Windows Hello vs. Windows Hello for Business im Überblick

Was ist Windows Hello?

Windows Hello ist eine sichere Authentifizierungsmethode, die in Windows-Betriebssystemen integriert ist. Es ermöglicht Benutzern, sich einfacher und sicherer als mit herkömmlichen Passwörtern bei ihren Desktops anzumelden, da es die Authentifizierung per PIN oder biometrischem Faktor ermöglicht. Windows Hello bindet die Anmeldeinformationen des Benutzers an das Gerät und speichert die Anmeldedaten auf dem Gerät. Die Daten werden weder von Servern erfasst, noch verlassen sie jemals das Gerät.

Windows-Hello-Anmeldeinformationen können von niemandem verwendet werden, der keinen physischen Zugriff auf das Gerät hat, was zum Schutz des Systems vor Netzwerkangriffen wie Phishing, Spoofing oder Replay beiträgt. Mit Windows Hello können Benutzer die Verwendung von Kennwörtern auch ganz abschalten. Wenn diese Option aktiviert ist, kann nur eine Windows Hello-Anmeldeoption verwendet werden, um auf Gerätefunktionen zuzugreifen, die das Microsoft-Konto und das Kennwort des Benutzers erfordern, einschließlich Apps und Webbrowser.

Windows Hello unterstützt die folgenden drei Anmeldemöglichkeiten:

• Gesichtserkennung. Ein Mechanismus zur Identitätsüberprüfung, der in das Windows Biometric Framework integriert ist. Er erfordert eine Kamera, die speziell für die Nahinfrarot-Bildgebung konfiguriert ist, die eine größere Konsistenz bei unterschiedlichen Umgebungslichtverhältnissen bietet als herkömmliche Gesichtserkennungssysteme. Der Sensor muss eine Falschakzeptanzrate (FAR) von weniger als 0,001 Prozent aufweisen. Wenn die Kamera nicht über eine Antispoofing- oder Erkennung der Lebendigkeit verfügt, muss sie auch eine Falschrückweisungsrate (FRR) von weniger als fünf Prozent aufweisen. Verfügt sie über eine dieser Funktionen, muss sie eine FRR von weniger als zehn Prozent aufweisen.
• Fingerabdruckerkennung. Ein Mechanismus zur Identitätsüberprüfung, der einen kapazitiven Fingerabdrucksensor verwendet, um die Fingerabdrücke eines Benutzers zu scannen. Das Verfahren erfordert ein unterstütztes Fingerabdrucklesegerät zur Durchführung des Authentifizierungsprozesses. Die Sensoren können unterschiedliche Formen und Größen haben, was bedeutet, dass die FAR- und FRR-Anforderungen variieren können. So muss beispielsweise ein Fingerabdrucksensor eine FAR von weniger als 0,002 Prozent und eine effektive, reale FRR von weniger als zehn Prozent aufweisen, wenn der Sensor über eine Antispoofing- oder Liveness-Erkennung verfügt.
• PIN. Eine nicht biometrische Authentifizierungsmethode, die an den Windows-Computer gebunden ist und durch den TPM-Chip (Trusted Platform Module) unterstützt wird, der ein sicherer, manipulationssicherer Kryptoprozessor ist. Die PIN eines Benutzers kann zwischen 4 und 127 Zeichen lang sein und eine Kombination aus Buchstaben, Zahlen und Sonderzeichen enthalten. Die Verwendung von Buchstaben und Sonderzeichen ist jedoch nicht standardmäßig aktiviert.

Desktop-Administratoren können Windows Hello ganz einfach über die mit dem Windows-Betriebssystem gelieferte App „Einstellungen“ einrichten. Dort können sie eine Anmeldeoption auswählen und andere Einstellungen konfigurieren. Um eine der beiden biometrischen Optionen zu verwenden, muss der Computer mit einer kompatiblen Infrarotkamera oder einem Fingerabdruckscanner ausgestattet sein. Wenn keiner der beiden Sensortypen im Lieferumfang des Computers enthalten ist, können sich die Benutzer für ein kompatibles externes Gerät entscheiden, das physisch mit einem USB-Anschluss verbunden ist.

