Windows Hello for Business
Übersicht
Windows Hello ist eine Authentifizierungstechnologie, mit der sich Benutzer mit biometrischen Daten oder einer PIN anstelle eines herkömmlichen Kennworts bei ihren Windows-Geräten anmelden können. Es bietet erhöhte Sicherheit durch phish-beständige zweistufige Authentifizierung und integrierten Brute-Force-Schutz. Mit FIDO/WebAuthn können Windows Hello auch verwendet werden, um sich bei unterstützten Websites anzumelden, wodurch die Notwendigkeit reduziert wird, sich mehrere komplexe Kennwörter zu merken.
Windows Hello for Business ist eine Erweiterung von Windows Hello, die Sicherheits- und Verwaltungsfunktionen auf Unternehmensniveau bereitstellt, einschließlich Gerätenachweis, zertifikatbasierter Authentifizierung und Richtlinien für bedingten Zugriff. Richtlinieneinstellungen können auf Geräten bereitgestellt werden, um sicherzustellen, dass sie sicher sind und den Anforderungen der Organisation entsprechen.
In der folgenden Tabelle sind die Standard Authentifizierungs- und Sicherheitsunterschiede zwischen Windows Hello und Windows Hello für Unternehmen aufgeführt:
Windows Hello | Windows Hello for Business | |
---|---|---|
Authentication | Benutzer können sich bei Folgendem authentifizieren: – Ein Microsoft-Konto (MSA) – Identitätsanbieter (IdPs), die FIDO-Authentifizierung (Fast ID Online) v2.0 unterstützen |
Benutzer können sich bei Folgendem authentifizieren: – Ein Microsoft Entra ID-Konto – Ein Active Directory-Konto – Dienste des Identitätsanbieters (IdP) oder der vertrauenden Seite (Rp), die FIDO-Authentifizierung (Fast ID Online) v2.0 unterstützen |
Sicherheit | Es verwendet die schlüsselbasierte Authentifizierung. Es gibt kein symmetrisches Geheimnis (Kennwort), das von einem Server gestohlen oder von einem Benutzer per Phishing versehen und remote verwendet werden kann. |
Es verwendet die schlüsselbasierte oder zertifikatbasierte Authentifizierung. Es gibt kein symmetrisches Geheimnis (Kennwort), das von einem Server gestohlen oder von einem Benutzer per Phishing versehen und remote verwendet werden kann. |
Windows Hello können auch mit lokalen Konten für bequeme Anmeldungen verwendet werden, anstatt ein Kennwort einzugeben. Diese Konfiguration wird nicht durch einen asymmetrischen (öffentlichen/privaten) Schlüssel unterstützt, daher bietet sie nicht die gleiche Sicherheitsstufe wie die schlüsselbasierte oder zertifikatbasierte Authentifizierung, die für MSA- oder Microsoft Entra-Konten verfügbar ist. In allen anderen Aspekten ist die Verwendung von Windows Hello mit einem lokalen Konto wie die Verwendung mit MSA oder Entra ID. Aus Sicherheitsgründen wird empfohlen, Windows Hello mit einem Microsoft-Konto (MSA) oder Identitätsanbietern (IdPs) zu verwenden, die die FIDO2-Authentifizierung unterstützen.
Hinweis
Die FIDO2-Authentifizierung (Fast Identity Online) ist ein offener Standard für die kennwortlose Authentifizierung. Es ermöglicht Benutzern, sich mit biometrischer Authentifizierung oder einem physischen Sicherheitsschlüssel bei ihren Geräten und Apps anzumelden, ohne dass ein herkömmliches Kennwort erforderlich ist. FIDO2-Unterstützung in Windows Hello und Windows Hello for Business bietet eine zusätzliche Sicherheits- und Komfortebene für Benutzer und verringert gleichzeitig das Risiko von Kennwortangriffen.
Vorteile
Windows Hello for Business bietet viele Vorteile, darunter:
- Es trägt dazu bei, den Schutz vor Diebstahl von Anmeldeinformationen zu stärken. Ein Angreifer muss sowohl über das Gerät als auch über die biometrische Pin oder die PIN verfügen, wodurch es viel schwieriger wird, Ohne das Wissen des Benutzers Zugriff zu erhalten.
- Da keine Kennwörter verwendet werden, werden Phishing- und Brute-Force-Angriffe umgangen. Am wichtigsten ist, dass es Serververletzungen und Replay-Angriffe verhindert, da die Anmeldeinformationen asymmetrisch sind und in isolierten Umgebungen von TPMs generiert werden.
