Authentifizierung ohne Passwörter mit Windows Hello for Business

Ein paar Worte über den Kunden: Es handelt sich um eine Schule mit etwa 20 Mitarbeitern und 90 Schülern. Sie nutzen Microsoft 365 A3 (entspricht dem kommerziellen E3), Microsoft Endpoint Manager und Windows 10 auf allen Geräten.

Windows Hello versus Windows Hello for Business

Ich habe Windows Hello seit meinem ersten Surface Book auf jedem Gerät verwendet, und es ist sehr schnell und bequem. Meistens bin ich schon angemeldet, bevor ich mich überhaupt hingesetzt habe, um mit der Arbeit zu beginnen. Die Einrichtung geht auch recht schnell: ein paar Scans des Gesichts und schon ist man startklar.

Windows Hello for Business verwendet zwar dieselbe Technologie, ist aber ein ganz anderes Kaliber. Dabei handelt es sich nicht nur um Biometrie, sondern um einen Oberbegriff für verschiedene stärkere Authenti­fizierungs­methoden. Sie haben dort immer die Möglichkeit, auf eine PIN zurück­zugreifen, die im Gegensatz zu einem Paar aus Benutzernamen und Passwort nur für dieses Gerät gilt.

Voraussetzungen

Die Einbindung von Windows Hello in Active Directory und die Verwendung auf PCs, die Mitglied einer Domäne sind, ist sehr viel komplexer als auf Consumer-Geräten. Als dies zum ersten Mal mit dem Kunden besprochen wurde, liefen dort noch DCs unter Windows Server 2008 R2, das war also die erste Hürde. Sie wurden mittlerweile auf Windows Server 2019 aktualisiert.

Weitere Anforderungen sind Windows 10 1709 oder höher, die entweder mit AD und AAD (hybrid) oder nur mit dem Azure AD verbunden sind, sowie Windows Server 2016 oder höher für die Domain-Controller, und ein AD mit einem Schema von Windows Server 2016.

Zuerst müssen Sie sich zwischen schlüssel- und zertifikats­basierter Authentifizierung entscheiden. Erstere ist einfacher zu implementieren, unterstützt aber keine Remotedesktop-Verbindungen. Letztere erfordert eine Public-Key-Infrastruktur (PKI) für die Bereitstellung der Zertifikate. Falls Ihr Unter­nehmen eine solche noch nicht implementiert hat, ist das eine weitere Hürde.

Beachten Sie, dass Sie auch dann eine minimale PKI bzw. AD Certificate Services (AD CS) benötigen, wenn Sie sich für eine schlüssel­basierte Lösung entscheiden, um aktualisierte Zertifikate auf Ihren DCs bereit­zustellen.

Die zweite Entscheidung betrifft die Bereitstellung rein in der Cloud (nur Windows 10, AAD, Azure AD MFA) versus hybrid. Bei Letzterer können Sie Certificate Trust und gemischte Verwaltung, Key Trust und moderne Verwaltung oder Certificate Trust und moderne Verwaltung wählen. "Modern" bedeutet dabei, dass MDM (Intune/Endpoint Manager) registriert ist. Es gibt auch einen Pfad für eine reine Vor-Ort-Bereitstellung.

Microsoft bietet ein Arbeitsblatt für die Planung von Hello for Business an. Gehen Sie jede Frage zu Ihrer aktuellen Umgebung in Verbindung mit dem Planungsleitfaden durch, um einen Einblick in die Optionen zu erhalten, die Sie für die Bereit­stellung von Windows Hello for Business haben.

Hier ist das Ergebnis meines Arbeitsblatts. Wir haben uns für eine hybride Bereitstellung mit Key Trust und Endpoint Manager entschieden. Ich habe die Client-PCs automatisch über ein GPO mit Azure AD verbunden.

In der Dokumentation sind die danach fälligen Schritte beschrieben, die in meinem Fall folgende Aufgaben umfassten:

• Überprüfen der Voraussetzungen - AD, AAD und PKI müssen für DC-Zertifikate eingerichtet werden (siehe unten)
• Bereitstellen und Konfigurieren von AD CS, falls nicht schon vorhanden
• Verzeichnis­synchronisation einrichten
• Registrierung der Geräte in Azure
• Konfigurieren von Windows Hello for Business
• Anmeldung und Provisionierung

Zertifikatsdienste

Wenn Sie AD CS in einem großen Unternehmen mit strengen Sicherheits­anforderungen einsetzen, sollten Sie sich bewusst sein, dass die entsprechende Planung aufwändig ist. Eine Möglichkeit ist die Installation eines Root-Zertifikats-Servers auf einem Workgroup-Rechner, damit er das Vertrauen in die Domäne nicht verliert, wenn er längere Zeit offline ist. Er stellt Leaf-Zertifikats-Server bereit, wird dann heruntergefahren und in einem Tresor weggeschlossen.