Was ist Windows Hello for Business?

Windows Hello for Business erweitert Windows Hello um strengere Sicherheits- und umfassendere Verwaltungsfunktionen, einschließlich Gerätebestätigung, bedingte Zugriffsrichtlinien, zertifikatsbasierte Authentifizierung und Multifaktor-Authentifizierung. Der MFA-Prozess verwendet eine PIN oder eine biometrische Geste zusammen mit einem gerätespezifischen Berechtigungsnachweis, der an Microsoft Entra ID oder Active Directory (AD) gebunden ist.

Windows Hello for Business stützt sich auf mehrere Technologien, die zusammenwirken, um Benutzer sicher an ihrem Windows-Desktop zu authentifizieren (siehe auch Wie funktioniert Windows Hello for Business?). Der Prozess der Einrichtung des Geräts eines Benutzers mit Windows Hello for Business kann in die folgenden fünf Phasen unterteilt werden:

1. Geräteregistrierung. Der Windows-Desktop registriert sich bei einem Identitätsanbieter, entweder Microsoft Entra ID oder AD. Die Registrierung erfolgt durch den Device Registration Service in Microsoft Entra ID oder den Enterprise Device Registration Service in AD Federation Services (AD FS). Nachdem das Gerät registriert wurde, weist der Identitätsanbieter dem Gerät eine Identität zu. Die Identität wird verwendet, um das Gerät mit dem Identitätsanbieter zu verknüpfen und zu authentifizieren, wenn sich der Benutzer anmeldet.
2. Bereitstellen. Nachdem das Gerät beim Identitätsanbieter registriert wurde, aktiviert eine Richtlinie Windows Hello auf diesem Gerät. Wenn alle Voraussetzungen erfüllt sind, startet Windows Hello for Business ein Cloud-Experience-Host-Fenster, das den Benutzer schrittweise durch den Bereitstellungsprozess führt. Der Benutzer muss in der Regel einen Benutzernamen und ein Kennwort angeben, um eine neue Windows Hello for Business-Anmeldeinformation anzufordern. Anschließend gibt der Benutzer einen biometrischen Faktor ein, sofern das Gerät Biometrie unterstützt - und eine PIN. Die PIN ist auch dann erforderlich, wenn eine biometrische Eingabe verwendet wird. Nachdem die PIN erstellt wurde, wird ein öffentliches/privates Schlüsselpaar erzeugt. Der öffentliche Schlüssel wird beim Identitätsanbieter registriert und dem Konto des Benutzers zugeordnet.
3. Synchronisierung der Schlüssel. Diese Phase ist nur für hybride Implementierungen von Microsoft Entra erforderlich. Sie stellt sicher, dass der öffentliche Schlüssel des Benutzers von Entra ID mit AD synchronisiert wird. Microsoft Entra Connect Sync, das die Synchronisierung durchführt, schreibt den Schlüssel in das Attribut msDS-KeyCredentialLink des Benutzerobjekts in AD.
4. Zertifikatsregistrierung. Diese Phase ist nur für die zertifikatsbasierte Authentifizierung erforderlich. Nach der Registrierung des Schlüssels sendet der Client eine Zertifikatsanforderung an die Zertifizierungsstelle auf dem AD-FS-Server. Der Server validiert die Anforderung und erfüllt sie unter Verwendung der Infrastruktur für öffentliche Schlüssel der Organisation, die dem Benutzer ein Zertifikat ausstellt.
5. Authentifizierung. Der Benutzer meldet sich mit der registrierten PIN oder biometrischem Faktor an. Der private Teil der Windows Hello for Business-Anmeldeinformationen wird zur Authentifizierung des Benutzers verwendet. Der Identitätsanbieter validiert den Benutzer, indem er das Benutzerkonto dem öffentlichen Schlüssel zuordnet, der während der Bereitstellungsphase registriert wurde. Wenn der Identitätsanbieter die Identität des Benutzers verifizieren kann, authentifiziert er den Benutzer.

