Microsoft Passport-Anleitung
In dieser Anleitung werden die neuen Technologien Windows Hello und Microsoft Passport beschrieben, die Bestandteil des Betriebssystems Windows 10 sind. Darin werden die spezifischen Funktionen dieser Technologien hervorgehoben, die dabei helfen, aus herkömmlichen Anmeldeinformationen erwachsende Bedrohungen zu mindern. Darüber hinaus bietet sie eine Anleitung darüber, wie diese Technologien als Bestandteil Ihrer Windows 10-Einführung entworfen und bereitgestellt werden.
Es grundlegende Annahme über die Informationssicherheit besteht darin, dass ein System denjenigen ermitteln kann, der es verwendet. Durch das Ermitteln eines Benutzers kann das System entscheiden, ob sich der Benutzer selbst ordnungsgemäß identifiziert hat (wird auch als Authentifizierung bezeichnet). Anschließend wird bestimmt, welche Aktionen der ordnungsgemäß authentifizierte Benutzer ausführen darf (dies wird als Autorisierung bezeichnet). Die große Mehrheit der weltweit bereitgestellten Computersysteme ist davon abhängig, dass Benutzeranmeldeinformationen als eine Methode für das Treffen von Authentifizierungs- und Autorisierungsentscheidungen angegeben werden. Demzufolge sind diese Systeme von wiederverwendbaren, vom Benutzer erstellten Kennwörtern für ihre Sicherheit abhängig. Die oftmals zitierte Maxime, dass die Authentifizierung etwas beinhalten könne, was Sie wüssten, über das Sie verfügen würden oder dass Sie seien, fasst das Problem gut zusammen: Ein wiederverwendbares Kennwort ist an sich schon ein Authentifizierungsfaktor. Jeder der das Kennwort kennt, kann sich demnach als der Benutzer ausgeben, dem das Kennwort gehört.
Probleme mit herkömmlichen Anmeldeinformationen
Seit der Mitte der 1960er Jahre, als Fernando Corbató und sein Team im Massachusetts Institute of Technology die Einführung des Kennworts meisterten, müssen Benutzer und Administratoren mit der Verwendung von Kennwörtern für die Benutzerauthentifizierung und -autorisierung leben. Mit der Zeit hat sich der Ist-Zustand für die Kennwortspeicherung und die Verwendung ein wenig verbessert (wobei das Kennworthashing und Salt die zwei bemerkenswertesten Verbesserungen darstellen). Es gibt jedoch weiterhin zwei ernsthafte Probleme: Kennwörter lassen sich einfach klonen und stehlen. Durch Implementierungsfehler werden sie möglicherweise unsicher. Zudem müssen die Benutzer das Praktische und die Sicherheit ausgleichen.
Diebstahl von Anmeldeinformationen
Das größte Risiko von Kennwörtern ist einfach: Ein Angreifer kann sie leicht stehlen. Jeder Ort, an dem ein Kennwort eingegeben, verarbeitet oder gespeichert wird, ist anfällig. So kann ein Angreifer beispielsweise eine Sammlung an Kennwörtern oder Hashwerten von einem Authentifizierungsserver stehlen, indem er am Netzwerkdatenverkehr zu einem Anwendungsserver lauscht, Schadsoftware in eine Anwendung oder auf einem Gerät einschleust, die Benutzertastaturanschläge auf einem Gerät protokolliert oder dem Benutzer zusieht, welche Zeichen er eingibt – und hierbei handelt es sich nur um die gängigsten Angreifermethoden. Es gibt noch weitere exotischere Angriffe für das Stehlen eines oder mehrerer Kennwörter.
Das Diebstahlrisiko wird durch die Tatsache unterstützt, dass der das Kennwort darstellende Authentifizierungsfaktor das Kennwort ist. Ohne zusätzliche Authentifizierungsfaktoren geht das System davon aus, dass es sich bei jedem Benutzer, der das Kennwort kennt, um den autorisierten Benutzer handelt.
Ein weiteres zugehöriges Risiko besteht im sog. Credential Replay, also der Wiedergabe von Anmeldeinformationen. Hierbei erfasst ein Angreifer gültige Anmeldeinformationen, indem er an einem unsicheren Netzwerk lauscht und sie später wiedergibt, um einen gültigen Benutzer zu imitieren. Die meisten Authentifizierungsprotokolle (einschließlich Kerberos und OAuth) schützen vor Replay-Angriffen, indem ein Zeitstempel im Anmeldeinformationsaustauschprozess eingefügt wird. Dadurch wird jedoch nur das Token geschützt, das vom Authentifizierungssystem ausgestellt wird, nicht aber das Kennwort, das vom Benutzer bereitgestellt wird, um das Ticket ursprünglich abzurufen.
Wiederverwendung von Anmeldeinformationen
Da die Anzahl der von uns verwendeten verbundenen Systeme und Anwendungen angestiegen ist, ist auch die Anzahl der Anforderungen für Anmeldeinformationen gestiegen. Gemäß einer Microsoft Research-Studie aus dem Jahr wurde berechnet, dass ein durchschnittlicher Webbenutzer über 6,5 Kennwörter verfügt. Anhand späterer Recherchen wurde die Anzahl als erheblich höher eingestuft, auch wenn es hinsichtlich der genauen Anzahl keine Einigkeit gibt. Die große Vielfalt an Kennwortanforderungen (wie dies im Abschnitt Kompromisse zwischen Komfort und Komplexität beschrieben wird) bedeutet, dass Benutzer über einen großen Anreiz verfügen, sich leicht einprägsame Kennwörter auszuwählen. Demzufolge wählen sie oftmals ein einzelnes Kennwort aus und verwenden es auf mehreren Sites. Erfahrenere Benutzer wählen möglicherweise ein grundlegendes Kennwort aus und ändern es für jede Site (beispielsweise führt ein grundlegendes Kennwort von „4joe“ zu „bank4joe“, „airline4joe“ und „school4joe”) ein wenig ab. Diese Praktik hilft erstaunlicherweise recht wenig vor dem Erraten von Kennwörtern. Auch wenn einzelne Systeme einen Kennwortverlauf beibehalten, sodass Benutzer alte Kennwörter im Zuge von Kennwortänderungen nicht wiederverwenden können, gibt es keinen Mechanismus, der sie daran hindert, dasselbe Kennwort über mehrere Bereiche hinweg zu verwenden.
Der häufige Ansatz, eine E-Mail-Adresse als den Benutzernamen zu verwenden, verschlimmert das Problem nur noch. Ein Angreifer, der eine Kombination aus Benutzername und Kennwort erfolgreich aus einem kompromittierten System wiederhergestellt hat, kann anschließend dieselbe Kombination auf anderen Systemen testen. Diese Taktik funktioniert erstaunlicherweise oft. Auf diese Weise können Angreifer ein kompromittiertes System als Sprungbrett zu anderen Systemen verwenden. Zudem für das Verwenden von E-Mail-Adressen als Benutzernamen zu anderen Problemen, die später in dieser Anleitung erörtert werden.
Kompromisse zwischen Komfort und Komplexität
Der Großteil der Sicherheitsanliegen ist ein Kompromiss zwischen Komfort und Sicherheit. Je sicherer ein System ist, desto unpraktischer ist es für gewöhnlich für die Benutzer. Auch wenn Systementwickler und Ausführende über eine Vielzahl von Tools verfügen, um ihre Systeme sicherer zu gestalten, gilt es auch auf die Benutzer zu hören. Wenn Benutzer bemerken, dass ein Sicherheitsmechanismus der gewünschten Aktion im Weg steht, suchen sie oftmals nach Möglichkeiten, wie sie ihn umgehen können. Dieses Verhalten führt zu einer Rüstungsspirale der Arten, wobei die Benutzer Strategien zum Minimieren des Aufwands übernehmen, um die Konformität mit den Kennwortrichtlinien ihrer Organisation einzuhalten, während diese Richtlinien weiterentwickelt werden.
Kennwortkomplexität
Wenn das Hauptrisiko bei Kennwörtern darin besteht, dass sie durch einen Angreifer möglicherweise anhand einer Brute-Force-Analyse erraten werden, ist es möglicherweise sinnvoll, Benutzer zu zwingen, einen umfangreicheren Zeichensatz in ihren Kennwörtern einzuschließen oder sie länger zu machen. Aus praktischer Sicht haben Kennwortlängen- und Komplexitätsanforderungen zwei negative Nebenwirkungen. Zunächst befördern sie die Kennwortwiederverwendung. Gemäß den Schätzungen von Herley, Florêncio und van Oorschot wurde berechnet, dass ein sichereres Kennwort zu einer wahrscheinlicheren Wiederverwendung führt. Da Benutzer für das Erstellen und Einprägen von sicheren Kennwörtern einen höheren Aufwand betreiben, werden sie dieselben Anmeldeinformationen mit höherer Wahrscheinlichkeit über mehrere Systeme hinweg verwenden. Zweitens führt das Hinzufügen der Längen- oder Zeichensatzkomplexität zu Kennwörtern nicht zwangsläufig dazu, dass sie schwerer erraten werden können. So besteht beispielsweise P@ssw0rd1 aus neun Zeichen und enthält sowohl Groß- als auch Kleinbuchstaben, Zahlen und Sonderzeichen. Es kann jedoch einfach durch viele der allgemeinen im Internet verfügbaren Kennwortentschlüsselungstools erraten werden. Diese Tools können Kennwörter mithilfe eines im Voraus berechneten Wörterbuchs von allgemeinen Kennwörtern angreifen. Alternativ können sie mit einem grundlegenden Wort wie „password“ beginnen und anschließend allgemeine Zeichenersetzungen anwenden. Ein komplett zufällig generiertes aus acht Zeichen bestehendes Kennwort lässt sich daher tatsächlich schwerer erraten als P@ssw0rd123.
Kennwortablauf
Da es wiederverwendbares Kennwort der einzige Authentifizierungsfaktor in kennwortbasierten Systemen ist, haben Entwickler versucht, das Risiko zu reduzieren, dass Anmeldeinformationen gestohlen und wiederverwendet werden. Eine gängige Methode dafür besteht in der Verwendung von Kennwörtern mit begrenzter Lebensdauer. Auf einigen Systemen können Kennwörter nur einmal verwendet werden. Der weitaus gängigere Ansatz besteht jedoch darin, dass die Kennwörter nach einem bestimmten Zeitraum ablaufen. Das Begrenzen der nützlichen Lebenszeit eines Kennworts begrenzt, wie lange ein gestohlenes Kennwort für einen Angreifer nützlich ist. Diese Methode hilft in Fällen, in denen Kennwörter mit langer Lebensdauer gestohlen, beibehalten und für eine lange Zeit verwendet wurden, sie geht jedoch auch auf die Zeit zurück, in der das Entschlüsseln von Kennwörtern für jedermann unpraktisch war, mit Ausnahme von Angreifern auf Staatsebene. Ein intelligenter Angreifer würde versuchen, Kennwörter zu stehlen, anstelle sie zu entschlüsseln, da das Entschlüsseln des Kennworts weitaus mehr Zeit in Anspruch nimmt.
Die weit verbreitete Verfügbarkeit von Kennwortentschlüsselungstools und die erhebliche Rechenleistung, die durch Mechanismen wie die GPU-unterstützten Entschlüsselungstools oder verteilten cloudbasierten Entschlüsselungstools verfügbar gemacht werden, hat diese Gleichung umgekehrt, dass es oftmals für einen Angreifer effektiver ist, ein Kennwort zu entschlüsseln, anstelle es zu stehlen. Zusätzlich bedeutet die weit verbreitete Verfügbarkeit von Self-Service-Kennwortzurücksetzungsmechanismen, dass ein Angreifer nur ein kurzes Zeitfenster benötigt, in dem das Kennwort gültig ist, um das Kennwort zu ändern und folglich die Gültigkeitsdauer zurückzusetzen. Relativ wenige Unternehmensnetzwerke bieten Self-Service-Kennwortzurücksetzungsmechanismen, sie sind jedoch für Internetdienste gängig. Zudem verwenden viele Benutzer den sicheren Anmeldeinformationsspeicher auf Windows- und Mac OS X-Systemen, um wertvolle Kennwörter für Internetdienste zu speichern. Daher kann ein Angreifer, der das Betriebssystemkennwort kompromittieren kann, eine Schatzkiste der anderen Dienstkennwörter ohne Aufwand abrufen.
