Phishing-sichere Authentifizierung von Microsoft Windows Hello for Business aktivieren und einrichten

Von Thomas Joos

Anbieter zum Thema

Mit Windows Hello und Windows Hello für Business bietet Microsoft auch Dienste für Windows und die Cloud an, welche die Anmeldung ohne Kennwörter erlaubt. Basis sind Authentifizierungs-Apps und biometrische Geräte, zum Beispiel in Notebooks.

Windows Hello for Business bietet mehr Sicherheit und einfachere Bedienung durch Verzicht auf Passwörter für Windows und Microsoft-Dienste.
Windows Hello for Business bietet mehr Sicherheit und einfachere Bedienung durch Verzicht auf Passwörter für Windows und Microsoft-Dienste.
(Bild: greenbutterfly - stock.adobe.com )

Mit Windows Hello unterstützt Microsoft in Windows 10 und Windows 11 schon länger die Möglichkeit sich an Notebooks oder Computern mit speziellen Webcams, PINs oder durch andere biometrische Daten zu authentifizieren. Mit Windows Hello for Business sind diese Möglichkeiten noch an anderen Stellen in Microsoft-Netzwerken möglich.

Bildergalerie
Bildergalerie mit 7 Bildern

Parallel arbeitet Microsoft auch daran die Anmeldung mit Microsoft-Konten an Windows-PCs oder Notebooks ohne Kennwort zu ermöglichen. Basis ist zum Beispiel die kostenlose Authentifizierungs-App von Microsoft, die auch für die Verwendung der Multifaktor-Authentifizierung in Microsoft Azure, Microsoft 365 oder auch für herkömmliche Microsoft-Konten zum Einsatz kommt. Das kennwortlose Anmelden ist nicht nur sicherer als die Anmeldung mit einem Kennwort, sondern ist auch wesentlich einfacher.

Kennwortlose Anmeldung an Microsoft-Konten

Für Microsoft-Konten ist es schon seit geraumer Zeit möglich in der Verwaltung des Kontos die kennwortlose Anmeldung zu aktivieren und zukünftig mit der Bestätigung der Anmeldung über die Microsoft Authenticator-App zu arbeiten. Diese App steht kostenlos in Google Play und dem Apple App-Store zur Verfügung. Die Authenticator-App kann parallel dazu auch als Tresor für Anmeldedaten genutzt werden. Das erleichtert die sichere Anmeldung auf Endgeräten.

Über die Adresse account.microsoft.com steht die Verwaltung von Microsoft-Konten zur Verfügung. Über den Bereich "Sicherheit" kann die Mulktifaktor-Authentifizierung aktiviert werden, aber auch die kennwortlose Anmeldung über die Microsoft Authenticator-App.

Windows Hello in Windows 10 und Windows 11

Parallel zu den Anmeldemöglichkeiten ohne Kennwort an Windows 10 und Windows 11 kann auch Windows Hello zum Einsatz kommen. Basis sind kompatible Webcams oder Fingerabdrucksensoren in Verbindung mit einem PIN. Diese Funktionen lassen sich gemeinsam mit dem kennwortlosen Anmelden oder der Multifaktor-Authentifizierung über die Authenticator-App nutzen.

In den Einstellungen von Windows 10/11 steht dieser Bereich über "Konten" und dann "Anmeldeoptionen" zur Verfügung. Hier lassen sich die verschiedenen Optionen von Windows Hello steuern und auch anpassen. Die biometrischen Funktionen, wie Gesichtserkennung oder Fingerabdruck müssen aber kompatibel mit Windows Hello sein. Mit jeder Webcam kann diese Funktion nicht genutzt werden. Die Kamera muss Windows Hello über 3D-Funktionen unterstützen.

Windows Hello for Business ermöglicht die Anmeldung an Active Directory und Co.

Windows Hello for Business nutzt die Windows Hello-Funktionen aus Windows 10/11 und bringt diese in das Netzwerk. Zusammen mit der Microsoft Authenticator-App erhalten Anwender dadurch die Möglichkeit sich an Clouddiensten von Microsoft, an lokalen Rechnern und an Netzwerken mit Active Directory sicher aber einfach anzumelden. Gleichzeitig kann die Authenticator-App auch zur Speicherung herkömmlicher Kennwörter genutzt werden und auch als zweite Stufe für die meisten relevanten Multifaktor-Authentifizierungen.

Windows Hello mit Microsoft Endpoint Manager, Azure AD und Active Directory-Zertifikatsdienste

Dabei lassen sich mit Windows Hello sehr viele Wege der Umsetzung gehen. Microsoft beschreibt die Möglichkeiten auf der Seite "Dokumentation zu Windows Hello for Business". Für die Verwendung von Windows Hello für Business muss auf den Arbeitsstationen Windows 10, besser Windows 11 installiert sein. Natürlich muss die Hardware Windows Hello unterstützen.

Die Domänencontroller sollten mindestens mit Windows Server 2016/2019, besser mit Windows Server 2022 installiert sein. Im Netzwerk muss es eine Zertifizierungsstelle, idealerweise auf Basis der Active Directory-Zertifikatsdienste geben, welche die benötigten Zertifikate automatisiert abrufen und zuweisen kann. Sinnvoll ist zusätzlich noch die Verwendung von Microsoft Endpoint Manager zur Verwaltung der angebundenen Computer. Die ausführliche Planung beschreibt Microsoft ebenfalls im Planungs-Guide zu Windows Hello for Business.

Am sinnvollsten ist es, wenn sich die Benutzer mit einem Azure Active Directory-Konto an ihren Rechnern anmelden, vor allem wenn ohnehin bereits Microsoft 365 und Azure AD im Einsatz sind. Die Anmeldedaten lassen sich mit Azure AD Connect zwischen Active Directory und der Cloud synchronisieren. Die Geräte, auf denen Windows Hello for Business zum Einsatz kommen soll, müssen in diesem Fall in Azure AD registriert sein.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung
Bildergalerie
Bildergalerie mit 7 Bildern

Konfiguration von Windows Hello for Business über Gruppenrichtlinien

Die eigentliche Anbindung erfolgt über die Gruppenrichtlinie "Windows Hello for Business verwenden", die bei "Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Hello for Business" zu finden ist. Hier sind weitere Optionen zu finden, mit denen die Arbeitsstationen optimal mit Windows Hello und damit Windows Hello for Business zusammenarbeiten. Die Anmeldung erfolgt durch die Benutzer an Azure AD, parallel kommt die Authenticator-App von Microsoft zum Einsatz. Wenn Benutzer nicht ohnehin schon mit der App arbeiten, muss diese auf einem Smartphone der Anwender installiert und mit dem jeweiligen Azure AD-Konto verknüpft sein. Das erfolgt über die Seite https://aka.ms/mfasetup.

(ID:48443551)