Windows Hello – Biometrie im Unternehmen

Betrifft:

  • Windows 10

Windows Hello ist das biometrische Authentifizierungsfeature, das die Authentifizierung verstärkt und durch Fingerabdrucküberprüfung und Gesichtserkennung zum Schutz vor potenziellem Spoofing beiträgt.

Hinweis

Bei der Erstauslieferung enthielt Windows 10 Microsoft Passport und Windows Hello, die zusammen für eine mehrstufige Authentifizierung sorgten. Für eine einfachere Bereitstellung und höhere Wartungsfreundlichkeit hat Microsoft diese Technologien in einer zentralen Lösung mit dem Namen Windows Hello vereint. Kunden, die diese Technologien bereits eingesetzt haben, werden keine Änderungen in Bezug auf die Funktionalität feststellen. Kunden, die Windows Hello noch evaluieren müssen, werden eine einfachere Bereitstellung beobachten, die auf vereinfachte Richtlinien, Dokumentation und Semantik zurückzuführen ist.

Da wir wissen, dass Ihre Mitarbeiter diese neue Technologie in Ihrem Unternehmen verwenden möchten, haben wir aktiv mit den Geräteherstellern zusammengearbeitet, um strenge Design- und Leistungsempfehlungen zu erstellen, mit denen Sie sicherstellen können, dass Sie Windows Hello biometrie in Ihrer Organisation sicherer einführen können.

Wie funktioniert Windows Hello?

Mit Windows Hello können Ihre Mitarbeiter Fingerabdrücke oder Gesichtserkennung als alternative Verfahren für das Entsperren von Geräten verwenden. Mit Windows Hello erfolgt die Authentifizierung, wenn die Mitarbeiter beim Zugriff auf die gerätespezifischen Windows Hello-Anmeldeinformationen ihre eindeutigen biometrischen Erkennungsmerkmale bereitstellen.

Der Windows Hello-Authentifikator authentifiziert Mitarbeiter und ermöglicht ihnen den Zugriff auf das Unternehmensnetzwerk. Die Authentifizierung erfolgt nicht zwischen Geräten, wird nicht für einen Server freigegeben und kann nicht einfach von einem Gerät extrahiert werden. Wenn mehrere Mitarbeiter ein Gerät gemeinsam verwenden, verwendet jeder Mitarbeiter seine eigenen biometrischen Daten auf dem Gerät.

Warum sollte ich meine Mitarbeiter Windows Hello verwenden lassen?

Windows Hello bietet zahlreiche Vorteile, wie:

  • Hello stärkt Ihre Verteidigung gegen den Diebstahl von Anmeldeinformationen. Da ein Angreifer sowohl über das Gerät als auch die biometrischen Informationen oder die PIN verfügen muss, ist es viel schwieriger, ohne das Wissen des Mitarbeiters Zugriff zu erhalten.

  • Mitarbeiter erhalten eine einfache Authentifizierungsmethode (gesichert durch eine PIN), die immer bei ihnen ist, sodass nichts verloren geht. Keine vergessenen Kennwörter mehr!

  • Die Unterstützung für Windows Hello ist in das Betriebssystem integriert, sodass Sie im Rahmen einer koordinierten Implementierung oder für einzelne Mitarbeiter oder Gruppen mittels Gruppenrichtlinien oder Richtlinien für Konfigurationsdienstanbieter (Configurations Service Provider, CSP) für die Verwaltung mobiler Geräte (Mobile Device Management, MDM) zusätzliche biometrische Geräte und Richtlinien hinzufügen können.
    Weitere Informationen zu den verfügbaren Gruppenrichtlinien und MDM-CSPs finden Sie unter Implementieren von Windows Hello for Business in Ihrer Organisation .

Wo werden Windows Hello Daten gespeichert?

Die zur Unterstützung von Windows Hello verwendeten biometrischen Daten werden nur auf dem lokalen Gerät gespeichert. Das Roaming wird nicht ausgeführt und nie an externe Geräte oder Server gesendet. Durch diese Trennung werden potenzielle Angreifer gestoppt, da es keinen einzelnen Sammlungspunkt gibt, den ein Angreifer angreifen könnte, um biometrische Daten zu stehlen. Auch wenn ein Angreifer die biometrischen Daten tatsächlich von einem Gerät abrufen konnte, kann er nicht wieder in ein unformatiertes biometrisches Beispiel konvertiert werden, das vom biometrischen Sensor erkannt werden konnte.

Hinweis

Jeder Sensor auf einem Gerät verfügt über eine eigene biometrische Datenbankdatei, in der Vorlagendaten gespeichert werden. Jede Datenbank verfügt über einen eindeutigen, zufällig generierten Schlüssel, der mit dem System verschlüsselt wird. Die Vorlagendaten für den Sensor werden mit diesem pro Datenbankschlüssel verschlüsselten AES mit CBC-Verkettungsmodus. Der Hash ist SHA256. Einige Fingerabdrucksensoren können den Abgleich im Fingerabdrucksensormodul anstelle des Betriebssystems abschließen. Diese Sensoren speichern biometrische Daten nicht in der Datenbankdatei, sondern im Fingerabdruckmodul.

