Kennwortlose Strategie

In vier Schritten kennwortlos

Microsoft hat sich in den letzten Jahren sehr für die Ermöglichung einer Welt ohne Kennwörter eingesetzt. Auf der Microsoft Ignite 2017 haben wir unseren Ansatz zur Kennwortfreiheit in vier Schritten vorgestellt. Der kennwortlose Ansatz.

1. Entwickeln einer Lösung zur Kennwortersetzung

Bevor auf Kennwörter verzichtet werden kann, muss für einen Ersatz gesorgt werden. Mit Windows 10 und Windows 11 hat Microsoft Windows Hello for Business eingeführt, eine starke, hardwaregeschützte Zwei-Faktor-Anmeldeinformation, die Single Sign-On bei Azure Active Directory und Active Directory ermöglicht.

Die Bereitstellung von Windows Hello for Business ist der erste Schritt hin zu einer kennwortlosen Umgebung. Windows Hello for Business ist gut mit vorhandenen kennwortbasierten Sicherheitsmaßnahmen vereinbar. Benutzer verwenden Windows Hello for Business wahrscheinlich aufgrund seiner Einfachheit, insbesondere wenn mit biometrischen Daten kombiniert. Bei einigen Workflows und Anwendungen werden jedoch möglicherweise weiterhin Kennwörter benötigt. In dieser frühen Phase geht es darum, eine Alternative zu implementieren und die Benutzer damit vertraut zu machen.

2. Reduzieren der sichtbaren Kennwortabfrage für Benutzer

Wenn sowohl Windows Hello for Business und als auch Kennwörter in Ihrer Umgebung verwenden werden, besteht der nächste Schritt in der Reduzierung sichtbarer Kennwortabfragen. Für die Umgebung und Workflows sollen keine Kennwörter mehr abgefragt werden. Das Ziel dieses Schritts ist ein Status, in dem die Benutzer wissen, dass sie über ein Kennwort verfügen, es aber nie verwenden. Dadurch gewöhnen Benutzer es sich leichter ab, bei jeder Eingabeaufforderung auf ihrem Computer ein Kennwort anzugeben. Dabei erfolgt häufig das Phishing von Kennwörtern. Benutzer, die ihr Kennwort nur selten, wenn überhaupt, verwenden, werden es eher nicht bereitstellen. Kennwortaufforderungen sind nicht mehr die Norm.

3. Übergang zu einer kennwortlosen Umgebung

Nach der Entfernung von sichtbaren Kennwortabfragen kann Ihre Organisation damit beginnen, diese Benutzer auf eine kennwortlose Umgebung umzustellen. Eine Welt, in der:

  • Die Benutzer ihr Kennwort nie eingeben
  • Die Benutzer ihr Kennwort nie ändern müssen
  • Die Benutzer ihr Kennwort nicht kennen

In dieser Welt meldet sich der Benutzer mit Windows Hello for Business bei Windows an und genießt einmaliges Anmelden bei Azure- und Active Directory-Ressourcen. Wenn der Benutzer sich authentifizieren muss, wird dafür Windows Hello for Business verwendet.

4. Entfernen von Kennwörtern aus dem Identitätsverzeichnis

Beim letzten Schritt hin zur Kennwortlosigkeit wird dafür gesorgt, dass es einfach keine Kennwörter mehr gibt. In diesem Schritt werden in Identitätsverzeichnissen keine Formen von Kennwörtern mehr beibehalten. Hier löst Microsoft sein Versprechen von langfristiger Sicherheit in einer wirklich kennwortlosen Umgebung ein.

Vorgehensweise

In vier Schritten zur Kennwortlosigkeit wird eine allgemeine Übersicht darüber geboten, wie Microsoft sich den Weg zur Beseitigung von Kennwörtern vorstellt. Dies ist ein stark frequentierter Weg, und viele entgleisen dabei. Das Unterfangen erfordert viel Arbeit und ist mit vielen Herausforderungen und Frustrationen verbunden. Fast jeder möchte die sofortige Erzielung einer kennwortlosen Umgebung, kann jedoch leicht von einem der Schritten dahin überfordert werden. Sie sind nicht allein, und Microsoft weiß, wie das ist. Es gibt zwar viele Wege hin zur Kennwortlosigkeit, hier wird jedoch eine Strategie empfohlen, die auf mehreren Jahren Forschung, Untersuchung und Kundengesprächen basiert.

Vorbereitung auf die Reise

Der Weg hin zur Kennwortlosigkeit ist wie eine Reise. Und die Dauer dieser Reise variiert für jede Organisation. IT-Entscheidungsträger müssen die Kriterien verstehen, die die Länge dieser Reise beeinflussen.

Die instinktivste Antwort lautet die Größe der Organisation, und dies wäre richtig. Wie definiert sich jedoch Größe? Eine Möglichkeit zum Aufschlüsseln der Größe einer Organisation besteht in der Erstellung einer Zusammenfassung von Folgendem:

  • Anzahl der Abteilungen

  • Organisations- oder Abteilungshierarchie

  • Anzahl und Typ von Anwendungen und Diensten

  • Anzahl der Funktionspersonas

  • IT-Struktur der Organisation

Anzahl der Abteilungen

Die Anzahl der Abteilungen innerhalb einer Organisation variiert. Die meisten Organisationen verfügen über ähnliche Abteilungen, z. B. Leitung, Personalwesen, Buchhaltung, Vertrieb und Marketing. Andere Organisationen verfügen zusätzlich über Abteilungen wie Forschung und Entwicklung oder Kundensupport. In kleinen Unternehmen sind Abteilungen möglicherweise nicht ausdrücklich segmentiert, in größeren sind sie es hingegen wahrscheinlich. Darüber hinaus kann es Unterabteilungen sowie Unterabteilungen dieser Unterabteilungen geben.

Sie müssen alle Abteilungen in Ihrer Organisation kennen und wissen, in welchen Abteilungen Computer verwendet werden und in welchen nicht. Es ist gut, wenn eine Abteilung keine Computer verwendet (das ist eher selten, aber durchaus möglich). Das ist eine Abteilung weniger, um die Sie sich Sorgen machen müssen. Sorgen Sie dennoch dafür, dass diese Abteilung in Ihrer Liste aufscheint, und vergewissern Sie sich, dass sie von dem Prozess ausgenommen werden kann.

