regexreggae
Goto Top

Wird Windows Hello For Business bei Login mit Passwort nicht genutzt?

Moin,

wir nutzen seit kurzem WHFB in unserer Umgebung. Da die User sich jetzt sowohl mit PIN / Biometrie als auch (Domänen-)Passwort an ihren Clients anmelden können, habe ich mich gefragt, ob bei einer Anmeldung mit Passwort (was einige wenige User immer noch der PIN vorziehen) auch WHFB genutzt wird.

Im Netz hört es sich für mich so an (vgl. auch Links zu KI-Konversation mit Chat-GPT und Gemini), dass bei Windows-Logon mit Passwort der bei WHFB zugrunde liegende Prozess (private key wird entsperrt und zu Entra ID geschickt, um von dort PRT und partial TGT zu erhalten) eben NICHT durchlaufen wird (und weiterhin der Auth-Prozess über die DCs abgewickelt wird bzw. bei fehlender Konnektivität mit dem lokal gecachetem Hash verglichen wird).

Rein theoretisch wäre es doch aber möglich, dass sobald man WHFB bei einem Client eingerichtet hat, auch die Eingabe des Passworts den genannten WHFB Prozess triggert? Sodass man den Usern eben guten Gewissens sagen könnte, dass es sicherheitstechnisch egal ist, ob sie sich mit PIN oder PW anmelden? Wenn ich die Microsoft Dokumentation usw. richtig verstehe ist das ja eben nicht der Fall und man sollte den Usern stark zu Verwendung von PIN / Biometrie raten und möglichst weg vom Passwort.

Weiß hier jemand mehr bzw. kann das bestätigen?

Beste Grüße und vielen Dank,
Gary

Chat-GPT Konversation
Gemini Konversation

Content-Key: 82174885691

Url: https://administrator.de/contentid/82174885691

Printed on: April 12, 2024 at 23:04 o'clock

Member: regexreggae
regexreggae Mar 18, 2024 at 11:27:58 (UTC)
Goto Top
...ich kann auf jeden Fall schon mal sagen, dass man auch bei Anmeldung mit Passwort das AzureAdPrt bekommt (zu sehen im Output von
dsregcmd /status
) und somit in der Nutzung von Microsoft/Windows SSO kein Unterschied für den Benutzer besteht.

Bleibt nur noch die Frage der Sicherheit, ob es da möglicherweise einen Unterschied gibt.