1
Wird Windows Hello For Business bei Login mit Passwort nicht genutzt?
Moin,
wir nutzen seit kurzem WHFB in unserer Umgebung. Da die User sich jetzt sowohl mit PIN / Biometrie als auch (Domänen-)Passwort an ihren Clients anmelden können, habe ich mich gefragt, ob bei einer Anmeldung mit Passwort (was einige wenige User immer noch der PIN vorziehen) auch WHFB genutzt wird.
Im Netz hört es sich für mich so an (vgl. auch Links zu KI-Konversation mit Chat-GPT und Gemini), dass bei Windows-Logon mit Passwort der bei WHFB zugrunde liegende Prozess (private key wird entsperrt und zu Entra ID geschickt, um von dort PRT und partial TGT zu erhalten) eben NICHT durchlaufen wird (und weiterhin der Auth-Prozess über die DCs abgewickelt wird bzw. bei fehlender Konnektivität mit dem lokal gecachetem Hash verglichen wird).
Rein theoretisch wäre es doch aber möglich, dass sobald man WHFB bei einem Client eingerichtet hat, auch die Eingabe des Passworts den genannten WHFB Prozess triggert? Sodass man den Usern eben guten Gewissens sagen könnte, dass es sicherheitstechnisch egal ist, ob sie sich mit PIN oder PW anmelden? Wenn ich die Microsoft Dokumentation usw. richtig verstehe ist das ja eben nicht der Fall und man sollte den Usern stark zu Verwendung von PIN / Biometrie raten und möglichst weg vom Passwort.
Weiß hier jemand mehr bzw. kann das bestätigen?
Beste Grüße und vielen Dank,
Gary
Chat-GPT Konversation
Gemini Konversation
wir nutzen seit kurzem WHFB in unserer Umgebung. Da die User sich jetzt sowohl mit PIN / Biometrie als auch (Domänen-)Passwort an ihren Clients anmelden können, habe ich mich gefragt, ob bei einer Anmeldung mit Passwort (was einige wenige User immer noch der PIN vorziehen) auch WHFB genutzt wird.
Im Netz hört es sich für mich so an (vgl. auch Links zu KI-Konversation mit Chat-GPT und Gemini), dass bei Windows-Logon mit Passwort der bei WHFB zugrunde liegende Prozess (private key wird entsperrt und zu Entra ID geschickt, um von dort PRT und partial TGT zu erhalten) eben NICHT durchlaufen wird (und weiterhin der Auth-Prozess über die DCs abgewickelt wird bzw. bei fehlender Konnektivität mit dem lokal gecachetem Hash verglichen wird).
Rein theoretisch wäre es doch aber möglich, dass sobald man WHFB bei einem Client eingerichtet hat, auch die Eingabe des Passworts den genannten WHFB Prozess triggert? Sodass man den Usern eben guten Gewissens sagen könnte, dass es sicherheitstechnisch egal ist, ob sie sich mit PIN oder PW anmelden? Wenn ich die Microsoft Dokumentation usw. richtig verstehe ist das ja eben nicht der Fall und man sollte den Usern stark zu Verwendung von PIN / Biometrie raten und möglichst weg vom Passwort.
Weiß hier jemand mehr bzw. kann das bestätigen?
Beste Grüße und vielen Dank,
Gary
Chat-GPT Konversation
Gemini Konversation
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 82174885691
Url: https://administrator.de/contentid/82174885691
Printed on: April 28, 2024 at 21:04 o'clock
1 Comment
...ich kann auf jeden Fall schon mal sagen, dass man auch bei Anmeldung mit Passwort das AzureAdPrt bekommt (zu sehen im Output von ) und somit in der Nutzung von Microsoft/Windows SSO kein Unterschied für den Benutzer besteht.
Bleibt nur noch die Frage der Sicherheit, ob es da möglicherweise einen Unterschied gibt.
dsregcmd /statusBleibt nur noch die Frage der Sicherheit, ob es da möglicherweise einen Unterschied gibt.