Die Berechnung der Abteilungen muss gründlich und genau sein, und Sie müssen wissen, wer im Hinblick auf diese Abteilungen Sie und Ihre Mitarbeiter auf den Weg zur Kennwortlosigkeit führt. Tatsächlich verlieren viele von uns das Organigramm aus den Augen und wie es im Laufe der Zeit wächst oder schrumpft. Aus diesem Grund müssen Sie alles inventarisieren. Vergessen Sie auch nicht, externe Abteilungen wie Anbieter oder Verbundpartner einzuschließen. Wenn Ihre Organisation kennwortfrei wird, Ihre Partner jedoch weiterhin Kennwörter verwenden und auf Ihre Unternehmensressourcen zugreifen möchten, sollten Sie dies berücksichtigen und sie in Ihre Strategie einbinden.

Organisations- oder Abteilungshierarchie

Organisations- und Abteilungshierarchien sind die Verwaltungsebenen innerhalb der Abteilungen oder der gesamten Organisation. Wie ein Gerät genutzt wird, welche Anwendungen und wie diese verwendet werden, unterscheidet sich höchstwahrscheinlich zwischen den einzelnen Abteilungen, kann auch innerhalb der Struktur einer Abteilung variieren. Um die richtige kennwortlose Strategie bestimmen zu können, müssen Sie diese Unterschiede in Ihrer Organisation kennen. Ein Geschäftsführer verwendet sein Gerät wahrscheinlich anders als ein Mitglied der mittleren Führungsebene in der Vertriebsabteilung. Beide Anwenderfälle wiederum unterscheiden sich wahrscheinlich davon, wie ein einzelner Benutzer in der Kundendienstabteilung sein Gerät verwendet.

Anzahl und Typ von Anwendungen und Diensten

Die Anzahl der Anwendungen in einer Organisation ist einfach erstaunlich, und selten gibt es eine zentrale Liste, die auch noch genau ist. Anwendungen und Dienste sind die wichtigsten Elemente im Rahmen der Vorbereitung auf die Kennwortlosigkeit. Zu einer anderen Authentifizierungsart für Anwendungen und Dienste wechseln erfordert erheblichen Aufwand. Das heißt nicht, dass Richtlinien und Verfahren ändern eine beängstigende Aufgabe ist, aber es ist etwas anderes, ob Standardbetriebsverfahren und Sicherheitsrichtlinien eines Unternehmens geändert werden, oder 100 Zeilen (oder mehr) Authentifizierungscode im betreffenden Pfad Ihrer intern entwickelten CRM-Anwendung aktualisiert werden müssen.

Die Erfassung der Anzahl der genutzten Anwendungen fällt leichter, sobald Sie über die Abteilungen, deren Hierarchien und Akteure Bescheid wissen. Für diesen Ansatz sollten Sie eine strukturierte Liste der Abteilungen und der Hierarchie innerhalb jeder Abteilung erstellen. Jetzt können Sie die Anwendungen zuordnen, die auf den einzelnen Ebenen in jeder Abteilung verwendet werden. Außerdem sollten Sie dokumentieren, ob eine Anwendung intern entwickelt wurde oder im Handel verfügbar ist. Wenn Letzteres der Fall ist, dokumentieren Sie Hersteller und Version. Vergessen Sie beim Inventarisieren von Anwendungen auch keine webbasierten Anwendungen oder Dienste.

Anzahl der Funktionspersonas

Funktionspersonas sind die Stelle, an der die drei vorherigen Bemühungen zusammentreffen. Sie kennen die Abteilungen, die Organisationsebenen in den einzelnen Abteilungen, die Anzahl der von den einzelnen Abteilungen verwendeten Anwendungen und den Anwendungstyp. Hiervon ausgehend sollten Sie Funktionspersonas erstellen.

Durch eine Funktionspersona wird eine Benutzer-, Funktions- oder Rollenkategorie (einzelner Mitwirkender, Vorgesetzter, mittlere Führungskraft usw.) innerhalb einer bestimmten Abteilung einer Reihe genutzter Anwendungen zugeordnet. Höchstwahrscheinlich gibt es in Ihrer Organisation viele Funktionspersonas. Diese Funktionspersonas werden zu Arbeitseinheiten, auf die Sie in Dokumentationen und in Besprechungen Bezug nehmen werden. Sie müssen ihnen einen Namen geben.

Geben Sie Ihren Funktionspersonas einfache und intuitive Namen wie "Bruno Buchhaltung", "Maria Marketing" oder "Verena Vertrieb". Wenn die Organisationsebenen abteilungsübergreifend dieselben sind, wählen Sie einen Vornamen, der die allgemeinen Ebenen in einer Abteilung darstellt. Beispielsweise könnte "Bruno" der Vorname eines einzelnen Mitwirkenden in einer bestimmten Abteilung sein, während der Vorname "Verena" jemanden aus der mittleren Führungsebene in einer bestimmten Abteilung darstellen könnte. Darüber hinaus können Sie Suffixe wie "I", "II", "Leitung" usw. verwenden, um die Abteilungsstruktur für eine bestimmte Funktionspersona noch genauer zu definieren.

Letztlich geht es darum, eine Benennungsregel zu erstellen, bei der Beteiligte und Partner keine lange Tabellenliste durchlesen oder einen geheimen Dechiffrierring verwenden müssen. Versuchen Sie nach Möglichkeit auch, für die Bezüge Personennamen zu verwenden. Schließlich geht es jeweils um eine Person, die dieser spezifischen Abteilung angehört und diese spezifische Software verwendet.

IT-Struktur der Organisation

Die Strukturen von IT-Abteilungen können mehr variieren als jene von Organisationen. Einige IT-Abteilungen sind zentralisiert, andere dezentralisiert. Außerdem werden Sie auf dem Weg zur Kennwortlosigkeit wahrscheinlich mit den Teams interagieren, die jeweils für Clientauthentifizierung, Bereitstellung, Sicherheit, PKI, Active Directory, Cloud usw. usf. zuständig sind. Die meisten dieser Teams stellen Partner auf Ihrem Weg zur Kennwortlosigkeit dar. Stellen Sie sicher, dass es in jedem dieser Teams einen Projektbeteiligten für die Kennwortlosigkeit gibt, und dass das Unterfangen verstanden und fundiert wird.

