Windows Hello-Biometrie im Unternehmen

Windows Hello ist das biometrische Authentifizierungsfeature, das die Authentifizierung verstärkt und durch Fingerabdrucküberprüfung und Gesichtserkennung zum Schutz vor potenziellem Spoofing beiträgt.

Hinweis

Bei der Erstauslieferung enthielt Windows 10 Microsoft Passport und Windows Hello, die zusammen für eine mehrstufige Authentifizierung sorgten. Für eine einfachere Bereitstellung und höhere Wartungsfreundlichkeit hat Microsoft diese Technologien in einer zentralen Lösung mit dem Namen Windows Hello vereint. Kunden, die diese Technologien bereits eingesetzt haben, werden keine Änderungen in Bezug auf die Funktionalität feststellen. Kunden, die Windows Hello noch evaluieren müssen, werden eine einfachere Bereitstellung beobachten, die auf vereinfachte Richtlinien, Dokumentation und Semantik zurückzuführen ist.

Da wir uns bewusst sind, dass Ihre Mitarbeiter diese neue Technologie in Ihrem Unternehmen verwenden möchten, haben wir aktiv mit den Geräteherstellern zusammengearbeitet, um strenge Entwurfs- und Leistungsempfehlungen zu erstellen, die dazu beitragen, dass Sie Windows Hello Biometrie sicherer in Ihre Organisation einführen können.

Wie funktioniert Windows Hello?

Windows Hello ermöglicht es Ihren Mitarbeitern, Fingerabdruck, Gesichtserkennung oder Iriserkennung als alternative Methode zum Entsperren eines Geräts zu verwenden. Mit Windows Hello erfolgt die Authentifizierung, wenn die Mitarbeiter beim Zugriff auf die gerätespezifischen Windows Hello-Anmeldeinformationen ihre eindeutigen biometrischen Erkennungsmerkmale bereitstellen.

Der Windows Hello-Authentifikator authentifiziert Mitarbeiter und ermöglicht ihnen den Zugriff auf das Unternehmensnetzwerk. Die Authentifizierung wird nicht zwischen Geräten übertragen, wird nicht für einen Server freigegeben und kann nicht einfach von einem Gerät extrahiert werden. Wenn mehrere Mitarbeiter ein Gerät gemeinsam verwenden, verwendet jeder Mitarbeiter seine eigenen biometrischen Daten auf dem Gerät.

Warum sollte ich meine Mitarbeiter Windows Hello verwenden lassen?

Windows Hello bietet zahlreiche Vorteile, wie:

  • Hello stärkt Ihre Verteidigung gegen den Diebstahl von Anmeldeinformationen. Da ein Angreifer sowohl über das Gerät als auch über die biometrischen Informationen oder die PIN verfügen muss, ist es viel schwieriger, Ohne das Wissen des Mitarbeiters Zugriff zu erhalten.

  • Mitarbeiter erhalten eine einfache Authentifizierungsmethode (gesichert mit einer PIN), die immer dabei ist, sodass nichts verloren geht. Keine vergessenen Kennwörter mehr!

  • Die Unterstützung für Windows Hello ist in das Betriebssystem integriert, sodass Sie zusätzliche biometrische Geräte und Richtlinien als Teil eines koordinierten Rollouts oder für einzelne Mitarbeiter oder Gruppen hinzufügen können, indem Sie Gruppenrichtlinie- oder MDM-Konfigurationsdienstanbieterrichtlinien (Mobile Geräteverwaltung) verwenden.
    Weitere Informationen zu den verfügbaren Gruppenrichtlinien und MDM-CSPs finden Sie unter Implementieren von Windows Hello for Business in Ihrer Organisation .

Wo werden Windows Hello Daten gespeichert?

Die zur Unterstützung von Windows Hello verwendeten biometrischen Daten werden nur auf dem lokalen Gerät gespeichert. Es wird kein Roaming ausgeführt und nie an externe Geräte oder Server gesendet. Durch diese Trennung werden potenzielle Angreifer gestoppt, da es keinen einzelnen Sammlungspunkt gibt, den ein Angreifer angreifen könnte, um biometrische Daten zu stehlen. Selbst wenn ein Angreifer tatsächlich in der Lage war, die biometrischen Daten von einem Gerät abzurufen, kann diese nicht in eine unformatierte biometrische Stichprobe konvertiert werden, die vom biometrischen Sensor erkannt werden könnte.

Hinweis

Jeder Sensor auf einem Gerät verfügt über eine eigene biometrische Datenbankdatei, in der Vorlagendaten gespeichert werden. Jede Datenbank verfügt über einen eindeutigen, zufällig generierten Schlüssel, der für das System verschlüsselt ist. Die Vorlagendaten für den Sensor werden mit diesem Datenbankschlüssel verschlüsselt, indem AES mit dem CBC-Verkettungsmodus verwendet wird. Der Hash ist SHA256. Einige Fingerabdrucksensoren haben die Möglichkeit, den Abgleich auf dem Fingerabdrucksensormodul statt im Betriebssystem abzuschließen. Diese Sensoren speichern biometrische Daten im Fingerabdruckmodul und nicht in der Datenbankdatei.

