Dieses Tutorial zeigt, wie Sie den erweiterten Spoofing-Schutz für Windows Hello für Windows 10- und Windows 11-Geräte konfigurieren. Die Aktivierung des erweiterten Spoofing-Schutzes bietet zusätzlichen Schutz für diebiometrischeAnmeldung auf Ihrem PC und trägt so zum Schutz Ihres Geräts und Ihrer Daten bei.
Erweitertes Anti-Spoofing für Windows Hello verstehen
Windows Hello ist eine Funktion von Windows 10 und Windows 11, mit der Sie sich mit einer PIN, einem Fingerabdruck oder einem Gesichtsscan anmelden können, anstatt Ihr Passwort einzugeben. Welche Methoden zur Verfügung stehen, hängt von der Hardwareunterstützung Ihres Geräts ab (d. h. für einen Gesichtsscan ist eine unterstützte Webkamera erforderlich, für die Anmeldung per Fingerabdruck ein Fingerabdruckleser).
Der Verzicht auf die Kennwortauthentifizierung erhöht die Sicherheit, da Sie ein sichereres Kennwort für Ihren PC und Ihr Microsoft-Konto verwenden können, da Sie es nicht jedes Mal eingeben müssen, wenn Sie Ihr Gerät starten oder entsperren. Es verringert auch die Wahrscheinlichkeit, dass Ihr Passwort von einem Keylogger erfasst oder von einem Beobachter gesehen werden kann.
In Unternehmensumgebungen, die eine Windows-Domäne und Active Directory verwenden, ist Windows Hello vorzuziehen, da es bedeutet, dass die Benutzeranmeldedaten nicht bei jeder Anmeldung übertragen werden müssen – sobald sich der Benutzer einmal angemeldet hat, speichert Windows Hello ein Token, das stattdessen verwendet werden kann, wodurch die Benutzerauthentifizierung in sensiblen Unternehmensumgebungen noch sicherer wird. Windows Hello ist zwar sicherer als herkömmliche Benutzernamen und Passwörter, aber auch nicht unfehlbar. Es hat bereits Fälle gegeben, in denen die Gesichtserkennung überlistet wurde, indem der Kamera Bilder des Benutzers vorgelegt wurden (bekannt als „Spoofing“).
Erweitertes Anti-Spoofing schützt davor, indem es verlangt, dass Geräte, die Gesichtserkennung für die Anmeldung verwenden, zusätzliche Hardware-Funktionen wie Infrarotkameras haben, die durch gängige Spoofing-Taktiken nicht getäuscht werden können.
Aktivieren/Deaktivieren von Enhanced Anti-Spoofing für Windows Hello in Windows 10 und Windows 11
Die folgenden Anweisungen zur Verwendung des Editors für lokale Gruppenrichtlinien und des Registrierungseditors zur Konfiguration von Enhanced Anti-Spoofing für Windows Hello gelten sowohl für Windows 10 als auch für Windows 11. Beachten Sie, dass Sie für alle Methoden als Administrator eingeloggt sein müssen.
Bevor Sie Änderungen vornehmen, sollten Sie eine Sicherungskopie Ihres PCs erstellen (oder zumindest eine Sicherungskopie Ihrer Lokalen Gruppenrichtlinie oder Windows-Registrierung, je nachdem, welche Methode Sie verwenden). Sie sollten sich auch vergewissern, dass Sie das Kennwort des lokalen Benutzerkontos oder des Microsoft-Kontos kennen, das Sie für die Anmeldung an Ihrem Windows-Gerät verwenden, da Sie sich nach Änderungen möglicherweise erneut authentifizieren müssen, wenn Sie bereits Windows Hello für die Anmeldung verwenden.
Verwenden der Windows-Registrierung (Windows 10/11 Home & alle anderen Editionen)
Das Aktivieren oder Deaktivieren von Enhanced Anti-Spoofing für Windows Hello kann bei allen Versionen von Windows 10 und Windows 11 über die Windows-Registrierung erfolgen.