Beurteilen Ihrer Organisation

Sie verfügen über eine Menge Informationen. Sie haben Ihre Funktionspersonas erstellt, und Sie haben die Projektbeteiligten in den verschiedenen IT-Gruppen identifiziert. Und nun?

Mittlerweile verstehen Sie, warum es sich um eine Reise und nicht um ein Wochenendprojekt handelt. Sie müssen die Situationen, in denen Kennwörter sichtbar abgefragt werden, für jede Ihrer Funktionspersonas untersuchen. Nachdem Sie die Kennwortabfragen identifiziert haben, müssen Sie diese verringern. In einigen Fällen ist das einfach, etwa weil es bereits eine Lösung in der Umgebung gibt, und es nur darum geht, eine Umstellung der Benutzer auf diese vorzunehmen. Für einige Kennwortabfragen gibt es möglicherweise bereits eine Lösung, diese wurde jedoch in Ihrer Umgebung nicht umgesetzt. Diese Lösung führt zu einem Projekt, das geplant, getestet und dann umgesetzt werden muss. Dies umfasst wahrscheinlich mehrere IT-Abteilungen mit mehreren Personen und potenziell ein oder mehrere verteilte Systeme. Projekte dieser Art benötigen Zeit und dedizierte Zyklen. Dasselbe gilt auch für die Inhouse-Softwareentwicklung. Auch bei agilen Entwicklungsmethoden ist es wichtig, die Art der Authentifizierung bei einer Anwendung zu ändern. Ohne die richtige Planung und Prüfung könnte dies u. U. die Produktivität erheblich beeinträchtigen.

Wie lange dauert es, kennwortlos zu werden? Die Antwort lautet "Das hängt davon ab". Es hängt von der organisationsweiten Ausrichtung im Hinblick auf eine kennwortlosen Strategie ab. Eine Übereinstimmung auf allen Ebenen darin, dass eine kennwortlose Umgebung das Ziel der Organisation ist, erleichtert die Kommunikation erheblich. Eine leichtere Kommunikation bedeutet weniger Zeitaufwand für Überzeugungsarbeit und mehr Zeit, die zum Erreichen des Ziels genutzt werden kann. Diese Übereinstimmung auf allen Ebenen, die vor anderen laufenden IT-Projekten Priorität hat, hilft allen dabei, zu verstehen, wie bestehende Projekte priorisiert werden sollen. Die Übereinstimmung bei Prioritäten sollte Eskalationen auf Manager- und Geschäftsführungsebene auf ein Minimum reduzieren. Nach der Behandlung dieser Organisationsaspekte werden moderne Projektverwaltungstechniken genutzt, um auf dem Weg zur Kennwortlosigkeit fortzufahren. Die Organisation weist Ressourcen basierend auf der Priorität zu (nachdem man sich auf die Strategie verständigt hat). Diese Ressourcen werden Folgendes tun:

  • Sich durch die Funktionspersonas hindurcharbeiten
  • Benutzerakzeptanztests erstellen und durchführen
  • Testergebnisse zur Benutzerakzeptanz sichtbarer Kennwortabfragen auswerten
  • Gemeinsam mit Projektbeteiligten Lösungen erstellen, durch die der Einsatz sichtbarer Kennwortabfragen verringert wird
  • Diese Lösung zu den Projektvorhaben hinzufügen und gegenüber anderen Projekten priorisieren
  • Die Lösung implementieren
  • Benutzerakzeptanztests durchführen, um zu überprüfen, ob die sichtbare Kennwortabfrage durch die Lösung tatsächlich reduziert wird.
  • Die Tests bei Bedarf wiederholen.

Der Wechsel Ihrer Organisation zur Kennwortlosigkeit kann einige Zeit in Anspruch nehmen. Die Anzahl der Funktionspersonas und der Anwendungen bestimmen ergibt wahrscheinlich einen guten Indikator für den Aufwand. Hoffentlich wächst Ihre Organisation, was bedeutet, dass die Liste der Funktionspersonas und jene der Anwendungen wahrscheinlich nicht kleiner werden. Wenn der Aufwand, um kennwortlos zu werden, heute n ist, ist es sehr wahrscheinlich, dass er morgen n x 2 oder sogar n x n ist. Lassen Sie sich aber nicht von Dauer oder Größe des Projekts ablenken. Während Sie die einzelnen Funktionspersonas durcharbeiten, werden die Aktionen und Aufgaben für Sie und die Projektbeteiligten immer vertrauter. Gliedern Sie das Projekt in größenmäßig angemessene, realistische Phasen, wählen Sie die richtigen Funktionspersonas aus, und in Kürze werden Teile Ihrer Organisation zur Kennwortlosigkeit überwechseln.

Wo soll ich anfangen?

Was ist die beste Anleitung, um mit dem Übergang zur Kennwortlosigkeit zu beginnen? Sie möchten der Managementebene so bald wie möglich einen Konzeptnachweis vorlegen. Idealerweise soll das bei jedem Schritt Ihrer Reise zur Kennwortlosigkeit geschehen. Wenn Ihre kennwortlose Strategie für alle Priorität behält und laufend Fortschritte aufgezeigt werden, bleiben alle darauf fokussiert.

Funktionspersonas

Sie beginnen bei Ihren Funktionspersonas. Diese waren Teil des Vorbereitungsprozesses. Sie weisen einen Personennamen auf, z. B. "Bruno Buchhaltung II" oder einer anderen Benennungskonvention entsprechend, die von Ihrer Organisation festgelegt wurde. Die Funktionspersona umfasst eine Liste aller Anwendungen, die "Bruno" verwendet, um die ihm zugewiesenen Aufgaben in der Buchhaltungsabteilung zu erfüllen. Wählen Sie zunächst eine Funktionspersona aus. Dies ist die Zielfunktionspersona, der Sie den Wechsel zur Kennwortlosigkeit ermöglichen werden.

