Authentifizierung ohne Passwörter mit Windows Hello for Business


    Tags: , ,

    Windows Hello for BusinessWindows Hello kann User mit bio­metrischen Ver­fahren wie Scannen des Gesichts oder eines Finger­abdrucks an einem einzelnen Gerät anmelden. Die Business-Version authen­tifiziert die Benutzer hin­gegen im Hinter­grund mittels Zertifikat gegen das (Azure) AD und erfordert eine Multi­faktor-Authenti­fizierung.

    Dieser Artikel beschreibt eine Bereitstellung von Windows Hello for Business im Rahmen eines konkreten Projekts. Er deckt nicht alle Optionen von Windows Hello for Business ab, da es je nach Umgebung verschiedene Wege für die Implementierung gibt. Stattdessen werde ich meine Erkenntnisse aus dieser speziellen Umsetzung weitergeben.

    Ein paar Worte über den Kunden: Es handelt sich um eine Schule mit etwa 20 Mitarbeitern und 90 Schülern. Sie nutzen Microsoft 365 A3 (entspricht dem kommerziellen E3), Microsoft Endpoint Manager und Windows 10 auf allen Geräten.

    Windows Hello versus Windows Hello for Business

    Ich habe Windows Hello seit meinem ersten Surface Book auf jedem Gerät verwendet, und es ist sehr schnell und bequem. Meistens bin ich schon angemeldet, bevor ich mich überhaupt hingesetzt habe, um mit der Arbeit zu beginnen. Die Einrichtung geht auch recht schnell: ein paar Scans des Gesichts und schon ist man startklar.

    Windows Hello for Business verwendet zwar dieselbe Technologie, ist aber ein ganz anderes Kaliber. Dabei handelt es sich nicht nur um Biometrie, sondern um einen Oberbegriff für verschiedene stärkere Authenti­fizierungs­methoden. Sie haben dort immer die Möglichkeit, auf eine PIN zurück­zugreifen, die im Gegensatz zu einem Paar aus Benutzernamen und Passwort nur für dieses Gerät gilt.

    Funktionsweise von Hello for Business

    Voraussetzungen

    Die Einbindung von Windows Hello in Active Directory und die Verwendung auf PCs, die Mitglied einer Domäne sind, ist sehr viel komplexer als auf Consumer-Geräten. Als dies zum ersten Mal mit dem Kunden besprochen wurde, liefen dort noch DCs unter Windows Server 2008 R2, das war also die erste Hürde. Sie wurden mittlerweile auf Windows Server 2019 aktualisiert.

    Weitere Anforderungen sind Windows 10 1709 oder höher, die entweder mit AD und AAD (hybrid) oder nur mit dem Azure AD verbunden sind, sowie Windows Server 2016 oder höher für die Domain-Controller, und ein AD mit einem Schema von Windows Server 2016.

    Zuerst müssen Sie sich zwischen schlüssel- und zertifikats­basierter Authentifizierung entscheiden. Erstere ist einfacher zu implementieren, unterstützt aber keine Remotedesktop-Verbindungen. Letztere erfordert eine Public-Key-Infrastruktur (PKI) für die Bereitstellung der Zertifikate. Falls Ihr Unter­nehmen eine solche noch nicht implementiert hat, ist das eine weitere Hürde.

    Beachten Sie, dass Sie auch dann eine minimale PKI bzw. AD Certificate Services (AD CS) benötigen, wenn Sie sich für eine schlüssel­basierte Lösung entscheiden, um aktualisierte Zertifikate auf Ihren DCs bereit­zustellen.

    Die zweite Entscheidung betrifft die Bereitstellung rein in der Cloud (nur Windows 10, AAD, Azure AD MFA) versus hybrid. Bei Letzterer können Sie Certificate Trust und gemischte Verwaltung, Key Trust und moderne Verwaltung oder Certificate Trust und moderne Verwaltung wählen. "Modern" bedeutet dabei, dass MDM (Intune/Endpoint Manager) registriert ist. Es gibt auch einen Pfad für eine reine Vor-Ort-Bereitstellung.

    Microsoft bietet ein Arbeitsblatt für die Planung von Hello for Business an. Gehen Sie jede Frage zu Ihrer aktuellen Umgebung in Verbindung mit dem Planungsleitfaden durch, um einen Einblick in die Optionen zu erhalten, die Sie für die Bereit­stellung von Windows Hello for Business haben.

    Hier ist das Ergebnis meines Arbeitsblatts. Wir haben uns für eine hybride Bereitstellung mit Key Trust und Endpoint Manager entschieden. Ich habe die Client-PCs automatisch über ein GPO mit Azure AD verbunden.

    Arbeitsblatt zu Planung von Windows Hello for Business

    In der Dokumentation sind die danach fälligen Schritte beschrieben, die in meinem Fall folgende Aufgaben umfassten:

    Zertifikatsdienste

    Wenn Sie AD CS in einem großen Unternehmen mit strengen Sicherheits­anforderungen einsetzen, sollten Sie sich bewusst sein, dass die entsprechende Planung aufwändig ist. Eine Möglichkeit ist die Installation eines Root-Zertifikats-Servers auf einem Workgroup-Rechner, damit er das Vertrauen in die Domäne nicht verliert, wenn er längere Zeit offline ist. Er stellt Leaf-Zertifikats-Server bereit, wird dann heruntergefahren und in einem Tresor weggeschlossen.

