Erzwingen der Verwendung eines Hardware-Sicherheitsschlüssels mit einem Windows Hello-Konto

Wie Sie bereits bemerkt haben,

Yubico Login für Windows unterstützt Folgendes nicht:

• Verwaltete Active Directory (AD)-Konten
• Verwaltete Azure Active Directory-Konten (AAD)
• Microsoft Accounts (MSA)

Sie müssen ein lokales Konto verwenden.

Quelle:Konfigurationshandbuch für Yubico Login für Windows

(Der Thread wurde seit mehreren Monaten nicht aktualisiert, aber ich habe ihn mehr als einmal gefunden, als ich nach verwandten Fragen gegoogelt habe. Hier ist also eine Lösung. Hoffentlich hilft sie jemandem.)

Sie benötigen Yubico Login für Windows nicht für ein MS-Passwortloses Konto, wenn Ihr Computer AzureAD-verbunden ist (funktioniert möglicherweise auch für Hybrid-Joined, aber ich habe es nur auf AzureAD-verbundenen Maschinen versucht).

Ich habe dies auf meiner Windows 11-Maschine und einer Windows 10-VM getan (VirtualBox erlaubt SecurityKey-Passthrough, Hyper-V nicht).

MS-Anweisungen zum Aktivieren von FIDO-Schlüsseln in Azure AD:

• https://learn.microsoft.com/en-us/azure/active-directory/authentication/howto-authentication-passwordless-security-key
• Stellen Sie sicher, dass Sie entweder Alle Benutzer auswählen oder Ihr Konto in einer der zulässigen Gruppen enthalten ist

MS-Anweisungen zum Hinzufügen des Sicherheitsschlüssels zu Ihrem MS-Konto:

• https://support.microsoft.com/en-us/account-billing/set-up-a-security-key-as-your-verification-method-2911cacd-efa5-4593-ae22-e09ae14c6698
• Es wird nicht angegeben, aber dieser Schritt fügt Ihre AzureAD/MS-Anmeldeinformationen zu Ihrem Schlüssel hinzu

Starten Sie Ihr System nach diesen Schritten neu, um die AzureAD-Änderungen anzuwenden. (Nach meiner begrenzten Erfahrung müssen Sie möglicherweise 10–15 Minuten warten, bis die Änderung angewendet wird.)

Dieser Schritt kann notwendig sein oder auch nicht, aber ich habe es nie ohne diesen Schritt versucht:

• Gehen Sie nach dem Neustart zu Start > Einstellungen > Konten > Anmeldeoptionen > Sicherheitsschlüssel und klicken Sie auf [Verwalten].
• Sie werden aufgefordert, Ihren Schlüssel und die PIN einzugeben. Schließen Sie das Fenster, das geladen wird (das Zurücksetzen des Schlüssels oder der PIN über diese Schnittstelle entfernt wahrscheinlich die Anmeldeinformationen von Ihrem Schlüssel).

--

Melden Sie sich zum Testen ab. Sie sollten die standardmäßige Eingabeaufforderung für Passwort/PIN erhalten, aber wenn Sie Ihren Schlüssel einstecken (und/oder weitere Optionen auswählen und das USB-ähnliche Symbol für einen Sicherheitsschlüssel auswählen), werden Sie nach Ihrer PIN gefragt. Wenn Sie dies das erste Mal tun, ist die Standardanmeldemethode der Sicherheitsschlüssel.

Die einzige Möglichkeit, die ich gefunden habe, um den Schlüssel für Windows anzufordern, ist diese:
https://swjm.blog/drei-Wege-zur-Erzwingung-einer-Sicherheitsschlüsselanmeldung-unter-windows-10-windows-11-4f0f27227372
Essagt3 Möglichkeiten, aber eigentlich sind es nur 3 verschiedene Möglichkeiten, dasselbe zu tun – alle Windows-Anmeldeinformationsanbieter außer Sicherheitsschlüsseln und Smartcards zu deaktivieren.

WICHTIGE ÜBERLEGUNGEN:

• Obwohl Sie einem Schlüssel mehrere Benutzerkonten hinzufügen können, erkennt die Windows-Anmeldung nur die zuletzt zum Schlüssel hinzugefügten Anmeldeinformationen.
• Wenn Sie alle Anmeldeinformationsanbieter außer Sicherheitsschlüsseln und Smartcards deaktivieren, stellen Sie sicher, dass Sie sie bei Verlust Ihres Schlüssels wieder aktivieren können. Meine Maschinen werden von Intune verwaltet, sodass ich ein PowerShell-Skript ausführen kann, um die anderen Anbieter wieder zu aktivieren. Ich weiß jedoch nicht, was Sie ohne MDM tun würden, wenn der Schlüssel verloren ginge.
• Wenn Sie alle Anmeldeinformationsanbieter außer Sicherheitsschlüsseln und Smartcards deaktivieren, können Sie „Als Administrator ausführen“ nicht verwenden, wenn Sie als Standardbenutzer angemeldet sind.Ich habe versucht, mich mit einem Standardschlüssel anzumelden und dann die Administratoranmeldeinformationen mit einem AdminKey anzugeben, aber Windows erkennt nicht, dass der neue Schlüssel andere Anmeldeinformationen hat.(Ich habe dies nur unter Windows 10 Pro ausprobiert – Windows 11 erkennt die neuen Anmeldeinformationen möglicherweise.)

Fazit: Es ist möglich, den Windows Hello-PIN zu umgehen und die Verwendung eines beliebigen Hardware-Sicherheitsschlüssels zu erzwingen, der mit einem Microsoft-Konto in einem Windows-Profil verknüpft ist. Es ist keine Software oder spezielle Konfiguration erforderlich.

Die wichtigsten Teile sind:

1. Lassen Sie den HW-Sicherheitsschlüssel mit dem passwortlosen MS-Konto verknüpfen
2. Verwenden Sie dieses Konto für die Anmeldung
3. Entfernen Sie manuell den Win Hello-PIN und starten Sie den Computer neu
4. Sie werden dann nach dem HW-Schlüssel gefragt
5. Windows verlangt, dass Sie den Hello-PIN zurücksetzen
6. Ignorieren Sie dies einfach und die Anmeldung wird ohne Verwendung der Hallo-PIN abgeschlossen
7. keine Software, spezielle Konfiguration, Änderungen an der Anmeldeinformationsverwaltung usw. erforderlich
8. keine elegante Lösung, funktioniert aber einwandfrei, da die Verwendung eines HW-Schlüssels erzwungen und eine potenzielle Schwachstelle eliminiert wird, durch die jemand den PIN für die Anmeldung hacken könnte

Vorbehalte:

• muss die Windows-PIN entfernt werden
• Klicken Sie bei jeder weiteren Anmeldung auf „Meine PIN einrichten“.
• Klicken Sie dann auf "Mit einem Sicherheitsschlüssel anmelden" und
• Klicken Sie abschließend auf „Abbrechen“

Dadurch wird die Verwendung eines Hardware-Sicherheitsschlüssels erzwungen, der an Ihr Microsoft-Konto gebunden ist.

Als Referenz