запуска

Быстрый запуск помогает ускорить загрузку, но может конфликтовать с компонентами входа. Отключение часто решает проблемы с авторизацией.

1. Откройте Панель управления → Система и безопасность → Параметры электропитания.
2. Нажмите «Выбрать действие кнопок питания».
3. Нажмите «Изменить параметры, которые сейчас недоступны».
4. Снимите флажок «Включить быстрый запуск (рекомендуется)» в разделе Параметры завершения работы.
5. Сохраните изменения и перезагрузите ПК.

5. Включение параметра «Разрешить вход по PIN» в групповой политике

Параметр «Включить вход по PIN» управляет возможностью использования PIN для входа.

1. Откройте «Выполнить» (Win + R), введите gpedit.msc и нажмите Enter.
2. Перейдите: Конфигурация компьютера → Административные шаблоны → Система → Вход.
3. Найдите «Включить вход по PIN» (Turn on convenience PIN sign-in), откройте и установите значение «Включено».

Замечание: Редактор групповой политики недоступен в Windows Home. В этом случае можно:

• Временно перейти на учетную запись Microsoft и сбросить PIN через «Я забыл PIN».
• Использовать руководства для включения gpedit.msc в Home (делайте это только если понимаете риски) или применить настройки через реестр с осторожностью.

6. Включение службы IPsec Policy Agent

Некоторые сетевые политики и элементы безопасности зависят от службы IPsec Policy Agent. Проверьте её состояние:

1. Откройте меню Пуск, введите «Службы» и нажмите Enter.
2. Найдите «IPsec Policy Agent», откройте свойства.
3. Установите тип запуска «Автоматически» и нажмите «Запустить», затем «Применить» → «ОК».

7. Сброс PIN

Если предыдущие шаги не помогли, сброс PIN — финальный и безопасный способ восстановить вход:

1. Откройте Настройки (Win + I) → Учетные записи → Параметры входа.
2. В разделе PIN (Windows Hello) выберите «Я забыл свой PIN».
3. Следуйте инструкциям: подтвердите учётную запись, введите код из электронной почты/телефона и задайте новый PIN.

Дополнительные проверки для ИТ‑админов

• Проверьте журналы событий (Event Viewer) в разделах Windows Logs → System и Applications для ошибок, связанных с Winlogon, WebAuthn или TPM.
• Проверьте наличие конфликтующих политик в Active Directory, особенно связанных с Windows Hello for Business.
• Убедитесь, что на компьютере установлены последние драйверы чипсета и прошивки (UEFI/BIOS), особенно на устройствах с аппаратной поддержкой TPM.
• В случае доменных машин — сверяйте настройки на контроллерах домена и убедитесь, что политики не блокируют PIN.

Роль‑ориентированные чеклисты

Чек‑лист для пользователя:

• Перезагрузите ПК обычным способом (не гибернация).
• Войдите в безопасный режим, если обычная перезагрузка не помогает.
• Проверьте обновления Windows и перезагрузитесь.
• Сбросьте PIN через «Я забыл PIN».

Чек‑лист для ИТ‑специалиста/поддержки:

• Проверить историю обновлений и откатить последний апдейт при необходимости.
• Очистить папку Ngc (взять владение, назначить права, удалить).
• Проверить состояние TPM и инициировать подготовку/очистку, если необходимо.
• Проверить политики GPO и локальные политики.
• Проанализировать журналы событий и собрать дампы ошибок.

Чек‑лист для администратора инфраструктуры:

• Проверить совместимость версий Windows с настройками Windows Hello for Business.
• Проверить настройки контроллеров домена и GPO на предмет блокировок PIN.
• Убедиться в наличии резервных планов при массовой неисправности (rollback-обновления, образ системы).