   Windows Hello for Business richtet sich in erster Linie an größere Unternehmen, die ihre Benutzer und Computer zentral verwalten und Microsoft Entra ID oder AD für ihre Identitäts- und Zugriffsverwaltung verwenden.

Administratoren können Windows Hello for Business mit einer MDM-Plattform konfigurieren. Für Geräte, die nicht von einer MDM-Plattform verwaltet werden, können sie Gruppenrichtlinien verwenden. Administratoren sollten vermeiden, sowohl MDM als auch Gruppenrichtlinien für die Verwaltung von Windows Hello for Business zu verwenden. Da es sich bei Windows Hello for Business um ein verteiltes System handelt, sollte seine Implementierung und Verwaltung sorgfältig geplant werden.

Wann immer möglich, nutzt Windows Hello for Business das TPM eines jeden Systems, um Sicherheitsschlüssel zu generieren und zu schützen. Obwohl Administratoren dieses Verhalten außer Kraft setzen können, indem sie softwarebasierte Schlüsseloperationen zulassen, empfiehlt Microsoft, das TPM zu verwenden, da es vor einer größeren Anzahl von Bedrohungen schützt, einschließlich Brute-Force-Angriffen auf die PIN.

Windows Hello vs. Windows Hello for Business

Windows Hello und Windows Hello for Business tragen beide zur Vereinfachung des Windows-Authentifizierungsprozesses bei, und die Unterschiede zwischen diesen beiden Diensten sind nicht immer klar. Dies kann es für Entscheidungsträger schwierig machen, zu wissen, ob sie sich in ihren Unternehmen für Windows Hello for Business entscheiden oder einfach bei Windows Hello bleiben sollten. IT-Führungskräfte können jedoch die Unterschiede anhand dieser fünf spezifischen Kategorien nachvollziehen.

Die Zielgruppe für Windows Hello

Windows Hello ist für die private Nutzung oder für kleinere Unternehmen gedacht, die ihre Computer nicht zentral verwalten. In beiden Fällen konfigurieren die Endbenutzer den Dienst normalerweise selbst. Sie müssen die App „Einstellungen“ starten und die erforderlichen Optionen auswählen. Windows Hello ist für jeden Benutzer verfügbar, der an einem nicht verwalteten Windows 10- oder Windows 11-Computer arbeitet. Es kann auch auf einem verwalteten Computer verfügbar sein, wenn Windows Hello for Business deaktiviert wurde.

Windows Hello for Business richtet sich in erster Linie an größere Unternehmen, die ihre Benutzer und Computer zentral verwalten und Microsoft Entra ID oder AD für ihr Identitäts- und Zugriffsmanagement (IAM) verwenden. Windows Hello for Business ist vollständig in Entra ID und AD integriert, und ein Computer muss bei einem dieser Dienste registriert sein, um Windows Hello for Business nutzen zu können.

Authentifizierung mit Windows Hello

Bei der Aktivierung von Windows Hello müssen sich Benutzer zunächst bei ihren Microsoft-Konten oder bei einem Identitätsanbieter authentifizieren, der die FIDO2-Authentifizierung unterstützt. Benutzer können sich auch mit einem lokalen Konto authentifizieren, aber dieser Ansatz bietet nicht das gleiche Maß an Sicherheit, da er nicht durch einen asymmetrischen Schlüssel unterstützt wird.

Mit Windows Hello for Business müssen sich Benutzer bei AD, Microsoft Entra ID oder einem Identitätsanbieter, der FIDO2 unterstützt, authentifizieren. Die Authentifizierung ist ein mehrstufiger Vorgang, der sich auf zahlreiche Technologien stützt, die zusammenarbeiten, um einen reibungslosen und sicheren Anmeldeprozess zu gewährleisten. Die Authentifizierung erfolgt erst, nachdem das Gerät beim Identitätsanbieter registriert wurde und die erforderlichen Anmeldedaten erhalten hat.