Schließlich reizen übermäßig kurze Zeitfenster für den Kennwortablauf Benutzer dazu, nur sehr geringe Änderungen an ihren Kennwörtern bei jedem Ablaufzeitraum vorzunehmen. So ändern sie beispielsweise das Kennwort password123 zu password456 und zu password789. Durch diesen Ansatz wird der zum Entschlüsseln des Kennworts erforderliche Aufwand reduziert, insbesondere wenn der Angreifer die alten Kennwörter kennt.
Kennwortzurücksetzungsmechanismen
Damit Benutzer ihre eigenen Kennwörter besser verwalten können, bieten einige Dienste Benutzern eine Möglichkeit, das eigene Kennwort zu ändern. Bei einigen Implementierungen müssen sich Benutzer mit ihrem aktuellen Kennwort anmelden. Demgegenüber erlauben andere dem Benutzer, die Option Kennwort vergessen auszuwählen. Hierdurch wird eine E-Mail an die registrierte E-Mail-Adresse des Benutzers gesendet. Das Problem dieser Mechanismen besteht darin, dass viele von ihnen dergestalt implementiert sind, dass sie ein Angreifer missbrauchen kann. So kann beispielsweise ein Angreifer, der das E-Mail-Kennwort eines Benutzers erfolgreich erraten oder gestohlen hat, fröhlich Kennwortzurücksetzungen für die anderen Konten des Opfers anfordern, da die Zurücksetzungs-E-Mails an das kompromittierte Konto gesendet werden. Daher sind die meisten Unternehmensnetzwerke so konfiguriert, dass nur Administratoren Benutzerkennwörter zurücksetzen können. So unterstützt beispielsweise Active Directory die Verwendung des Kennzeichens Password must be changed on next logon (Kennwort muss bei der nächsten Anmeldung geändert werden), sodass der Benutzer, nachdem der Administrator ein Kennwort zurückgesetzt hat, das Kennwort nur nach dem Bereitstellen des vom Administrator festgelegten Kennworts zurücksetzen kann. Einige mobile Geräteverwaltungssysteme unterstützen ähnliche Funktionen für Mobilgeräte.
Fahrlässigkeit hinsichtlich Benutzerkennwörtern
Ein tückisches Problem macht diese Entwurfs- und Implementierungsschwäche noch schlimmer: Einige Benutzer gehen einfach nicht sorgfältig mit ihren Kennwörtern um. Sie notieren sie an unsicheren Orten, wählen einfach zu erratende Kennwörter aus, treffen nur (wenn überhaupt) minimale Vorkehrungen gegen Schadsoftware oder geben ihre Kennwörter sogar an andere Personen weiter. Diese Benutzer sind nicht zwangsläufig achtlos, weil es ihnen egal ist. Vielmehr möchten sie die Dinge einfach erledigen, und übermäßig lange und gleichermaßen strenge Kennwörter oder Ablaufrichtlinien oder zu viele Kennwörter hindern sie daran.
Anmeldeinformationsrisiko-Minderung
In Anbetracht der bisher beschriebenen Probleme ist es wohl offensichtlich, dass es sich bei wiederverwendbaren Kennwörtern um ein Sicherheitsrisiko handelt. Das Argument ist einfach: Durch das Hinzufügen von Authentifizierungsfaktoren wird der Wert der Kennwörter an sich reduziert, da selbst ein erfolgreicher Kennwortdiebstahl einen Angreifer nicht für die Anmeldung am System führen würde, es sei denn, er verfügt über die zugehörigen zusätzlichen Faktoren. Leider hat dieses einfache Argument viele praktische Erschwernisse. Sicherheits- und Betriebssystemanbieter haben versucht, die Probleme zu lösen, die wiederverwendbare Kennwörter für Jahrzehnte aufgeworfen haben – mit begrenztem Erfolg.
Die offensichtlichste Minderung für die Risiken, die durch wiederverwendbare Kennwörter aufgeworfen werden, besteht darin, mindestens einen Authentifizierungsfaktor hinzuzufügen. Zu unterschiedlichen Zeiten über die letzten 30 Jahre hinweg haben unterschiedliche Anbieter versucht, dieses Problem zu lösen, indem sie sich für die Verwendung von biometrischen IDs (dazu zählen auch Fingerabdrücke, Iris- und Netzhautscans und die Handgeometrie), software- und hardwarebasierten Token, physischen und virtuellen Smartcards und der Stimm- oder SMS-Authentifizierung über das Mobilgerät des Benutzers eingesetzt haben. Eine ausführliche Beschreibung jeder dieser Authentifikatoren sowie der zugehörigen Vor- und Nachteile kann in dieser Anleitung nicht erfolgen. Unabhängig davon, welche Authentifizierungsmethode Sie verwenden, weisen die Hauptherausforderungen eine begrenzte Anwendung sämtlicher Lösungen für die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) auf. Dazu zählen:
Infrastrukturkomplexität und Kosten. Jedes System, das den Benutzer auffordert, einen zusätzlichen Authentifizierungsfaktor beim Zugriffspunkt anzugeben, muss über eine Möglichkeit verfügen, diese Informationen zu erfassen. Auch wenn es möglich ist, eingesetzte Hardware durch das Hinzufügen von Fingerabdrucklesern, Augenscannern, Smartcard-Lesern usw. nachzurüsten, waren nur wenige Unternehmen bereit, die Kosten und Supportlasten auf sich zu nehmen, die dafür erforderlich sind.
Mangel an Standardisierung. Auch wenn Microsoft die Smartcard-Unterstützung auf Betriebssystemebene als Bestandteil des Windows Vista-Betriebssystems integriert hat, konnten Smartcard- und Leseranbieter weiterhin ihre eigenen Treiber mitliefern wie die Hersteller von anderen Authentifizierungsgeräten. Der Mangel an Standardisierung führt zu einer Anwendungs- und Supportvereinzelung. Demzufolge war es nicht immer möglich, Lösungen in einem Unternehmen zu kombinieren und abzugleichen, selbst wenn sie die Hersteller diese Lösungen als kompatibel beworben hatten.
Abwärtskompatibilität. Das Nachrüsten von bereits bereitgestellten Betriebssystemen und Anwendungen für die Verwendung der MFA hat sich als äußerst schwierige Aufgabe erwiesen. Nahezu drei Jahre nach seiner Veröffentlichung wird für Microsoft Office 2013 schließlich die MFA-Unterstützung angeboten. Der überwiegende Teil der kommerziellen und benutzerdefinierten Branchenanwendungen wird niemals dahingehend nachgerüstet, um von den Vorteilen eines Authentifizierungssystems profitieren zu können, das sich vom zugrunde liegenden Betriebssystem unterscheidet.
Unannehmlichkeiten für den Benutzer. Lösungen, die Benutzer auffordern, physische Token abzurufen, sie nachzuverfolgen und zu verwenden, sind oftmals nicht beliebt. Wenn Benutzer über ein bestimmtes Token für den Remotezugriff für den Remotezugriff verfügen müssen oder andere Szenarien vorliegen, in denen die Dinge praktischer sind, tendieren sie dazu, wegen des Mehraufwands unzufrieden zu sein, den ein zusätzliches Gerät mit sich bringt. Dieses Zurückdrängen ist bei Lösungen noch ausgeprägter, die an Computer (wie Smartcard-Leser) angeschlossen werden müssen, da solche Lösungen Probleme hinsichtlich der Tragbarkeit, der Treiberunterstützung und Betriebssystem- und Anwendungsintegration mit sich bringen.
Gerätekompatibilität. Nicht jeder Hardwareformfaktor unterstützt jede Authentifizierungsmethode. So hat sich beispielsweise niemals ungeachtet der gelegentlichen schwachen Bemühungen von Anbietern ein Markt für mobiltelefonkompatible Smartcard-Leser herausgebildet. Als Microsoft Smartcards erstmals als Authentifikator für den Remotenetzwerkzugriff implementiert hat, bestand eine Haupteinschränkung darin, dass sich Benutzer nur von Desktopcomputer oder Laptops anmelden konnten, die über Smartcard-Leser verfügt haben. Jede Authentifizierungsmethode, die auf zusätzlicher Hardware oder Software beruhte, hatte möglicherweise mit diesem Problem zu tun. Beispielsweise beruhen verschiedene häufig verwendete „Softtoken“-Systeme auf mobilen Apps, die auf einer begrenzten Anzahl an mobilen Hardwareplattformen ausgeführt werden.
Ein weiteres lästiges Problem hängt mit der institutionellen Kenntnis und Reife zusammen. Sichere Authentifizierungssysteme sind komplex. Sie weisen viele Komponenten auf, und ihr Entwurf sowie die Verwaltung und der Betrieb können sich als teuer erweisen. Bei einigen Unternehmen übersteigen die zusätzlichen Kosten und der Mehraufwand, den die Verwaltung einer internen PKI-Infrastruktur mit sich bringt, um Smartcards auszustellen oder die Last, Add-On-Geräte zu verwalten, den Mehrwert, den die sicherere Authentifizierung mit sich bringt. Dies ist ein besonderer Fall des allgemeinen Problems, dem sich finanzielle Institutionen gegenüber sehen: Wenn die Kosten der Betrugsreduzierung höher als die Kosten des Betrugs selbst sind, ist es kein Leichtes, die Wirtschaftlichkeit von besseren Betrugsverhinderungsmaßnahmen auszugleichen.
Beheben von Anmeldeinformationsproblemen
Das Lösen der Probleme, die Kennwörter mit sich bringen, ist nicht einfach. Die Verschärfung von Kennwortrichtlinien allein wird das Problem nicht beheben: Die Benutzer könnten ihre Kennwörter einfach wiederverwenden, teilen oder aufschreiben. Auch wenn die Benutzerschulung für die Authentifizierungssicherheit kritisch ist, wird durch die Schulung allein das Problem jedoch ebenfalls nicht beseitigt.
Wie Sie gesehen haben, helfen zusätzliche Authentifikatoren nicht zwangsläufig, wenn die neuen Authentifizierungssysteme komplexer, kostspieliger oder unsicherer werden. In Windows 10 begegnet Microsoft diesen Problemen mit zwei neuen Technologien: Windows Hello und Microsoft Passport. Zusammen helfen diese Technologien dabei, sowohl die Sicherheit als auch die Benutzerfreundlichkeit zu verbessern:
Microsoft Passport ersetzt Kennwörter mit der sicheren zweistufigen Authentifizierung (2FA), indem vorhandene Anmeldeinformationen überprüft und gerätespezifische Anmeldeinformationen erstellt werden, die eine Benutzergeste (Biometrie- oder PIN-basiert) schützen. Durch diese Kombination werden physische und virtuelle Smartcards und wiederverwendbare Kennwörter für die Anmelde- und Zugriffssteuerung effektiv ersetzt.
Windows Hello bietet eine zuverlässige, vollständige integrierte biometrische Authentifizierung auf Grundlage der Gesichtserkennung oder der Fingerabdruckübereinstimmung. Windows Hello verwendet eine Kombination von speziellen Infrarotkameras und Software, um die Genauigkeit zu erhöhen und vor Spoofing zu schützen. Wichtige Hardwareanbieter liefern Geräte mit integrierten Windows Hello-kompatiblen Kameras. Zudem kann die Fingerabdruckleser-Hardware für Geräte verwendet oder zu diesen hinzugefügt werden, die noch nicht darüber verfügen. Auf Geräten, die Windows Hello unterstützen, werden die Microsoft Passport-Anmeldeinformationen der Benutzer durch eine einfache biometrische Geste entsperrt.
Was ist Windows Hello?