Wichtig

Vermeiden Sie die Verwendung von Funktionspersonas aus Ihrer IT-Abteilung. Dies ist wahrscheinlich die schlechteste Methode, um die Reise zur Kennwortlosigkeit zu beginnen. IT-Rollen sind sehr komplex und zeitaufwändig. IT-Mitarbeiter verfügen in der Regel über mehrere Anmeldeinformationen, führen eine Vielzahl von Skripts und benutzerdefinierten Anwendungen aus und sind die größten Missetäter im Hinblick auf die Kennwortnutzung. Es ist besser, diese Funktionspersonas erst in der Mitte oder am Ende der Reise anzugehen.

Überprüfen Sie Ihre Sammlung von Funktionspersonas. Identifizieren Sie zu Beginn Ihrer Reise zur Kennwortlosigkeit Funktionspersonas mit den wenigsten Anwendungen. Diese Funktionspersonas können eine ganze oder zwei Abteilungen darstellen. Dies sind die idealen Funktionspersonas für einen Machbarkeitsnachweis oder ein Pilotprojekt.

Die meisten Organisationen hosten ihre Machbarkeitsnachweise in einem Testlabor oder einer Testumgebung. Mit einer kennwortlosen Strategie ist dies möglicherweise schwieriger und zeitaufwändiger. Zum Testen in einem Labor müssen Sie zunächst die Umgebung der Zielfunktionspersona duplizieren. Dies kann je nach Komplexität der Zielfunktionspersona ein paar Tage oder mehrere Wochen dauern.

Sie sollten Labortests möglichst schnell mit der Mitteilung von Ergebnissen an die Verwaltungsebene ausgleichen. Es ist immer von Vorteil, Fortschritte auf dem Weg zur Kennwortlosigkeit aufzuzeigen. Wenn es Möglichkeiten gibt, Tests in der Produktion mit geringem oder keinem Risiko durchzuführen, kann dies in zeitlicher Hinsicht von Vorteil sein.

Der Prozess

Die Reise zur Kennwortlosigkeit besteht darin, jede einzelne Funktionspersona allen Schritten des Prozesses zu unterziehen. Es empfiehlt sich, am Anfang mit einer Funktionspersona nach der anderen zu arbeiten, um sicherzustellen, dass Teammitglieder und Projektbeteiligte sich mit dem Prozess vertraut machen. Sobald alle den Prozess kennen, können so viele Funktionspersonas gleichzeitig bearbeitet werden, wie es Ihre Ressourcen zulassen. Der Prozess sieht in etwa so aus:

  1. Kennwortlose Ersatzlösung (Schritt 1)
    1. Identifizieren der Testbenutzer, die die Zielfunktionspersona darstellen.
    2. Bereitstellen von Windows Hello for Business zum Testen von Benutzern.
    3. Überprüfen, ob Kennwörter und Windows Hello for Business korrekt funktionieren.
  2. Reduzieren der sichtbaren Kennwortabfragen für Benutzer (Schritt 2)
    1. Umfrage zur Kennwortnutzung während des Testbenutzerablaufs.
    2. Identifizieren der Kennwortnutzung und Planung, Entwicklung und Umsetzung der Kennwortbeseitigung.
    3. Wiederholung dieses Vorgangs, bis sämtliche Benutzerkennwortnutzung beseitigt wurde.
    4. Entfernen von Kennwortfunktionen aus Windows.
    5. Verifizieren , dass keiner der Abläufe Kennwörter erfordert.
  3. Übergang in ein kennwortloses Szenario (Schritt 3)
    1. Sensibilisierungskampagne und Benutzerschulung
    2. Einbeziehung verbleibender Benutzer, die der Funktionspersona entsprechen.
    3. Verifizieren , dass keiner der Benutzer der Funktionspersonas Kennwörter benötigt.
    4. Benutzerkonten so konfigurieren, dass die Kennwortauthentifizierung nicht mehr unterstützt wird.

Nachdem eine Funktionspersona erfolgreich zur Kennwortlosigkeit geführt wurde, können Sie die verbleibenden Funktionspersonas priorisieren und den Vorgang wiederholen.

Kennwortlose Ersatzlösung (Schritt 1)

Der erste Schritt hin zur Kennwortlosigkeit besteht in der Bereitstellung einer Alternative zu Kennwörtern. Windows 10 und Windows 11 bieten eine kostengünstige und einfache In-Box-Alternative zu Kennwörtern, Windows Hello for Business, eine starke Zwei-Faktor-Authentifizierung für Azure Active Directory und Active Directory.

Identifizieren der Testbenutzer, die die Zielfunktionspersona darstellen

Ein erfolgreicher Übergang stützt sich auf Benutzerakzeptanztests. Sie können unmöglich wissen, wie jede der Funktionspersonas ihre tägliche Arbeit verrichtet oder wie sie genau überprüft werden kann. Sie müssen die Hilfe von Benutzern in Anspruch nehmen, die der Zielfunktionspersona entsprechen. Sie benötigen nur wenige der Zielfunktionspersona entsprechende Benutzer. Wenn Sie Schritt 2 ausführen, können Sie im Rahmen des Überprüfungsprozesses einige der Benutzer ändern (oder hinzufügen).

Bereitstellen von Windows Hello for Business zum Testen von Benutzern

Als Nächstes werden Sie die Bereitstellung von Windows Hello for Business planen. Ihre Testbenutzer benötigen eine Alternative zur Anmeldung während Schritt 2 der Reise zur Kennwortlosigkeit. Verwenden Sie das Windows Hello for Business-Planungshandbuch um zu bestimmen, welche Bereitstellung für Ihre Umgebung am besten geeignet ist. Verwenden Sie als Nächstes die Bereitstellungshandbücher für Windows Hello for Business, um Windows Hello for Business bereitzustellen.

Mit eingerichteter Windows Hello for Business-Infrastruktur können Sie Windows Hello for Business-Registrierungen auf die Zielfunktionspersonas beschränken. Das Tolle ist, dass Sie die Infrastruktur nur einmal bereitstellen müssen. Wenn Windows Hello for Business für andere Zielfunktionspersonas bereitgestellt werden muss, können Sie diese einfach einer Gruppe hinzufügen. Sie werden die erste Funktionspersona dazu verwenden, Ihre Windows Hello for Business-Bereitstellung zu überprüfen.

