Mehrstufige Entsperrung
Windows Hello for Business unterstützt die Verwendung einzelner Anmeldeinformationen (PIN und Biometrie) zum Entsperren eines Geräts. Wenn diese Anmeldeinformationen gefährdet sind (Shoulder Surfing), könnte ein Angreifer Zugriff auf das System erhalten.
Windows Hello for Business kann mit mehrstufiger Entsperrung konfiguriert werden, indem Windows Hello mit vertrauenswürdigen Signalen erweitert wird. Administratoren können Geräte so konfigurieren, dass sie eine Kombination aus Faktoren und vertrauenswürdigen Signalen anfordern, um sie zu entsperren.
Die mehrstufige Entsperrung eignet sich ideal für Organisationen, die:
- Haben erklärt, dass PINs allein nicht ihren Sicherheitsanforderungen entsprechen
- Information Worker daran hindern möchten, Anmeldeinformationen freizugeben
- Möchten, dass ihre Organisationen die richtlinie für die zweistufige Authentifizierung einhalten.
- Möchten Sie die vertraute Windows-Anmeldebenutzeroberfläche beibehalten und sich nicht mit einer benutzerdefinierten Lösung zufrieden geben
Funktionsweise
Der Anmeldeinformationsanbieter für den ersten Entsperrfaktor und der zweite Anmeldeinformationsanbieter sind für den Großteil der Konfiguration verantwortlich. Jede dieser Komponenten enthält eine GUID (Globally Unique Identifier), die einen anderen Windows-Anmeldeinformationsanbieter darstellt. Wenn die Richtlinieneinstellung aktiviert ist, entsperren Benutzer das Gerät mit mindestens einem Anmeldeinformationsanbieter aus jeder Kategorie, bevor Windows dem Benutzer das Fortfahren mit dem Desktop zulässt.
Die Richtlinieneinstellung besteht aus drei Komponenten:
- Erster Entsperrungsfaktor-Anmeldeinformationsanbieter
- Zweiter Entsperrungsfaktor-Anmeldeinformationsanbieter
- Signalregeln zum Entsperren des Geräts
Konfigurieren von Entsperrfaktoren
Achtung
Wenn die Sicherheitsrichtlinie DontDisplayLastUserName aktiviert ist, ist bekannt, dass sie die Möglichkeit zur Verwendung der mehrstufigen Entsperrung beeinträchtigt.
Der Abschnitt Erster Entsperrungsfaktor-Anmeldeinformationsanbieter and Zweiter Entsperrungsfaktor-Anmeldeinformationsanbieter der Richtlinie enthält eine durch Kommas getrennte Liste der Anmeldeinformationsanbieter.
Unterstützte Anmeldeinformationsanbieter umfassen:
| Anmeldeinformationsanbieter | GUID |
|---|---|
| PIN | {D6886603-9D2F-4EB2-B667-1971041FA96B} |
| Fingerprint | {BEC09223-B018-416D-A0AC-523971B639F5} |
| Gesichtserkennung | {8AF662BF-65A0-4D0A-A540-A338A999D36F} |
| Vertrauenswürdiges Signal (Nähe des Telefons, Netzwerkadresse) |
{27FBDB57-B613-4AF2-9D7E-4FA7A66C21AD} |
Hinweis
Die mehrstufige Entsperrung unterstützt keine nicht von Microsoft stammenden Anmeldeinformationsanbieter oder Anmeldeinformationsanbieter, die in der obigen Tabelle nicht aufgeführt sind.
Die Standardanbieter für die Anmeldeinformationen des Ersten Entsperrungsfaktor-Anmeldeinformationsanbieters sind:
- PIN
- Fingerprint
- Gesichtserkennung
Die Standardanbieter für die Anmeldeinformationen des Zweiten Entsperrungsfaktor-Anmeldeinformationsanbieters sind:
- Vertrauenswürdiges Signal
- PIN
Konfigurieren Sie eine durch Kommas getrennte Liste der Anmeldeinformationsanbieter-GUIDs, die Sie als ersten und zweiten Entsperrungsfaktoren verwenden möchten. Während ein Anmeldeinformationsanbieter in beiden Listen angezeigt werden kann, können von diesem Anbieter unterstützte Anmeldeinformationen nur einen der Entsperrungsfaktoren erfüllen. Die aufgeführten Anmeldeinformationsanbieter müssen keine bestimmte Reihenfolge angeben.