Windows Hello ist der durch Microsoft für das neue in Windows 10 integrierte biometrische Anmeldesystem festgelegte Name. Da es direkt im Betriebssystem integriert ist, ermöglicht Windows Hello die Gesichts- oder Fingerabdruckidentifikation zum Entsperren von Benutzergeräten. Die Authentifizierung erfolgt, wenn der Benutzer seine eindeutige biometrische ID übermittelt, um auf die gerätespezifischen Microsoft Passport-Anmeldeinformationen zuzugreifen. Demzufolge kann sich ein Angreifer, der das Gerät gestohlen hat, nicht anmelden, es sei denn, der Angreifer verfügt über die PIN. Der sichere Windows-Anmeldeinformationsspeicher schützt die biometrischen Daten auf dem Gerät. Durch das Verwenden von Windows Hello zum Entsperren eines Geräts erhält autorisierte Benutzer Zugriff auf seine sämtlichen Windows-Funktionen, -Apps, -Daten, -Websites und -Dienste.
Der Windows Hello-Authentifikator wird auch als Hello bezeichnet. Ein Hello ist für die Kombination aus einem einzelnen Gerät und einem bestimmten Benutzer eindeutig. Es wird nicht auf mehreren Geräten verwendet, nicht für einen Server freigegeben und kann von einem Gerät nicht einfach extrahiert werden. Wenn mehrere Benutzer ein Gerät gemeinsam verwenden, erhält jeder Benutzer ein eindeutiges Hello für dieses Gerät. Sie können sich Hello als ein Token vorstellen, das Sie zum Entsperren (oder Freigeben) von gespeicherten Anmeldeinformationen verwenden können. Mit dem Hello an sich werden Sie nicht an einer App oder einem Dienst authentifiziert, es gibt nur die Anmeldeinformationen frei, die dafür sorgen.
Beim Start von Windows 10 hat das Betriebssystem drei Hello-Typen unterstützt:
PIN. Bevor Sie Windows Hello verwenden können, um biometrische Daten auf einem Gerät zu aktivieren, müssen Sie eine PIN als Ihre ursprüngliche Hello-Geste verwenden. Nach dem Festlegen einer PIN können Sie nach Bedarf biometrische Gesten hinzufügen. Sie können die PIN-Geste immer verwenden, um Ihre Anmeldeinformationen freizugeben. Sie können Ihr Gerät also weiterhin entsperren und verwenden, wenn Sie Ihre bevorzugten biometrischen Daten aufgrund einer Verletzung oder aufgrund des nicht verfügbaren oder nicht entsprechend funktionierenden Sensors nicht verwenden können.
Gesichtserkennung. Dieser Typ verwendet spezielle Kameras, die Elemente im Infrarotlicht erkennen, daher können sie zuverlässig den Unterschied zwischen einem Foto oder einem Scan und einer lebendigen Person erkennen. Verschiedene Anbieter liefern externe Kameras, die diese Technologie integrieren, und die wichtigsten Laptophersteller integrieren sie ebenfalls in ihre Geräte.
Fingerabdruckerkennung. Dieser Typ verwendet einen kapazitiven Fingerabdrucksensor zum Scannen Ihres Fingerabdrucks. Fingerabdruckleser sind für Computer unter Windows seit Jahren verfügbar. Die aktuelle Generation der Sensoren ist jedoch wesentlich zuverlässiger und weniger fehleranfällig. Die meisten vorhandenen Fingerabdruckleser (unabhängig davon, ob sie extern oder in Laptops oder USB-Tastaturen integriert sind) funktionieren mit Windows 10.
Die zum Implementieren dieser Hello-Gesten verwendeten biometrischen Daten werden sicher nur auf dem lokalen Gerät gespeichert. Sie werden nicht verteilt und niemals an externe Geräte oder Server gesendet. Da Windows Hello nur biometrische Identifikationsdaten auf dem Gerät speichert, gibt es keinen einzigen Sammlungspunkt, den ein Angreifer kompromittieren kann, um biometrische Daten zu stehlen. Verletzungen, durch die für andere Verwendungen (wie für Gesetzesvollzugs- oder Leumundsprüfungszwecke gesammelte und gespeicherte Fingerabdrücke) gesammelte und gespeicherte biometrische Informationen offengelegt werden, stellen keine erhebliche Bedrohung dar. Ein Angreifer, der biometrische Informationen stiehlt, verfügt buchstäblich nur über eine Vorlage der ID, und diese Vorlage kann nicht einfach in eine Form umgewandelt werden, die der Angreifer einem biometrischen Sensor präsentieren kann. Zudem ist auch der Datenpfad für Windows Hello-kompatible Sensoren vor Manipulationen geschützt. Dadurch wird die Möglichkeit weiter reduziert, dass ein Angreifer erfolgreich gefälschte biometrische Daten einschleust. Darüber hinaus muss der Angreifer physisch auf das Gerät zugreifen können, bevor er überhaupt versuchen kann, Daten in die Sensorpipeline einzuschleusen. Ein Angreifer, der dazu in der Lage ist, kann verschiedene andere, weniger komplizierte Angriffe einbinden.
Windows Hello bietet mehrere wichtige Vorteile. Zunächst behebt es in Kombination mit Microsoft Passport effektiv die Probleme des Diebstahl und der Freigabe von Anmeldeinformationen. Da ein Angreifer sowohl das Gerät als auch die ausgewählten biometrischen Informationen abrufen muss, ist es weitaus schwieriger, ohne Wissen des Benutzers Zugriff zu erlangen. Zudem bedeutet die Verwendung von biometrischen Informationen, dass Benutzer von einem einfachen Authentifikator profitieren, den sie immer bei sich haben – sie können nichts vergessen, verlieren oder hinterlassen. Anstatt sich lange, komplexe Kennwörter zu merken, können Benutzer eine bequeme und sichere Methode zur Anmeldung bei allen ihren Windows-Geräten nutzen. Schließlich muss in vielen Fällen nichts Zusätzliches bereitgestellt oder verwaltet werden, um Windows Hello (auch wenn für Microsoft Passport möglicherweise eine zusätzliche Bereitstellung erforderlich ist, wie dies später in dieser Anleitung beschrieben wird) zu verwenden. Die Windows Hello-Unterstützung ist direkt im Betriebssystem integriert. Darüber hinaus können Benutzer oder Unternehmen kompatible biometrische Geräte hinzufügen, um die biometrische Gestenerkennung bereitzustellen, und zwar entweder als Bestandteil einer koordinierten Einführung oder wenn einzelne Benutzer oder Gruppen entscheiden, die erforderlichen Sensoren hinzuzufügen. Windows Hello ist in Windows integriert. Daher ist keine zusätzliche Bereitstellung erforderlich, um es zu verwenden.
Was ist Microsoft Passport?
Windows Hello bietet eine zuverlässige Möglichkeit für ein Gerät, einen einzelnen Benutzer zu erkennen. Dies zielt auf den ersten Teil des Wegs zwischen einem Benutzer und einem angeforderten Dienst- oder Datenelement ab. Nachdem das Gerät den Benutzer erkannt hat, muss es den Benutzer jedoch erst noch authentifizieren, bevor es entscheidet, den Zugriff auf eine angeforderte Ressource zu gewähren. Microsoft Passport bietet die sichere 2FA, die vollständig in Windows integriert ist. Auf diese Weise werden wiederverwendbare Kennwörter durch eine Kombination aus einem bestimmten Gerät und einem Hello oder einer PIN ersetzt. Bei Microsoft Passport handelt es sich jedoch nicht um einen bloßen Ersatz der herkömmlichen 2FA-Systeme. Konzeptionell gesehen ähnelt es Smartcards. Die Authentifizierung wird mithilfe von kryptografischen Primitiven ausgeführt, anstelle Zeichenfolgen zu vergleichen. Zudem sind die Schlüssel des Benutzers in der vor Manipulationen geschützten Hardware sicher. Für Microsoft Passport sind keine zusätzlichen Infrastrukturkomponenten für die Smartcard-Bereitstellung erforderlich. Insbesondere benötigen Sie keine PKI, wenn Sie derzeit keine haben. Microsoft Passport kombiniert die wichtigsten Vorteile von Smartcards – Flexibilität bei der Bereitstellung virtueller Smartcards und zuverlässige Sicherheit für physische Smartcards – jedoch ohne die Nachteile.
Microsoft Passport bietet im Vergleich zum aktuellen Status der Windows-Authentifizierung vier erhebliche Vorteile: Es ist flexibler, basiert auf Branchenstandards, es eine wirksame Risikominderung und ist für den Einsatz durch Unternehmen bereit. Im Folgenden werden diese Vorteile ausführlicher beschrieben.
Flexibilität
Microsoft Passport bietet eine beispiellose Flexibilität. Obwohl das Format und die Verwendung von wiederverwendbaren Kennwörtern festgelegt sind, stehen Microsoft Passport-Administratoren und Benutzern Optionen zur Verwaltung der Authentifizierung zur Verfügung. Das Wichtigste ist, dass Microsoft Passport zusammen mit biometrischen IDs und PINs funktioniert. Auf diese Weise sind die Anmeldeinformationen der Benutzer selbst auf den Geräten geschützt, die biometrische Informationen nicht unterstützen. Benutzer können sogar anstelle einer PIN oder einer biometrischen Geste auf dem Hauptgerät ihr Telefon verwenden, um ihre Anmeldeinformationen freizugeben. Microsoft Passport profitiert nahtlos von der Hardware des verwendeten Geräts. Wenn Benutzer auf neue Geräte aufrüsten, können sie durch Microsoft Passport verwendet werden. Zudem können Organisationen vorhandene Geräte aktualisieren, indem sie nach Bedarf biometrische Sensoren hinzufügen.
Darüber hinaus bietet Microsoft Passport auch Flexibilität im Rechenzentrum. Um es bereitzustellen, müssen Sie in einigen Modi Ihrer Active Directory-Umgebung Windows Server 2016 Technical Preview-Domänencontroller hinzufügen. Sie müssen jedoch Ihre vorhandenen Active Directory-Server weder ersetzen noch entfernen. Hierbei handelt es sich um die erforderlichen Server für Microsoft Passport und zum Hinzufügen von Funktionen zu Ihrer vorhandenen Infrastruktur. Sie müssen weder die Domänen- noch die Gesamtstrukturfunktionsebene ändern. Sie können darüber hinaus lokale Server hinzufügen oder Microsoft Azure Active Directory verwenden, um Microsoft Passport in Ihrem Netzwerk bereitzustellen. Es unterliegt Ihnen, wie die Benutzer die Verwendung von Microsoft Passport aktivieren sollen. Sie wählen die Richtlinien und die unterstützten Geräte sowie die Authentifizierungsfaktoren aus, auf die Benutzer zugreifen dürfen. Dadurch wird es einfach, Microsoft Passport als Ergänzung zu vorhandenen Smartcard- oder Tokenbereitstellungen zu verwenden, indem ein sicherer Schutz von Anmeldeinformationen für die Benutzer hinzugefügt wird, die derzeit nicht darüber verfügen oder Microsoft Passport in Szenarien bereitstellen, in denen ein zusätzlicher Schutz für sensible Ressourcen oder Systeme (dies wird im Abschnitt Entwerfen einer Microsoft Passport for Work-Bereitstellung beschrieben) erforderlich ist.
Standardisierung
Sowohl Softwareanbieter und Unternehmenskunden haben erkannt, dass die geschützte ID und Authentifizierungssysteme eine Sackgasse sind. Die Zukunft gehört offenen, interoperablen Systemen, die die sichere Authentifizierung über eine Vielzahl von Geräten, Branchenanwendungen und externen Anwendungen und Websites erlauben. Zu diesem Zweck hat eine Gruppe von Branchenkennern die Fast IDentity Online Alliance (FIDO) gegründet. Hierbei handelt es sich um eine gemeinnützige Organisation, die versucht, den Mangel an Interoperabilität unter den sicheren Authentifizierungsgeräten sowie die Probleme zu beheben, denen Benutzer gegenüberstehen, wenn sie mehrere Benutzernamen und Kennwörter erstellen und sich diese merken müssen. Die FIDO-Allianz plant eine grundlegende Änderung der Authentifizierung. Dazu sollen Spezifikationen zur Definition von offenen, skalierbaren, interoperablen Mechanismen entwickelt werden, die Kennwörter als Methode zur sicheren Authentifizierung von Benutzern von Onlinediensten ersetzen sollen. Dieser neue Standard für Sicherheitsgeräte und Browser-Plug-Ins ermöglicht jeder Website bzw. Cloudanwendung das Herstellen von Verbindungen über Schnittstellen mit einer Vielzahl von vorhandenen und künftigen FIDO-fähigen Geräten, die der Benutzer für die Onlinesicherheit verwendet. Weitere Informationen finden Sie auf der FIDO Alliance-Website.