Hinweis

Es gibt viele verschiedene Möglichkeiten, ein Gerät mit Azure zu verbinden. Bereitstellungen können abhängig davon variieren, wie das Gerät in Azure Active Directory eingebunden ist. Überprüfen Sie Ihre Planungs- und Bereitstellungshandücher, um sicherzustellen, dass keine zusätzliche Infrastruktur für zusätzliche in Azure eingebundene Geräte erforderlich ist.

Überprüfen, ob Kennwörter und Windows Hello for Business korrekt funktionieren

In diesem ersten Schritt müssen Kennwörter und Windows Hello for Business nebeneinander bestehen. Sie sollten überprüfen, ob die Zielfunktionspersonas sich mit Windows Hello for Business anmelden und entsperren können, aber bei Bedarf sich auch anmelden, entsperren und Kennwörter verwenden können. Wenn Sie die sichtbaren Kennwortabfragen zu früh reduzieren, kann dies zu Frustration und Verwirrung bei den Zielbenutzerpersonas führen.

Reduzieren der sichtbaren Kennwortabfragen für Benutzer (Schritt 2)

Bevor Sie zu Schritt 2 übergehen, stellen Folgendes sicher:

  • Sie haben Ihre Zielfunktionspersona ausgewählt.
  • Sie haben Ihre Testbenutzer identifiziert, die die Zielfunktionspersona darstellen.
  • Sie haben Windows Hello for Business zum Testen von Benutzern bereitgestellt.
  • Sie haben verifiziert, dass die Benutzer sowohl Kennwörter als auch Windows Hello for Business verwenden können.

Umfrage zur Kennwortnutzung während des Testbenutzerablaufs

Jetzt ist es an der Zeit, mehr über die Zielfunktionspersona zu erfahren. Sie verfügen über eine Liste der Anwendungen, die von ihr verwendet werden, wissen aber nicht, welche, warum, wann und wie häufig. Diese Informationen sind wichtig, um in Schritt 2 weiter voranzukommen.

Testbenutzer erstellen die Abläufe, die der Zielfunktionspersona zugeordnet sind. Ihr anfängliches Ziel besteht in einer einfachen Aufgabe: die Kennwortnutzung dokumentieren. Diese Liste ist nicht umfassend, aber sie gibt Ihnen eine Vorstellung von der Art von Informationen, die Sie benötigen. Der allgemeine Grundgedanke ist, sich ein Bild über alle Szenarien zu machen, in denen diese Funktionspersona auf die Notwendigkeit eines Kennworts trifft. Ein guter Ansatz besteht darin, sich die folgenden Fragen zu stellen:

  • Wie ist der Name der Anwendung, die nach einem Kennwort gefragt hat?
  • Warum verwenden sie die Anwendung, die nach einem Kennwort gefragt hat? (Beispiel: Gibt es mehrere Anwendungen, die dasselbe tun können?).
  • Für welchen Teil des Ablaufs verwenden sie die Anwendung? Versuchen Sie, so spezifisch wie möglich zu sein ("Ich verwende Anwendung x, um Kreditkartenrückerstattungen für Beträge über y zu veranlassen.").
  • Wie häufig verwenden Sie diese Anwendung an einem bestimmten Tag? Woche?
  • Ist das Kennwort, das Sie in die Anwendung eingeben, mit dem Kennwort identisch, das Sie für die Anmeldung bei Windows verwenden?

Einige Organisationen ermöglichen es ihren Benutzern, diese Informationen anzugeben, während einige darauf bestehen, dass sie von einem Mitglied der IT-Abteilung überwacht werden. Ein objektiver Betrachter kann eine Kennwortaufforderung bemerken, die der Benutzer einfach aufgrund des Muskelgedächtnisses übersieht. Wie bereits erwähnt, sind diese Informationen wichtig. Sie könnten eine einzelne Kennwortaufforderung übersehen, die den Übergang zur Kennwortlosigkeit verzögern könnte.

Identifizieren der Kennwortnutzung und Planung, Entwicklung und Umsetzung der Kennwortbeseitigung

Ihre Testbenutzer haben Ihnen wertvolle Informationen dazu geliefert, wie, welches, warum und wann sie ein Kennwort verwenden. Ihr Team muss jetzt jeden dieser Kennwortnutzungsfälle identifizieren und verstehen, warum der Benutzer ein Kennwort verwenden muss.

Erstellen Sie eine Masterliste der Szenarien. Für jedes Szenario sollte es eine klare Problemdarstellung geben. Benennen Sie das Szenario mithilfe einer Zusammenfassung aus einem Satz der Problemdarstellung. Schließen Sie die Ergebnisse der Untersuchung Ihres Teams dazu, warum der Benutzer zur Kennworteingabe aufgefordert wird, in das Szenario mit ein. Schließen Sie relevante, aber genaue Details ein. Wenn der Ablauf richtlinien- oder prozedurgesteuert ist, geben Sie den Namen und den Abschnitt der Richtlinie an, wo dargestellt wird, warum in dem Workflow ein Kennwort verwendet wird.

Denken Sie daran, dass Ihre Testbenutzer nicht alle Szenarien aufdecken werden. Einige Szenarien müssen Sie Ihren Benutzern auferlegen, da es sich um selten vorkommende Szenarien handelt. Denken Sie an Szenarien wie:

  • Bereitstellung eines neuen Benutzers ohne Kennwort.
  • Benutzer, die die PIN oder einen anderen Lösungsablauf vergessen, wenn die starken Anmeldeinformationen nicht verwendet werden können.

Überprüfen Sie als Nächstes die Masterliste der Szenarien. Sie können bei den Abläufen beginnen, die durch Prozesse oder Richtlinien vorgegeben werden, oder bei jenen, die technische Lösungen erfordern, je nachdem, welche der beiden Optionen einfacher oder schneller ist. Dies variiert sicherlich je nach Organisation.