Wenn Sie beispielsweise die PIN- und Fingerabdruck-Anmeldeinformationsanbieter in beiden Listen der ersten und zweiten Faktor aufführen, kann der Benutzer den Fingerabdruck oder PIN als ersten Entsperrungsfaktor verwenden. Unabhängig davon, welcher Faktor Sie verwenden, um den ersten Entsperrfaktor zu erfüllen, kann nicht verwendet werden, um den zweiten Entsperrfaktor zu erfüllen. Jeder Faktor kann daher nur einmalig verwendet werden. Der vertrauenswürdige Signalanbieter kann nur als Teil der zweiten Entsperrungsfaktor-Anbieterliste angegeben werden.
Konfigurieren von Signalregeln für vertrauenswürdige Signal-Anmeldeinformationsanbieter
Die Einstellungen der Signalregeln zum Entsperren des Geräts enthalten die Regeln, die die vertrauenswürdigen Signal-Anmeldeinformationsanbieter zum Entsperren des Geräts verwenden.
Regelelement
Sie stellen Signalregeln im XML-Code dar. Jede Signalregel verfügt über ein Start- und Endelement rule , das das Attribut und den schemaVersion Wert enthält. Die aktuell unterstützte Schemaversion ist 1.0.
Beispiel
<rule schemaVersion="1.0">
</rule>
Signalelement
Jedes Regelelement verfügt über ein signal -Element. Alle Signalelemente verfügen über ein type -Element und value. Folgende Werte werden unterstützt:
- Bluetooth
- ipConfig
- WLAN
Bluetooth
Sie definieren das Bluetooth-Signal mit mehr Attributen im Signalelement. Die Bluetooth-Konfiguration verwendet keine anderen Elemente. Sie können das Signalelement mit dem Kurzendetag beenden />.
| Attribut | Wert | Erforderlich |
|---|---|---|
| Typ | bluetooth |
ja |
| Szenario | Authentication |
ja |
| classOfDevice | "Zahl" | nein |
| rssiMin | "Zahl" | nein |
| rssiMaxDelta | "Zahl" | nein |
Zum Beispiel:
<rule schemaVersion="1.0">
<signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</rule>
Das classofDevice-Attribut ist standardmäßig Phone und verwendet die Werte aus der folgenden Tabelle:
| Beschreibung | Wert |
|---|---|
| Verschiedenes | 0 |
| Computer | 256 |
| Telefone | 512 |
| LAN/Netzwerk Zugriffspunkt | 768 |
| Audio/Video | 1024 |
| Peripherie | 1280 |
| Bildverarbeitung | 1536 |
| Wearable | 1792 |
| Toy | 2048 |
| Integrität | 2304 |
| Nicht kategorisiert | 7936 |
Der erforderliche Attributwert rssiMin weist auf die Signalstärke für das Gerät hin, um als "im Bereich" zu gelten. Mit dem Standardwert von -10 kann ein Benutzer in einem durchschnittlichen Büro- oder Arbeitsbereich arbeiten, ohne dass Windows das Gerät sperrt. RssiMaxDelta weist den Standardwert -10 auf, der Windows anweist, das Gerät zu sperren, sobald die Signalstärke um mehr als 10 abgeschwächt wird.
RSSI-Messungen sind relativ und niedriger, wenn die Bluetooth-Signale zwischen den beiden gekoppelten Geräten reduziert werden. Ein Maß von 0 ist stärker als -10. Eine Messung von -10 ist stärker als -60 und gibt an, dass sich die Geräte weiter voneinander trennen.
Wichtig
Microsoft empfiehlt die Verwendung der Standardwerte für diese Richtlinieneinstellung. Die Maße sind relativ basierend auf den verschiedenen jeweiligen Umgebungen. Aus diesem Grund können die gleichen Werte zu anderen Ergebnissen führen. Testen Sie die Richtlinieneinstellungen in jeder Umgebung vor der Bereitstellung der Einstellung. Verwenden Sie die Werte RssiMIN und RssiMaxDelta aus der XML-Datei, die vom Gruppenrichtlinienverwaltungseditor erstellt wurden oder entfernen Sie beide Attribute, um die Standardwerte zu verwenden.
IP-Konfiguration
Sie definieren die IP-Konfigurationssignale mithilfe eines oder mehrerer IP-Konfigurationselemente. Jedes Element verfügt über einen Zeichenfolgenwert. IpConfiguration-Elemente verfügen nicht über Attribute oder geschachtelte Elemente.