2013 trat Microsoft der FIDO Alliance bei. FIDO-Standards ermöglichen ein universelles Rahmenwerk, das von einem globalen Ökosystem bereitgestellt wird, um für eine einheitliche und deutlich verbesserte Benutzererfahrung bei der sicheren Authentifizierung ohne Kennwörter zu sorgen. In den im Dezember 2014 veröffentlichten FIDO 1.0-Spezifikationen werden zwei Authentifizierungstypen angegeben: ohne Kennwörter (wird auch als Universal Authentication Framework [UAF) bezeichnet) und universeller zweiter Faktor (U2F). Die FIDO Alliance arbeitet anhand eines Satzes an 2.0-Vorschlägen, um die besten Bestandteile der U2F- und UAF FIDO 1.0-Standards zu kombinieren. Microsoft trägt aktiv zu den Vorschlägen bei, und Windows 10 ist eine Referenzimplementierung dieser Konzepte. Zusätzlich zum Unterstützen dieser Protokolle deckt die Windows-Implementierung andere Aspekte der durchgängigen Erfahrung ab, die durch die Spezifikation nicht abgedeckt werden, einschließlich der Benutzeroberfläche für, dem Speichern von und dem Schutz der Geräteschlüssel von Benutzern und der Token, die nach der Authentifizierung ausgestellt wurden, unterstützt Administratorrichtlinien und stellt Bereitstellungstools bereit. Microsoft geht davon aus, weiterhin mit der FIDO Alliance zu arbeiten, wenn die FIDO 2.0-Spezifikation weiterentwickelt wird. Die Interoperabilität von FIDO-Produkten ein Markenzeichen der FIDO-Authentifizierung. Microsoft geht davon aus, dass die Markteinführung einer FIDO-Lösung einem massiven Bedürfnis von Unternehmen und Heimanwendern gleichermaßen nachkommt.
Effektivität
Microsoft Passport reduziert effektiv zwei erhebliche Sicherheitsrisiken. Da die Verwendung von wiederverwendbaren Kennwörtern beseitigt wird, wird das Risiko reduziert, dass die Anmeldeinformationen eines Benutzers kopiert oder wiederverwendet werden. Auf Geräten, die den TPM-Standard unterstützen, können die Benutzerschlüsselmaterialien im TPM des Benutzergeräts gespeichert werden. Dadurch wird es für einen Angreifer komplizierter, das Schlüsselmaterial zu erfassen und wiederzuverwenden. Bei Geräten ohne ein TPM kann Microsoft Passport Anmeldeinformationen in der Software verschlüsseln und speichern. Administratoren können dieses Feature jedoch deaktivieren, um eine „TPM oder nichts“-Bereitstellung zu erzwingen.
Da Microsoft Passport nicht von einem einzelnen, zentralisierten Server abhängig ist, besteht nicht das Risiko, dass eine Schwachstelle dieses Servers kompromittiert wird. Auch wenn ein Angreifer theoretisch ein einzelnes Gerät kompromittieren könnte, gibt es keinen einzelnen Angriffspunkt, den ein Angreifer verwenden könnte, um einen ausgedehnten Zugriff auf die Umgebung zu erhalten.
Bereit für Unternehmen
Jede Edition von Windows 10 umfasst die Microsoft Passport-Funktion für die einzelne Verwendung. Unternehmens- und persönliche Benutzer können Microsoft Passport verwenden, um ihre individuellen Anmeldeinformationen mit kompatiblen Anwendungen und Diensten zu schützen. Darüber hinaus können Unternehmen, deren Benutzer Windows 10 Professional und Windows 10 Enterprise ausführen, Microsoft Passport for Work verwenden. Hierbei handelt es sich um eine erweiterte Version von Microsoft Passport. Sie umfasst die Fähigkeit, Microsoft Passport for Work-Einstellungen für die PIN-Sicherheit und biometrische Verwendung über Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) zentral zu verwalten.
Funktionsweise von Microsoft Passport
Um Microsoft Passport für die Anmeldung mit einem Identitätsanbieter (IDP) zu verwenden, benötigt ein Benutzer ein konfiguriertes Gerät. Demzufolge startet der Microsoft Passport-Lebenszyklus, wenn Sie ein Gerät für die Verwendung von Microsoft Passport konfigurieren. Nach dem Einrichten des Geräts kann sein Benutzer das Gerät verwenden, um sich bei den Diensten zu authentifizieren. In diesem Abschnitt wird beschrieben, wie die Geräteregistrierung funktioniert, was passiert, wenn ein Benutzer die Authentifizierung anfordert, wie Schlüsselmaterial gespeichert und verarbeitet wird und welche Server- und Infrastrukturkomponenten in den unterschiedlichen Teilen dieses Prozesses einbezogen werden.
Registrieren eines neuen Benutzers oder Geräts
Ein Ziel von Microsoft Passport besteht darin, einem Benutzer ein brandneues Gerät zu öffnen, es sicher mit einem Organisationsnetzwerk zu verbinden, um Organisationsdaten herunterzuladen und zu verwalten, und eine neue Hello-Geste zu erstellen, um das Gerät zu sichern. Microsoft bezeichnet den Prozess der Einrichtung eines Geräts für die Verwendung mit Microsoft Passport als Registrierung.
Hinweis
Dies ist separat von der Organisationskonfiguration, die erforderlich ist, um Microsoft Passport mit Active Directory oder Azure AD zu verwenden. Diese Konfiguration wird später in dieser Anleitung beschrieben. Diese Konfiguration muss abgeschlossen werden, bevor sich die Benutzer registrieren können.
Der Registrierungsprozess funktioniert wie folgt:
Der Benutzer konfiguriert ein Konto auf dem Gerät.
Dieses Konto kann ein lokales Konto auf dem Gerät, ein Domänenkonto, das in der lokalen Active Directory-Domäne gespeichert ist, ein Microsoft-Konto oder ein Azure AD-Konto sein. Bei einem neuen Gerät ist dieser Schritt möglicherweise so einfach wie das Anmelden mit einem Microsoft-Konto. Durch das Anmelden mit einem Microsoft-Konto auf einem Gerät unter Windows 10 wird Microsoft Passport automatisch auf dem Gerät eingerichtet. Benutzer müssen keine zusätzlichen Aktionen ausführen, um es zu aktivieren.
Um sich für die Verwendung dieses Kontos anzumelden, muss der Benutzer die dafür vorhandenen Anmeldeinformationen eingeben.
Der IDP, dem das Konto „gehört“, empfängt die Anmeldeinformationen und authentifiziert den Benutzer. Diese IDP-Authentifizierung umfasst möglicherweise die Verwendung eines vorhandenen zweiten Authentifizierungsfaktors oder Nachweises. So muss beispielsweise ein Benutzer, der ein neues Gerät mithilfe eines Azure AD-Kontos registriert, einen SMS-basierten Nachweis bereitstellen, der von Azure AD gesendet wird.
Wenn der Benutzer dem IDP den Nachweis bereitgestellt hat, aktiviert der Benutzer die PIN-Authentifizierung (Abbildung 1).
Die PIN mit diesen bestimmten Anmeldeinformationen verknüpft.
.png "Abbildung 1")
Abbildung 1. Einrichten einer PIN im Systemsteuerungselement Kontoeinstellungen
Wenn der Benutzer die PIN einrichtet, kann sie sofort verwendet werden (Abbildung 2).
.png "Abbildung 2")
Abbildung 2. Wenn festgelegt, kann die PIN sofort verwendet werden.
Beachten Sie, dass Microsoft Passport von der Kopplung eines Geräts und der Anmeldeinformationen abhängt. Daher wird die ausgewählte PIN nur mit der Kombination des aktiven Kontos und des bestimmten Geräts verknüpft. Die PIN muss mit der Längen- und Komplexitätsrichtlinie konform sein, die durch den Administrator konfiguriert wurde. Diese Richtlinie wird auf der Geräteseite erzwungen. Andere Registrierungsszenarien, die Microsoft Passport unterstützen, lauten:
Ein Benutzer, der ein Upgrade vom Windows 8.1-Betriebssystem vornimmt, meldet sich mithilfe seines vorhandenen Unternehmenskennworts an. Dadurch wird die MFA von der IDP-Seite ausgelöst. Nach dem Empfangen und Zurückgeben eines Nachweises, beispielsweise eine Textnachricht oder ein Stimmcode, identifiziert der IDP den Benutzer für das aktualisierte Windows 10-Gerät, und der Benutzer kann seine PIN festlegen.
Ein Benutzer, der für gewöhnlich eine Smartcard verwendet, um sich anzumelden, wird aufgefordert, bei seiner ersten Anmeldung an einem Windows 10-Gerät eine PIN einzurichten.
Ein Benutzer, der für gewöhnlich eine virtuelle Smartcard verwendet, um sich anzumelden, wird aufgefordert, bei seiner ersten Anmeldung an einem Windows 10-Gerät eine PIN einzurichten.
Wenn der Benutzer diesen Prozess abgeschlossen hat, generiert Microsoft Passport ein neues öffentlich-privates Schlüsselpaar auf dem Gerät. Das TPM generiert und speichert diesen privaten Schlüssel. Wenn das Gerät über kein TPM verfügt, wird der private Schlüssel verschlüsselt und in der Software gespeichert. Dieser erste Schlüssel wird als Schlüsselschutzvorrichtung bezeichnet. Es ist nur mit einer einzelnen Geste verknüpft. Wenn ein Benutzer eine PIN, einen Fingerabdruck und ein Gesicht auf demselben Gerät registriert, verfügen demnach alle diese Gesten über eine eindeutige Schlüsselschutzvorrichtung. Die Schlüsselschutzvorrichtung umschließt den Authentifizierungsschlüssel sicher für einen bestimmten Container. Jeder Container verfügt nur über einen Authentifizierungsschlüssel. Es können jedoch mehrere Kopien dieses Schlüssels vorhanden sein, die mit unterschiedlichen eindeutigen Schlüsselschutzvorrichtungen (wobei jeder davon einer eindeutigen Geste zugeordnet ist) umschlossen sind. Microsoft Passport generiert zudem einen Verwaltungsschlüssel. Dieser kann durch den Benutzer oder Administrator verwendet werden, um die Anmeldeinformationen bei Bedarf zurückzusetzen. Zusätzlich zur Schlüsselschutzvorrichtung generieren TPM-fähige Geräte einen Datenblock, der die Nachweise aus dem TPM enthält.
An dieser Stelle verfügt der Benutzer über eine PIN-Geste, die auf dem Gerät definiert ist, sowie über eine zugehörige Schlüsselschutzvorrichtung für diese PIN-Geste. Dadurch kann er sich mit der PIN sicher am Gerät anmelden. Auf diese Weise kann er eine vertrauenswürdige Sitzung mit dem Gerät herstellen, um die Unterstützung für eine biometrische Geste als eine Alternative für die PIN hinzuzufügen. Wenn Sie eine biometrische Geste hinzufügen, wird dabei dieselbe grundlegende Sequenz befolgt: Der Benutzer authentifiziert sich beim System, indem er seine PIN verwendet. Anschließend registriert er die neuen biometrischen Informationen („In die Kamera lachen!“), nachdem Windows ein eindeutiges Schlüsselpaar generiert hat, und speichert sie sicher. Bei künftigen Anmeldungen können dann die PIN oder die registrierten biometrischen Gesten verwendet werden.
Was ist ein Container?
