HOWTO: Windows Hello mit AuthPoint MFA absichern

Comment
Alle Tags (2FA Active Directory AD Authentication AuthPoint Biometrie Face-Recognition Fingerabdruck Fingerprint Gesichtserkennung GPO Gruppenrichtlinie Hello Hello for Business Logon App MFA Microsoft Multifaktor-Authentifizierung WatchGuard-AuthPoint Windows Windows Anmeldung)

In diesem Blog-Artikel wird beschrieben, wie die Windows-Anmeldung zusätzlich mit einem zweiten Faktor über WatchGuard AuthPoint MFA abgesichert werden kann. Die Anmeldung erfolgt dabei in Kombination mit Windows Hello – also per PIN, Fingerabdruck oder Gesichtserkennung – und bietet somit ein hohes Maß an Sicherheit bei gleichzeitig komfortabler Benutzererfahrung.

Der Artikel behandelt folgende Schritte:

  1. Voraussetzungen und Testumgebung
  2. AuthPoint in der WatchGuard Cloud konfigurieren
    1. Ressource anlegen
    2. Zero-Trust Regel anlegen
    3. Logon App und Konfiguration herunterladen
  3. Logon App auf einem Clientrechner installieren
  4. Voraussetzungen für Gesichtserkennung/Fingerprint mittels GPO konfigurieren
  5. Windows Hello am Client aktivieren
  6. Fazit

1. Voraussetzungen und Testumgebung

Dieses HOWTO wurde auf Grundlage der folgenden Systeme und Einstellungen erstellt:

  • AuthPoint ist mit dem AD verknüpft und die AD-Benutzer/Gruppen sind somit in der Cloud bekannt und Push, OTP und/oder QR-Code sind aktiv
  • AD-Domäne hat den Forrest- und Domain-Funktions-Level 2016
  • Die Domäne ist NICHT mit EntraID gesynct sondern Stand-Alone
  • Client-Laptop mit Windows 11 25H2
  • AuthPoint Logon App in der Version 4.0.0.31

2. AuthPoint in der WatchGuard Cloud konfigurieren

2.1 Ressource anlegen

Der erste Schritt in der WatchGuard Cloud ist das Anlegen einer Ressource für die Logon App. Dazu im TOP-Menü Konfigurieren -> AuthPoint -> Ressourcen den Button „Ressource hinzufügen“ wählen und die entsprechenden Daten eintragen:

In diesem Beispiel nennen wir die Ressource „Logon App-Ressource“ und nehmen 2 Benutzer aus, die sich auch ohne AuthPoint anmelden dürfen. Das muss je nach Umgebung individuell geplant werden, es können hier Lokale- oder Domänen-Benutzerkonten verwendet werden (gerade bei der ersten Testinstallation macht es ggf. Sinn sich hier eine „Hintertür“ zu schaffen, damit man im Falle des Falles noch auf den Rechner kommt).
Um die Ressource anzulegen die Seite über den Button „Speichern“ verlassen.

2.2 Zero-Trust Regel anlegen

Der zweite Schritt ist eine Regel zu definieren, die besagt welche bekannten Benutzer bzw. Gruppen aus AuthPoint sich mit der Logon App anmelden dürfen. Im TOP-Menü Konfigurieren -> Zero-Trust gibt es ganz oben den Button „Regel hinzufügen“. Hier wird ein Name definiert (1), die Gruppe die Zugriff erhalten soll ausgewählt (2), die oben erstellte Ressource zugewiesen (3) und die Aktion „Zulassen“ (4) definiert mit den gewünschten Aktionen die zur Anmeldung zur Verfügung stehen sollen:

Auch hier die Einstellungen über den Button „Speichern“ verlassen.

2.3 Logon App und Konfiguration herunterladen

Der letzte Schritt in der WatchGuard Cloud ist das Herunterladen der Installationsdatei und der Konfiguration. Im TOP-Menü Konfigurieren -> AuthPoint -> Download findet man beides – gibt es mehrere unterschiedliche Logon App-Ressourcen dann wird bei „Konfiguration herunterladen“ gefragt welche heruntergeladen werden soll:

3. Logon App auf einem Clientrechner installieren

Die beiden Dateien werden auf den Rechner, der geschützt werden soll, übertragen und dort ausgeführt – wichtig ist, dass die Konfiguration im gleichen Verzeichnis liegt wie der Installer!

Nach erfolgreicher Installation wird ein Neustart verlangt. Sobald der Rechner wieder hochgefahren ist, ist die Logon App aktiv.

Die Logon App kann auch per Gruppenrichtlinie verteilt werden. Dazu gibt es bei uns bereits einen Blog-Artikel unter >> HOWTO: AuthPoint Logon App via GPO ausrollen.

4. Voraussetzungen für Gesichtserkennung/Fingerabdruck mittels GPO konfigurieren

In einer Domäne ist die Verwendung von Hello nicht generell erlaubt. Die Aktivierung sollte über eine Gruppenrichtlinie erfolgen. Die im Screenshot gezeigten Einstellungen sind notwendig, damit die Benutzer am Client anschließend die Anmeldung mittels PIN, Gesichtserkennung und/oder Fingerabdruck konfigurieren können:

Nachdem die Gruppenrichtlinie erstellt und auf die entsprechende OU zugewiesen ist, muss der Client die Einstellungen entweder über das definierte Updateinterval automatisch ziehen, oder man kann per „gpupdate /force“ den Updatevorgang erzwingen.

5. Windows Hello am Client konfigurieren

Voraussetzung für die Verwendung des Fingerabdrucks bzw. auch der Gesichtserkennung ist die Definition einer PIN – ist keine PIN hinterlegt sind diese Optionen nicht konfigurierbar.
Nach der Konfiguration ist eine Anmeldung mittels Passwort und PIN möglich, Fingerabdruck usw. sind dann optional verfügbar und man kann wählen welchen Faktor man verwenden möchte.

Daher sollte über die Windows-Einstellungen -> Konten -> Anmeldeoptionen als Erstes eine PIN für Windows Hello hinterlegt werden (1):

Wenn die PIN erfolgreich definiert wurde, kann mit der Einrichtung der Gesichtserkennung oder eines Fingerabdrucks fortgefahren werden.

6. Fazit

Mit ein paar Handgriffen kann man die Clientanmeldung sehr gut auf den Benutzer personalisieren und zusätzlich mit einem zweiten Faktor wie beispielsweise einem Handy mit der AuthPoint App oder einem Hardwaretoken sichern.

Dank Windows Hello for Business bleibt der Anmeldeprozess trotz zusätzlicher Sicherheit genauso schnell wie der klassische Weg.

Weiterführende Links zum Thema Logon App

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adressse wird nicht veröffentlicht. Markierte Felder sind Pflichtfelder *