Windows 10, Windows Hello und Active Directory

Zusammen mit Windows 10 sind eine Reihe neuer und bedeutender Merkmale in die Microsoft-Welt eingebracht worden, die – zumeist recht unspektakulär für den Endanwender – die Bereitstellung, Konfiguration und Wartung einer Windows-Infrastruktur administrativ erleichtern. Wer das offizielle Microsoft Curriculum „Deploying and Managing Windows 10 Using Enterprise Services“ durchgearbeitet hat, wird diese neuen Funktionen einerseits zu schätzen wissen. Andrerseits eignen sich diese kaum, um den Endanwendern zu Hause oder im Büro die Verwendung von Windows 10 schmackhaft zu machen: „Klar kannst Du dein Tablet auf die Arbeit mitbringen – da machst Du einfach User Experience-Virtualization an, oder ich stelle Dir das ganze als Azure Remote-App, sorry, ich meine XenApp „express“ zur Verfügung. Den Rest ziehen wir dann durch Intune-Richtlinien gerade. Du hast doch ein Konto bei uns im Azure AD?!?

Andere neue Funktionen in Windows 10 stehen dann schon eher auf breiter Front sowohl in der Administration als auch aus Endanwendersicht in der Diskussion: häufig geht es in den Pausen eines Windows 10 Seminars um Cortana, den Datenschutz, Microsoft Edge, den Datenschutz, das Startmenü, den Datenschutz, die neue Einstellungen App oder auch den Datenschutz. Vergleichsweise selten werde ich bisher nach den Erweiterungen im Anmeldeprozess gefragt, die Microsoft in Windows 10 als Windows Hello und Microsoft Passport anbietet. Mittlerweile sind diese Begriffe in Windows Hello vereint.

Windows Hello

Windows Hello ist oberflächlich betrachtet ein erweiterbares Konstrukt zur Multifaktor-Authentifizierung, deren Schwerpunkt – wie auch der offiziellen Microsoft-Werbekampagne zu entnehmen ist (Login with a smile) – im Bereich der Biometrie liegt.

Fingerabdruck-, Iris- und Gesichtserkennung sind die maßgeblichen Funktionen, die das Eingeben von Kennwörtern obsolet machen sollen und dabei auch gleichzeitig eine höhere Sicherheitsstufe versprechen. Allerdings ist in diesem Fall zumeist besondere Hardware gefordert – gerade im Bereich der Iris- und Gesichtserkennung, wo eine Kombination aus VGA-, 3D- und Infrarotkamera notwendig wird. Entsprechende technische Ausrüstung findet sich derzeit vereinzelt in AiO-PCs, Notebooks, Tablets oder Smartphones. Bei Fingerabdrucksensoren fällt dieses Spektrum in der Praxis etwas breiter aus und hier sind seit Jahren bereits Peripheriegeräte im Umlauf.

Windows Hello und Microsoft Passport
Ursprünglich war Windows Hello das in Windows 10 verbaute biometrische System zur Fingerabdruck-, Iris- oder Gesichtserkennung und Microsoft Passport ein Zwei-Faktor-Authentifizierungssystem, welches die Biometriedaten aus Windows Hello oder Alternativ eine PIN mit Authentifizierungsschlüsseln kombiniert. Durch die Begriffszusammenführung bezieht sich heute Windows Hello auf beide Konstrukte und fasst diese zusammen.

Alternativ lässt sich Windows Hello jedoch auch mit anderen Varianten verwenden, falls die technischen Voraussetzungen für die Verwendung biometrischer Merkmale nicht vorhanden sind. Hier kann dann mit einer PIN oder einem Bildcode gearbeitet werden. Die Verwendung eines Bildcodes wird seitens Microsoft allerdings nicht als offizielle Windows Hello Variante aufgeführt. Eine PIN hingegen ist für die Einrichtung von Windows Hello obligatorisch. Wird die Gesichtserkennung oder Fingerabdruckerkennung konfiguriert, muss gleichzeitig auch eine PIN deklariert werden. So wird sichergestellt das eine Authentifizierung auch dann noch möglich ist, wenn aus verschiedenen Gründen ein biometrischer Nachweis nicht erbracht werden kann.

Wird in meinen Seminaren dieses Thema behandelt, folgt eigentlich regelmäßig ein Einwand wie: „Wir haben unsere Benutzer über Jahre erst dazu gebracht endlich sichere – sprich komplexe, lange und häufig geänderte – Kennwörter zu verwenden. Wie kann denn eine PIN sicherer sein als ein solches Kennwort?