Oftmals wird der Begriff Container mit Bezug auf MDM-Lösungen verwendet. Microsoft Passport verwendet den Begriff jedoch auf etwas andere Weise. In diesem Kontext ist Container die Abkürzung für eine logische Gruppierung von Schlüsselmaterial oder Daten. Windows 10 unterstützt zwei Container: Im Standardcontainer sind die Benutzerschlüsselmaterialien für persönliche Konten enthalten, einschließlich des Schlüsselmaterials, das mit dem Microsoft-Konto des Benutzers oder mit anderen Consumer-Identitätsanbietern verknüpft ist. Demgegenüber sind im Unternehmenscontainer die Anmeldeinformationen enthalten, die mit einem Arbeitsplatz oder einem Schulkonto verknüpft sind.
Der Unternehmenscontainer ist nur auf Geräten vorhanden, die für eine Organisation registriert wurde. Er enthält das Schlüsselmaterial für den Unternehmens-IDP, beispielsweise für das lokale Active Directory oder Azure AD. Der Unternehmenscontainer enthält nur die Schlüsseldaten für Active Directory oder Azure AD. Wenn der Unternehmenscontainer auf einem Gerät vorhanden ist, wird er vom Standardcontainer getrennt entsperrt. Dadurch wird eine Trennung der Daten und des Zugriffs über persönliche und Unternehmensanmeldeinformationen und Dienste hinweg aufrechterhalten. So kann beispielsweise ein Benutzer, der sich mit einer biometrischen Geste an einem verwalteten Computer anmeldet, seinen persönlichen Container getrennt entsperren, indem er eine PIN eingibt, wenn er sich auf einer Website anmeldet, um eine Zahlung zu tätigen.
Diese Container sind logisch getrennt. Organisationen besitzen keinerlei Kontrolle über die von Benutzern im Standardcontainer gespeicherten Anmeldeinformationen. Anwendungen, die für Dienste im Standardcontainer authentifiziert werden, können die Anmeldeinformationen zudem nicht aus dem Unternehmenscontainer verwenden. Einzelne Windows-Anwendungen können jedoch die Microsoft Passport-APIs verwenden, um entsprechend den Zugriff auf Anmeldeinformationen anzufordern. Auf diese Weise können Consumer- und Branchenanwendungen so erweitert werden, um von Microsoft Passport zu profitieren.
Es ist wichtig zu beachtet, dass weder auf dem Datenträger noch in der Registrierung oder an anderer Stelle physische Container vorhanden sind. Bei Containern handelt es sich um logische Einheiten, die verwendet werden, um zugehörige Elemente zu gruppieren. Die durch Microsoft Passport gespeicherten Schlüssel, Zertifikate und Anmeldeinformationen sind geschützt, ohne dass dafür tatsächliche Container oder Ordner erstellt werden müssen.
Jeder Container enthält eine Reihe von Schlüssel. Davon werden einige verwendet, um die anderen Schlüssel zu schützen. In Abbildung 3 wird ein Beispiel veranschaulicht: Die Schutzvorrichtung wird verwendet, um den Authentifizierungsschlüssel zu verschlüsseln, und der Authentifizierungsschlüssel wird verwendet, um die einzelnen, im Container gespeicherten Schlüssel zu verschlüsseln.
.png "Abbildung 3")
Abbildung 3. Jeder logische Container enthält einen oder mehrere Schlüsselsätze
Container können verschiedene Schlüsselmaterialtypen enthalten:
Ein Authentifizierungsschlüssel, bei dem es sich immer um ein asymmetrisches Schlüsselpaar (öffentlich/privat) handelt. Dieses Schlüsselpaar wird während der Registrierung generiert. Es muss bei jedem Zugriff darauf entsperrt werden, entweder mithilfe der PIN des Benutzers oder einer zuvor generierten biometrischen Geste. Der Authentifizierungsschlüssel ist vorhanden, bis der Benutzer die PIN zurücksetzt, wobei ein neuer Schlüssel erstellt wird. Wenn der neue Schlüssel generiert wird, müssen alle durch den Schlüssel zuvor geschützten Schlüsselmaterialien entschlüsselt und mithilfe des neuen Schlüssels erneut verschlüsselt werden.
Virtuelle Smartcardschlüssel werden generiert, wenn eine virtuelle Smartcard generiert und sicher im Container gespeichert wird. Sie stehen immer dann zur Verfügung, wenn der Container des Benutzers entsperrt ist.
Secure/Multipurpose Internet Mail Extensions-Schlüssel (S/MIME) und Zertifikate, die durch eine Zertifizierungsstelle generiert werden. Die mit dem S/MIME-Zertifikat des Benutzers verknüpften Schlüssel können in einem Microsoft Passport-Container gespeichert werden. Auf diese Weise stehen sie dem Benutzer zur Verfügung, sobald der Container entsperrt ist.
Der IDP-Schlüssel. Diese Schlüssel können symmetrisch oder asymmetrisch sein, und zwar in Abhängigkeit des von Ihnen ausgewählten IDPs. Ein einzelner Container enthält möglicherweise keinen oder mehrere IDP-Schlüssel mit einigen Einschränkungen (beispielsweise kann der Unternehmenscontainer keinen oder einen IDP-Schlüssel aufweisen). IDP-Schlüssel werden im Container gespeichert, wie dies in Abbildung 3 veranschaulicht wird. Wenn der Container gesperrt ist, können Anwendungen beim zertifikatsbasierten Microsoft Passport for Work, die Zugriff auf den IDP-Schlüssel oder das Schlüsselpaar benötigen, den Zugriff anfordern. IDP-Schlüssel werden zum Signieren oder Verschlüsseln von Authentifizierungsanforderungen oder Token verwendet, die von diesem Computer an den IDP gesendet werden. IDP-Schlüssel können in der Regel lange verwendet werden. Ihre Lebenszeit könnte jedoch kürzer ausfallen als die des Authentifizierungsschlüssels.
Für Microsoft-, Active Directory- und Azure AD-Konten ist die Verwendung von asymmetrischen Schlüsselpaaren erforderlich. Das Gerät generiert öffentliche und private Schlüssel, registriert den öffentlichen Schlüssel mit dem IDP (der ihn für die spätere Überprüfung speichert) und speichert den privaten Schlüssel sicher. Für Unternehmen können IDP-Schlüssel auf zwei Arten generiert werden:
Das IDP-Schlüsselpaar kann mit einer Unternehmenszertifizierungsstelle über den Windows-Registrierungsdienst für Netzwerkgeräte (NDES) verknüpft werden. Dies wird im Leitfaden für den Registrierungsdienst für Netzwerkgeräte ausführlicher beschrieben. In diesem Fall fordert Microsoft Passport ein neues Zertifikat mit demselben Schlüssel wie das Zertifikat aus der vorhandenen PKI an. Dadurch können Organisationen, die über eine vorhandene PKI verfügen, es weiterhin entsprechend verwenden. Angesichts der Tatsache, dass viele Anwendungen wie häufig verwendete VPN-Systeme die Verwendung von Zertifikaten erfordern, wenn Sie Microsoft Passport in diesem Modus bereitstellen, ermöglicht dies einen schnelleren Übergang weg von den Benutzerkennwörtern, während gleichzeitig die zertifikatsbasierte Funktion aufrechterhalten wird. Mit dieser Option kann das Unternehmen zudem zusätzliche Zertifikate im geschützten Container speichern.
Der IDP kann das IDP-Schlüsselpaar direkt generieren. Dies ermöglicht eine schnelle und weniger aufwändige Bereitstellung von Microsoft Passport in Umgebungen, die weder über eine PKI verfügen noch eine benötigen.
So werden Schlüssel geschützt
Bei jedem Generieren von Schlüsselmaterialien muss dieses gegen Angriffe geschützt werden. Die zuverlässigste Möglichkeit diesbezüglich ist über spezialisierte Hardware möglich. Lange Zeit wurden Hardwaresicherheitsmodule (Hardware Security Modules, HSMs) verwendet, um die sicherheitskritische Anwendungen zu generieren, zu speichern und zu verarbeiten. Bei Smartcards handelt es sich um einen besonderen HSM-Typ, ebenso wie Geräte, die mit dem Trusted Computing Group TPM-Standard konform sind. Nach Möglichkeit profitiert die Microsoft Passport for Work-Implementierung von der integrierten TPM-Hardware, um Schlüssel zu generieren, zu speichern und zu verarbeiten. Für Microsoft Passport und Microsoft Passport for Work ist jedoch kein integriertes TPM erforderlich. Administratoren können auswählen, Schlüsselvorgänge in der Software zu erlauben. In diesem Fall kann jeder Benutzer, der über Administratorrechte auf dem Computer verfügt (oder diese erlangen kann), die IDP-Schlüssel zum Signieren von Anforderungen verwenden. Als Alternative können in einigen Szenarien Geräte, die nicht über ein TPM verfügen, remote mithilfe eines Geräts authentifiziert werden, das über ein TPM verfügt. In diesem Fall werden alle sensiblen Vorgänge mit dem TPM ausgeführt, und es werden keine Schlüsselmaterialien offengelegt.
Microsoft empfiehlt, dass nach Möglichkeit TPM-Hardware verwendet wird. Das TPM schützt vor einer Vielzahl von unbekannten und potenziellen Angriffen, einschließlich Brute-Force-Angriffen auf die PIN. Das TPM stellt auch nach einer Kontosperre eine zusätzliche Schutzebene bereit. Wenn das TPM das Schlüsselmaterial gesperrt hat, muss der Benutzer die PIN (er muss demzufolge die MFA verwenden, um sich erneut beim IDP zu authentifizieren, bevor ihm der IDP ermöglich, sich erneut zu registrieren) zurücksetzen. Beim Zurücksetzen der PIN werden alle mit dem alten Schlüsselmaterial verschlüsselten Schlüssel und Zertifikate entfernt.
Authentifizierung
Wenn ein Benutzer auf geschützte Schlüsselmaterialien zugreifen möchte (womöglich um eine Internetsite zu verwenden, für die eine Anmeldung erforderlich ist, oder auf geschützte Ressourcen in einem Unternehmensnetzwerk zuzugreifen), beginnt der Authentifizierungsprozess damit, dass der Benutzer eine PIN eingibt oder biometrische Geste vornimmt, um das Gerät zu entsperren. Dieser Prozess wird gelegentlich als Freigeben des Schlüssels bezeichnet. Stellen Sie sich diesen Vorgang wie das Verwenden eines Schlüssels zum Öffnen einer Tür vor. Bevor Sie die Tür öffnen können, müssen Sie zunächst den Schlüssel aus Ihrer Tasche oder Ihrem Geldbeutel aufnehmen. Auf einem persönlichen Gerät, das mit einem Organisationsnetzwerk verbunden ist, verwenden die Benutzer ihre persönliche PIN oder biometrischen Informationen, um den Schlüssel freizugeben. Auf einem Gerät, das mit einer lokalen Azure AD-Domäne verbunden ist, verwenden sie die Organisations-PIN.
Durch diesen Prozess wird die Schutzvorrichtung für den primären Container auf dem Gerät entsperrt. Nach dem Entsperren dieses Containers können Anwendungen (und also auch der Benutzer) die innerhalb des Containers befindlichen IDP-Schlüssel verwenden.
Diese Schlüssel werden verwendet, um Anforderungen zu signieren, die an den IDP gesendet werden, um den Zugriff auf angegebene Ressourcen anzufordern. Es ist wichtig zu verstehen, dass, auch wenn die Schlüssel entsperrt sind, Anwendungen sie nicht beliebig verwenden können. Anwendungen können bestimmte APIs verwenden, um Vorgänge anzufordern, für die Schlüsselmaterial für bestimmte Aktionen (beispielsweise für das Entschlüsseln einer E-Mail oder Anmelden an einer Website) erforderlich sind. Für den Zugriff auf diese APIs ist keine explizite Überprüfung über eine Benutzergeste erforderlich, und das Schlüsselmaterial wird der anfordernden Anwendung nicht offengelegt. Stattdessen fordert die Anwendung die Authentifizierung, Ver- oder Entschlüsselung an, und die Microsoft Passport-Ebene nimmt die tatsächliche Arbeit vor und gibt die Ergebnisse zurück. Eine Anwendung kann ggf. auch auf entsperrten Geräten eine erzwungene Authentifizierung anfordern. Windows fordert den Benutzer auf, die PIN erneut einzugeben oder eine Authentifizierungsgeste vorzunehmen. Dies fügt sensiblen Daten oder Aktionen eine zusätzliche Schutzebene hinzu. Beispielsweise können Sie den Windows Store so konfigurieren, dass er die erneute Authentifizierung anfordert, sobald ein Benutzer eine Anwendung erwirbt, auch wenn dasselbe Konto und die PIN oder Geste bereits zum Entsperren des Geräts verwendet wurden.