IPv4-Präfix
Die IPv4-Netzwerkpräfix wird im Internet als Punktdezimalnotation dargestellt. Ein Netzwerkpräfix, der die Classless Inter-Domain Routing (CIDR)-Notation verwendet, ist als Teil der Netzwerkzeichenfolge erforderlich. In der Netzwerkzeichenfolge darf kein Netzwerkport vorhanden sein. Ein Signalelement darf nur ein ipv4Prefix-Element enthalten. Zum Beispiel:
<ipv4Prefix>192.168.100.0/24</ipv4Prefix>
Die zugewiesene IPv4-Adressen im Bereich von 192.168.100.1 zu 192.168.100.254 stimmen mit dieser Signalkonfiguration überein.
IPv4Gateway
Die IPv4-Netzwerk-Gateway wird im Internet als Punktdezimalnotation dargestellt. In der Netzwerkzeichenfolge darf kein Netzwerkport oder-präfix vorhanden sein. Ein Signalelement darf nur ein ipv4Gateway-Element enthalten. Zum Beispiel:
<ipv4Gateway>192.168.100.10</ipv4Gateway>
IPv4DhcpServer
Die IPv4-DhcpServer wird im Internet als Punktdezimalnotation dargestellt. In der Netzwerkzeichenfolge darf kein Netzwerkport oder-präfix vorhanden sein. Ein Signalelement darf nur ein ipv4DhcpServer-Element enthalten. Zum Beispiel:
<ipv4DhcpServer>192.168.100.10</ipv4DhcpServer>
IPv4DnsServer
Die IPv4-DhcpServer wird im Internet als Punktdezimalnotation dargestellt. Eine Netzwerkport oder -präfix darf nicht in der Netzwerkzeichenkette vorhanden sein. Das Signalelement darf eine oder mehrere ipv4DnsServer-Elemente enthalten.
Beispiel:
<ipv4DnsServer>192.168.100.10</ipv4DnsServer>
IPv6Prefix
Das IPv6-Netzwerkpräfix Netzwerkpräfix wird im Internetstandard als Hexadezimaldaten dargestellt. Ein Netzwerkpräfix in CIDR-Notation ist als Teil der Netzwerkzeichenfolge erforderlich. In der Netzwerkzeichenfolge darf kein Netzwerkport oder -Bereichskennung vorhanden sein. Ein Signalelement darf nur ein ipv6Prefix-Element enthalten. Zum Beispiel:
<ipv6Prefix>21DA:D3::/48</ipv6Prefix>
IPv6Gateway
Die IPv6-Netzwerk-Gateway wird im Internetstandard als Hexadezimaldaten dargestellt. Eine IPv6-Bereichskennung darf in der Netzwerkzeichenfolge vorhanden sein. In der Netzwerkzeichenfolge darf kein Netzwerkport oder-präfix vorhanden sein. Ein Signalelement darf nur ein ipv6Gateway-Element enthalten. Zum Beispiel:
<ipv6Gateway>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6Gateway>
IPv6DhcpServer
Die IPv6-Namenserver wird im Internetstandard als Hexadezimaldaten dargestellt. Eine IPv6-Bereichskennung darf in der Netzwerkzeichenfolge vorhanden sein. In der Netzwerkzeichenfolge darf kein Netzwerkport oder-präfix vorhanden sein. Ein Signalelement darf nur ein ipv6DhcpServer-Element enthalten. Zum Beispiel:
<ipv6DhcpServer>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6DhcpServer
IPv6DnsServer
Die IPv6-Namenserver wird im Internetstandard als Hexadezimaldaten dargestellt. Eine IPv6-Bereichskennung darf in der Netzwerkzeichenfolge vorhanden sein. In der Netzwerkzeichenfolge darf kein Netzwerkport oder-präfix vorhanden sein. Das Signalelement darf ein oder mehre ipv6DnsServer-Elemente enthalten. Zum Beispiel:
<ipv6DnsServer>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6DnsServer>
DnsSuffix
Der vollqualifizierte Domänenname des internen DNS-Suffixs Ihrer Organisation, bei dem ein Teil des vollqualifizierten Domänennamens in dieser Einstellung im primären DNS-Suffix des Computers vorhanden ist. Das Signalelement darf ein oder mehre dnsSuffix-Elemente enthalten. Zum Beispiel:
<dnsSuffix>corp.contoso.com</dnsSuffix>
WLAN
Sie definieren Wi-Fi Signale mithilfe eines oder mehrerer WLAN-Elemente. Jedes Element verfügt über einen Zeichenfolgenwert. Wlan-Elemente verfügen nicht über Attribute oder geschachtelte Elemente.