Die Sicherheitsfunktionen von Windows Hello

Windows Hello verwendet eine schlüsselbasierte Authentifizierung, die mit dem TPM verbunden ist. Dieser Ansatz ist sicherer als herkömmliche Passwörter, da die PIN nicht von einem Server gestohlen oder vom Benutzer gefälscht und aus der Ferne verwendet werden kann. Windows Hello unterstützt jedoch keine zertifikatsbasierte Authentifizierung oder bestimmte erweiterte Sicherheitsfunktionen.

Windows Hello for Business ermöglicht eine schlüsselbasierte oder zertifikatsbasierte Authentifizierung. Es bietet eine Zwei-Faktor-Authentifizierung, die auf der folgenden Formel basiert: etwas, das Sie haben - privater Schlüssel, der durch das TPM geschützt ist - plus etwas, das Sie wissen - wie eine PIN - oder etwas, das Teil von Ihnen ist - ein Gesicht oder ein Fingerabdruck. Darüber hinaus unterstützt Windows Hello for Business erweiterte Sicherheitsfunktionen wie Gerätebestätigung und bedingten Zugriff.

Besondere Konfigurationen mit Windows Hello

Bei Windows Hello richten die Endbenutzer den Dienst normalerweise selbst ein. Sie sollten die App Einstellungen starten und zu Konten/Anmeldeoptionen gehen, wo sie die gewünschte Art der Authentifizierung auswählen und verschiedene andere Optionen einstellen können. Darüber hinaus sind keine besonderen Vorbereitungen zu treffen. Wenn sie jedoch eine der biometrischen Anmeldeoptionen verwenden möchten, muss das System über eine entsprechende Kamera oder einen Fingerabdrucksensor verfügen.

Im Gegensatz dazu wird Windows Hello for Business zentral von IT-Administratoren verwaltet, häufig über eine MDM-Plattform wie Intune, ManageEngine oder SOTI MobiControl. Mit Intune können Administratoren zum Beispiel die minimale und maximale PIN-Länge konfigurieren und festlegen, ob die PIN Großbuchstaben, Kleinbuchstaben oder Sonderzeichen enthalten darf. Alternativ zu MDM können Administratoren Windows Hello for Business über Gruppenrichtlinien konfigurieren, sofern die Geräte mit AD oder Microsoft Entra Hybrid verbunden sind.

Lizenzierung von Windows Hello

Windows Hello ist in allen Editionen von Windows 10 und Windows 11 enthalten. Benutzer können es in der App Einstellungen konfigurieren, um loszulegen, wobei zu beachten ist, dass die biometrischen Anmeldeoptionen den erforderlichen Gesichts- oder Fingerabdrucksensor erfordern. Microsoft empfiehlt außerdem, dass der Computer über einen TPM-Chip verfügt, um den bestmöglichen Schutz zu gewährleisten. Ohne TPM werden die Anmeldedaten in Software gespeichert, was nicht so sicher ist.

Windows Hello for Business ist in den Editionen Windows Pro, Education A3 und A5 sowie Enterprise E3 und E5 enthalten. Obwohl Windows Hello for Business nicht als separates Produkt lizenziert wird, ist eine Microsoft Entra ID- oder AD-Registrierung erforderlich, was zu zusätzlichen Lizenzierungskosten führen kann. Die genaue Lizenzierungsstruktur und die damit verbundenen Kosten hängen davon ab, wie Unternehmen Microsoft-Dienste nutzen und welche Dienste bereits vorhanden sind. Beispielsweise kann die IT-Abteilung Windows Hello for Business mit dem Microsoft Entra ID Free Tier bereitstellen, das mit Microsoft Cloud-Abonnements wie Microsoft 365 geliefert wird. Allerdings sind einige erweiterte Verwaltungsfunktionen mit dieser Stufe nicht verfügbar.