BLOG
Wissenstransfer von IT-Spezialisten
| |

Windows 10 Enterprise Serie – Passport

>>Zur Übersicht und Einleitung der Blogserie „Windows 10 Enterprise Serie“

Ein Benutzer steht vor der Herausforderung sich mindestens ein Passwort zu merken. Dieses wird benötigt um sich gegenüber dem Firmennetzwerk zu authentifizieren. Sollte der Benutzer noch mit weiteren Applikationen (CRM, ERP, usw.) arbeiten, können hier noch weitere Passwörter benötigt werden. Da die Benutzer einen Zugriff auf das Netzwerk und gegebenenfalls auf sensible Daten bekommen, müssen die Passwörter Richtlinien der Firma entsprechen. Bei einer hohen Komplexität des Passwortes kann es schwer für den Benutzer sein sich dieses Passwort zu merken. Hier möchte Microsoft Abhilfe schaffen mit Microsoft Passport. Microsoft Passport ist ein neues Feature in Windows 10 und Windows 10 mobile um die Authentifizierung sicherer und einfacher machen.

Auf den folgenden Seiten wird erklärt was Microsoft Passport ist, wie es funktioniert und wie es konfiguriert wird.

Technische Anforderungen

Vorab die technischen Anforderungen für Microsoft Passport for work

Auf den Geräten muss ein Windows 10 oder Windows 10 mobile installiert sein. Optional wird ein TPM-Chip der Version 1.2 oder 2.0 benötigt.

Die Infrastruktur muss folgendes zur Verfügung stellen:

Abbildung 1: Tabelle von Microsoft

Heranführung ans Thema

Mit Microsoft Passport sollen Benutzername und Passwort überflüssig gemacht werden. Dadurch das sich das Gerät authentifiziert werden keine Benutzernamen und Passwort an den IDP (Identety Provider) übertragen. Somit ist es einem Angreifer nicht möglich Anmeldedaten bei einem IDP zu holen. Der Benutzer meldet sich am Gerät mit einem PIN oder mit eine Windows Hello Geste an. Somit muss sich der Benutzer nur gegenüber dem Gerät authentifizieren und das Gerät meldet sich beim IDP.

Passport kann in Verbindung mit Windows Hello genutzt werde. Ist aber nicht dasselbe. Leider kommt es sehr oft zu Verwechslung zwischen Microsoft Passport und Windows Hello. Beide Features (Passport und Hello) können einzeln eingesetzt werden. Hier ist eine Beschreibung von Windows Hello http://windows.microsoft.com/de-de/windows-10/getstarted-what-is-hello. Wenn in diesem Artikel dir Rede vom PIN ist, ist der Microsoft Passport PIN gemeint. Nicht der Windows Hello PIN.

Wie funktioniert Passport?

Damit sich ein Benutzer an seinem Gerät anmelden kann wird kein Passwort benötigt, sondern nur noch ein PIN oder eine Windows Hello Geste. Durch das eingeben des korrekten PINs/Geste wird der sogenannte Container mit den gespeicherten Zertifikaten oder Schlüssel freigegeben. Ab diesem Zeitpunkt muss der Benutzer keine weiteren Anmeldedaten angeben. Vorausgesetzt natürlich, die Applikation oder Web-Seite unterstützt Microsoft Passport und der Benutzer hat sich schon registriert.

Damit sich ein Benutzer mit Microsoft Passport an einer Web-Seite anmelden/registrieren kann, muss diese den FIDO-Standard 2.0 unterstützen. Dieser Standard wird von der FIDO-Alliance (Fast Identification Online) entwickelt. Zu den Mitgliedern der FIDO-Alliance gehören neben Microsoft auch Google, PayPal, MasterCard und viele mehr. Für weitere Informationen zu FIDO hier ein Link https://fidoalliance.org/.

Kurz zu dem Begriff Container. Ein Container, in Verbindung mit Passport, ist eine logische Gruppierung von Zertifikaten/Schlüsseln. Bei Passport gibt einen Container für die persönlichen Zertifikate/Schlüssel und einen für das Unternehmen. Somit ist eine Trennung zwischen Persönlichen- und Unternehmensanmeldedaten gegeben.

Diese Container werden, wenn vorhanden, im TPM-Chip gespeichert. Microsoft Passport for work unterstützt die Version 1.2 und 2.0 des TPM-Chips. Sollte kein TPM-Chip verbaut sein, werden die Zertifikate/Schlüssel Softwareseitig gespeichert .

Sollte der Computer keinen TPM-Chip verbaut haben, aber zwingend verwendet werden, kann ein Smartphone zur Anmeldung am Computer genutzt werden.  Dies ist momentan nur möglich, wenn am Technology Adoption Program (TAP) teilgenommen wird.

Überblick über den Registrierungs- und Anmeldeprozess:

Abbildung 2: Grafik von Microsoft

Der Registrierungsprozess genauer beschrieben:

Abbildung 3: Grafik von Microsoft

Der Anmeldeprozess genauer beschrieben:

Abbildung 4: Grafik von Microsoft

Wie wird Passport aktiviert?

