Windows 10: Anmeldung mit PIN aktivieren und mit GPO konfigurieren


    Tags: , ,

    PIN eingebenErgänzend bzw. alternativ zur Anmeldung mit einem Passwort erlaubt Windows 10 auch die Verwendung einer PIN. Sie soll vor einem Identitäts­diebstahl schützen und die Authenti­fizierung vereinfachen. In AD-Umgebungen kann man mittels Gruppen­richt­linien mehrere Regeln für dieses Feature vorgeben.

    Es ist erklärtes Anliegen von Microsoft, die Anmeldung über Benutzername und Passwort möglichst zu eliminieren. Neben der schon lange vorhandenen Unterstützung für Smartcards kamen zuletzt einige neue Verfahren hinzu, um dieses Ziel zu erreichen. Dazu zählen etwa Picture Passwords und virtuelle Smartcards sowie biometrische Verfahren, die Microsoft in Windows 10 unter dem Marketing-Begriff Hello zusammenfasst.

    PIN erhält in Windows 10 Vorzug vor Passwort

    Die Authentifizierung durch Eingabe einer PIN zählt ebenfalls zu den Passwort-Alternativen. Sie existierte bereits unter Windows 8, wurde aber unter Windows 10 vor allem um weitere Optionen für das zentrale Management erweitert. Außerdem empfiehlt Windows 10 beim ersten Anmelden nach der Installation, dieses Feature zu aktivieren.

    Wenn Microsoft die Anmeldung mit Passwörtern als unsicher einstuft, dann fragt sich natürlich, warum eine PIN besser sein soll. Schließlich können Benutzer auch dort triviale Codes (Geburtsdaten, "1234", etc.) wählen oder diese auf eine Haftnotiz schreiben und an den Monitor kleben. Außerdem greift Social Engineering auch bei PINs, um an den geheimen Code zu gelangen.

    PIN nur für das jeweilige Gerät gültig

    Das wesentliche Argument für PINs besteht jedoch darin, dass sie jeweils nur für ein bestimmtes Gerät gelten. Nachdem viele Angriffe über Malware oder sonst über das Internet erfolgen, hilft den Cyber-Kriminellen die PIN nicht weiter, solange sie keinen Zugang zu dem betreffenden Gerät erhalten. Die Anmeldung per PIN funktioniert quasi als eine Art Zwei-Faktor-Authentifizierung.

    Bevor man eine PIN festlegen kann, muss man erst sein Passwort eingeben.

    Außerdem verhindert man mit einer PIN einen möglichen Identitäts­diebstahl. Diese Gefahr besteht vornehmlich dann, wenn man sich mit einem Microsoft-Konto an Windows 10 anmeldet.

    In diesem Fall würde das Ausspähen des Passworts auch den Zugriff auf andere Dienste wie Hotmail oder OneDrive zulassen und dem Angreifer erlauben, den rechtmäßigen Besitzer durch Ändern des Kennworts auszusperren, wenn dieser die Zwei-Faktor-Authentifizierung für das Live-Konto nicht aktiviert hat.

    PIN in AD-Domäne verwenden

    Die gleichen Gründe sprechen auch für die Verwendung von PINs in einer AD-Umgebung, wo der Code für ein privilegiertes Konto einem Angreifer nichts nützt, solange er keinen Zugang zum Rechner des betreffenden Benutzers erhält. Diesen kann man erschweren, indem man etwa die Bürotüren nach Feierabend verschließt.

    Nach dem Beitritt zu einer Domäne ist die PIN-Anmeldung in Windows 10 ab 1607 standardmäßig deaktiviert.

    Die Authentifizierung mittels PIN ist unter Windows 8.1 deaktiviert und muss explizit freigeschaltet werden, wenn der Rechner einer AD-Domäne beitritt. Ähnlich sieht es unter Windows 10 aus, wo der Domain Join das Feature abschaltet und erst über ein GPO aktiviert werden muss.

    PIN in der App "Einstellungen" festlegen

    Benutzer können dann in Eigenregie eine PIN festlegen, mit der sie sich anmelden möchten. Dafür zuständig ist die App Einstellungen, wo sich die entsprechende Option unter Konten => Anmeldeoptionen findet. Sie fehlt jedoch, wenn man sich über RDP mit einem Rechner verbindet, weil eine PIN nur für das lokale Gerät vergeben werden soll.

    Windows 10 gibt sich standardmäßig mit einer 4-stelligen numerischen PIN zufrieden.

