Windows Hello Business und Domäne
Hallo zusammen,
ich habe mich heute ein wenig in Windows Hello eingelesen. So ein paar Dinge sind mir aber noch nicht ganz klar.
Wir haben eine 2008er Domäne und viele Windows 10 PC. Unsere GF möchte weg von Passwörtern weil es immer ein Thema ist wenn die Passwörter geändert werden müssen.
1. Ich sehe allerdings in Windows Hello eher schlechtere Sicherheit, da dies wohl immer mit einer PIN verbunden ist?
Man muss das quasi in der Domäne erst erlauben?
2. Wird das biometrische Passwort dann in der AD gespeichert und ich kann mich an jedem PC mit meinem Fingerabdruck anmelden oder ist das immer nur auf der lokalen Maschine gespeichert?
Vielen Dank,
Grüße
Leon
ich habe mich heute ein wenig in Windows Hello eingelesen. So ein paar Dinge sind mir aber noch nicht ganz klar.
Wir haben eine 2008er Domäne und viele Windows 10 PC. Unsere GF möchte weg von Passwörtern weil es immer ein Thema ist wenn die Passwörter geändert werden müssen.
1. Ich sehe allerdings in Windows Hello eher schlechtere Sicherheit, da dies wohl immer mit einer PIN verbunden ist?
Man muss das quasi in der Domäne erst erlauben?
2. Wird das biometrische Passwort dann in der AD gespeichert und ich kann mich an jedem PC mit meinem Fingerabdruck anmelden oder ist das immer nur auf der lokalen Maschine gespeichert?
Vielen Dank,
Grüße
Leon
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 397100
Url: https://administrator.de/forum/windows-hello-business-und-domaene-397100.html
Ausgedruckt am: 24.04.2025 um 10:04 Uhr
9 Kommentare
Neuester Kommentar
Hallo Leon,
die Frage wäre zuvorderst: Welches Sicherheitslevel habt Ihr, dass Ihr von euren Usern fordern könnt, dass Sie Ihren Fingerabdruck "dafür" hergeben?
VG
die Frage wäre zuvorderst: Welches Sicherheitslevel habt Ihr, dass Ihr von euren Usern fordern könnt, dass Sie Ihren Fingerabdruck "dafür" hergeben?
VG
Hi.
Zu klärende Fragen für Dich:
1 hast Du verstanden, wie die PIN funktioniert?
2 habt Ihr für Hello hinreichende Biometrie-Hardware (nicht jede geht) und falls nicht, wären die Kosten im Budget?
3 Sind die Mitarbeiter überhaupt einverstanden, dass Ihre biometrischen Daten bei Euch hinterlegt werden? Was, wenn nicht (das ist nicht absehbar, da ja auch Leute neu eingestellt werden - dann müsstet Ihr evtl. zweigleisig fahren)?
(4 was spricht gegen Anmeldung mit Kennwort und USB-Stick statt Biometrie?)
Zu klärende Fragen für Dich:
1 hast Du verstanden, wie die PIN funktioniert?
2 habt Ihr für Hello hinreichende Biometrie-Hardware (nicht jede geht) und falls nicht, wären die Kosten im Budget?
3 Sind die Mitarbeiter überhaupt einverstanden, dass Ihre biometrischen Daten bei Euch hinterlegt werden? Was, wenn nicht (das ist nicht absehbar, da ja auch Leute neu eingestellt werden - dann müsstet Ihr evtl. zweigleisig fahren)?
(4 was spricht gegen Anmeldung mit Kennwort und USB-Stick statt Biometrie?)
Nein das Sicherheitslevel ist nicht besonders hoch. Die Passwörter sind auch nur Standard - Komplex. Allerdings schreiben sich die Mitarbeiter die Passwörter immer auf Zettel und die tauchen dann immer irgendwo auf.
Ich denke die Mitarbeiter würden befürworten keine Passwörter mehr eingeben zu müssen...
Ich möchte kein Azure, da wir on premise bleiben wollen. In den Links von @137846 steht, dass ich einen 2016DC benötige. Ich habe aber heute gelesen, dass es auch mit ner 2008er Domäne über Zertifikate geht.
@DerWoWusste
1. Ich glaube nicht, ich habe es schon mal gesehen, dass ich PIN oder Fingerabdruck in das Windows komme. Ich finde eine PIN eigentlich unsicherer als ein PW.
2. Das müsste angeschafft werden, die GF möchte eben wissen welcher Aufwand und welche Kosten entstehen.
3. Vermutlich nicht alle, denke es wird zweigleisig gefahren werden müssen. Es ist schon gar nicht überall möglich.
4. Nichts, nur dass wir das das "und USB-Sticks" nicht benötigen, da wir nicht die Sicherheit erhöhen wollen, sondern es soll komfortabler werden. Wobei auch das "PW auf Zettel schreiben" schon eine Sicherheitslücke ist...