Beginnen Sie mit der Reduzierung der Kennwortnutzung basierend auf den Abläufen Ihrer Zielpersonas. Dokumentieren Sie die Reduzierung als Lösung für Ihr Szenario. Machen Sie sich keine Gedanken über Einzelheiten zur Umsetzung der Lösung. Sie benötigen lediglich eine Übersicht über die Änderungen, die zur Reduzierung der Kennwortnutzung erforderlich sind. Wenn technische Änderungen erforderlich sind, z. B. Infrastruktur- oder Codeänderungen, werden die genauen Details dazu wahrscheinlich in der Projektdokumentation enthalten sein. Wie auch immer Ihre Organisation Projekte verfolgt, erstellen Sie ein neues Projekt in diesem System. Ordnen Sie Ihr Szenario diesem Projekt zu, und starten Sie die Prozesse, die für die Fundierung dieses Projekts erforderlich sind.

Die Reduzierung der Kennwortnutzung mit Anwendungen ist eines der größten Hindernisse auf dem Weg zur Kennwortlosigkeit. Wenn Ihre Organisation die Anwendung selbst entwickelt, sind Sie besser dran als bei „Common-off-the-shelf software“ (COTS).

Der ideale Weg zur Reduzierung für Anwendungen, die Benutzer zur Eingabe eines Kennworts auffordern, besteht darin, diesen Anwendungen die Nutzung einer bestehenden authentifizierten Identität wie Azure Active Directory oder Active Directory zu ermöglichen. Arbeiten Sie mit den Anwendungsanbietern zusammen, um die Unterstützung von Azure-Identitäten hinzuzufügen. Richten Sie lokale Anwendungen so ein, dass die integrierte Windows-Authentifizierung verwendet wird. Das Ziel für Ihre Benutzer sollte ein einmaliger Anmeldungsschritt sein, bei dem sich jeder Benutzer nur einmal authentifiziert, wenn er sich bei Windows anmeldet. Wenden Sie dieselbe Strategie für Anwendungen an, die ihre eigenen Identitäten in ihren eigenen Datenbanken speichern.

Jedes Szenario in Ihrer Masterliste sollte nun eine Problemdarstellung, eine Untersuchung der Gründe für die Verwendung des Kennworts und einen Reduzierungsplan zum Beseitigen der Kennwortnutzung umfassen. Mithilfe dieser Daten können Sie nacheinander die Probleme mit sichtbaren Kennwortabfragen lösen. Ändern Sie Richtlinien und Verfahren nach Bedarf, nehmen Sie Infrastrukturänderungen vor, sofern möglich. Legen Sie Inhouse-Anwendungen auf die Nutzung von Verbundidentitäten oder der in integrierten Windows-Authentifizierung fest. Arbeiten Sie mit Software-Drittanbietern zusammen, um ihre Software so zu aktualisieren, dass Verbundidentitäten oder die integrierte Windows-Authentifizierung unterstützt wird.

Wiederholung des Vorgangs, bis sämtliche Benutzerkennwortnutzung beseitigt wurde

Einige oder alle Ihre Gegenmaßnahmen wurden umgesetzt. Sie müssen überprüfen, ob die Problemdarstellungen durch Ihre Lösungen behoben wurden. Hier verlassen Sie sich auf Ihre Testbenutzer. Sie können einen guten Teil ihrer ersten Testbenutzer behalten, aber dies ist eine gute Gelegenheit, einige zu ersetzen oder hinzuzufügen. Umfrage zur Kennwortnutzung während des Testbenutzerablaufs Wenn alles gut läuft, haben Sie die meisten oder alle Lücken geschlossen. Einige wenige werden wahrscheinlich bleiben. Evaluieren Sie Ihre Lösungen und was schief gelaufen ist, ändern Sie Ihre Lösung nach Bedarf, bis Sie zu einer Lösung gelangen, bei der der Benutzer kein Kennwort mehr eingeben muss. Wenn Sie nicht mehr weiterkommen – anderen geht es wahrscheinlich genauso. Nutzen Sie die Foren aus verschiedenen Quellen oder Ihr Netzwerk von IT-Kollegen, um Ihr Problem darzustellen und zu sehen, wie andere es lösen. Wenn Sie alle Optionen ausprobiert haben, wenden Sie sich an Microsoft, um Unterstützung zu erhalten.

Entfernen von Kennwortfunktionen aus Windows

Sie glauben, sämtliche Kennwortnutzung für die Zielfunktionspersona beseitigt zu haben. Jetzt kommt die eigentliche Prüfung: Windows so konfigurieren, dass der Benutzer kein Kennwort verwenden kann.

Windows bietet zwei Möglichkeiten, um zu verhindern, dass Ihre Benutzer Kennwörter verwenden. Sie können eine Sicherheitsrichtlinie für interaktive Anmeldungen verwenden, um die Anmeldung und Entsperrung nur von Windows Hello for Business zuzulassen, oder den Kennwort-Anmeldeinformationsanbieter ausschließen.

Sicherheitsrichtlinie

Mithilfe von Gruppenrichtlinien können Sie eine Sicherheitsrichtlinieneinstellung für interaktive Anmeldungen auf dem Computer einrichten. Diese Richtlinieneinstellung finden Sie unter Computerkonfiguration > Richtlinien > Windows-Einstellungen > Lokale Richtlinien > Sicherheitsoptionen. Der Name der Richtlinieneinstellung hängt von der Betriebssystemversion ab, die Sie zum Konfigurieren von Gruppenrichtlinien verwenden. securityPolicyLocation.

Windows Server 2016 und früher Der Richtlinienname lautet für diese Betriebssysteme Interaktive Anmeldung: Smartcard erforderlich. securityPolicyBefore2016.

Windows 10, Version 1703 oder höher und Verwendung von Remoteserver-Verwaltungstools Der Richtlinienname lautet für diese Betriebssysteme Interaktive Anmeldung: Windows Hello for Business oder Smartcard erforderlich. securityPolicyRSAT.

Wenn Sie diese Sicherheitsrichtlinieneinstellung aktivieren, hindert Windows die Benutzer an der Anmeldung und Entsperrung mit einem Kennwort. Der Kennwort-Anmeldeinformationsanbieter bleibt für den Benutzer sichtbar. Wenn ein Benutzer versucht, ein Kennwort zu verwenden, wird er von Windows darüber informiert, dass er Windows Hello for Business oder eine Smartcard verwenden muss.

