Windows Hello in Enterprise-Umgebungen: Moderne Authentifizierung und Sicherheit

Feature Nr. 1: Multi-Factor-Unlock

Mit der mehrstufigen Anmeldung soll verhindert werden, dass Unbefugte, z.B. durch Weitergabe der PIN oder Shoulder Surfing Zugriff auf das Gerät und Unternehmensressourcen erhalten. Hierfür werden mindestens zwei von möglichen vier Entsperrungsfaktoren festgelegt:

• PIN
• Fingerprint
• Face-ID
• Trusted Signal (z.B. Phone oder Netzwerkadresse)

Mögliche Kombinationen wären dann:

• Biometrischer Faktor + PIN
• Biometrischer Faktor + Trusted Signal
• PIN + Trusted Signal

Natürlich dürfen der erste und der zweite Faktor nicht derselbe sein.

In der Praxis heißt das: Um sich am Windows Client anmelden zu können, müssen beide Faktoren erfüllt werden. In der Wahrnehmung des Users kommt dies einer „MFA am Client“ gleich, auch wenn Hello per se schon eine Multi Faktor Anmeldung ist.

Wenngleich Kombinationen mit drei Faktoren technisch möglich wären, wie z.B. Biometrie + Trusted Signal + PIN, ist eine solche Anforderung eher nicht empfehlenswert.

Feature Nr. 2 Dynamic Lock

Wer kennt das nicht? Man ist im Büro, möchte nur kurz eine Raucherpause machen oder einen Kaffee holen gehen. Wie selbstverständlich, wird das Handy mitgenommen, jedoch ganz häufig vergessen, den PC oder Laptop zu sperren. Gerade in Büros oder Großraumbüros kann das schnell zu einem Sicherheitsproblem werden.

Beim Dynamic Lock wird daher ein BT-fähiges Gerät, wie z.B. ein Smartphone, per BT an den Client gekoppelt. Fällt die Signalstärke des gekoppelten Gerätes unter den maximalen RSSI-Wert (Received Signal Strength Indicator), weil man sich beispielsweise vom Geräte entfernt, wird der PC / Laptop automatisch gesperrt. So wird diese potentielle Sicherheitslücke eliminiert.

Feature Nr. 3 PIN Reset

Was passiert eigentlich, wenn man seine PIN vergisst? Bei einem vergessenen Passwort ist das einfach, man ruft "die IT" an und das Passwort kann einfach zurückgesetzt werden. Doch bei einer PIN stellt sich das anders dar, da sie ja nur lokal gespeichert und nicht zentral verwaltet wird.

Für diesen Fall hat der User am Anmeldebildschirm die Möglichkeit, seine PIN zurückzusetzen. Natürlich muss dabei ein Zurücksetzen durch Unbefugte verhindert werden. Deshalb gibt es dazu zwei Möglichkeiten, die unterschiedliche Voraussetzungen haben: destruktiv und nicht-destruktiv.

Standardmäßig wird der destruktive PIN-Reset verwendet. AAD Hybrid-joined Geräte müssen für den Reset grundsätzlich mit dem Unternehmensnetzwerk verbunden sein (LAN / WLAN oder Always-on VPN), da der Reset gegen einen Domaincontroller authentifiziert wird. Sobald der User auf "Ich habe meine PIN vergessen" klickt, erhält er die Aufforderung, sich per MFA zu authentifizieren. Nach erfolgreicher Authentifizierung kann die neue PIN erstellt werden. Der bis dahin gespeicherte Hello-Container wird gelöscht und ein neuer Container erstellt und gespeichert. Dadurch wird außerdem eine neue Identity-ID erstellt.

Dagegen werden bei Verwendung des nicht-destruktiven PIN Reset der Windows Hello for Business-Container und die Schlüssel des Users beibehalten. Nur die PIN des Users, die er zum Autorisieren der Schlüsselverwendung verwendet, wird geändert. Für das zerstörungsfreie Zurücksetzen der PIN muss der Microsoft-Dienst zum Zurücksetzen der PIN bereitgestellt und die PIN-Wiederherstellungsfunktion in der Konfiguration der Clients aktiviert werden.

Fazit

Wenn die Einführung von Windows Hello also gut geplant wird, kann durch die Kombination der Features ein wesentlich höherer Grad an Sicherheit am Endpoint erreicht werden.

Übrigens bietet EntraID auch die Möglichkeit zur Härtung der Authentifizierung eine Kombination aus Hello for Business + Authenticator App mit Number Matching für den Conditional Access zu verwenden. Eine solche Kombination gilt als sehr sicher. Zudem stellt sie sich sowohl als komfortabel für den User als auch sichererer mit Blick auf den Identitätsschutz dar.