Windows Hello for Business – Überblick

Windows Hello for Business ersetzt Kennwörter durch eine sichere zweistufige Authentifizierung auf Geräten. Diese Authentifizierung besteht aus einer Art von Benutzeranmeldeinformationen, die an ein Gerät gebunden sind und eine biometrische Oder PIN verwenden.

Hinweis

Bei der Erstauslieferung enthielt Windows 10 Microsoft Passport und Windows Hello, die zusammen für eine mehrstufige Authentifizierung sorgten. Für eine einfachere Bereitstellung und höhere Wartungsfreundlichkeit hat Microsoft diese Technologien in einer zentralen Lösung mit dem Namen Windows Hello vereint. Kunden, die diese Technologien bereits eingesetzt haben, werden keine Änderungen in Bezug auf die Funktionalität feststellen. Kunden, die Windows Hello noch evaluieren müssen, werden eine einfachere Bereitstellung beobachten, die auf vereinfachte Richtlinien, Dokumentation und Semantik zurückzuführen ist.

Windows Hello behandelt die folgenden Probleme mit Kennwörtern:

  • Sichere Kennwörter kann man sich teilweise schlecht merken. Benutzer verwenden deshalb häufig dieselben Kennwörter für mehrere Websites.
  • Serververletzungen können symmetrische Netzwerkanmeldeinformationen (Kennwörter) verfügbar machen.
  • Kennwörter sind Ziel von Replay-Angriffen.
  • Benutzer können versehentlich ihre Kennwörter aufgrund von Phishing-Angriffen offenlegen.

Windows Hello ermöglicht Benutzern eine Authentifizierung bei:

Nach einer anfänglichen zweistufigen Überprüfung des Benutzers während der Registrierung wird Windows Hello auf dem Gerät des Benutzers eingerichtet und der Benutzer wird zum Einrichten einer Geste aufgefordert, die ein biometrisches Merkmal wie ein Fingerabdruck oder eine PIN sein kann. Der Benutzer stellt die Geste für die Identitätsüberprüfung zur Verfügung. Windows verwendet dann Windows Hello zum Authentifizieren von Benutzern.

Als Administrator in einem Unternehmen oder einer Bildungseinrichtung können Sie Richtlinien zur Verwaltung von Windows Hello for Business auf Geräten unter Windows 10 erstellen, die eine Verbindung mit Ihrer Organisation herstellen.

Biometrische Anmeldung

Windows Hello bietet eine zuverlässige, vollständige integrierte biometrische Authentifizierung auf Grundlage der Gesichtserkennung oder der Fingerabdruckübereinstimmung. Windows Hello verwendet eine Kombination von speziellen Infrarotkameras und Software, um die Genauigkeit zu erhöhen und vor Spoofing zu schützen. Wichtige Hardwareanbieter liefern Geräte mit integrierten Windows Hello-kompatiblen Kameras. Fingerabdruckleserhardware kann verwendet oder auf Geräten hinzugefügt werden, auf denen sie derzeit nicht verfügbar ist. Auf Geräten, die Windows Hello unterstützen, entsperrt eine einfache biometrische Geste die Anmeldeinformationen der Benutzer.

  • Gesichtserkennung Bei dieser Art der biometrischen Erkennung werden spezielle Kameras mit Infrarotlichterkennung verwendet. Daher können sie zuverlässig den Unterschied zwischen einem Foto oder einem Scan und einer lebenden Person erkennen. Verschiedene Anbieter liefern externe Kameras, die diese Technologie integrieren, und die wichtigsten Laptophersteller integrieren sie ebenfalls in ihre Geräte.
  • Fingerabdruckerkennung Bei dieser Art der biometrischen Erkennung wird ein kapazitiver Fingerabdrucksensor zum Scannen Ihres Fingerabdrucks verwendet. Fingerabdruckleser sind seit Jahren für Windows-Computer verfügbar, aber die aktuelle Generation von Sensoren ist zuverlässiger und weniger fehleranfällig. Die meisten vorhandenen Fingerabdruckleser funktionieren mit Windows 10 und Windows 11, unabhängig davon, ob sie extern oder in Laptops oder USB-Tastaturen integriert sind.
  • Iriserkennung. Diese Art der biometrischen Erkennung verwendet Kameras, um ihre Iris zu scannen. HoloLens 2 ist das erste Microsoft-Gerät, das einen Irisscanner einführt. Diese Irisscanner sind auf allen HoloLens 2 Geräten identisch.

Windows speichert biometrische Daten, die ausschließlich zur sicheren Implementierung von Windows Hello auf dem lokalen Gerät verwendet werden. Die biometrischen Daten werden nicht übertragen und nie an externe Geräte oder Server gesendet. Da Windows Hello nur biometrische Identifikationsdaten auf dem Gerät speichert, gibt es keinen einzigen Sammelpunkt, den ein Angreifer kompromittieren kann, um biometrische Daten zu stehlen. Weitere Informationen zur biometrischen Authentifizierung mit Windows Hello for Business finden Sie unter Windows Hello Biometrie im Unternehmen.