    Das geht über das hinaus, was mein Kunde brauchte, und ich habe die CS einfach auf einem der DCs eingerichtet.

    AD CS mit PowerShell einrichten

    Standardmäßig veröffentlicht die AD CA eine Zertifikatsvorlage für Kerberos-Authentifizierung, die jedoch ältere und weniger leistungsfähige Krypto-APIs verwendet. Daher führte mich die Dokumentation durch die Erstellung eines neuen Templates mit aktualisierten Einstellungen wie dem RSA-Algorithmus mit der Mindestlänge für den Schlüssel von 2048 Bits.

    Dieses wird dann so konfiguriert, dass es die älteren Vorlagen ersetzt. Anschließend veröffentlicht man es, während man die älteren Zertifikats­vorlagen löscht.

    Zertifikatvorlage für Hello for Business konfigurieren

    Geräte im AAD registrieren

    Da AAD Connect auf diesem Kunden bereits lief, war es nur eine Frage der Konfiguration. Es ist ein Service Connection Point (SCP) erforderlich, aber da wir eine aktuelle Version von AAD Connect verwendeten, war dieser bereits vorhanden.

    Ich überprüfte stichprobenartig einige Geräten auf ihren Verbindungs­status im AAD-Portal und auf den PCs selbst. Sie können dazu entweder

    dsregcmd /status

    in einer Eingabeaufforderung oder

    Get-MSolDevice

    in PowerShell verwenden.

    Windows Hello for Business konfigurieren

    Nach einer gefühlten Ewigkeit des Planens, Überprüfens von Voraus­setzungen und Konfigurierens der Infrastruktur selbst konnte ich nun die GPO-Einstellung Windows Hello for Business verwenden aktivieren. Zusätzlich bedarf es einer zweiten Einstellung für die Domänen-Controller, um das oben beschriebene Zertifikat automatisch zu registrieren.

    Windows Hello for Business über ein GPO aktivieren

    Es gibt zudem einige optionale zusätzliche Gruppen­richtlinien, die Sie verwenden können, wie beispielsweise Gerät mit sicherer Hardware verwenden, das die Speicherung von Anmelde­informationen in einem TPM-Chip vorschreibt. Sie können dort optional auch nur TPM 2.0 verlangen.

    Über das GPO lassen sich biometrische Verfahren explizit aktivieren. Vielleicht möchten Sie diese vorerst deaktivieren, bis Sie für ihren Einsatz bereit sind. Bis dahin bleibt dann die PIN als einzige Option. Sie können eine PIN-Komplexität vorschreiben (ich habe mich für ein Minimum von sechs Ziffern entschieden) und eine Benutzergruppe für Windows Hello for Business erstellen, um dieses stufenweise einzuführen.

    Weitere Gruppenrichtlinien für das Konfigurieren von Hello for Business

    Benutzererlebnis

    Ich kam erst ziemlich darauf, dass Windows Hello for Business zusätzlich Azure MFA benötigt. Abgesehen von den oben genannten Schritten müssen die Benutzer also auch die kostenlose Microsoft Authenticator-App auf ihren Telefonen verwenden und sich unter aka.ms/mfasetup registrieren.

    Alternativ kann man SMS-Nachrichten oder Telefonanrufe verwenden. Ich habe diese Optionen deaktiviert, da sie unsicherer sind.

    Ich habe die passwortlose Authentifizierung zunächst sechs Lehrern während einer Nachmittags­schulung zur Verfügung gestellt, und die Erfahrung war einwandfrei: MFA einrichten, abmelden, wieder anmelden, danach fordert Windows Hello for Business den Benutzer auf, eine PIN einzurichten, scannt sein Gesicht und meldet ihn dann an.

    Eines der älteren Surface Books hatte Probleme mit der Biometrie und weigerte sich, die Gesichts­registrierung durchzuführen.

    Fazit

    Dies war ein langer Prozess, der sich über Jahre erstreckte, von der ersten Idee bis zur Schulung, als sich die Lehrkräfte anmeldeten, und dem noch weitere Schüler und Lehrer folgen werden.

    Mir gefällt diese Art der Anmeldung, die nicht für Phishing anfällig ist und zudem eine gute Benutzer­erfahrung bietet. Ich habe den Kunden darauf hingewiesen, dass neue Geräte, die gegen Ende des Jahres angeschafft werden, mit TPM 2.0-Chips und Windows Hello for Business-fähigen biometrischen Merkmalen ausgestattet sein sollten. Wir werden sehen, welchen Preisaufschlag das mit sich bringt.

    Ich teste auch einen FIDO 2 YubiKey mit einem Studenten, um zu beurteilen, ob sich ein separates Gerät (das wiederum resistent gegen Phishing ist) für die Authentifizierung besser eignet als eine Komponente, die in den PC eingebaut ist.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Paul Schnackenburg

    Paul Schnackenburg ist Inha­ber von Expert IT Solu­tions und arbeitet da­neben als IT-Trainer. Er ist unter an­derem Micro­soft Certi­fied Solu­tions Expert, MCSE für Win­dows Server 2016 / 2012 R2 und Win­dows 10 sowie Micro­soft Certified Trainer.

    // Kontakt: Weblog, E-Mail //

    Ähnliche Beiträge

    Weitere Links