Hat Microsoft für Windows Hello Geräteanforderungen festgelegt?

Wir haben mit den Geräteherstellern zusammengearbeitet, um sicherzustellen, dass alle Sensoren und Geräte ein hohes Maß an Leistung und Schutz erfüllen, basierend auf diesen Anforderungen:

  • Falschakzeptanzrate (FAR) – stellt die Rate dar, mit der eine biometrische Identifizierungslösung eine nichtautorisierte Person erkennt. Sie wird normalerweise als das Verhältnis der Anzahl der Instanzen in einer bestimmten Bevölkerungszahl dargestellt, z. B. 1 in 100.000. Sie kann auch als Prozentsatz des Vorkommens dargestellt werden, z. B. 0,001 %. Diese Messung wird im Hinblick auf die Sicherheit des biometrischen Algorithmus in hohem Maße als die wichtigste betrachtet.

  • Falschrückweisungsrate (FRR) – stellt die Rate dar, mit der eine biometrische Identifizierungslösung eine autorisierte Person korrekt erkennt. Sie wird in der Regel als Prozentsatz dargestellt. Die Summe der Richtigakzeptierungsrate und der Falschrückweisungsrate ist 1. Sie kann mit oder ohne Funktionen zum Schutz vor Spoofing oder zur Erkennung von Lebendigkeit ermittelt werden.

Anforderungen an Fingerabdrucksensoren

Um Fingerabdrucküberprüfung zu ermöglichen, müssen Sie über Geräte mit Fingerabdrucksensoren und die entsprechende Software verfügen. Fingerabdrucksensoren oder Sensoren, die den eindeutigen Fingerabdruck eines Mitarbeiters als alternative Anmeldeoption verwenden, können Touchsensoren (große oder kleine Bereiche) oder Wischsensoren sein. Jeder Sensortyp verfügt über einen eigenen Satz von detaillierten Anforderungen, die vom Hersteller implementiert werden müssen. Alle Sensoren müssen jedoch über Anti-Spoofing-Maßnahmen (erforderlich) verfügen.

Akzeptable Leistungsbereiche für kleine und große Touchsensoren

  • Falschakzeptanzrate (FAR): < 0,001% bis 0,002%

  • Effektive, realistische FRR mit Funktionen zum Schutz vor Spoofing oder zur Erkennung von Lebendigkeit: <10%

Akzeptabler Leistungsbereich für Wischsensoren

  • Falschakzeptanzrate (FAR): <0,002%

  • Effektive, realistische FRR mit Funktionen zum Schutz vor Spoofing oder zur Erkennung von Lebendigkeit: <10%

Gesichtserkennungssensoren

Um Gesichtserkennung zu ermöglichen, müssen Sie über Geräte mit integrierten speziellen Infrarot (IR)-Sensoren und die entsprechende Software verfügen. Gesichtserkennungssensoren verwenden spezielle Kameras, die in IR-Licht angezeigt werden, sodass sie den Unterschied zwischen einem Foto und einer lebendigen Person erkennen, während sie die Gesichtsfunktionen eines Mitarbeiters scannen. Diese Sensoren müssen wie die Fingerabdrucksensoren über Funktionen zum Schutz vor Spoofing (erforderlich) und für deren Konfiguration (optional) verfügen.

  • Falschakzeptanzrate (FAR): < 0,001 %

  • Falschrückweisungsrate (FRR) ohne Funktionen zum Schutz vor Spoofing oder zur Erkennung von Lebendigkeit: < 5%

  • Effektive, realistische FRR mit Funktionen zum Schutz vor Spoofing oder zur Erkennung von Lebendigkeit: < 10%

Hinweis

Windows Hello Gesichtsauthentifizierung unterstützt derzeit nicht das Tragen einer Maske während der Registrierung oder Authentifizierung. Das Tragen einer Maske zur Registrierung ist ein Sicherheitsrisiko, da andere Benutzer, die eine ähnliche Maske tragen, Möglicherweise können Sie Ihr Gerät entsperren. Die Produktgruppe ist sich dieses Verhaltens bewusst und untersucht dieses Thema weiter. Entfernen Sie eine Maske, wenn Sie eine tragen, wenn Sie sich mit Windows Hello Gesichtsauthentifizierung registrieren oder entsperren. Wenn Ihre Arbeitsumgebung es Ihnen nicht ermöglicht, vorübergehend eine Maske zu entfernen, sollten Sie die Registrierung für die Gesichtsauthentifizierung aufheben und nur die PIN oder den Fingerabdruck verwenden.

Verwandte Themen