Unterschied zwischen Windows Hello und Windows Hello for Business

  • Einzelbenutzer können eine PIN oder biometrische Geste auf ihren persönlichen Geräten erstellen, um sich bequem anmelden zu können. Diese Verwendung von Windows Hello ist für das Gerät eindeutig, auf dem sie eingerichtet ist, kann aber je nach Kontotyp einer Person einen Kennworthash verwenden. Diese Konfiguration wird als Windows Hello Komfort-PIN bezeichnet und wird nicht durch asymmetrische (öffentlicher/privater Schlüssel) oder zertifikatbasierte Authentifizierung unterstützt.

  • Windows Hello for Business, die durch gruppenrichtlinien- oder MDM-Richtlinie (Mobile Device Management) konfiguriert wird, verwendet immer die schlüsselbasierte oder zertifikatbasierte Authentifizierung. Dieses Verhalten macht es sicherer als Windows Hello komfortfreundliche PIN.

Vorteile von Windows Hello

Berichte über Identitätsdiebstahl und groß angelegte Hackerangriffe sind häufig in den Schlagzeilen. Niemand möchte darüber benachrichtigt werden, dass seine Kombination aus Benutzername und Kennwort verfügbar gemacht wurde.

Möglicherweise fragen Sie sich, wie eine PIN ein Gerät besser als ein Kennwort schützen kann. Kennwörter sind gemeinsam genutzte Geheimnisse. sie werden auf einem Gerät eingegeben und über das Netzwerk an den Server übertragen. Ein abgefangener Kontoname und ein Kennwort können von jedem und überall verwendet werden. Da sie auf dem Server gespeichert sind, kann eine Serversicherheitsverletzung zur Offenlegung dieser gespeicherten Anmeldeinformationen führen.

In Windows 10 und höher ersetzt Windows Hello Kennwörter. Wenn ein Identitätsanbieter Schlüssel unterstützt, erstellt der Windows Hello Bereitstellungsprozess ein kryptografisches Schlüsselpaar, das an das Trusted Platform Module (TPM) gebunden ist, wenn ein Gerät über ein TPM 2.0 verfügt, oder in Software. Der Zugriff auf diese Schlüssel und das Abrufen einer Signatur zum Überprüfen des Besitzes des privaten Schlüssels ist nur mit der PIN oder der biometrischen Geste möglich. Im Rahmen der zweistufigen Überprüfung bei der Windows Hello-Registrierung wird eine Vertrauensstellung zwischen dem Identitätsanbieter und dem Benutzer erstellt, wenn der öffentliche Teil des öffentlichen/privaten Schlüsselpaars an einen Identitätsanbieter gesendet und einem Benutzerkonto zugeordnet ist. Wenn ein Benutzer die Geste auf dem Gerät eingibt, weiß der Identitätsanbieter aufgrund der Kombination aus Windows Hello Tasten und Gesten, dass es sich um eine überprüfte Identität handelt. Anschließend wird ein Authentifizierungstoken bereitgestellt, mit dem Windows auf Ressourcen und Dienste zugreifen kann.

Hinweis

Windows Hello als benutzerfreundliche Anmeldung verwendet die reguläre Authentifizierung mit Benutzername und Kennwort, ohne dass der Benutzer das Kennwort eingibt.

Funktionsweise der Authentifizierung in Windows Hello.

Stellen Sie sich vor, dass Ihnen jemand über die Schulter schaut, wenn Sie Geld an einem Geldautomaten abheben, und die von Ihnen eingegebene PIN sieht. Mit dieser PIN kann diese Person nicht auf Ihr Konto zugreifen, da sie nicht über Ihre EC-Karte verfügt. Ebenso kann ein Angreifer nicht mit Ihrer Geräte-PIN auf Ihr Konto zugreifen, da die PIN lokal auf Ihrem Gerät gespeichert ist und keine Authentifizierung von einem anderen Gerät aus zulässt.

Windows Hello dient dem Schutz von Benutzeridentitäten und Benutzeranmeldeinformationen. Da der Benutzer kein Kennwort eingibt (außer bei der Bereitstellung), lassen sich Phishing- und Brute-Force-Angriffe leichter verhindern. Außerdem können Serversicherheitsverletzungen verhindert werden, da es sich bei Windows Hello-Anmeldeinformationen um ein asymmetrisches Schlüsselpaar handelt. Dies trägt zur Verhinderung von Replay-Angriffen bei, wenn die Schlüssel durch TPMs geschützt sind.

Windows-Edition und Lizenzierungsanforderungen

In der folgenden Tabelle sind die Windows-Editionen aufgeführt, die Windows Hello for Business unterstützen:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
Ja Ja Ja Ja

Windows Hello for Business Lizenzberechtigungen werden von den folgenden Lizenzen gewährt:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
Ja Ja Ja Ja Ja

Weitere Informationen zur Windows-Lizenzierung finden Sie unter Übersicht über die Windows-Lizenzierung.