- Benutzer erhalten eine einfache und bequeme Authentifizierungsmethode (gesichert mit einer PIN), die immer dabei ist, sodass nichts zu verlieren ist. Die Verwendung einer PIN gefährdet die Sicherheit nicht, da Windows Hello über einen integrierten Brute-Force-Schutz verfügt und die PIN das Gerät nie verlässt.
- Sie können biometrische Geräte im Rahmen eines koordinierten Rollouts oder bei Bedarf bestimmten Benutzern hinzufügen.
Das folgende Video zeigt eine Demonstration der Windows Hello for Business in Aktion, bei der sich ein Benutzer mit einem Fingerabdruck anmeldet:
Windows Hello und zweistufige Authentifizierung
Windows Hello for Business verwendet eine zweistufige Authentifizierungsmethode, die gerätespezifische Anmeldeinformationen mit einer biometrischen oder PIN-Geste kombiniert. Diese Anmeldeinformationen sind an Ihren Identitätsanbieter wie Microsoft Entra ID oder Active Directory gebunden und können für den Zugriff auf organization Apps, Websites und Dienste verwendet werden.
Nach einer ersten zweistufigen Überprüfung des Benutzers während der Bereitstellung wird Windows Hello auf dem Gerät des Benutzers eingerichtet, und Windows fordert den Benutzer auf, eine Geste festzulegen, bei der es sich um eine biometrische Geste und eine PIN handelt. Der Benutzer stellt die Geste für die Identitätsüberprüfung zur Verfügung. Windows verwendet dann Windows Hello zum Authentifizieren von Benutzern.
Windows Hello for Business wird basierend auf den beobachteten Authentifizierungsfaktoren als zweistufige Authentifizierung betrachtet: etwas, das Sie haben, etwas, das Sie kennen, und etwas, das Teil von Ihnen ist. Windows Hello for Business umfasst zwei dieser Faktoren: etwas, das Sie haben (der privaten Schlüssel des Benutzers, geschützt durch das Sicherheitsmodul des Geräts), sowie etwas, das Sie wissen (Ihre PIN). Mit der entsprechenden Hardware können Sie durch die Einführung von biometrischen Daten die Benutzerfreundlichkeit verbessern. Durch die Verwendung von Biometrie können Sie den Authentifizierungsfaktor von etwas, das Sie kennen , durch das etwas ersetzen, das Teil Ihres Faktors ist, mit der Gewissheit, dass Benutzer auf den Faktor zurückgreifen können, den Sie kennen.
Biometrische Anmeldung
Windows Hello bietet eine zuverlässige, vollständige integrierte biometrische Authentifizierung auf Grundlage der Gesichtserkennung oder der Fingerabdruckübereinstimmung. Windows Hello verwendet eine Kombination von speziellen Infrarotkameras und Software, um die Genauigkeit zu erhöhen und vor Spoofing zu schützen. Große Hardwareanbieter versenden Geräte mit integrierten Windows Hello kompatiblen Kameras und Fingerabdrucklesern.
Auf Geräten, die Windows Hello unterstützen, entsperrt eine einfache biometrische Geste die Anmeldeinformationen der Benutzer:
- Gesichtserkennung: Diese Art der biometrischen Erkennung verwendet spezielle Kameras, die in IR-Licht sehen, wodurch sie zuverlässig den Unterschied zwischen einem Foto oder Scan und einer lebenden Person erkennen können. Mehrere Anbieter bieten externe Kameras an, die diese Technologie enthalten, und viele Laptophersteller integrieren sie in ihre Geräte
- Fingerabdruckerkennung: Diese Art der biometrischen Erkennung verwendet einen kapazitiven Fingerabdrucksensor, um Ihren Fingerabdruck zu scannen. Die meisten vorhandenen Fingerabdruckleser funktionieren mit Windows, unabhängig davon, ob sie extern oder in Laptops oder USB-Tastaturen integriert sind.
- Iriserkennung: Diese Art der biometrischen Erkennung verwendet Kameras, um ihre Iris zu scannen
Windows speichert biometrische Daten, die ausschließlich zur sicheren Implementierung von Windows Hello auf dem lokalen Gerät verwendet werden. Die biometrischen Daten werden nicht übertragen und nie an externe Geräte oder Server gesendet. Da Windows Hello nur biometrische Identifikationsdaten auf dem Gerät speichert, gibt es keinen einzigen Sammelpunkt, den ein Angreifer kompromittieren kann, um biometrische Daten zu stehlen.