Grundsätzlich ist Microsoft Passport aktiviert. Kann aber über die Gruppenrichtlinie (gpedit.msc und gpmc.msc) deaktiviert und konfiguriert werde. Neben der Aktivierung/Deaktivierung können noch diverse Einstellungen getätigt werden. Als Beispiel kann die Komplexität (länge und welche Zeichen) des PINs angepasst werden. Es ist auch möglich festzulegen ob ein TPM-Chip zwingend benötigt wird.

Die Einstellungen können unter folgendem Pfad in einer GPO angepasst werden:

Computer Konfiguration-> Richtlinien-> Administrative Vorlagen-> Windows Komponenten-> Microsoft Passport for work

Um die GPO zu erstellen/bearbeiten wird entweder, ein Computer mit Windows 10 und RSAT installiert oder einen Windows Server Technical Preview Domain Controller benötigt.

Diese Einstellungen können nur für Geräte gemacht werden und nicht für Benutzer. Somit ist es nicht möglich Microsoft Passport für einzelne Benutzer zu aktivieren/erzwingen.

Was muss am Gerät gemacht werden?

Hier eine Anleitung was vom Benutzer gemacht werden muss wenn Passport nachträglich aktiviert wird (Quelle: https://technet.microsoft.com/en-us/library/mt589441(v=vs.85).aspx ):

The registration process works like this:

  1. The user configures an account on the device. This account can be a local account on the device, a domain account stored in the on-premises Active Directory domain, a Microsoft account, or an Azure AD account. For a new device, this step may be as simple as logging on with a Microsoft account. Logging on with a Microsoft account on a Windows 10 device automatically sets up Microsoft Passport on the device; users don’t have to do anything extra to enable it.
  2. To log on using that account, the user has to enter the existing credentials for it. The IDP that “owns” the account receives the credentials and authenticates the user. This IDP authentication may include the use of an existing second authentication factor, or proof. For example, a user who registers a new device by using an Azure AD account will have to provide an SMS-based proof that Azure AD sends.
  3. When the user has provided the proof to the IDP, the user enables PIN authentication (Figure 1).         The PIN will be associated with this particular credential.

Figure 1. Set up a PIN in the Account Settings control panel item. When the user sets the PIN, it becomes usable immediately (Figure 2).

Figure 2. When set, the PIN is immediately usable

Sollte sich ein Benutzer an einem neuen Gerät anmelden, an dem Passport schon vorher aktiviert ist müssen folgende Schritte durchgeführt werden (Quelle: http://blogs.technet.com/b/ad/archive/2015/07/21/microsoft-passport-and-azure-ad-eliminating-passwords-one-device-at-a-time.aspx#pi168980=2)

First run experience

When you first sign-in to a Windows 10 device that is joined to Azure AD, you will be asked to setup your Microsoft Passport, in this case with a PIN:

Signing into the PC

Then you specify your PIN:

Bingo, you are done! You can sign into Windows using your PIN and get single sign-on to all the applications you use Azure AD to manage.

Um eine Anmeldung mit einem Smartphone einzurichten muss wie folgt vorgegangen werden (Quelle: https://technet.microsoft.com/en-us/library/mt219736(v=vs.85).aspx):

Pair the PC and phone

1. On the PC, go to Settings > Devices > Bluetooth. Tap the name of the phone and then tap Pair to begin pairing.

2. On the phone, go to Settings > Devices > Bluetooth, and verify that the passcode for Pairing accessory on the phone matches the passcode displayed on the PC, and then tap ok.

3. On the PC, tap Yes.

Damit sich der Benutzer an einem Computer mit seinem Smartphone anmelden kann muss wie folgt vorgegangen werden (Quelle: https://technet.microsoft.com/en-us/library/mt219736(v=vs.85).aspx):

Sign in to PC using the phone

1. Open the Phone Sign-in app and tap the name of the PC to sign in to.
Note The first time that you run the Phone-Sign app, you must add an account.

2. Enter the work PIN that you set up when you joined the phone to the cloud domain or added a work account.

Pro / Kontra

Pro:

  • Benutzer muss sich kein Passwort merken
  • Es werden keine Passwörter auf den Servern gespeichert
  • Keine Remoteanmeldung mit dem Microsoft Passport PIN

Kontra:

  • Momentan nur in Microsoft Umgebung und mit Microsoft Konto
  • Noch keine Applikationsunterstützung
  • User wird an Gerät gebunden
  • Kann nicht für Benutzer aktiviert werden nur für Geräte

Die Idee hinter Passport ist sehr gut und ist, meine Meinung nach, die Zukunft. Da es sehr häufig vor kommt das für die Anmeldung immer dasselbe Passwort verwendet wird, wird es einem Angreifer sehr leicht gemacht. Dies wird durch Passport verhindert. Da aber, abgesehen von Microsoft eigenen Systemen, noch keine Anbieter diese Funktion unterstützen, ist es noch keine große Entlastung für die Benutzer.