So funktioniert der tatsächliche Authentifizierungsprozess
Der Client sendet eine leere Authentifizierungsanforderung an den IDP. (Dies erfolgt lediglich für den Handshake-Prozess.)
Der IDP gibt eine Herausforderung zurück, die auch als eine Nonce bezeichnet wird.
Das Gerät signiert die Nonce mit dem entsprechenden privaten Schlüssel.
Das Gerät gibt die ursprüngliche Nonce, die signierte Nonce und die ID des zum Signieren der Nonce verwendeten Schlüssels zurück.
Der IDP ruft den öffentlichen Schlüssel ab, den die Schlüssel-ID angegeben hat, verwendet ihn zum Überprüfen der Signatur auf der Nonce und überprüft, ob die vom Gerät zurückgegebene Nonce mit dem Original übereinstimmt.
Wenn alle Überprüfungen in Schritt 5 erfolgreich verlaufen sind, gibt der IDP zwei Datenelemente zurück: einen symmetrischen Schlüssel, der mit dem öffentlichen Schlüssel des Geräts verschlüsselt ist, und ein Sicherheitstoken, das mit dem symmetrischen Schlüssel verschlüsselt ist.
Das Gerät verwendet seinen privaten Schlüssel, um den symmetrischen Schlüssel zu entschlüsseln, und verwendet anschließend den symmetrischen Schlüssel, um das Token zu entschlüsseln.
Das Gerät nimmt eine normale Authentifizierungsanforderung für die ursprüngliche Ressource vor, wobei das Token vom IDP als Authentifizierungsnachweis präsentiert wird.
Wenn der IDP die Signatur überprüft, wird geprüft, ob die Anforderung vom angegebenen Benutzer und Gerät stammte. Der für das Gerät spezifische private Schlüssel signiert die Nonce. Dadurch kann der IDP die Identität des anfordernden Benutzers und Geräts ermitteln. So kann er Richtlinien für den Inhaltszugriff auf Grundlage des Benutzers, Gerätetyps oder einer Kombination von beiden anwenden. So könnte ein IDP beispielsweise den Zugriff auf einen Ressourcensatz nur über Mobilgeräte erlauben und den Zugriff auf einen anderen Satz nur über Desktopgeräte.
Die Remoteentsperrung, die für eine künftige Windows 10-Veröffentlichung geplant ist, basiert auf diesen Szenarien, indem die nahtlose Remoteauthentifizierung von einem Mobilgerät als ein zweiter Faktor ermöglicht wird. Angenommen, Sie besuchen ein anderes Büro in Ihrem Unternehmen und Sie müssen sich temporär einen Computer borgen, die Erfassung Ihrer Anmeldedaten jedoch nicht potenziell offenlegen. Anstelle Ihre Anmeldeinformationen einzugeben, können Sie auf dem Windows 10-Anmeldebilschirm auf Anderer Benutzer klicken, Ihren Benutzernamen eingeben, die Kachel für die Remoteauthentifizierung auswählen und eine App auf Ihrem Telefon verwenden, die Sie bereits mithilfe der integrierten Gesichtserkennungssensoren entsperrt haben. Das Telefon und der Computer werden gekoppelt, und es erfolgt ein Handshake per Bluetooth, Sie geben Ihre Authentifizierungs-PIN auf dem Telefon ein, und der Computer ruft die Bestätigung Ihrer Identität vom IDP ab. Dies alles erfolgt, ohne dass Sie weder ein Kennwort noch Ihre PIN auf dem PC eingeben müssen.
Die Infrastruktur
Microsoft Passport hängt davon ab, dass kompatible IDPs dafür verfügbar sind. Bis heute haben Sie demnach vier Bereitstellungsmöglichkeiten:
Verwenden Sie eine vorhandene Windows-basierte PKI, die in der Mitte der Active Directory-Zertifikatdienste steht. Für diese Option ist eine zusätzliche Infrastruktur erforderlich, einschließlich einer Möglichkeit, Zertifikate für Geräte auszustellen. Verwenden Sie NDES für die direkte Registrierung von Geräten, Microsoft System Center Configuration Manager Technical Preview oder höher für lokale Umgebungen oder Microsoft Intune (sofern verfügbar) für die Verwaltung der Mobilgerätteilnahme in Microsoft Passport.
Sie können Windows Server 2016 Technical Preview-Domänencontroller so konfigurieren, dass sie als IDPs für Microsoft Passport fungieren. In diesem Modus fungieren Windows Server 2016 Technical Preview-Domänencontroller zusammen mit vorhandenen Domänencontrollern unter Windows Server 2008 R2 oder höher als IDPs. Es besteht keine Anforderung, alle vorhandenen Domänencontroller zu ersetzen. Sie müssen jedoch mindestens einen Windows Server 2016 Technical Preview-Domänencontroller pro Active Directory-Standort einführen und die AD DS-Schemagesamtstruktur auf Windows Server 2016 Technical Preview aktualisieren.
Der normale Erkennungsmechanismus, den Clients verwenden, um Domänencontroller und globale Kataloge zu ermitteln beruht auf DNS-SRV-Datensätzen. Diese Datensätze können jedoch keine Versionsdaten enthalten. Computer unter Windows 10 fragen DNS nach SRV-Datensätzen ab, um alle verfügbaren Active Directory-Server zu ermitteln. Anschließend fragen sie jeden Server ab, um diejenigen zu ermitteln, die als Microsoft Passport-IDPs fungieren können. Die Anzahl der von Ihren Benutzern generierten Authentifizierungsanforderungen, der Standort Ihrer Benutzer und der Entwurf Ihres Netzwerks tragen alle zur erforderlichen Anzahl an Windows Server 2016 Technical Preview-Domänencontrollern bei.
Azure AD kann als eigenständig als IDP fungieren oder zusammen mit einer lokalen AD DS-Gesamtstruktur. Organisationen, die Azure AD verwenden, können Geräte direkte registrieren, ohne sie mit einer lokalen Domäne verbinden zu müssen, indem sie die Funktionen des Azure AD-Geräteregistrierungsdiensts verwenden.
Zusätzlich zum IDP erfordert Microsoft Passport ein MDM-System. Bei diesem System kann es sich um das cloudbasierte Intune handeln, wenn Sie eine Azure AD- oder eine lokale System Center Configuration Manager-Bereitstellung verwenden, die die Systemanforderungen erfüllt, die im Abschnitt Bereitstellungsanforderungen dieses Dokuments beschrieben werden.
Entwerfen einer Microsoft Passport for Work-Bereitstellung
Microsoft Passport for Work wurde so konzipiert, um in Ihre vorhandenen und künftigen Verzeichnisinfrastruktur- und Gerätebereitstellungen integriert werden zu können. Diese Flexibilität bedeutet jedoch, dass es viele Überlegungen angestellt werden müssen, wenn Sie Ihre Bereitstellung entwerfen. Einige dieser Entscheidungen sind technischer Natur, andere wiederum sind organisationsbedingt oder sogar politisch. In diesem Abschnitt werden die wichtigsten Punkte untersucht, hinsichtlich derer Sie Entscheidungen über die Art und Weise der Implementierung von Microsoft Passport for Work treffen müssen. Beachten Sie, einzelne Geräte können die einzelne Version von Microsoft Passport verwenden, ohne dass Ihrerseits Infrastrukturänderungen erforderlich sind. Mit Microsoft Passport for Work können Sie die Benutzerauthentifizierung und Geräteregistrierung steuern und zentral verwalten. Um die anfängliche Version von Microsoft Passport for Work zu verwenden, muss jedes Gerät über eine Azure AD-Identität verfügen. Damit stellt die automatische Registrierung von Geräten eine Methode bereit, um sowohl neue Geräte zu registrieren als auch optionale Richtlinien anzuwenden, um Microsoft Passport for Work zu verwalten.
Strategie „Eine Bereitstellung“
Unterschiedliche Organisationen unternehmen zwangsläufig unterschiedliche Ansätze für die Bereitstellung von Microsoft Passport in Abhängigkeit ihrer Funktionen und Anforderungen. Es gibt jedoch nur eine Strategie: Das Bereitstellen von Microsoft Passport for Work in der gesamten Organisation, um den maximalen Schutz für die maximale Anzahl an Geräten und Ressourcen zu erhalten. Organisationen können drei grundlegende Wege zum Vollenden dieser Strategie beschreiten:
Bereitstellen von Microsoft Passport for Work in der gesamten Organisation, und zwar in Abhängigkeit davon, welche Geräte- oder Benutzerbereitstellungsstrategie sich für die Organisation am besten eignet.
Vorrangiges Bereitstellen von Microsoft Passport for Work auf Zielen von hohem Wert oder hohem Risiko mithilfe von bedingten Zugriffsrichtlinien, um den Zugriff auf die wichtigen Ressourcen nur für die Benutzer zu beschränken, die über starke Authentifizierungsanmeldeinformationen verfügen.
Integrieren von Microsoft Passport for Work in einer vorhandenen mehrstufigen Umgebung, wobei diese als eine zusätzliche sichere Authentifizierung zusammen mit physischen oder virtuellen Smartcards verwendet wird.
Bereitstellen von Microsoft Passport for Work in der gesamten Organisation
In diesem Ansatz stellen Sie Microsoft Passport über eine koordinierte Einführung in der gesamten Organisation bereit. Gewissermaßen ähnelt diese Methode anderen Desktopbereitstellungsprojekten. Der einzige wirkliche Unterschied besteht darin, dass Sie bereits über eine vorhandene Microsoft Passport-Infrastruktur verfügen müssen, um die Geräteregistrierung zu unterstützen, bevor Sie mit Verwendung von Microsoft Passport auf Geräten unter Windows 10 beginnen können.
Hinweis
Sie können weiterhin ein Upgrade auf Windows 10 vornehmen oder neue Geräte unter Windows 10 hinzufügen, ohne Ihre Infrastruktur zu ändern. Sie können Microsoft Passport for Work auf einem Gerät erst dann verwenden, nachdem das Gerät mit Azure AD verbunden wurde und die entsprechende Richtlinien erhalten hat.
Der Hauptvorteil dieses Ansatzes besteht darin, dass dadurch für alle Bereiche der Organisation ein einheitlicher Schutz bereitgestellt wird. Erfahrene Angreifer haben ihre umfangreichen Fähigkeiten gezeigt, wenn es darum geht, große Organisationen zu verletzen, indem sie die Schwachpunkte in der Sicherheit ausgemacht haben. Dazu zählen auch die Benutzer und Systeme, die zwar nicht über Informationen von hohem Wert verfügen, jedoch missbraucht werden können, um an sie zu gelangen. Das Anwenden eines einheitlichen Schutzes über jedes einzelne Gerät hinweg, das durch einen Angreifer verwendet werden könnte, um auf die Unternehmensdaten zuzugreifen, ist ein hervorragender Schutz gegen diese Art von Angriffen.
Der Nachteil dieses Ansatzes ist seine Komplexität. Kleinere Organisationen sind möglicherweise der Ansicht, dass die Einführung eines neuen Betriebssystems auf allen Geräten den Umfang ihrer Erfahrung und Fähigkeit übersteigt. Bei diesen Organisationen können Benutzer selbst ein Upgrade vornehmen, und die neuen Benutzer landen schließlich bei Windows 10, da sie neue Geräte erhalten, wenn sie sich der Organisation anschließen. Größere Organisationen, insbesondere diejenigen, die hochgradig dezentralisiert sind oder über Transaktionen über mehrere physische Standorte verfügen, verfügen möglicherweise über ein größeres Bereitstellungswissen und die entsprechenden -ressourcen. Sie müssen jedoch mit der Herausforderung leben, die Einführung über eine große Benutzerbasis und eine Präsenz hinweg zu koordinieren.