Das geht über das hinaus, was mein Kunde brauchte, und ich habe die CS einfach auf einem der DCs eingerichtet.

Standardmäßig veröffentlicht die AD CA eine Zertifikatsvorlage für Kerberos-Authentifizierung, die jedoch ältere und weniger leistungsfähige Krypto-APIs verwendet. Daher führte mich die Dokumentation durch die Erstellung eines neuen Templates mit aktualisierten Einstellungen wie dem RSA-Algorithmus mit der Mindestlänge für den Schlüssel von 2048 Bits.

Dieses wird dann so konfiguriert, dass es die älteren Vorlagen ersetzt. Anschließend veröffentlicht man es, während man die älteren Zertifikats­vorlagen löscht.

Geräte im AAD registrieren

Da AAD Connect auf diesem Kunden bereits lief, war es nur eine Frage der Konfiguration. Es ist ein Service Connection Point (SCP) erforderlich, aber da wir eine aktuelle Version von AAD Connect verwendeten, war dieser bereits vorhanden.

Ich überprüfte stichprobenartig einige Geräten auf ihren Verbindungs­status im AAD-Portal und auf den PCs selbst. Sie können dazu entweder

dsregcmd /status

in einer Eingabeaufforderung oder

Get-MSolDevice

in PowerShell verwenden.

Windows Hello for Business konfigurieren

Nach einer gefühlten Ewigkeit des Planens, Überprüfens von Voraus­setzungen und Konfigurierens der Infrastruktur selbst konnte ich nun die GPO-Einstellung Windows Hello for Business verwenden aktivieren. Zusätzlich bedarf es einer zweiten Einstellung für die Domänen-Controller, um das oben beschriebene Zertifikat automatisch zu registrieren.

Es gibt zudem einige optionale zusätzliche Gruppen­richtlinien, die Sie verwenden können, wie beispielsweise Gerät mit sicherer Hardware verwenden, das die Speicherung von Anmelde­informationen in einem TPM-Chip vorschreibt. Sie können dort optional auch nur TPM 2.0 verlangen.

Über das GPO lassen sich biometrische Verfahren explizit aktivieren. Vielleicht möchten Sie diese vorerst deaktivieren, bis Sie für ihren Einsatz bereit sind. Bis dahin bleibt dann die PIN als einzige Option. Sie können eine PIN-Komplexität vorschreiben (ich habe mich für ein Minimum von sechs Ziffern entschieden) und eine Benutzergruppe für Windows Hello for Business erstellen, um dieses stufenweise einzuführen.

Benutzererlebnis

Ich kam erst ziemlich spät darauf, dass Windows Hello for Business zusätzlich Azure MFA benötigt. Abgesehen von den oben genannten Schritten müssen die Benutzer also auch die kostenlose Microsoft Authenticator-App auf ihren Telefonen verwenden und sich unter aka.ms/mfasetup registrieren.

Alternativ kann man SMS-Nachrichten oder Telefonanrufe verwenden. Ich habe diese Optionen deaktiviert, da sie unsicherer sind.

Ich habe die passwortlose Authentifizierung zunächst sechs Lehrern während einer Nachmittags­schulung zur Verfügung gestellt, und die Erfahrung war einwandfrei: MFA einrichten, abmelden, wieder anmelden, danach fordert Windows Hello for Business den Benutzer auf, eine PIN einzurichten, scannt sein Gesicht und meldet ihn dann an.

Eines der älteren Surface Books hatte Probleme mit der Biometrie und weigerte sich, die Gesichts­registrierung durchzuführen.

Fazit

Dies war ein langer Prozess, der sich über Jahre erstreckte, von der ersten Idee bis zur Schulung, als sich die Lehrkräfte anmeldeten, und dem noch weitere Schüler und Lehrer folgen werden.

Mir gefällt diese Art der Anmeldung, die nicht für Phishing anfällig ist und zudem eine gute Benutzer­erfahrung bietet. Ich habe den Kunden darauf hingewiesen, dass neue Geräte, die gegen Ende des Jahres angeschafft werden, mit TPM 2.0-Chips und Windows Hello for Business-fähigen biometrischen Merkmalen ausgestattet sein sollten. Wir werden sehen, welchen Preisaufschlag das mit sich bringt.

Ich teste auch einen FIDO 2 YubiKey mit einem Studenten, um zu beurteilen, ob sich ein separates Gerät (das wiederum resistent gegen Phishing ist) für die Authentifizierung besser eignet als eine Komponente, die in den PC eingebaut ist.