Ich denke die Mitarbeiter würden befürworten keine Passwörter mehr eingeben zu müssen...
Ich möchte kein Azure, da wir on premise bleiben wollen. In den Links von @137846 steht, dass ich einen 2016DC benötige. Ich habe aber heute gelesen, dass es auch mit ner 2008er Domäne über Zertifikate geht.
@DerWoWusste
1. Ich glaube nicht, ich habe es schon mal gesehen, dass ich PIN oder Fingerabdruck in das Windows komme. Ich finde eine PIN eigentlich unsicherer als ein PW.
2. Das müsste angeschafft werden, die GF möchte eben wissen welcher Aufwand und welche Kosten entstehen.
3. Vermutlich nicht alle, denke es wird zweigleisig gefahren werden müssen. Es ist schon gar nicht überall möglich.
4. Nichts, nur dass wir das das "und USB-Sticks" nicht benötigen, da wir nicht die Sicherheit erhöhen wollen, sondern es soll komfortabler werden. Wobei auch das "PW auf Zettel schreiben" schon eine Sicherheitslücke ist...
Ich möchte kein Azure, da wir on premise bleiben wollen.
Sorry, das ist absoluter Blödsinn und zeugt nur davon das du den Inhalt nicht genau gelesen hast. Die Links beschreiben die einzig korrekte Bereitstellung für Windows Hello for Business in einer ActiveDirectory Domain und diese ist für lokale Bereitstellung OnPremise ohne Azure!!!!!!! Denn der MFA Server wird lokal in der Domain installiert:Lokaler Azure MFA-Server
Lokale Bereitstellungen, sowohl nach dem schlüssel- als auch zertifikatbasierten Vertrauensmodell, verwenden den Azure MFA-Server, auf dem die Anmeldeinformationen nicht mit Azure Active Directory synchronisiert werden.Also alles lokal ohne jeglichen Kontakt zu Azure-Services!
Zitat von @leon123:
Nein das Sicherheitslevel ist nicht besonders hoch. Die Passwörter sind auch nur Standard - Komplex. Allerdings schreiben sich die Mitarbeiter die Passwörter immer auf Zettel und die tauchen dann immer irgendwo auf.
Ich denke die Mitarbeiter würden befürworten keine Passwörter mehr eingeben zu müssen...
Nein das Sicherheitslevel ist nicht besonders hoch. Die Passwörter sind auch nur Standard - Komplex. Allerdings schreiben sich die Mitarbeiter die Passwörter immer auf Zettel und die tauchen dann immer irgendwo auf.
Ich denke die Mitarbeiter würden befürworten keine Passwörter mehr eingeben zu müssen...
Dann hoffe ich mal, dass Ihr einen guten Datenschutzbeauftragten habt.
in den Links von @137846 steht, dass ich einen 2016DC benötige...
Deinen DC wirst Du bis 2020 eh abgelöst haben müssen durch 2016 oder 2019, somit ist das kein Hindernis.PIN darfst Du nicht mit kurzem Nummernpasswort verwechseln, da ganz andere Voraussetzungen gelten. Mal hier anfangen: https://www.thewindowsclub.com/pin-vs-password-in-windows-10
Wegen USB: Schau mal https://www.rohos.com/products/rohos-logon-free/ an.
Danke für die Antworten, ich hab mir das jetzt alles komplett durchgelesen, aber verstehen tu ich es noch nicht...
Die PINs und die Biometrie ist immer nur für einen Client und ich habe somit den Client, die PIN und oder Biometrie. Wieso brauch ich dann noch den MFA-Server?
Kann man das nicht einfach so wie ohne Domäne an den einzelnen Computern aktivieren?
Die PINs und die Biometrie ist immer nur für einen Client und ich habe somit den Client, die PIN und oder Biometrie. Wieso brauch ich dann noch den MFA-Server?
Kann man das nicht einfach so wie ohne Domäne an den einzelnen Computern aktivieren?
Für den zweiten Faktor
Windows Hello for Business erfordert, dass alle Benutzer vor dem Erstellen und Registrieren von Anmeldeinformationen für Windows Hello for Business eine zusätzliche Authentifizierungsstufe durchlaufen. Windows Hello for Business-Bereitstellungen verwenden Azure MFA-Dienste (Azure Multi-Factor Authentication) für die sekundäre Authentifizierung. Lokale Bereitstellungen verwenden Azure MFA-ServeKann man das nicht einfach so wie ohne Domäne an den einzelnen Computern aktivieren?
Nein.