Weitere Informationen über die Desktopbereitstellung von Windows 10 finden Sie im Windows 10 TechCenter.
Ein wichtiger Aspekt dieser Bereitstellungsstrategie besteht darin, wie Windows 10 in die Hände der Benutzer gelangen soll. Da unterschiedliche Organisationen völlig unterschiedliche Strategien haben, um ihre Hard- und Software zu aktualisieren, gibt es keine Einheitsstrategie. So verfolgen beispielsweise einige Organisation eine koordinierte Strategie, in der die Benutzer alle 2–3 Jahre neue Desktopbetriebssysteme auf der vorhandenen Hardware erhalten, wobei die Ergänzung mit neuer Hardware nur dann erfolgt, wenn dies erforderlich ist. Andere wiederum tendieren dazu, die Hardware zu ersetzen und die Bereitstellung unabhängig von der auf den erworbenen Geräten vorhandenen Version des Windows-Clientbetriebssystems vorzunehmen. In beiden Fällen gibt es für gewöhnlich getrennte Bereitstellungszyklen für Server und Serverbetriebssysteme, und die Desktop- und Serverzyklen werden möglicherweise oder auch nicht koordiniert.
Zusätzlich zum Ausstellen der Windows 10-Bereitstellungen für Benutzer müssen Sie in Erwägung ziehen, wie und wann (oder ob!) Sie biometrische Geräte für Benutzer bereitstellen. Da Windows Hello mehrere biometrische IDs verwenden kann, haben Sie einen flexiblen Bereich an Geräteoptionen. Dieser umfasst das Erwerben von neuen Geräten, auf denen Ihre ausgewählten biometrischen Informationen integriert werden, die Seeding-Auswahl von Benutzern mit entsprechenden Geräten, das Einführen von biometrischen Geräten als Bestandteil einer geplanten Hardwareaktualisierung und das Verwenden von PIN-Gesten, bis die Benutzer die Geräte erhalten, oder das sich Verlassen auf die Remoteentsperrung als zweiten Authentifizierungsfaktor.
Bereitstellen auf Zielen von hohem Wert oder von hohem Risiko
In dieser Strategie wird berücksichtigt, dass in den meisten Netzwerken nicht jede Ressource gleichermaßen geschützt oder gleichermaßen wertvoll ist. Es gibt zwei Ansätze. Einer besteht darin, sich auf den Schutz von Benutzern und Diensten zu konzentrieren, die aufgrund ihres Werts das höchste Kompromittierungsrisiko aufweisen. Dies umfasst beispielsweise sensible interne Datenbanken oder die Benutzerkonten Ihres Vorstands. Die andere Option besteht darin, sich auf Bereiche Ihres Netzwerks zu konzentrieren, die am anfälligsten sind, wie etwa Benutzer, die häufig reisen (und daher ein höheres Risiko haben, dass sie ihre Geräte verlieren oder das sie gestohlen werden oder dem Diebstahl von Anmeldeinformationen zum Opfer fallen). In beiden Fällen ist die Strategie identisch: ausgewähltes und schnelles Bereitstellen von Microsoft Passport, um bestimmte Personen und Ressourcen zu schützen. So können Sie beispielsweise neue Geräte unter Windows 10 mit biometrischen Sensoren für alle Benutzer ausstellen, die auf eine sensible interne Datenbank zugreifen müssen, und anschließend die für die Unterstützung des sicheren Zugriffs mithilfe von Microsoft Passport auf diese Datenbank für diese Benutzer minimal erforderliche Infrastruktur bereitstellen.
Eine der wichtigsten Entwurfsfunktionen von Microsoft Passport for Work besteht darin, dass es Bring Your Own Device-Umgebungen (BYOD) unterstützt, indem Benutzer ermöglicht wird, ihre eigenen Geräte beim Organisations-IDP (lokal, hybrid oder Azure AD) zu registrieren. Sie können diese Funktion verwenden, um Microsoft Passport schnell bereitzustellen, um Ihre wertvollsten Benutzer oder Ressourcen zu schützen, und zwar im Idealfall mithilfe von biometrischen Informationen als zusätzliche Sicherheitsmaßnahme für die potenziell wertvollsten Ziele.
Integrieren von Microsoft Passport in Ihrer Infrastruktur
Organisationen, die bereits Investitionen in Smartcards, virtuelle Smartcards oder tokenbasierte Systeme getätigt haben, können weiterhin von Microsoft Passport profitieren. Von diesen Organisationen verwenden viele physische Token und Smartcards, um auf der Kosten und Komplexität ihrer Bereitstellung nur die kritischen Ressourcen zu schützen. Microsoft Passport bietet diesen Systemen eine wertvolle Ergänzung, da es Benutzer schützt, die sich aktuell auf wiederverwendbare Anmeldeinformationen verlassen. Der Schutz der Anmeldeinformationen sämtlicher Benutzer ist ein wichtiger Schritt dahingehend, Angriffe abzuschwächen, die versuchen, Anmeldeinformationen in großem Stile zu kompromittieren. Mit diesem Ansatz erhalten Sie ein hohes Maß an Flexibilität hinsichtlich der Planung und Bereitstellung.
In einigen Unternehmen wurden mehrfach verwendbare Smartcards bereitgestellt, die die Zugriffssteuerung auf das Gebäude, den Zugriff auf Kopiergeräte oder andere Bürogeräte, den gespeicherten Wert für Kantineneinkäufe, den Remotenetzwerkzugriff und andere Dienste bereitstellen. Das Bereitstellen von Microsoft Passport in solchen Umgebungen hindert Sie nicht daran, weiterhin Smartcards für diese Services zu verwenden. Sie können die vorhandene Smartcard-Infrastruktur für die vorhandenen Anwendungsfälle beibehalten und anschließend Desktop- und Mobilgeräte in Microsoft Passport registrieren und Microsoft Passport für den sicheren Zugriff auf die Netzwerk- und Internetressourcen verwenden. Für diesen Ansatz sind eine kompliziertere Infrastruktur und ein höherer Reifegrad der Organisation erforderlich, da Sie Ihre vorhandene PKI mit einem Registrierungsdienst und Microsoft Passport an sich verbinden müssen.
Smartcards können in einer anderen wichtigen Art als eine nützliche Ergänzung zu Microsoft Passport fungieren: zum Laden der ersten Anmeldung für die Microsoft Passport-Registrierung. Wenn sich ein Benutzer mit Microsoft Passport an einem Gerät registriert, ist für Teile dieses Registrierungsprozesses eine herkömmliche Anmeldung erforderlich. Anstelle ein herkömmliches Kennwort zu verwenden, können Organisationen, die bisher die erforderliche Infrastruktur für Smartcards oder virtuelle Smartcards bereitgestellt haben, ihren Benutzern erlauben, neue Geräte zu registrieren, indem sie sich mit einer Smartcard oder einer virtuellen Smartcard anmelden. Nachdem der Benutzer mithilfe der Smartcard seine Identität beim Organisations-IDP nachgewiesen hat, kann der Benutzer eine PIN einrichten und Microsoft Passport für künftige Anmeldungen weiterhin verwenden.
Auswählen einer Einführungsmethode
Die von Ihnen ausgewählte Einführungsmethode hängt von verschiedenen Faktoren ab:
Der Anzahl der bereitzustellenden Geräte. Diese Anzahl hat einen großen Einfluss auf die Gesamtbereitstellung. Eine globale Einführung für 75.000 Benutzer hat andere Anforderungen als eine gestaffelte Einführung von Gruppen zu jeweils 200–300 Benutzer an unterschiedlichen Orten.
Wie schnell Sie den Microsoft Passport for Work-Schutz bereitstellen möchten. Dies ist ein klassischer Kosten-Nutzen-Kompromiss. Sie müssen die Sicherheitsvorteile von Microsoft Passport for Work an den Kosten und der Zeit abwägen, die für das umfangreiche Bereitstellen erforderlich sind. Zudem treffen unterschiedliche Organisationen möglicherweise komplett andere Entscheidungen, je nachdem, wie sie die zugehörigen Kosten und Vorteile bewerten. Das Erhalten der größtmöglichen Microsoft Passport-Abdeckung in der kürzestmöglichen Zeit maximiert die Sicherheitsvorteile.
Der bereitzustellende Gerätetyp. Windows-Gerätehersteller führen dynamisch neue Geräte ein, die für Windows 10 optimiert sind, was zu der Möglichkeit führt, dass Sie Microsoft Passport möglicherweise zunächst auf neu erworbenen Tablets und tragbaren Geräten bereitstellen und es anschließend als Desktopcomputern als Bestandteil Ihres normalen Aktualisierungszyklus bereitstellen.
Ihrer aktuellen Infrastruktur. Die einzelne Version von Microsoft Passport erfordert keine Änderungen an Ihrer Active Directory-Umgebung. Sie müssen benötigen zum Unterstützen von Microsoft Passport for Work jedoch möglicherweise ein kompatibles MDM-System. In Abhängigkeit der Größe und Zusammensetzung Ihres Netzwerks ist die Registrierung von Mobilgeräten und die Bereitstellung von Verwaltungsdiensten an sich schon ein großes Projekt.
Ihren Plänen für die Cloud. Wenn Sie bereits planen, in die Cloud zu wechseln, vereinfacht Azure AD den Prozess der Microsoft Passport for Work-Bereitstellung, da Sie Azure AD als einen IDP zusammen mit Ihrer vorhandenen lokalen AD DS-Einrichtung verwenden können, ohne erhebliche Änderungen an Ihrer lokalen Umgebung vornehmen zu müssen. Künftige Versionen von Microsoft Passport for Work unterstützen die Fähigkeit, Geräte gleichzeitig zu registrieren, die bereits Mitglieder einer lokalen AD DS-Domäne in einer Azure AD-Partition sind, damit sie Microsoft Passport for Work über die Cloud verwenden können. Hybridbereitstellungen, die AD DS mit Azure AD kombinieren, geben Ihnen die Möglichkeit, die Computerauthentifizierung und Richtlinienverwaltung für Ihre lokale AD DS-Domäne aufrechtzuerhalten, während Ihre Benutzer einen vollständigen Satz an Microsoft Passport for Work-Diensten (und die Microsoft Office 365-Integration) erhalten. Wenn Sie planen, nur die lokalen AD DS zu verwenden, geben der Entwurf und die Konfiguration Ihrer lokalen Umgebung die Art der Änderung vor, die Sie vornehmen können.
Bereitstellungsanforderungen
In Tabelle 1 werden sechs Szenarien für die Bereitstellung von Microsoft Passport for Work im Unternehmen aufgeführt. Die erste Version von Windows 10 unterstützt reine Azure AD-Szenarien, wobei die Unterstützung für das lokale Microsoft Passport for Work für eine weitere Veröffentlichung im Jahr 2015 geplant ist (weitere Details finden Sie im Abschnitt Roadmap).
In Abhängigkeit des von Ihnen ausgewählten Szenarios sind für die Microsoft Passport for Work-Bereitstellung möglicherweise vier Elemente erforderlich:
Ein Organisations-IDP, der Microsoft Passport unterstützt. Hierbei kann es sich um Azure AD oder einen Satz an lokalen Windows Server 2016 Technical Preview-Domänencontrollern in einer vorhandenen AD DS-Gesamtstruktur handeln. Das Verwenden von Azure DS bedeutet, dass Sie die hybride Identitätsverwaltung einrichten können, wobei Azure AD als ein Microsoft Passport-IDP fungiert und Ihre lokale AD DS-Umgebung ältere Authentifizierungsanforderungen verarbeitet. Dieser Ansatz bietet die gesamte Flexibilität von Azure AD mit der Fähigkeit, Computerkonten und Geräte, auf denen ältere Versionen von Windows ausgeführt werden, sowie lokale Anwendungen wie Microsoft Exchange Server oder Microsoft SharePoint zu verwalten.