Ausschließen des Kennwort-Anmeldeinformationsanbieters

Mithilfe von Gruppenrichtlinien können Sie eine Richtlinieneinstellung für administrative Vorlagen auf dem Computer bereitstellen. Diese Richtlinieneinstellung finden Sie unter **Computerkonfiguration > Richtlinien > Administrative Vorlagen > System > Anmeldung ** HideCredProvPolicy.

Der Name der Richtlinieneinstellung lautet Anmeldeinformationsanbieter ausschließen. Der Wert, der in die Richtlinie eingegeben werden muss, um den Kennwort-Anmeldeinformationsanbieter auszublenden, ist 60b78e88-ead8-445c-9cfd-0b87f74ea6cd. HideCredProvPolicy2.

Wenn Sie den Kennwort-Anmeldeinformationsanbieter ausschließen, wird dieser von Windows und allen Anwendungen ausgeblendet, die versuchen, ihn zu laden. Dadurch wird der Benutzer daran gehindert, ein Kennwort mithilfe des Anmeldeinformationsanbieters einzugeben. Dies hindert jedoch Anwendungen nicht daran, eigene Dialogfelder für die Kennworteingabe zu erstellen und den Benutzer mithilfe benutzerdefinierter Dialogfelder zur Eingabe eines Kennworts aufzufordern.

Verifizieren, dass keiner der Abläufe Kennwörter erfordert

Jetzt ist der große Moment gekommen. Sie haben herausgefunden, wo Kennwörter abgefragt wurden, Lösungen zur Beseitigung der Kennwortnutzung ausgearbeitet und die Kennwortnutzung aus Windows entfernt oder deaktiviert. In dieser Konfiguration können Ihre Benutzer keine Kennwörter verwenden. Benutzer werden blockiert, wenn sie in einem ihrer Workflows nach einem Kennwort gefragt werden. Im Idealfall sollten Ihre Testbenutzer in der Lage sein, alle Arbeitsabläufe der Zielfunktionspersona ohne Kennwortnutzung durchzulaufen. Vergessen Sie auch nicht die eher seltenen Abläufe wie z. B. die Bereitstellung eines neuen Benutzers oder eines Benutzers, der seine PIN vergessen hat oder seine starken Anmeldeinformationen nicht verwenden kann. Stellen Sie sicher, dass diese Szenarien ebenfalls überprüft werden.

Übergang zu einer kennwortlosen Umgebung (Schritt 3)

Herzlichen Glückwunsch! Sie sind bereit, ein oder mehrere Teile Ihrer Organisation können in eine kennwortlose Umgebung überwechseln. Sie haben überprüft, ob die Zielfunktionspersona bereit ist, in eine Wirklichkeit zu wechseln, in der Benutzer ihr Kennwort nicht mehr kennen oder verwenden müssen. Jetzt sind Sie nur wenige Schritte davon entfernt, den Erfolg verkünden zu können.

Sensibilisierung und Benutzerschulung

In diesem letzten Schritt binden Sie die verbleibenden Benutzer, die der Zielfunktionspersona entsprechen, in die kennwortlose Umgebung ein. Bevor Sie dies tun, sollten Sie jedoch in eine Sensibilisierungskampagne investieren.

Durch eine Sensibilisierungskampagne werden die Benutzer auf die neue Methode der Authentifizierung auf ihrem Gerät vorbereitet, z. B. auf die Verwendung von Windows Hello for Business. Das Ziel der Kampagne besteht in der positiven Förderung des Wechsels für die Benutzer im Voraus. Erläutern Sie den Wert und die Gründe für den Wechsel in Ihrem Unternehmen. Die Kampagne sollte Informationen zum Zeitpunkt der Änderung liefern und zu Fragen und Feedback ermuntern. Diese Kampagne kann mit der Benutzerschulung zusammenfallen, in deren Rahmen den Benutzern die Änderungen erläutert werden und, sofern es Ihre Umgebung zulässt, die Möglichkeit gegeben wird, die neue Benutzererfahrung auszuprobieren.

Einbeziehung verbleibender Benutzer, die der Funktionspersona entsprechen

Sie haben die Sensibilisierungskampagne für die Zielbenutzer umgesetzt. Diese Benutzer sind informiert und bereit für den Wechsel zur Kennwortlosigkeit. Binden Sie nun die verbleibenden Benutzer ein, die der Zielfunktionspersona entsprechen.

Verifizieren, dass keiner der Benutzer der Funktionspersona Kennwörter benötigt

Sie haben alle Benutzer der Zielfunktionspersona erfolgreich zur Kennwortlosigkeit übergeleitet. Überwachen Sie die Benutzer innerhalb der Funktionspersona, um sicherzustellen, dass während der Arbeit in einer kennwortlosen Umgebung keine Probleme auftreten.

Verfolgen Sie alle gemeldeten Probleme. Legen Sie Priorität und Schweregrad jedes gemeldeten Problems fest, und veranlassen Sie ihr Team, die Probleme entsprechend zu selektieren. Bei der Selektierung von Problemen sollten Sie u. a. folgende Aspekte berücksichtigen:

  • Wird vom meldenden Benutzer eine Tätigkeit außerhalb der Funktionspersona ausgeführt?
  • Betrifft das gemeldete Problem die gesamte Funktionspersona oder nur bestimmte Benutzer?
  • Ist der Ausfall die Folge einer fehlerhaften Konfiguration?
  • Ist der Ausfall eine übersehene Lücke aus Schritt 2?

Priorität und Schweregrad unterscheiden sich in den einzelnen Organisationen. Die meisten Organisationen halten Arbeitsunterbrechungen jedoch für ziemlich relevant. Ihr Team sollte Prioritäten und Schweregrade im Voraus definieren. Erstellen Sie für jede dieser Stufen Vereinbarungen zum Servicelevel (Service Level Agreements, SLAs) für jede Kombination aus Schweregrad und Priorität, und halten Sie alle Personen zur Einhaltung dieser Vereinbarungen an. Die reaktive Planung ermöglicht es den Mitarbeitern, mehr Zeit für das Problem und seine Behebung zu investieren, und weniger Zeit für den Prozess.

