Windows-Identitätsschutz
Erfahren Sie mehr über Identitätsschutztechnologien in Windows.
Warnung
Windows Hello for Business und FIDO2-Sicherheitsschlüssel sind moderne zweistufige Authentifizierungsmethoden für Windows. Kunden, die virtuelle Smartcards verwenden, werden empfohlen, zu Windows Hello for Business oder FIDO2 zu wechseln. Für neue Windows-Installationen empfehlen wir Windows Hello for Business oder FIDO2-Sicherheitsschlüssel.
Kennwortlose Anmeldung
| Featurename | Beschreibung |
|---|---|
| Windows Hello for Business | Windows 11 Geräte können Benutzeridentitäten schützen, indem die Notwendigkeit zur Verwendung von Kennwörtern vom ersten Tag an entfällt. Es ist einfach, mit der Methode zu beginnen, die für Ihre organization geeignet ist. Ein Kennwort muss während des Bereitstellungsprozesses möglicherweise nur einmal verwendet werden. Anschließend verwenden Benutzer eine PIN, ein Gesicht oder einen Fingerabdruck, um Anmeldeinformationen zu entsperren und sich beim Gerät anzumelden. Windows Hello for Business ersetzt den Benutzernamen und das Kennwort, indem ein Sicherheitsschlüssel oder Zertifikat mit einer PIN oder biometrischen Daten kombiniert und die Anmeldeinformationen dann während des Setups einem Benutzerkonto zugeordnet werden. Abhängig von den Anforderungen Ihrer organization gibt es mehrere Möglichkeiten, Windows Hello for Business bereitzustellen. Organisationen, die auf Zertifikate angewiesen sind, verwenden in der Regel eine lokale Public Key-Infrastruktur (PKI), um die Authentifizierung über die Zertifikatvertrauensstellung zu unterstützen. Organisationen, die die Bereitstellung der Schlüsselvertrauensstellung verwenden, benötigen einen Vertrauensstamm, der von Zertifikaten auf Domänencontrollern bereitgestellt wird. |
| Windows-Anwesenheitserkennung | Die Windows-Anwesenheitserkennung bietet eine weitere Datenschutzebene für Hybrid Worker. Windows 11 Geräte können sich intelligent an Ihre Anwesenheit anpassen, damit Sie sicher und produktiv bleiben können, unabhängig davon, ob Sie zu Hause, im Büro oder in einer öffentlichen Umgebung arbeiten. Die Windows-Anwesenheitserkennung kombiniert Anwesenheitserkennungssensoren mit Windows Hello Gesichtserkennung, um Ihr Gerät automatisch zu sperren, wenn Sie das Gerät verlassen, entsperren Und melden Sie sich mit Windows Hello Gesichtserkennung an, wenn Sie zurückkehren. Erfordert oem unterstützende Hardware. |
| Windows Hello for Business Erweiterte Sicherheitsanmeldung (ESS) | Windows Hello Biometrie unterstützt auch die erweiterte Anmeldesicherheit, bei der spezielle Hardware- und Softwarekomponenten verwendet werden, um die Sicherheitsstufe für die biometrische Anmeldung noch höher zu erhöhen. Verbesserte Anmeldesicherheit Biometrie verwendet VBS und das TPM, um Benutzerauthentifizierungsprozesse und -daten zu isolieren und den Weg zu schützen, über den die Informationen übermittelt werden. Diese speziellen Komponenten schützen vor einer Klasse von Angriffen, die biometrische Stichprobeneinschleusung, Wiedergabe, Manipulation und vieles mehr umfassen. Beispielsweise müssen Fingerabdruckleser das Secure Device Connection Protocol implementieren, das schlüsselverhandelt und ein von Microsoft ausgestelltes Zertifikat verwendet, um Benutzerauthentifizierungsdaten zu schützen und sicher zu speichern. Bei der Gesichtserkennung helfen Komponenten wie die Tabelle "Secure Devices (SDEV)" und die Prozessisolation mit Trustlets dabei, zusätzliche Angriffsklassen zu verhindern. |
| Kennwortlose Windows-Umgebung | Die kennwortlose Windows-Benutzeroberfläche ist eine Sicherheitsrichtlinie, die darauf abzielt, eine benutzerfreundlichere Benutzeroberfläche für Microsoft Entra verbundene Geräte zu schaffen, indem in bestimmten Authentifizierungsszenarien keine Kennwörter mehr benötigt werden. Wenn Sie diese Richtlinie aktivieren, erhalten Benutzer in diesen Szenarien keine Möglichkeit, ein Kennwort zu verwenden, was Organisationen dabei hilft, sich im Laufe der Zeit von Kennwörtern zu entfernen. |