Zur Klärung muss ein wenig über die Arbeitsweise von Windows Hello und das Verständnis einer PIN gesprochen werden…

Sicherheit von Windows Hello

Gerade im Unternehmensbereich, aber auch zunehmend im privaten Umfeld sind vernetzte und gesicherte Systeme alltäglich. Authentifizierungsinformationen wie Benutzernamen und Kennwörter sind dabei häufig ‚verteilte Geheimnisse‘ – sie müssen an einer Stelle eingegeben, über das Netzwerk übertragen werden und an einer anderen Stelle gespeichert vorliegen, um diese dann überprüfen zu können. Darüber hinaus ist die durch den Anwender verwendete Kombination aus Benutzername und Kennwort im gesamten Netzwerk zumeist die gleiche. Somit sind diese Informationen für Dritte von Großem nutzen: können sie in irgendeiner Form abgefangen werden, lassen sie sich uneingeschränkt im gleichen Umfang durch nichtbefugte Personen nutzen. Ein interessanter Artikel zu diesem Thema findet sich im Microsoft TechNet hier (Stand: August 2016).

In der Verwendung von Windows Hello ist jedoch eine rein lokale Informationseingabe und -verarbeitung der Sicherheitsinformationen im Sinne einer Zwei-Faktor-Authentifizierung gegeben. Eine PIN oder eine biometrische Information ist in dieser Form stets an das Gerät und das Benutzerkonto gebunden, an und unter dem sie eingerichtet wurde. Das Abfangen der lokalen PIN-Eingabe ist folglich ohne die dazugehörige Hardware sinnlos. Daher ist eine Einrichtung von Windows Hello auch nicht einmalig zentral möglich (z.B. im Kontext des Domänenbenutzers), sondern muss individuell auf jedem Gerät durchgeführt werden.

Funktionsweise von Windows Hello

Authentifiziert sich ein Benutzer an einem Windows 10 System, geschieht dies in der Praxis auf Basis unterschiedlicher Sicherheitsinformationen, beispielsweise durch ein lokales Windows Konto, ein Active Directory Konto oder ein Azure AD Konto. Nach erfolgreicher Anmeldung besteht für diesen Benutzer die Möglichkeit individuell für dieses System Windows Hello zu aktivieren und zusätzliche Authentifizierungsarten zu wählen. Die gewählte Authentifizierungsvariante verbindet nun die ursprünglich verwendeten Anmeldeinformationen mit dem lokalen Gerät und verknüpft diese mit dem jeweiligen Authentifizierungsanbieter im Netzwerk für die zukünftigen Anmeldevorgänge unter Verwendung von Windows Hello.

Dazu generiert Windows Hello ein asymetrisches Schlüsselpaar, bestehend aus öffentlichem und privatem Schlüssel. Das lokal verbaute Trusted Platform Module (TPM) generiert und speichert in diesem Zusammenhang den privaten Schlüssel. Dieser private Schlüssel wird als ‚Protector Key‘ bezeichnet. Sollte die lokale Hardware kein TPM aufweisen, kann diese Informationen alternativ auch verschlüsselt softwareseitig gespeichert werden.

Jede eingerichtete Windows Hello Methode (PIN, Fingerabdruck, Gesichtserkennung) verwendet dabei ihr individuelles asymmetrisches Schlüsselpaar, auch wenn dadurch die gleichen Authentifizierungsinformationen geschützt werden. Microsoft spricht hier von Containern, die mehrere Sicherheitsinformationen aufnehmen und im Bedarfsfall geklont werden können. Jedes geklonte Objekt kann nun separat durch eine andere Windows Hello Variante abgesichert werden.

Diese Container sind in der Lage eine Reihe von Schlüsselinformationen aufzunehmen, u.a. den ‚Protector Key‘ und den Schlüssel des Identitätsanbieters (IDP-Schlüssel). Dieser IDP-Schlüssel ist – in Form eines symmetrischen oder asymmetrischen Schlüssels – die eindeutige, sichere und vertrauenswürdige Authentifizierungsinformation eines spezifischen Anbieters (Azure AD, Microsoft-Konto, Active Directory etc.).