Beheben Sie die Probleme entsprechend Ihren Vereinbarungen zum Servicelevel. Elemente mit höherem Schweregrad erfordern u. U. die Rückkehr zu einer oder allen sichtbaren Kennwortabfragen. Dies ist natürlich nicht das Endziel, aber lassen Sie nicht zu, dass dadurch der Schwung in Richtung Kennwortlosigkeit gemindert wird. Denken Sie daran, wie Sie die Kennwortabfragen in Schritt 2 reduziert haben, eine Lösung ausgearbeitet und diese Lösung bereitgestellt und validiert haben.

Benutzerkonten so konfigurieren, dass die Kennwortauthentifizierung nicht mehr unterstützt wird

Sie haben alle Benutzer für die Zielfunktionspersona in eine kennwortlose Umgebung überführt und alle ihre Arbeitsabläufe erfolgreich validiert. Der letzte Schritt hin zur Kennwortlosigkeit besteht darin, die Notwendigkeit zu eliminieren, dass der Benutzers das Kennwort kennt, und zu verhindern, dass die Authentifizierungsstelle Kennwörter akzeptiert.

Sie können festlegen, dass die Kennwörter der Benutzer in zufällige Daten geändert werden, und mithilfe einer Kontokonfiguration für das Benutzerobjekt verhindern, dass Domänencontroller Benutzern die Verwendung von Kennwörtern für die interaktive Anmeldung erlauben.

In den Kontooptionen für ein Benutzerkonto befindet sich diese Option: Smartcard für interaktive Anmeldung erforderlich, auch bekannt als (SCRIL).

Hinweis

Verwechseln Sie die Sicherheitsrichtlinie für die interaktive Anmeldung nicht mit SCRIL. Sicherheitsrichtlinien werden auf dem Client (lokal) durchgesetzt. Ein für SCRIL konfiguriertes Benutzerkonto wird auf Ebene des Domänencontrollers erzwungen.

SCRIL-Einstellung für AD-Benutzer und -Computer. SCRIL-Einstellung für einen Benutzer in Active Directory-Benutzer und -Computer.

Wenn Sie ein Benutzerkonto für SCRIL konfigurieren, ändert Active Directory das Kennwort des betroffenen Benutzers in zufällige 128-Bit-Daten. Darüber hinaus gestatten Domänencontroller, auf denen das Benutzerkonto gehostet wird, den Benutzern nicht, sich interaktiv mit einem Kennwort anzumelden. Außerdem besteht für Benutzer das Problem nicht mehr, ihr Kennwort nach dessen Ablauf ändern zu müssen, da Kennwörter für SCRIL-Benutzer in Domänen mit einer Windows Server 2012 R2- oder früheren Domänenfunktionsebene nicht ablaufen. Die Benutzer sind praktisch kennwortlos, da:

  • sie ihr Kennwort nicht kennen.
  • ihr Kennwort aus zufälligen 128-Datenbits besteht und wahrscheinlich nicht typisierte Zeichen enthält.
  • der Benutzer sein Kennwort nicht ändern muss.
  • Domänencontroller keine Kennwörter für die interaktive Authentifizierung zulassen.

SCRIL-Einstellung von ADAC auf Windows Server 2012 SCRIL-Einstellung für einen Benutzer im Active Directory Administrative Center in Windows Server 2012.

Hinweis

Obwohl das Kennwort eines SCRIL-Benutzers in früheren Domänen nie abläuft, können Sie die SCRIL-Konfiguration für ein Benutzerkonto ändern (Kontrollkästchen deaktivieren, Einstellungen speichern, Kontrollkästchen aktivieren und Einstellungen speichern), sodass ein neues zufälliges 128-Bit-Kennwort generiert wird. Sie sollten jedoch ein Upgrade der Domäne auf die Funktionsebene der Windows Server 2016-Domänengesamtstruktur in Betracht ziehen und dem Domänencontroller erlauben, dies automatisch durchzuführen.

SCRIL-Einstellung von ADAC auf Windows Server 2016 SCRIL-Einstellung für einen Benutzer im Active Directory Administrative Center in Windows Server 2016.

Hinweis

Windows Hello for Business hieß früher Microsoft Passport.

Automatische Kennwortänderung für SCRIL-konfigurierte Benutzer

Domänen, die für die Windows Server 2016-Domänenfunktionsebene konfiguriert sind, können das unbekannte Kennwort für SCRIL-aktivierte Benutzer zusätzlich schützen, indem sie so konfiguriert werden, dass das Kennwort für SCRIL-Benutzer automatisch geändert wird.

Mit dieser Konfiguration laufen Kennwörter für SCRIL-konfigurierte Benutzer basierend auf den Active Directory-Kennwortrichtlinieneinstellungen ab. Wenn sich ein SCRIL-Benutzer bei einem Domänencontroller authentifiziert, erkennt der Domänencontroller, dass das Kennwort abgelaufen ist, und generiert im Rahmen der Authentifizierung automatisch ein neues zufälliges 128-Bit-Kennwort für den Benutzer. Das Besondere an diesem Feature ist, dass Benutzer keine Benachrichtigungen zu Kennwortänderungen erhalten oder Authentifizierungsausfälle erleben. Rotate Password 2016.

Hinweis

Einige Komponenten in Windows 10, z. B. Datenschutz-APIs und NTLM-Authentifizierung, benötigen weiterhin Artefakte eines Benutzers, der über ein Kennwort verfügt. Diese Konfiguration bietet Interoperabilität durch die Reduzierung der Nutzungsoberfläche, während Microsoft weiterhin die Lücken schließt, um Kennwörter vollständig zu entfernen.

Die Zukunft

Was hier vorgestellt wurde, ist erst der Anfang. Wir werden diesen Leitfaden mit verbesserten Tools, Methoden und Szenarien, z. B. mit in Azure AD eingebundenen und verwalteten MDM-Umgebungen, aktualisieren. Während wir weiterhin in eine kennwortlose Zukunft investieren, würden wir uns freuen, von Ihnen zu hören. Ihr Feedback ist wichtig. Senden Sie uns eine E-Mail an pwdless@microsoft.com.