| Hauptschlüssel | Passkeys bieten im Vergleich zu Kennwörtern eine sicherere und bequemere Methode für die Anmeldung bei Websites und Anwendungen. Im Gegensatz zu Kennwörtern, die Benutzer sich merken und eingeben müssen, werden Passkeys als Geheimnisse auf einem Gerät gespeichert und können den Entsperrmechanismus eines Geräts (z. B. biometrische Daten oder PIN) nutzen. Kennungen können ohne andere Anmeldeprobleme verwendet werden, wodurch der Authentifizierungsprozess schneller, sicherer und komfortabler wird. |
| FIDO2-Sicherheitsschlüssel | Die von Fast Identity Online (FIDO) definierten CTAP- und WebAuthN-Spezifikationen werden zum offenen Standard für die Bereitstellung einer starken Authentifizierung, die mit Implementierungen von großen Plattformanbietern und vertrauenden Parteien nicht phishierbar, benutzerfreundlich und datenschutzlich ist. FIDO-Standards und -Zertifizierungen werden als führender Standard für die Erstellung sicherer Authentifizierungslösungen für Unternehmen, Behörden und Verbrauchermärkte anerkannt. Windows 11 können externe FIDO2-Sicherheitsschlüssel für die Authentifizierung neben oder zusätzlich zu Windows Hello verwenden, die auch eine FIDO2-zertifizierte kennwortlose Lösung ist. Windows 11 können als FIDO-Authentifikator für viele beliebte Identitätsverwaltungsdienste verwendet werden. |
| Smartcards für den Windows-Dienst | Organisationen haben auch die Möglichkeit, Smartcards zu verwenden, eine Authentifizierungsmethode, mit der die biometrische Anmeldung vor dem Datum erfolgt. Smartcards sind manipulationssichere, portable Speichergeräte, die die Windows-Sicherheit bei der Authentifizierung von Clients, beim Signieren von Code, beim Schützen von E-Mails und bei der Anmeldung mit Windows-Domänenkonten verbessern können. Smartcards können nur zum Anmelden bei Domänenkonten verwendet werden, nicht bei lokalen Konten. Wenn ein Kennwort für die Anmeldung bei einem Domänenkonto verwendet wird, verwendet Windows das Kerberos-Protokoll Version 5 (v5) für die Authentifizierung. Wenn Sie eine intelligente Karte verwenden, verwendet das Betriebssystem die Kerberos v5-Authentifizierung mit X.509 v3-Zertifikaten. |
Erweiterter Schutz von Anmeldeinformationen
| Featurename | Beschreibung |
|---|---|
| Webanmeldung | Bei der Webanmeldung handelt es sich um einen Anmeldeinformationsanbieter, der ursprünglich in Windows 10 eingeführt wurde und nur den temporären Zugriffspass (Temporary Access Pass, TAP) unterstützt. Mit der Veröffentlichung von Windows 11 wurden die unterstützten Szenarien und Funktionen der Webanmeldung erweitert. Benutzer können sich beispielsweise mit der Microsoft Authenticator-App oder mit einer Verbundidentität bei Windows anmelden. |
| Verbundanmeldung | Windows 11 Education Editionen unterstützen verbundbasierte Anmeldungen bei Nicht-Microsoft-Identitätsanbietern. Die Verbundanmeldung ermöglicht die sichere Anmeldung über Methoden wie QR-Codes oder Bilder. |
| Windows LAPS | Windows Local Administrator Password Solution (Windows LAPS) ist ein Windows-Feature, mit dem das Kennwort eines lokalen Administratorkontos auf Ihren Microsoft Entra oder Windows Server Active Directory eingebundenen Geräten automatisch verwaltet und gesichert wird. Sie können auch Windows LAPS verwenden, um das DsRM-Kontokennwort (Directory Services Restore Mode) auf Ihren Windows Server Active Directory Domänencontrollern automatisch zu verwalten und zu sichern. Ein autorisierter Administrator kann das DSRM-Kennwort abrufen und verwenden. |