SSID
Enthält den Dienstsatzbezeichner (Service Set Identifier, SSID) eines Drahtlosnetzwerks. Die SSID ist der Name des Drahtlosnetzwerks. Das SSID-Element ist erforderlich. Zum Beispiel:
<ssid>corpnetwifi</ssid>
BSSID
Enthält den grundlegenden Dienstsatzbezeichner (BSSID) eines Drahtlosen Zugriffspunkts. Die BSSID ist die Mac-Adresse des drahtlosen Zugriffspunkts. Das BSSID-Element ist optional. Zum Beispiel:
<bssid>12-ab-34-ff-e5-46</bssid>
Sicherheit
Enthält die Art der Sicherheit, die der Client beim Herstellen einer Verbindung mit dem Drahtlosnetzwerk verwendet. Das Sicherheitselement ist erforderlich und muss einen der folgenden Werte enthalten:
| Wert | Beschreibung |
|---|---|
| Offen | Das Drahtlosnetzwerk ist ein offenes Netzwerk, das keine Authentifizierung oder Verschlüsselung erfordert. |
| WEP | Das Drahtlosnetzwerk wird durch den äquivalenten Kabeldatenschutz geschützt. |
| WPA-Personal | Das Drahtlosnetzwerk wird durch Wi-Fi geschützten Zugriff geschützt. |
| WPA-Enterprise | Das Drahtlosnetzwerk wird mit Wi-Fi Protected Access-Enterprise geschützt. |
| WPA2-Personal | Das Drahtlosnetzwerk wird mit Wi-Fi Protected Access 2 geschützt, der in der Regel einen vorinstallierten Schlüssel verwendet. |
| WPA2-Enterprise | Das Drahtlosnetzwerk wird mit Wi-Fi Protected Access 2-Enterprise geschützt. |
Zum Beispiel:
<security>WPA2-Enterprise</security>
TrustedRootCA
Enthält den Fingerabdruck des vertrauenswürdigen Stammzertifikats des Drahtlosnetzwerks. Sie können jedes gültige vertrauenswürdige Stammzertifikat verwenden. Der Wert wird als hexadezimale Zeichenfolge dargestellt, wobei jedes Byte in der Zeichenfolge durch ein einzelnes Leerzeichen getrennt ist. Das -Element ist optional. Zum Beispiel:
<trustedRootCA>a2 91 34 aa 22 3a a2 3a 4a 78 a2 aa 75 a2 34 2a 3a 11 4a aa</trustedRootCA>
Sig_quality
Enthält einen numerischen Wert im Bereich von 0 bis 100, der die Signalstärke des Drahtlosnetzwerks darstellt, die als vertrauenswürdiges Signal angesehen werden muss.
Zum Beispiel:
<sig_quality>80</sig_quality>
Beispiel für vertrauenswürdige Signalkonfigurationen
Wichtig
Diese Beispielen wurden zur besseren Lesbarkeit überschrieben. Nach der ordnungsgemäßen Formatierung muss der gesamte XML-Inhalt auf einer einzelnen Zeile sein.
Beispiel 1
Im folgenden Beispiel wird ein IPConfig-Signaltyp mit den Elementen Ipv4Prefix, Ipv4DnsServer und DnsSuffix konfiguriert.
<rule schemaVersion="1.0">
<signal type="ipConfig">
<ipv4Prefix>10.10.10.0/24</ipv4Prefix>
<ipv4DnsServer>10.10.0.1</ipv4DnsServer>
<ipv4DnsServer>10.10.0.2</ipv4DnsServer>
<dnsSuffix>corp.contoso.com</dnsSuffix>
</signal>
</rule>
Beispiel 2
Im folgenden Beispiel wird ein IpConfig-Signaltyp mithilfe eines dnsSuffix-Elements und eines Bluetooth-Signals für Smartphones konfiguriert. Das Beispiel impliziert, dass entweder die IpConfig - oder die Bluetooth-Regel als true ausgewertet werden muss, damit die resultierende Signalauswertung true ist.
Hinweis
Trennen Sie die einzelnen Regelelemente durch ein Komma.