Funktionsweise von Windows Hello for Business: wichtigste Punkte

  • Die Windows Hello-Anmeldeinformationen basieren auf einem Zertifikat oder einem asymmetrischen Schlüsselpaar. Windows Hello-Anmeldeinformationen können an das Gerät gebunden sein, und auch das mit den Anmeldeinformationen abgerufene Token ist an das Gerät gebunden.

  • Ein Identitätsanbieter überprüft die Benutzeridentität und ordnet den Windows Hello öffentlichen Schlüssel während des Registrierungsschritts einem Benutzerkonto zu. Beispiele für Anbieter sind Active Directory, Microsoft Entra-ID oder ein Microsoft-Konto.

  • Schlüssel können basierend auf der Richtlinie in der Hardware (TPM 1.2 oder 2.0 für Unternehmen und TPM 2.0 für Verbraucher) oder in der Software generiert werden. Um sicherzustellen, dass Schlüssel in der Hardware generiert werden, müssen Sie eine Richtlinie festlegen.

  • Die Authentifizierung ist die zweistufige Authentifizierung mit einer Kombination aus einem Schlüssel oder Zertifikat, der an ein Gerät gebunden ist, und etwas, das die Person kennt (eine PIN) oder etwas, das die Person ist (biometrisch). Die Windows Hello-Geste wechselt nicht zwischen Geräten und wird nicht für den Server freigegeben. Biometrische Vorlagen werden lokal auf einem Gerät gespeichert. Die PIN wird nie gespeichert oder freigegeben.

  • Der private Schlüssel verlässt nie ein Gerät, wenn TPM verwendet wird. Der authentifizierende Server verfügt über einen öffentlichen Schlüssel, der während des Registrierungsvorgangs dem Benutzerkonto zugeordnet wird.

  • PIN-Eingabe und biometrische Geste lösen Windows 10 und später aus, um den privaten Schlüssel zum kryptografischen Signieren von Daten zu verwenden, die an den Identitätsanbieter gesendet werden. Der Identitätsanbieter überprüft die Identität des Benutzers und authentifiziert den Benutzer.

  • Persönliche Konten (Microsoft-Konto) und Unternehmenskonten (Active Directory oder Microsoft Entra-ID) verwenden einen einzelnen Container für Schlüssel. Alle Schlüssel werden jedoch von den Domänen der Identitätsanbieter getrennt, um den Datenschutz für Benutzer sicherzustellen.

  • Private Zertifikatschlüssel können durch den Windows Hello-Container und die Windows Hello-Geste geschützt werden.

Weitere Informationen finden Sie unter Funktionsweise von Windows Hello for Business.

Vergleichen der schlüsselbasierten und zertifikatbasierten Authentifizierung

Windows Hello for Business kann Schlüssel (Hardware oder Software) oder Zertifikate in Hardware oder Software verwenden. Unternehmen, die über eine Public Key-Infrastruktur (PKI) zum Ausstellen und Verwalten von Endbenutzerzertifikaten verfügen, können PKI weiterhin in Kombination mit Windows Hello for Business verwenden. Unternehmen, die keine PKI verwenden oder den Aufwand für die Verwaltung von Benutzerzertifikaten reduzieren möchten, können sich für Windows Hello auf schlüsselbasierte Anmeldeinformationen verlassen. Diese Funktion verwendet weiterhin Zertifikate auf den Domänencontrollern als Vertrauensbasis. Ab Windows 10 Version 21H2 gibt es ein Feature namens Cloud-Kerberos-Vertrauensstellung für Hybridbereitstellungen, das Microsoft Entra ID als Vertrauensbasis verwendet. Die Cloud-Kerberos-Vertrauensstellung verwendet schlüsselbasierte Anmeldeinformationen für Windows Hello erfordert jedoch keine Zertifikate auf dem Domänencontroller.

Windows Hello for Business mit einem Schlüssel, einschließlich der Cloud-Kerberos-Vertrauensstellung, werden die angegebenen Anmeldeinformationen für RDP nicht unterstützt. RDP unterstützt keine Authentifizierung mit einem Schlüssel oder einem selbstsignierten Zertifikat. RDP mit Windows Hello for Business wird bei zertifikatbasierten Bereitstellungen als bereitgestellte Anmeldeinformationen unterstützt. Windows Hello for Business mit Schlüsselanmeldeinformationen können mit Remote Credential Guard verwendet werden.

Weitere Informationen

Implementieren einer starken Benutzerauthentifizierung mit Windows Hello for Business

Implementierung von Windows Hello for Business bei Microsoft

Windows Hello for Business: Authentifizierung: In diesem Video erfahren Sie mehr über Windows Hello for Business und wie sie für die Anmeldung und den Zugriff auf Ressourcen verwendet werden.

Windows Hello-Gesichtsauthentifizierung