Windows Hello for Business: Ergebnisse der BSI-Untersuchung

WindowsMicrosoft unterstützt in Windows eine Benutzeranmeldung für den Unternehmenseinsatz über "Windows Hello for Business". Das Bundesamt für Sicherheit in der Informationstechnik  (BSI) hat "Windows Hello for Business" genauer unter die Lupe genommen und verrät, wo die Schwächen dieses Konzepts liegen bzw. wo die Grenzen sind.

Windows Hello for Business

Microsoft stellt in Windows die Authentifizierungstechnologie Windows Hello bereit, mit der sich Benutzer mit biometrischen Daten (Kamera, Fingerabdruck) oder einer PIN anstelle eines herkömmlichen Kennworts bei Windows-Geräten anmelden können. Dies soll eine erhöhte Sicherheit durch eine zweistufige Authentifizierung und integrierten Brute-Force-Schutz bieten.

Für den Unternehmenseinsatz gibt es Windows Hello for Business; das ist als eine Erweiterung von Windows Hello, die Sicherheits- und Verwaltungsfunktionen auf Unternehmensniveau bereitstellt. Es sind ein Gerätenachweis, zertifikatbasierte Authentifizierung und Richtlinien für bedingten Zugriff möglich. Richtlinieneinstellungen können auf Geräten bereitgestellt werden, um sicherzustellen, dass sie sicher sind und den Anforderungen der Organisation entsprechen. Microsoft hat auf dieser Seite eine umfangreiche Beschreibung für Windows Hello for Business bereitgestellt.

Das BSI untersucht Windows Hello for Business

Unternehmen, Verwaltung und die Bevölkerung sind auf sichere Betriebssysteme angewiesen. Um tiefgreifende Analysen verschiedener sicherheitsbezogener Komponenten in den Betriebssystemen Microsoft Windows 10 und Windows 11 durchzuführen, hat das Bundesamt für Sicherheit in der Informationstechnik  (BSI) deshalb "Windows Hello for Business" untersucht. Die betreffende, sehr umfangreiche, Analyse von 170 Seiten (PDF, in Englisch) liegt nun vor, wie das BSI u.a. auf Mastodon mitteilt.

BSI Analyse Windows Hello for Business

Das BSI hat analysiert, wie der Authentifizierungsablauf mit Windows Hello for Business technisch funktioniert.

  • Die Analyse beschreibt den Ablauf der Identitätsprüfung, den Windows-Biometriedienst sowie die Schnittstelle "Windows Biometric Framework" (Nutzung von Fingerabdruck- oder Gesichtserkennung).
  • Zudem wird die Verwaltung und Aufbau der Biometrie-Datenbank und die erweiterte Anmeldesicherheit "Enhanced Sign-in Security" (ESS) erläutert.
  • Außerdem zeigt die Analyse, wie WHfB in Unternehmen eingeführt wird, welche Konfigurationsmöglichkeiten es für Administratoren gibt und wie Sicherheitsvorfälle erkannt und protokolliert werden können. Ergänzend werden mögliche Angriffsszenarien und passende Gegenmaßnahmen aufgezeigt.

Auf Grundlage der Analysen leitete das BSI mehrere Empfehlungen zur Absicherung von Windows Hello for Business ab:

  • So sollte unter anderem zur Risikominimierung der ESS-Modus (Sicherheitsmodus Enhanced Sign-in Security) aktiviert werden. Dieser erfordert spezielle, kompatible Hardware („sichere Sensoren").
  • Des Weiteren sollte, um die Gefahr der gegenseitigen Identitätsübernahme zu verringern, pro Gerät nur eine Person registriert werden.
  • Darüber hinaus werden Härtungsmaßnahmen wie der Einsatz von Trusted Platform Module (TPM) mit Brute-Force-Schutz und eine Festplattenverschlüsselung empfohlen.

Bei heise geht dieser Artikel etwas detaillierter auf die BSI-Analyse ein und greift die Punkte des BSI auf, wo Probleme lauern könnten. Basierend auf diesen Analysen sind IT-Sicherheitsbeauftragte und Administratorinnen und Administratoren in der Lage, zu bewerten, ob Windows Hello for Business für den Einsatz in ihren Szenarien geeignet ist und wie eine sichere Konfiguration vorgenommen werden kann schreibt das BSI. Die Behörde plant in den kommenden Monaten weitere Veröffentlichungen, z. B. Analysen zu "Protected Process Light" (PPL) und "Control Flow Guard" (CFG), mit Ergebnissen aus dem Projekt "Windows seziert" zu veröffentlichen.

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht. Wegen Missbrauchs bin ich gezwungen, Name und E-Mail als Pflichtfelder beim Kommentieren zu aktivieren. Wählt ggf. einen (noch nicht benutzten) Alias-Namen und verwendet ggf. eine Dummy-Mail-Adresse (z.B. t@hotkev.com).

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.