План действий при инциденте и откат изменений

1. Зафиксировать время и описание инцидента, собрать скриншоты и журналы.
2. Если проблема началась после обновления — откатить обновление и пометить систему как «под наблюдением».
3. Если применялись изменения в реестре или политике — сохранить копию и документировать оригинальные значения перед изменениями.
4. После успешного восстановления повторно применить изменения по одной группе, чтобы выявить виновника.

Критерии отката:

• Удалённое обновление восстановило возможность входа по PIN.
• Восстановление содержимого Ngc (если была резервная копия) необязательно; обычно папка пересоздаётся при новом PIN.

Критерии приёмки

• Пользователь может успешно войти с помощью ранее настроенного PIN.
• Вход по PIN работает после перезагрузки и выхода/входа в систему.
• Нет связанных ошибок в журналах Windows (Event Viewer) после исправления.

Тестовые сценарии и приемочные критерии

1. Сценарий: Новый пользователь на чистой системе настраивает PIN.
   • Ожидаемый результат: PIN задаётся и вход успешен.
2. Сценарий: Система после удаления Ngc и настройки нового PIN.
   • Ожидаемый результат: старый PIN не работает, новый PIN работает.
3. Сценарий: Система с отключённым TPM.
   • Ожидаемый результат: попытка настроить PIN приводит к сообщению об ошибке; после включения TPM — PIN можно настроить.

Когда предложенные шаги не работают — альтернативные подходы

• Временное решение: использовать пароль учётной записи Microsoft или локальную учётную запись, если PIN недоступен.
• Восстановление системы к точке перед возникновением ошибки (если точка доступна).
• Обновление прошивки (UEFI/BIOS) и драйверов чипсета в случае аппаратных проблем с TPM.
• Если используется корпоративная инфраструктура — координация с отделом безопасности и контроллерами домена.

Ментальные модели и эвристики для ускорённой диагностики

• «Изменение → эффект»: если ошибка появилась после обновления/установки ПО — ищите в истории обновлений.
• «Хранилище → доступ»: проблемы с PIN часто связаны с повреждённым хранилищем (Ngc) или аппаратным модулем (TPM).
• «Политика → поведение»: многие ограничения — результат групповых политик; проверьте GPO на всех уровнях.

Безопасность и конфиденциальность

• PIN хранится локально и не передаётся в виде открытого текста по сети; TPM дополнительно защищает ключи.
• Очистка TPM удаляет ключи, защищённые модулем; выполняйте очистку только при понимании последствий.
• Любые операции с правами администратора и изменение политик должны документироваться и выполняться в соответствии с политикой безопасности организации.

Диагностическая диаграмма

flowchart TD
  A[Проблема: 0x80280013 при входе по PIN] --> B{ПОПРОБОВАТЬ быстрые меры}
  B --> C[Перезагрузка]
  B --> D[Проверить обновления Windows]
  D --> E{Обновление недавно установлено?}
  E -- Да --> F[Откатить обновление]
  E -- Нет --> G[Продолжить диагностику]
  G --> H[Очистить Ngc]
  H --> I[Проверить TPM]
  I --> J{TPM включён?}
  J -- Нет --> K[Включить TPM в BIOS/UEFI]
  J -- Да --> L[Проверить службы и политики]
  L --> M[Сбросить PIN]
  M --> N[Проба входа]
  N --> O{Успех?}
  O -- Да --> P[Закрыть инцидент]
  O -- Нет --> Q[Эскалация в ИТ]

Краткое резюме

• Ошибка 0x80280013 появляется при попытке входа по PIN и обычно связана с проблемами обновлений, повреждённой папкой Ngc или настройками TPM и политик.
• Пройдите стандартную последовательность: обновления/откат, удаление Ngc, проверка TPM, отключение быстрого запуска, проверка служб и политик, сброс PIN.
• Для ИТ‑администраторов — использовать журналы событий, GPO и чек‑листы для систематизации действий.

В большинстве случаев описанные шаги восстанавливают работоспособность входа по PIN. Если проблема сохраняется, соберите логи и обратитесь в поддержку производителя устройства или корпоративную службу ИТ.