Zu Beginn entsperrt nun der Benutzer das entsprechende Gerät über die im Vorfeld festgelegte biometrische Eigenschaft oder die PIN. Dabei wird im Hintergrund auf den durch diese Anmeldeart geschützten Container und auf den nun freigegebenen IDP-Schlüssel zugegriffen. Allerdings ist nicht jeder Schnittstelle die freie Verwendung des IDP-Schlüssel gewährt. Programmseitig kann beispielsweise aus Sicherheitsgründen eine erneute Authentifizierung angefordert werden – der Benutzer muss beispielsweise für bestimmte Funktionen einen erneuten Identitätsnachweis in Form einer PIN oder biometrischer Merkmale erbringen.

Der Ablauf der Authentifizierung stellt sich dabei wie folgt dar:

  1. Der Client eröffnet den Handshake-Prozess durch eine leere Authentifizierungsanforderung an den IDP.
  2. Der IDP antwortet mit einer Herausforderung (‚Nonce‘).
  3. Der Client signiert die Nonce mit dem zu diesem IDP passenden privaten Schlüssel und übersendet anschließend die Nonce, die signierte Nonce und die ID des verwendeten Schlüssel an den IDP.
  4. Der IDP verwendet den dieser ID zugeordneten öffentlichen Schlüssel, um die Nonce zu überprüfen.
  5. Bei erfolgreicher Überprüfung stellt der IDP zwei Objekte bereit:
    • ein symmetrischer Schlüssel – verschlüsselt mit dem öffentlichen Schlüssel des Clients
    • ein Sicherheitstoken – verschlüsselt mit dem symmetrischen Schlüssel
  6. Der Client entschlüsselt den symmetrischen Schlüssel mit Hilfe des eigenen privaten Schlüssels und das Sicherheitstoken anschließend mit dem symmetrischen Schlüssel.
  7. Der Client führt unter Verwendung des Sicherheitstokens eine Authentifizierungsanforderung aus.

In zukünftigen Szenarien können auf diese Art und Weise individuelle Authentifizierungen ausgeführt werden, ohne das der Benutzer an einem spezifischen Gerät seine persönlichen Anmeldeinformationen eingibt. Diese als ‚Remoteauthentifizierung‘ geplante Funktion ermöglicht einem Benutzer mit einem neuen Gerät zu arbeiten, ohne dabei persönliche Sicherheitsinformationen anzugeben. Dazu kann dieses Gerät mit einem bereits vertrauenswürdigem Gerät, beispielsweise einem Smartphone gekoppelt werden.

Windows Hello for Business

Die Bezeichnung Windows Hello for Business überträgt grundlegend die Windows Hello Funktionen auf die Unternehmenswelt und lässt sich in verschiedenen Szenarien anwenden: sowohl in reinen Azure AD oder Active Directory on-premises Umgebungen, als auch in Hybrid-Implementierungen von Azure AD und ADS. Dabei muss für on-premises Bereitstellungen jedoch bereits Windows Server 2016 verwendet werden, welche als IDP-Dienstleister für Microsoft Online Dienste fungieren .

Im Gegensatz zu Windows Hello kommt jedoch bei Windows Hello for Business eine Schlüssel- oder Zertifikatsbasierte Authentifizierung zum tragen, die administrativ über Gruppenrichtlinien oder Mobile Device Management (MDM) Richtlinien vorgegeben werden. Eine gute Übersicht dieser Richtlinien findet sich im Microsoft TechNet hier (Stand: August 2016).

Das sollte jedoch dann in einem weiteren Blogeintrag bearbeitet werden…

Windows Hello und Active Directory heute

Mit der Veröffentlichung von Windows 10 Version 1607 hat Microsoft die derzeitige Verwendung von Windows Hello im Unternehmensnetzwerk jedoch scheinbar etwas ausgebremst. War es in den Vorgängerversionen von Windows 10 (1507 und 1511) auch in einer Active Directory Domänenumgebung noch möglich eine Authentifizierungsinformation mit PIN oder biometrischen Eigenschaften zu sichern, erscheinen diese Konfigurationsoptionen in der Einstellungen-App seit dem letzten Feature-Update nun deaktiviert:

Deaktivierte PIN-Funktion in Windows 10 Version 1607
Deaktivierte PIN-Funktion in Windows 10 Version 1607

Zieht man hier die konkrete Arbeitsweise von Windows Hello in Betracht, macht dieser Schritt durchaus Sinn: solange ein Unternehmen nicht Windows Hello for Business bereitstellen kann oder möchte, dienen die bisherigen Windows Hello Schutzmechanismen innerhalb einer Active Directory Domäne lediglich der ‚Ummantelung‘ der üblichen Anmeldeinformationen. Diese werden durch Windows Hello lokal freigeschaltet und wie bisher im Netzwerk übertragen. Darüber hinaus sind es eben nach wie vor zentral gespeicherte Informationen, die im gesamten Netzwerk gleichsam für die Authentifizierung verwendet werden.