    Bevor man eine PIN wählen kann, muss man erst das Passwort eingeben. Bei der nächsten Anmeldung erwartet Windows dann die Eingabe des festgelegten Codes. Auffällig ist dabei, dass man nicht die Enter-Taste drücken muss, weil die Anmeldung automatisch erfolgt, sobald man alle Zeichen der PIN eingetippt hat. Dieses Verhalten zeigt sich auch im Fall einer Falsch­eingabe, so dass sofort erkennbar ist, wie viele Zeichen der Code umfasst.

    Zurücksetzen der PIN

    Neben der Authentifizierung mittels PIN kann man auch weiterhin das Passwort verwenden. Dies wird vor allem dann der Fall sein, wenn man die PIN vergessen hat. Nach einem Klick auf den Link Anmeldeoptionen zeigt der Anmelde­bild­schirm zwei Icons, die ein Umschalten zwischen Passwort und PIN erlauben.

    Nach Festlegen einer PIN erwartet Windows 10 diese bei der Anmeldung. Die Eingabe des Passworts ist aber weiterhin möglich.

    Hat man die PIN vergessen, dann akzeptiert Windows 10 vier Fehleingaben. Danach wird man aufgefordert, den Code A1B2C3 einzutippen und hat anschließend noch vier weitere Versuche frei. Misslingen diese ebenfalls, dann sperrt das System die PIN. Abhängig von den geltenden Richtlinien für die Kontosperrung kann die Anmeldung aber schon vorher blockiert sein.

    Nach 4 Fehlversuchen erwartet Windows 10 die Eingabe von A1B2C3, bevor man weitere Anmeldeversuche erhält.

    PIN löschen

    Meldet man sich mit seinem Passwort an Windows 10 an, weil man die PIN vergessen hat, dann wechselt man in der App Einstellungen wieder zu Konten => Anmeldeoptionen und folgt dort dem Link Ich habe meine PIN vergessen. Nach der erneuten Eingabe des Passworts kann man eine neue PIN festlegen.

    Der "Vergessen"-Link dient zum Zurücksetzen oder zum Löschen der PIN.

    Klickt man hier jedoch auf Abbrechen, dann wird die PIN gelöscht und die Authentifizierung erfolgt wieder über das Kennwort (Windows 8.1 hat anstelle dieses kryptischen Verfahrens dafür noch einen eigenen Button für Entfernen).

    Das Löschen der PIN ist unter Windows 8.1 noch explizit vorgesehen.

    PIN-Anmeldung über GPO konfigurieren

    Mehrere Gründe sprechen dafür, die PIN-Authentifizierung zentral zu verwalten. Zum einen muss man hier festlegen, ob dieses Feature überhaupt zur Verfügung stehen soll. Das Aktivieren erfolgt unter Windows 8.1 und Windows 10 ab 1607 über die Option Komfortable PIN-Anmeldung aktivieren. Sie findet sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => System => Anmelden.

    GPO-Einstellungen für die PIN-Anmeldung, gültig für Windows 8.1 und Windows 10 ab 1607.

    Windows 10 verlangt eine minimale PIN-Länge von nur 4 Zeichen und ist mit einem rein numerischen Code zufrieden. Daher scheint es sinnvoll, die Vorgaben durch eigene Richtlinien zu überschreiben.

    Die Einstellung PIN-Komplexität existiert sowohl für die Computer- als auch die Benutzerkonfiguration, und zwar direkt unter Richtlinien => Administrative Vorlagen => System.

    Allerdings gilt es zu bedenken, dass zu hohe Komplexitäts­anforderungen wie bei Passwörtern dazu führen, dass Benutzer die PIN aufschreiben und im schlimmsten Fall an ihren Monitor kleben. Zweck der PIN-Authenti­fizierung ist es jedoch nicht nur, den Code an ein Gerät zu binden. Sie soll die Anmeldung auch vereinfachen.

    Kopplung an Microsoft Passport bis Windows 10 1511

    Unter den Versionen 1507 und 1511 ist die PIN-Anmeldung an Microsoft Passport gebunden. Zuständig ist hier die Einstellung Microsoft Passport for Work verwenden (unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Microsoft Passport für Work).

    Die Anmeldung über PIN kann man über GPOs deaktivieren oder konfigurieren, etwa durch Festlegen der PIN-Komplexität.

    Dort finden sich auch mehrere Einstellungen, um die Komplexität der PIN festzulegen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Ähnliche Beiträge

    Weitere Links