| Kontosperrungsrichtlinie | Die Richtlinieneinstellungen für kontosperren steuern den Antwortschwellenwert für fehlgeschlagene Anmeldeversuche und die Aktionen, die nach Erreichen des Schwellenwerts ausgeführt werden sollen. |
| Erweiterter Phishingschutz mit SmartScreen | Benutzer, die noch Kennwörter verwenden, können von einem leistungsstarken Schutz vor Anmeldeinformationen profitieren. Microsoft Defender SmartScreen umfasst einen erweiterten Phishing-Schutz, um automatisch zu erkennen, wenn ein Benutzer sein Microsoft-Kennwort in eine App oder Website eingibt. Windows erkennt dann, ob sich die App oder Website sicher bei Microsoft authentifiziert, und warnt, wenn die Anmeldeinformationen gefährdet sind. Da Benutzer zum Zeitpunkt eines potenziellen Diebstahls von Anmeldeinformationen benachrichtigt werden, können sie präventive Maßnahmen ergreifen, bevor ihr Kennwort für sie oder ihre organization verwendet wird. |
| Access Control (ACL/SACL) | Die Zugriffssteuerung in Windows stellt sicher, dass freigegebene Ressourcen für andere Benutzer und Gruppen als den Besitzer der Ressource verfügbar sind und vor nicht autorisierter Verwendung geschützt sind. IT-Administratoren können den Zugriff von Benutzern, Gruppen und Computern auf Objekte und Ressourcen in einem Netzwerk oder Computer verwalten. Nachdem ein Benutzer authentifiziert wurde, implementiert das Windows-Betriebssystem die zweite Phase des Ressourcenschutzes mithilfe integrierter Autorisierungs- und Zugriffssteuerungstechnologien, um zu bestimmen, ob ein authentifizierter Benutzer über die richtigen Berechtigungen verfügt. Access Control Listen (ACL) beschreiben die Berechtigungen für ein bestimmtes Objekt und können auch System Access Control Listen (SACL) enthalten. SACLs bieten eine Möglichkeit, bestimmte Ereignisse auf Systemebene zu überwachen, z. B. wenn ein Benutzer versucht, auf Dateisystemobjekte zuzugreifen. Diese Ereignisse sind wichtig für die Nachverfolgung von Aktivitäten für Objekte, die vertraulich oder wertvoll sind und zusätzliche Überwachung erfordern. Die Fähigkeit, zu überwachen, wann eine Ressource versucht, einen Teil des Betriebssystems zu lesen oder zu schreiben, ist wichtig, um einen potenziellen Angriff zu verstehen. |
| Credential Guard | Standardmäßig in Windows 11 Enterprise aktiviert, verwendet Credential Guard hardwaregestützte, virtualisierungsbasierte Sicherheit (VBS), um sich vor Diebstahl von Anmeldeinformationen zu schützen. Mit Credential Guard speichert und schützt die lokale Sicherheitsautorität Geheimnisse in einer isolierten Umgebung, auf die der Rest des Betriebssystems nicht zugreifen kann. Die LSA verwendet Remoteprozeduraufrufe, um mit dem isolierten LSA-Prozess zu kommunizieren. Durch den Schutz des LSA-Prozesses mit virtualisierungsbasierter Sicherheit schützt Credential Guard Systeme vor Angriffstechniken wie Pass-the-Hash oder Pass-the-Ticket. Außerdem wird verhindert, dass Schadsoftware auf Systemgeheimnisse zugreift, selbst wenn der Prozess mit Administratorrechten ausgeführt wird. |
| Remote Credential Guard | Remote Credential Guard unterstützt Sie beim Schutz Ihrer Anmeldeinformationen über eine Remotedesktopverbindung, indem die Kerberos-Anforderungen zurück an das Gerät weitergeleitet werden, das die Verbindung anfordert. Es bietet auch Funktionen für einmaliges Anmelden für Remotedesktopsitzungen. Administratoranmeldeinformationen sind hochprivilegiert und müssen geschützt werden. Wenn Sie Remote Credential Guard verwenden, um während Remotedesktopsitzungen eine Verbindung herzustellen, werden Ihre Anmeldeinformationen und Anmeldeinformationsableitungen niemals über das Netzwerk an das Zielgerät übergeben. Wenn das Zielgerät kompromittiert ist, werden Ihre Anmeldeinformationen nicht verfügbar gemacht. |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für