twobee - Fotolia
Windows 10: Hello for Business ersetzt Passwörter
Mit Windows Hello for Business können Unternehmen eine sichere Anmeldung für ihre Nutzer realisieren und die angreifbaren Passwörter ablösen.
Wenn Unternehmen Windows Hello for Business einsetzen, sind Mitarbeiter in der Lage, sich zweistufig zu authentifizieren. Die Anwender können einen biometrischen Faktor oder eine PIN verwenden, um sich anzumelden. Dadurch soll die Verwendung von Passwörtern und die damit verbundenen Risiken ersetzt werden. Mit Windows 10 wurde zunächst Windows Hello eingeführt, seit der Version 1607 ist auch Windows Hello for Business verfügbar.
Mit Windows Hello können sich Anwender an folgenden Konten anmelden: einem Microsoft Konto, Active-Directory-Konten, Azure-Active-Directory-Konten und jedem anderen Dienst, der Fast ID Online (FIDO) 2.0 unterstützt. Bei Windows Hello werden die Benutzeranmeldeinformationen an das Gerät gebunden, anders als dies bei Passwörtern der Fall ist.
Passport und Windows Hello
Zunächst hat Microsoft mit Windows 10 die Kombination aus Microsoft Passport und Windows Hello eingeführt. Passport hat die zweistufige Authentifizierung geliefert und Hello steuerte die biometrische Anmeldung bei. Die in Windows Hello hinterlegten Zugangsinformationen können auch als zweiter Faktor für Microsoft Passport dienen.
Mit Windows Hello for Business hat Microsoft die Funktionalität auf den Unternehmenseinsatz ausgerichtet. Damit lässt sich Windows Hello über Gruppenrichtlinien oder MDM-Richtlinien im Unternehmen verwalten. Zudem unterstützt Windows Hello for Business eine schlüssel- oder zertifikatsbasierte Anmeldung, Windows Hello tut dies nicht.
Windows Hello for Business
Es ist wenig verwunderlich, dass Microsoft Alternativen zur klassischen Anmeldung via Benutzername und Passwort anbietet. Passwörter sind für Unternehmen wie einzelne Anwender gleichermaßen ein Sicherheitsrisiko. In der Praxis vergessen Benutzer schon mal Passwörter, nutzen diese für mehrere Dienste beziehungsweise gehen hin und wieder dann doch relativ sorglos mit den Zugangsdaten um. Oftmals gelangen Cyberkriminelle über ganz reguläre Zugangsdaten, die sie sich auf die eine oder andere Weise erschlichen haben, in Unternehmensnetzwerke. Ein System, das nur auf Nutzernamen und Kennwörtern beruht, sieht diesen Eindringling dann als ganz regulären Anwender mit all seinen Rechten.
Die Authentifizierung von Windows Hello ist fest mit dem Gerät verbunden. Sprich, der Anwender benötigt sowohl das jeweilige Gerät als auch die weitere Anmeldekomponente wie PIN oder biometrischen Faktor, um auf Unternehmensressourcen zuzugreifen. Ein kompromittierter PIN allein nützt einem Angreifer also wenig. An dieser Stelle sei der Vergleich zur hierzulande gängigen EC-Karte gestattet. Jemand, der die PIN einer EC-Karte ausspäht, kann mit dieser Zahlenkombination alleine wenig anfangen. Hinsichtlich der PIN lassen sich über Richtlinien in Windows 10 Vorgaben definieren.
Bei Windows Hello for Business basieren die Anmeldeinformationen auf einem Zertifikat oder einem asymmetrischen Schlüsselpaar. Die Hello-Anmeldeinformationen sind an das Gerät gebunden. Sobald die Nutzer bei Windows Hello ihre PIN eingeben oder sich biometrisch authentifizieren, haben sie Single-Sign-On-Zugriff auf lokale Anwendungen sowie Netzwerk- und Cloud-Dienste.
Windows Hello for Business im Unternehmen einsetzen
Unternehmen, die bereits über eine PKI-Infrastruktur verfügen, können diese verwenden, um Zertifikate für Windows Hello auszustellen und zu verwalten. Unternehmen, die nicht über eine PKI-Infrastruktur verfügen oder sich nicht mit Zertifikaten beschäftigen wollen, können eine schlüsselbasierte Authentifizierung nutzen. Hierbei verfügt der authentifizierende Server über einen öffentlichen Schlüssel. Dieser wird während der Registrierung dem Benutzerkonto zugeordnet. Der private Schlüssel ist sicher auf dem Gerät abgelegt und verlässt dieses nicht.
Administratoren können bei Windows Hello for Business Schlüssel an die Hard- oder Software eines Gerätes binden. Um Hardware zu nutzen, muss das Gerät über TPM (Trusted Platform Module) verfügen. Ein TPM-Chip enthält mehrere Sicherheitsmechanismen, um ihn vor Bedrohungen wie beispielsweise Brute-Force-Angriffen zu schützen.
Der Prozess der Registrierung von Nutzern in Windows Hello for Business hängt vom Bereitstellungsszenario ab. Zunächst erfolgt eine anfängliche, zweistufige Identifizierung des Benutzers über Nutzernamen, Kennwort und einem weiteren Identifikationsfaktor. Danach registriert der Nutzer seine Geste auf dem Gerät. Das kann dann eine PIN oder ein biometrischer Faktor (beispielsweise Gesichtserkennung oder Fingerabdruck) sein. Nachfolgend kann der Nutzer diese Geste verwenden, um sich anzumelden und auf Unternehmensressourcen zuzugreifen. Diese Registrierung gilt nur für dieses eine Gerät und muss auf jedem anderen Gerät neu erfolgen. Detaillierte Informationen zur Implementierung von Windows Hello for Business in Unternehmen finden sich auch in der deutschsprachigen Ausgabe des Microsoft TechNet.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