In dieser Situation kann nicht das gesamte Sicherheitspotential dieser Lösung ausgeschöpft werden. Ein Unternehmen muss sich daher Gedanken machen, inwieweit es mit oder ohne Windows Hello for Business agieren möchte und ob im letzteren Fall dennoch Windows Hello lokal zur Verfügung gestellt werden soll – Microsoft redet hier von einer ‚Convenience PIN‘ oder ‚Komfort-PIN‘.

Da Windows Hello for Business im angesprochenem Umfang für eine on-premises Infrastruktur erst mit Windows Server 2016 zur Verfügung steht, lässt sich zwischenzeitlich diese Funktion eingeschränkt durch Aktivierung der ‚Convenience PIN‘ via GPO erneut bereitstellen.

Dazu muss die Richtlinie ‚Komfortable PIN-Anmeldung aktivieren‘ aktiviert werden. Diese findet sich unter ‚Computerkonfiguration | Richtlinien | Administrative Vorlagen | System | Anmelden‘ und muss als Domänenrichtlinie folglich auf die entsprechenden Computerobjekte im Active Directory angewendet werden.

Richtlinienunterschiede
Die Richtlinie ‚Komfortable PIN-Anmeldung‘ wurde in aktuelleren ADMX-Vorlagedateien namenstechnisch angepasst. In früheren Vorlagen heißt diese Richtlinie noch ‚PIN-Anmeldung aktivieren‘.
Aktivieren der 'Convenience PIN' via GPO
Aktivieren der ‚Convenience PIN‘ via GPO

Dabei gilt folgenden Regelung bei unterschiedlichen Windows 10 Versionen und eventuell bereits im Vorfeld aktivierter PIN:

  • Windows 10 vor Version 1607 kann unabhängig von dieser Richtlinie die ‚Convenience PIN‘ verwenden
  • Windows 10 ab Version 1607 kann nur mit aktivierter Richtlinie die ‚Convenience PIN‘ verwenden
  • Ist vor der Aktualisierung auf Windows 10 Version 1607 die ‚Convenience PIN‘ nicht aktiviert, lässt sich diese nach der Aktualisierung nicht verwenden
  • Ist vor der Aktualisierung auf Windows 10 Version 1607 die ‚Convenience PIN‘ aktiviert, bleibt diese nach der Aktualisierung aktiviert
  • Ein Benutzer kann bei aktivierter ‚Convenience PIN‘ in Windows 10 Version 1607 diese beliebig häufig ändern
  • Ein Benutzer kann bei aktivierter ‚Convenience PIN‘ in Windows 10 Version 1607 diese deaktivieren, anschließend aber nicht ohne Richtlinie wieder aktivieren

Greift lokal die entsprechende Richtlinie, lässt sich die Funktion ‚PIN – Hinzufügen‘ wieder verwenden.

hello3
Aktivierte PIN-Funktion in Windows 10 Version 1607

Somit können Benutzer in Domänenumgebungen eine PIN oder alternativ biometrische Merkmale zur Authentifizierung im Windows-Netzwerk verwenden. Die mit Windows Hello definierte Sicherheitsebene wird damit allerdings nicht erreicht und kann zukünftig erst mit der Verwendung von Windows Hello for Business bereitgestellt werden.

Microsoft kommentiert diese Konfigurationsmöglichkeit relativ pragmatisch: Insofern die neuen Anmeldefunktionen im Unternehmensumfeld bisher keine besondere Rolle spielen, sollte die ‚Convenience PIN‘ zu Gunsten von Windows Hello for Business deaktiviert bleiben. Existieren jedoch bereits entsprechende Anmeldeformate im Unternehmensnetzwerk, kann die ‚Convenience PIN‘ bis zur Bereitstellung von Windows Hello for Business als Überbrückung bereitgestellt werden, um den Benutzern ein einheitliches Erscheinungsbild der Infrastruktur bereitzustellen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.