Windows-Edition und Lizenzierungsanforderungen
In der folgenden Tabelle sind die Windows-Editionen aufgeführt, die Windows Hello for Business unterstützen:
Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
---|---|---|---|
Ja | Ja | Ja | Ja |
Windows Hello for Business Lizenzberechtigungen werden von den folgenden Lizenzen gewährt:
Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
---|---|---|---|---|
Ja | Ja | Ja | Ja | Ja |
Weitere Informationen zur Windows-Lizenzierung finden Sie unter Übersicht über die Windows-Lizenzierung.
Hinweis
Windows Hello for Business funktioniert nicht mit Microsoft Entra Domain Services.
Hardwareanforderungen
Microsoft arbeitet mit Herstellern zusammen, um sicherzustellen, dass jeder Sensor und jedes Gerät ein hohes Maß an Leistung und Schutz erfüllt, basierend auf den folgenden Anforderungen:
- False Accept Rate (FAR): Stellt die instance eine biometrische Identifikationslösung überprüft eine nicht autorisierte Person. Dies wird normalerweise als Verhältnis der Anzahl von Instanzen in einer bestimmten Populationsgröße dargestellt, z. B. 1 zu 100.000. Sie kann auch als Prozentsatz des Vorkommens dargestellt werden, z. B. 0,001 %. Diese Messung gilt stark als die wichtigste hinsichtlich der Sicherheit des biometrischen Algorithmus.
- False Reject Rate (FRR): Stellt die Instanzen dar, bei der eine biometrische Identifikationslösung eine autorisierte Person nicht ordnungsgemäß verifizieren kann. Dargestellt als Prozentsatz ist die Summe der True Accept Rate und False Reject Rate 1. Kann mit oder ohne Anti-Spoofing- oder Live-Erkennung erfolgen
Anforderungen an Fingerabdrucksensoren
Um den Fingerabdruckabgleich zu ermöglichen, müssen Geräte über Fingerabdrucksensoren und Software verfügen. Fingerabdrucksensoren können Berührungssensoren (groß oder klein) oder Wischsensoren sein. Jeder Sensortyp hat seine eigenen detaillierten Anforderungen, die vom Hersteller implementiert werden müssen, aber alle Sensoren müssen Anti-Spoofing-Maßnahmen enthalten.
Akzeptabler Leistungsbereich für kleine bis große Touchsensoren:
- False Accept Rate (FAR): <0,001 - 0,002%
- Effektive, realistische FRR mit Funktionen zum Schutz vor Spoofing oder zur Erkennung von Lebendigkeit: < 10 %
Akzeptabler Leistungsbereich für Wischsensoren:
- Falschakzeptanzrate (FAR): <0,002 %
- Effektive, realistische FRR mit Funktionen zum Schutz vor Spoofing oder zur Erkennung von Lebendigkeit: <10 %
Gesichtserkennungssensoren
Um Gesichtserkennung zu ermöglichen, müssen Sie über Geräte mit integrierten speziellen Infrarot (IR)-Sensoren und die entsprechende Software verfügen. Gesichtserkennungssensoren verwenden spezielle Kameras, die in IR-Licht sehen, sodass sie den Unterschied zwischen einem Foto und einer lebenden Person erkennen können, während sie die Gesichtszüge eines Mitarbeiters scannen. Diese Sensoren müssen wie die Fingerabdrucksensoren über Funktionen zum Schutz vor Spoofing (erforderlich) und für deren Konfiguration (optional) verfügen.
- False Accept Rate (FAR): <0,001%
- Falschrückweisungsrate (FRR) ohne Funktionen zum Schutz vor Spoofing oder zur Erkennung von Lebendigkeit: < 5 %
- Effektive, realistische FRR mit Funktionen zum Schutz vor Spoofing oder zur Erkennung von Lebendigkeit: < 10 %
Hinweis
Windows Hello Gesichtsauthentifizierung unterstützt das Tragen einer Maske während der Registrierung oder Authentifizierung nicht. Wenn Es in Ihrer Arbeitsumgebung nicht möglich ist, eine Maske vorübergehend zu entfernen, sollten Sie die VERWENDUNG einer PIN oder eines Fingerabdrucks in Betracht ziehen.
Anforderungen an den Iriserkennungssensor
Um die Iris-Authentifizierung verwenden zu können, benötigen Sie ein HoloLens 2 Gerät. Alle HoloLens 2 Editionen sind mit den gleichen Sensoren ausgestattet. Iris wird auf die gleiche Weise wie andere Windows Hello Technologien implementiert und erreicht biometrische Sicherheit FAR von 1/100K.
Weitere Informationen zu den Hardwareanforderungen für Windows Hello finden Sie unter Windows Hello biometrische Anforderungen.