Wenn Sie Zertifikate verwenden, ist ein MDM-System erforderlich, um die Richtlinienverwaltung von Microsoft Passport for Work zu erlauben. Für mit der Domäne verbundene Geräte in lokalen oder hybriden Bereitstellungen ist Configuration Manager Technical Preview oder höher erforderlich. Für Bereitstellungen mit Azure AD muss Intune oder eine kompatible nicht von Microsoft stammende MDM-Lösung verwendet werden.
Für lokale Bereitstellungen ist die in Kürze erscheinende Version der Active Directory-Verbunddienste (AD FS) erforderlich, die in Windows Server 2016 Technical Preview enthalten ist, um die Bereitstellung von Microsoft Passport-Anmeldeinformationen auf Geräten zu unterstützen. In diesem Szenario übernimmt AD FS die Bereitstellung, die in cloudbasierten Bereitstellungen durch Azure AD ausgeführt wird.
Für zertifikatsbasierte Microsoft Passport-Bereitstellung ist ein PKI erforderlich. Dazu zählen auch Zertifizierungsstellen, die für alle Geräte zugänglich sind, die registriert werden müssen. Wenn Sie das zertifikatsbasierte Microsoft Passport lokal bereitstellen, benötigen Sie keine Windows Server 2016 Technical Preview-Domänencontroller. In lokalen Bereitstellungen muss das Windows Server 2016 Technical Preview AD DS-Schema nicht angewendet werden, stattdessen muss die Windows Server 2016 Technical Preview-Version von AD FS installiert werden.
Tabelle 1. Bereitstellungsanforderungen für Microsoft Passport
| Microsoft Passport-Methode | Azure AD | Hybrides Active Directory | Nur lokales Active Directory |
|---|---|---|---|
| Schlüsselbasiert | Azure AD-Abonnement |
|
Mindestens ein Windows Server 2016 Technical Preview-Domänencontroller AD FS von Windows Server 2016 Technical Preview |
| Zertifikatbasiert | Azure AD-Abonnement PKI-Infrastruktur Intune |
|
AD DS Windows Server 2016 Technical Preview-Schema AD FS von Windows Server 2016 Technical Preview PKI-Infrastruktur System Center 2012 R2 Configuration Manager mit SP2 oder höher |
Beachten Sie, dass die aktuelle Version von Windows 10 die reinen Azure AD-Szenarien unterstützt. Microsoft bietet in Tabelle 10 vorausschauende Richtlinien, um Organisationen dabei zu helfen, sich auf die geplanten künftigen Versionen der Microsoft Passport for Work-Funktionen vorzubereiten.
Auswählen von Richtlinieneinstellungen
Ein weiterer wichtiger Aspekt der Microsoft Passport for Work-Bereitstellung betrifft die Auswahl der auf das Unternehmen anzuwendenden Richtlinieneinstellungen. Es gibt zwei Teile für diese Auswahl: Welche Richtlinien stellen Sie zum Verwalten von Microsoft Passport an sich bereit, und welche Richtlinien stellen Sie bereit, um die Geräteverwaltung und -registrierung zu steuern? Eine vollständige Richtlinie hinsichtlich der Auswahl der wirksamen Richtlinien sprengt den Umfang dieser Anleitung. Eine Beispielreferenz, die möglicherweise nützlich ist, lautet jedoch Verwaltungsfunktionen für mobile Geräte in Microsoft Intune.
Implementieren von Microsoft Passport
Für das Verwenden von Windows Hello oder Microsoft Passport auf einzelnen Benutzergeräten ist keine Konfiguration erforderlich, wenn diese Benutzer ihre persönlichen Anmeldeinformationen schützen möchten. Sofern das Unternehmen das Feature nicht deaktiviert, haben Benutzer die Möglichkeit, Microsoft Passport für ihre persönlichen Anmeldeinformationen zu verwenden, und zwar auch auf Geräten, die mit einem Organisations-IDP registriert wurden. Wenn Sie Microsoft Passport for Work jedoch auch für Benutzer zur Verfügung stellen, müssen Sie Ihrer Infrastruktur die erforderlichen Komponenten hinzufügen, die weiter oben im Abschnitt Bereitstellungsanforderungen beschrieben wurden.
Verwendungsweise von Azure AD
Es gibt drei Szenarien für das Verwenden von Microsoft Passport for Work in reinen Azure AD-Organisationen:
Organisationen, die die Version von Azure AD verwenden, die in Office 365 enthalten ist. Für diese Organisationen sind keine zusätzlichen Aktionen erforderlich. Als Windows 10 allgemein verfügbar gemacht wurde, hat Microsoft das Verhalten des Office 365 Azure AD-Stapels geändert. Wenn ein Benutzer die Option auswählt, um die Verbindung mit einem Arbeits- oder Schulnetzwerk herzustellen (Abbildung 4), wird das Gerät automatisch mit der Verzeichnispartition des Office 365-Mandanten verbunden. Anschließend wird ein Zertifikat für das Gerät ausgestellt und es erhält die Berechtigung, Office 365-MDM zu verwenden, wenn der Mandant dieses Feature abonniert hat. Zusätzlich wird der Benutzer aufgefordert, sich anzumelden, und, sofern MFA aktiviert ist, einen MFA-Nachweis einzugeben, den Azure AD an sein Telefon sendet.
Organisationen, die den Free-Tarif von Azure AD verwenden. Für diese Organisationen hat Microsoft den automatischen Domänenbetritt zu Azure AD nicht aktiviert. Organisationen, die sich für den Free-Tarif registriert haben, können dieses Feature aktivieren oder deaktivieren. Daher wird der automatische Domänenbetritt erst aktiviert, wenn sich die Administratoren der Organisation dazu entschließen. Wenn dieses Feature aktiviert ist, werden Geräte, die die Verbindung mit der Azure AD-Domäne mithilfe des Dialogfelds Mit Arbeitsplatz oder Schule verbinden herstellen, wie dies in Abbildung 4 veranschaulicht wird, automatisch für die Microsoft Passport for Work-Unterstützung registriert. Zuvor verbundene Geräte werden jedoch nicht registriert.
Organisationen, die Azure AD Premium abonniert haben, haben Zugriff auf den vollständigen Satz an Azure AD-MDM-Features. Diese Features umfassen Steuerelemente für das Verwalten von Microsoft Passport for Work. Sie können Richtlinien festlegen, um die Verwendung von Microsoft Passport for Work zu deaktivieren oder zu erzwingen, um die Verwendung eines TPMs zu erzwingen und um die Länge und Sicherheit von PINs zu steuern, die auf dem Gerät festgelegt werden.
.png "Abbildung 4")
Abbildung 4: Durch den Beitritt zu einer Office 365-Organisation wird das Gerät automatisch in Azure AD registriert
Aktivieren der Geräteregistrierung
Wenn Sie Microsoft Passport at Work mit Zertifikaten verwenden möchten, benötigen Sie ein Geräteregistrierungssystem. Demzufolge müssen Sie Configuration Manager Technical Preview, Intune oder ein kompatibles nicht von Microsoft stammendes MDM-System einrichten und es aktivieren, um Geräte zu registrieren. Dies ist eine Voraussetzung für das Verwenden von Microsoft Passport for Work mit Zertifikaten, dabei spielt der IDP keine Rolle, da das Registrierungssystem verantwortlich dafür ist, die erforderlichen Zertifikate auf den Geräten bereitzustellen.
Festlegen von Microsoft Passport-Richtlinien
Seit der ersten Version von Windows 10 können Sie die folgenden Einstellungen für die Verwendung von Microsoft Passport for Work steuern:
Sie können festlegen, dass Microsoft Passport nur auf Geräten verfügbar ist, die über TPM-Sicherheitshardware verfügen. Das Gerät muss demnach TPM 1.2 oder TPM 2.0 verwenden.
Sie können Microsoft Passport mit der Option „Hardware bevorzugt“ aktivieren. Dies bedeutet, dass Schlüssel per TPM 1.2 oder TPM 2.0 generiert werden, sofern verfügbar, und andernfalls mithilfe von Software.
Sie können konfigurieren, ob das zertifikatsbasierte Microsoft Passport für Benutzer verfügbar ist. Sie können dies im Zuge des Gerätebereitstellungsprozesses vornehmen, nicht über eine separat angewendete Richtlinie.
Sie können die Komplexität und Länge der PIN definieren, die Benutzer bei der Registrierung genieren.
Sie können steuern, ob die Windows Hello-Verwendung in Ihrer Organisation aktiviert ist.
Diese Einstellungen können über GPOs oder Konfigurationsdienstanbietern (CSPs) in MDM-Systemen implementiert werden. Auf diese Weise erhalten Sie einen vertrauten und flexiblen Satz an Tools, die Sie verwenden können, um sie auf die genau die gewünschten Benutzer anzuwenden. (Ausführliche Informationen über den Microsoft Passport for Work-CSP finden Sie unter PassportForWork CSP).
Roadmap
Die Geschwindigkeit, mit der sich universelle Windows-Apps und -Dienste weiterentwickeln, führt dazu, dass ein herkömmlicher Zyklus (der das Entwerfen, Erstellen, Testen und Veröffentlichen umfasst) für Windows zu langsam ist, um die Kundenanforderungen zu erfüllen. Im Zuge der Windows 10-Version ändert Microsoft die Art und Weise, wie es Windows entwickelt, testet und bereitstellt. Anstelle alle drei bis fünf Jahre sehr umfangreiche Versionen zu veröffentlichen, ist das Windows-Entwicklungsteam bestrebt, kleinere, häufigere Versionen zu erstellen, um die neuen Features und Dienste schneller auf dem Markt zu veröffentlichen, ohne dass es auf Kosten der Sicherheit, Qualität und Benutzerfreundlichkeit geht. Dieses Modell hat sich in Office 365 und auf dem Xbox-Ökosystem als wirksam erwiesen.
In der ursprünglichen Windows 10-Version unterstützt Microsoft die folgenden Microsoft Passport- und Windows Hello-Features:
Biometrische Authentifizierung mit Fingerabdrucklesern, die das Windows-Fingerabdruckleser-Framework verwenden
Gesichtserkennungsfunktion auf Geräten, die über kompatible infrarotfähige Kameras verfügen
Microsoft Passport für persönliche Anmeldeinformationen auf Geräten, die einzelnen Benutzern gehören, und auf Geräten, die durch das Unternehmen verwaltet werden
Microsoft Passport for Work-Unterstützung für Organisationen, die ausschließlich cloudbasierte Azure AD-Bereitstellungen verfügen
Gruppenrichtlinieneinstellungen für das Steuern der Microsoft Passport-PIN-Länge und -Komplexität
In künftigen Versionen von Windows 10 sind die folgenden zusätzlichen Features geplant:
Zusätzliche biometrische ID-Typen, einschließlich Iriserkennung
Schlüsselbasierte Microsoft Passport for Work-Anmeldeinformationen für lokale Azure AD-Bereitstellungen und hybride bzw. lokale Azure AD-Bereitstellungen
Durch eine vertrauenswürdige PKI ausgestellte Microsoft Passport for Work-Zertifikate, dies umfasst auch Zertifikate für Smartcards und virtuelle Smartcards
TPM-Nachweis zum Schützen von Schlüsseln, damit ein Benutzer oder Programm mit böswilligen Absichten keine Schlüssel in der Software (da diese Schlüssel keinen TPM-Nachweis hätten und folglich als Fälschung entlarvt werden könnten) erstellen kann
Langfristig nimmt Microsoft weiterhin Verbesserungen und Erweiterungen an den Features Microsoft Passport und Windows Hello vor, um zusätzlichen Kundenanforderungen hinsichtlich Verwaltbarkeit und Sicherheit Rechnung zu tragen. Wir arbeiten zudem mit der FIDO Alliance und einer Vielzahl von Drittanbietern zusammen, um die Einführung von Microsoft Passport durch Web- und Branchenanwendungsentwickler zu fördern.