Hat Microsoft für Windows Hello Geräteanforderungen festgelegt?

Wir haben mit den Geräteherstellern zusammengearbeitet, um sicherzustellen, dass ein hohes Maß an Leistung und Schutz von jedem Sensor und Gerät erfüllt wird, basierend auf diesen Anforderungen:

  • Falschakzeptanzrate (FAR) – stellt die Rate dar, mit der eine biometrische Identifizierungslösung eine nichtautorisierte Person erkennt. Sie wird normalerweise als das Verhältnis der Anzahl der Instanzen in einer bestimmten Bevölkerungszahl dargestellt, z. B. 1 in 100.000. Sie kann auch als Prozentsatz des Vorkommens dargestellt werden, z. B. 0,001 %. Diese Messung gilt im Hinblick auf die Sicherheit des biometrischen Algorithmus als die wichtigste.

  • Falschrückweisungsrate (FRR) – stellt die Rate dar, mit der eine biometrische Identifizierungslösung eine autorisierte Person korrekt erkennt. Sie wird in der Regel als Prozentsatz dargestellt. Die Summe der Richtigakzeptierungsrate und der Falschrückweisungsrate ist 1. Sie kann mit oder ohne Funktionen zum Schutz vor Spoofing oder zur Erkennung von Lebendigkeit ermittelt werden.

Anforderungen an Fingerabdrucksensoren

Um Fingerabdrucküberprüfung zu ermöglichen, müssen Sie über Geräte mit Fingerabdrucksensoren und die entsprechende Software verfügen. Fingerabdrucksensoren oder Sensoren, die den eindeutigen Fingerabdruck eines Mitarbeiters als alternative Anmeldeoption verwenden, können Berührungssensoren (groß oder klein) oder Wischsensoren sein. Jeder Sensortyp verfügt über einen eigenen Satz von detaillierten Anforderungen, die vom Hersteller implementiert werden müssen. Alle Sensoren müssen jedoch über Anti-Spoofing-Maßnahmen (erforderlich) verfügen.

Akzeptable Leistungsbereiche für kleine und große Touchsensoren

  • Falschakzeptanzrate (FAR): < 0,001% bis 0,002%

  • Effektive, realistische FRR mit Funktionen zum Schutz vor Spoofing oder zur Erkennung von Lebendigkeit: <10%

Akzeptabler Leistungsbereich für Wischsensoren

  • Falschakzeptanzrate (FAR): <0,002%

  • Effektive, realistische FRR mit Funktionen zum Schutz vor Spoofing oder zur Erkennung von Lebendigkeit: <10%

Gesichtserkennungssensoren

Um Gesichtserkennung zu ermöglichen, müssen Sie über Geräte mit integrierten speziellen Infrarot (IR)-Sensoren und die entsprechende Software verfügen. Gesichtserkennungssensoren verwenden spezielle Kameras, die in IR-Licht sehen, sodass sie den Unterschied zwischen einem Foto und einer lebenden Person erkennen können, während sie die Gesichtszüge eines Mitarbeiters scannen. Diese Sensoren müssen wie die Fingerabdrucksensoren über Funktionen zum Schutz vor Spoofing (erforderlich) und für deren Konfiguration (optional) verfügen.

  • False Accept Rate (FAR): <0,001%

  • Falschrückweisungsrate (FRR) ohne Funktionen zum Schutz vor Spoofing oder zur Erkennung von Lebendigkeit: < 5%

  • Effektive, realistische FRR mit Funktionen zum Schutz vor Spoofing oder zur Erkennung von Lebendigkeit: < 10%

Hinweis

Windows Hello Gesichtsauthentifizierung unterstützt derzeit nicht das Tragen einer Maske während der Registrierung oder Authentifizierung. Das Tragen einer Maske zur Registrierung ist ein Sicherheitsproblem, da andere Benutzer, die eine ähnliche Maske tragen, ihr Gerät möglicherweise entsperren können. Die Produktgruppe ist sich dieses Verhalten bewusst und untersucht dieses Thema weiter. Bitte entfernen Sie eine Maske, wenn Sie eine tragen, wenn Sie sich registrieren oder mit Windows Hello Gesichtsauthentifizierung entsperren. Wenn Ihre Arbeitsumgebung das vorübergehende Entfernen einer Maske nicht zulässt, sollten Sie die Registrierung von der Gesichtsauthentifizierung aufheben und nur eine PIN oder einen Fingerabdruck verwenden.

Anforderungen an den Iriserkennungssensor

Um die Iris-Authentifizierung verwenden zu können, benötigen Sie ein HoloLens 2 Gerät. Alle HoloLens 2 Editionen sind mit den gleichen Sensoren ausgestattet. Iris wird auf die gleiche Weise wie andere Windows Hello Technologien implementiert und erreicht biometrische Sicherheit FAR von 1/100K.

Verwandte Themen