sdx15 - stock.adobe.com
Wie funktioniert Windows Hello for Business?
Mit Windows Hello for Business können Admins für Windows-Clients eine sichere passwortlose Anmeldung konfigurieren. Anwender melden sich per PIN oder biometrischem Faktor an.
Die Anmeldung per Benutzerkennung und Passwort an in Unternehmen eingesetzten Windows-Systemen ist häufig noch Standard, ist aus Sicherheitsaspekten aber alles andere als optimal. Mit Windows Hello for Business bietet Microsoft für IT-Teams eine Möglichkeit eine passwortlose Anmeldung für Windows-Clients zu konfigurieren. Die Anmeldung kann dann gerätelokal mit einer PIN oder einem biometrischen Faktor erfolgen. Diese Anmeldeinformationen verlassen das Gerät nicht. Mit Hello for Business erfolgt eine zweistufige Authentifizierung, da diese durch den Schlüssel oder das Zertifikat erfolgt, der oder das an das Gerät gebunden ist, sowie etwas, dass der Benutzer weiß (PIN) oder ist (biometrischer Faktor). Damit soll Windows Hello for Business auch besseren Schutz vor Phishing und Brute-Force-Angriffen bieten. Selbst wenn ein Angreifer an die PIN gelangt oder diese errät, bietet das keinen Zugriff aufs Konto, da die PIN fest ans Gerät gebunden ist.
Unternehmen können diese Art der Authentifizierung auch für Cloud-Dienste in Microsoft-365-Umgebungen nutzen. Windows Hello for Business ersetzt die Anmeldung per Kennwort durch die Authentifizierung mit einem asymmetrischen Schlüsselpaar.
Voraussetzungen für Windows Hello for Business
Anders als Windows Hello aus dem Consumer-Umfeld, ist Windows Hello for Business nicht für die Verwendung mit lokalen Konten ausgelegt. Mit Windows Hello for Business können sich Anwender bei einem Microsoft-Entra-ID- oder Active-Directory-Konto authentifizieren. Windows Hello for Business bietet eine zertifikats- oder schlüsselbasierte Authentifizierung und unterstützt Richtlinien für den bedingten Zugriff.
Die Anmeldung erfolgt per vom Nutzer festgelegter PIN oder je nach Hardwarekonfiguration über einen biometrischen Faktor. An die Sensoren für die Gesichtserkennung oder Fingerabdruckerkennung stellt Microsoft bei Windows Hello for Business bestimmte Vorgaben hinsichtlich der False Accept Rate (FAR) und False Reject Rate (FRR).
Windows Hello for Business kann mit folgenden Editionen von Windows genutzt werden: Windows 11 Pro, Windows 11 Enterprise, Windows 11 Pro Education/SE und Windows Education.
Die Anmeldung mit Windows Hello for Business
Bei der Ersteinrichtung von Windows Hello for Business muss ich der Anwender bei der Anmeldung mit dem Passwort des Kontos und einer 2-Faktor-Authentifizierung (2FA), beispielsweise per Authenticator App, authentifizieren. Damit wird eine Vertrauensbeziehung zum Identitätsanbieter (IdP, Identity Provider) etabliert. Nachfolgend wird ein asymmetrisches Schlüsselpaar erstellt. Soweit möglich nutzt Windows Hello for Business die vorhandene TPM-Hardware zur Generierung von Schlüsseln.
Die PIN, die der Benutzer einrichtet ist an das Gerät gebunden und verlässt dieses nicht. Damit ist dies sicherer als eine Passworteingabe und kann auch nicht abgefangen werden. Mit der PIN wird lediglich der Authentifizierungsschlüssel entsperrt. Mit diesem wiederum wird die Anfrage an den Authentifizieungsserver signiert. Sprich, die PIN funktioniert ausschließlich auf diesem registrierten Gerät.
Wenn sich der Anwender für eine biometrische Authentifizierung entscheidet, werden auch diese biometrischen Daten nur lokal auf dem Gerät gespeichert. Windows Hello für Business unterstützt in der Regel in Abhängigkeit von der zur Verfügung stehenden Hardware die Fingerabdruckerkennung sowie die Gesichtserkennung. Jeder Sensor verfügt über eine Datenbankdatei, in der die entsprechenden biometrischen Informationen des Anwenders lokal abgelegt werden. Diese Dateien werden mit einem eindeutigen, zufällig generierten Schlüssel verschlüsselt. Die Entscheidung, ob eine PIN oder ein biometrischer Faktor zur Anmeldung verwendet wird, obliegt immer dem Anwender.
Sensible Daten und Anwendungen schützen
Neben dem Zugriff auf das System können auch Anwendungen so zusätzlich geschützt werden. So können sensible Anwendungen zusätzlich die Eingabe der PIN oder den biometrischen Faktor erfordern, wie etwa Passwort-Manager, um sie zu entsperren. Somit lassen sich mit Windows Hello for Business sensible Daten oder Anwendungen zusätzlich schützen.
Anwendungen können APIs verwenden, die für bestimmte Aktionen die Authentifizierung anfordern. So kann eine Anwendung auch auf dem bereits entsperrten Gerät eine Authentifizierung anfordern und Windows fordert den Anwender auf die PIN einzugeben oder den biometrischen Faktor einzugeben, bevor auf die Anwendung zugegriffen werden kann. Anwendungen lassen sich so konfigurieren, dass bei einem bestimmten Vorgang immer eine Authentifizierung vonnöten ist, obwohl das Gerät entsperrt und der Anwender am Konto angemeldet ist.
Mit der Anmeldung über Windows Hello for Business werden die MFA-Anforderungen (Multifaktor-Authentifizierung) von Microsoft Entra erfüllt. Will heißen, Anwender werden weniger häufiger aufgefordert, sich zusätzlich beispielsweise über ein Authenticator App zu authentifizieren.