<rule schemaVersion="1.0">
<signal type="ipConfig">
<dnsSuffix>corp.contoso.com</dnsSuffix>
</signal>
</rule>,
<rule schemaVersion="1.0">
<signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</rule>
Beispiel 3
Im folgenden Beispiel wird das gleiche wie in Beispiel 2 mithilfe von Zusammengesetzten and Elementen konfiguriert. Das Beispiel impliziert, dass ipConfig und die Bluetooth-Regel als true ausgewertet werden müssen, damit die resultierende Signalauswertung true ist.
<rule schemaVersion="1.0">
<and>
<signal type="ipConfig">
<dnsSuffix>corp.microsoft.com</dnsSuffix>
</signal>
<signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</and>
</rule>
Beispiel 4
Im folgenden Beispiel wird WLAN als vertrauenswürdiges Signal konfiguriert.
<rule schemaVersion="1.0">
<signal type="wifi">
<ssid>contoso</ssid>
<bssid>12-ab-34-ff-e5-46</bssid>
<security>WPA2-Enterprise</security>
<trustedRootCA>a2 91 34 aa 22 3a a2 3a 4a 78 a2 aa 75 a2 34 2a 3a 11 4a aa</trustedRootCA>
<sig_quality>80</sig_quality>
</signal>
</rule>
Konfigurieren der mehrstufigen Entsperrung
Zum Konfigurieren der mehrstufigen Entsperrung können Sie Folgendes verwenden:
- Microsoft Intune/CSP
- Gruppenrichtlinie
Wichtig
- Der PIN muss in mindestens einer Gruppe vorhanden sein
- Vertrauenswürdige Signale müssen mit einem anderen Anmeldeinformationsanbieter kombiniert werden
- Sie können nicht denselben Entsperrfaktor verwenden, um beide Kategorien zu erfüllen. Wenn Sie also einen Anmeldeinformationsanbieter in beide Kategorien einschließen, bedeutet dies, dass er beide Kategorien erfüllen kann, aber nicht beide.
Die folgenden Anweisungen enthalten Details zum Konfigurieren Ihrer Geräte. Wählen Sie die Option, die Ihren Bedürfnissen am besten entspricht.
Intune/CSP
GPOErstellen Sie zum Konfigurieren von Geräten mit Microsoft Intune eine Einstellungskatalogrichtlinie , und verwenden Sie die folgenden Einstellungen:
| Kategorie | Einstellungsname |
|---|---|
| Administrative Vorlagen>Windows Hello for Business | Plug-Ins zum Entsperren von Geräten |
- Konfigurieren des ersten und zweiten Entsperrungsfaktors mithilfe der Informationen unter Konfigurieren von Entsperrungsfaktoren
- Wenn Sie vertrauenswürdige Signale verwenden, konfigurieren Sie die vom Entsperrfaktor verwendeten vertrauenswürdigen Signale mithilfe der Informationen unter Konfigurieren von Signalregeln für den vertrauenswürdigen Signalanmeldeinformationsanbieter.
Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.
Alternativ können Sie Geräte mithilfe einer benutzerdefinierten Richtlinie mit dem PassportForWork-CSP konfigurieren.
| Einstellung |
|---|
| ./Device/Vendor/MSFT/PassportForWork/DeviceUnlock |
Wichtig
Sie sollten alle Nicht-Microsoft-Anmeldeinformationsanbieter entfernen, um sicherzustellen, dass Benutzer ihre Geräte nicht entsperren können, wenn sie nicht über die erforderlichen Faktoren verfügen. Die Fallback-Optionen sind Kennwörter oder Smartcards (beide können je nach Bedarf deaktiviert verwenden).
Benutzerfreundlichkeit
Hier ist ein kurzes Video, das die Benutzererfahrung zeigt, wenn die mehrstufige Entsperrung aktiviert ist:
- Der Benutzer meldet sich zuerst mit Fingerabdruck + Bluetooth-gekoppeltem Telefon an
- Der Benutzer meldet sich dann mit Fingerabdruck + PIN an.
Problembehandlung
Die mehrstufige Entsperrung schreibt Ereignisse in das Ereignisprotokoll unter Anwendungs- und Dienstprotokolle\Microsoft\Windows\HelloForBusiness mit der Kategorie Device Unlock.
Ereignisse
| Ereignis-ID | Details |
|---|---|
| 3520 | Entsperrversuch initiiert |
| 5520 | Richtlinie für das Entsperren ist nicht konfiguriert |
| 6520 | Warnungsereignis |
| 7520 | Fehlerereignis |
| 8520 | Erfolgsereignis |