- Klicken Sie mit der rechten Maustaste auf die Schaltfläche Start und wählen Sie Ausführen
- Geben Sie den Befehl regedit ein und drücken Sie OK , um den Windows-Registrierungseditor zu öffnen
- Navigieren Sie zu dem Registrierungsschlüssel Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft
- Wenn der Unterschlüssel Biometrics an dieser Stelle nicht vorhanden ist, erstellen Sie ihn, indem Sie in der Symbolleiste Bearbeiten > Neuer > Schlüssel wählen
- Erstellen Sie innerhalb des Unterschlüssels Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Biometrics einen Unterschlüssel FacialFeatures , wenn dieser noch nicht vorhanden ist
Sie können dann Enhanced Anti-Spoofing aktivieren oder deaktivieren, indem Sie einen Registrierungswert hinzufügen oder entfernen:
- Um Enhanced Anti-Spoofing für Windows Hello zu aktivieren, navigieren Sie im Registrierungseditor zu Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Biometrics\FacialFeatures und wählen Sie dann Bearbeiten > Neu > DWORD (32-Bit) Wert
- Benennen Sie den neuen DWORD-Wert EnhancedAntiSpoofing und setzen Sie seinen Wert auf 1
- Um Enhanced Anti-Spoofing zu deaktivieren, löschen Sie den DWORD-Wert EnhancedAntiSpoofing
- Möglicherweise müssen Sie Ihr Gerät neu starten, damit die Änderungen wirksam werden.
Beachten Sie, dass der oben gezeigte Registrierungsschlüssel für PCs gilt, die nicht mit einer Domäne verbunden sind oder Windows Hello for Business verwenden (in diesem Fall ist die Gruppenrichtlinie die beste Methode zur Bereitstellung der Konfiguration).
Verwendung des Editors für lokale Gruppenrichtlinien (Windows 10/11 Pro & Enterprise)
Sie können auch den Editor für lokale Windows-Gruppenrichtlinien verwenden, um Änderungen auf dem aktuellen Gerät vorzunehmen oder eine Gruppenrichtlinie für eine Active Directory-Domäne bereitzustellen, um Enhanced Anti-Spoofing für mehrere PCs in einer Unternehmensumgebung zu aktivieren/deaktivieren:
- Klicken Sie mit der rechten Maustaste auf die Schaltfläche Start und wählen Sie Ausführen
- Geben Sie den Befehl gpedit. msc ein und drücken Sie die Taste Enter , um den Editor für lokale Gruppenrichtlinien zu öffnen
- Navigieren Sie zu Computerkonfiguration\Verwaltungsvorlagen\Windows-Komponenten\Biometrie\Gesichtsmerkmale
- Doppelklicken Sie auf die Einstellung Configure enhanced anti-spoofing
- Um Enhanced Anti-Spoofing für Windows Hello zu aktivieren, wählen Sie den Wert Enabled
- Um sie zu deaktivieren, wählen Sie den Wert Nicht konfiguriert
- Drücken Sie OK , um die Änderung zu speichern
Behebung häufiger Probleme mit Windows Hello
Wenn Sie nach dem Aktivieren von Enhanced Anti-Spoofing für Windows Hello feststellen, dass die Gesichtsanmeldung nicht mehr verfügbar ist, liegt das höchstwahrscheinlich daran, dass Ihre Kamera die für Advanced Anti-Spoofing erforderliche Technologie nicht unterstützt. Wenn Ihr Gerät unterstützt wird, Sie aber Probleme bei der Anmeldung haben, können Sie diese Anleitung befolgen, um die Windows Hello-Gesichtserkennung zu verbessern.
Verwaltung von Windows Hello und Authentifizierung für Unternehmen und Bildungseinrichtungen
Die Sicherung von Endbenutzergeräten in Unternehmens- und Bildungsumgebungen ist eine ständige Herausforderung für IT-Teams: Authentifizierung und Sicherheit müssen die Geräte angemessen schützen und gleichzeitig so bequem sein, dass die Benutzer keine Umgehungsversuche unternehmen (z. B. Passwortänderungen aufschieben oder leicht zu erratende oder wiederverwendete Passwörter verwenden). Windows Hello und die gerätebasierte Authentifizierung bieten starke Sicherheit, die bequemer ist als die herkömmliche passwortbasierte Anmeldung.
NinjaOne bietet eine komplette Mobile Device Management (MDM) Lösung, die es Ihnen ermöglicht, Sicherheitsrichtlinien zu implementieren (einschließlich der Aktivierung von Enhanced Anti-Spoofing für Windows Hello in Windows) und die Geräte Ihrer Benutzer zu überwachen. Wenn ein mobiles Gerät verloren geht oder gestohlen wird, kann es aus der Ferne geortet und gelöscht werden, um Datenlecks zu verhindern und Ihre wertvollen Geschäftsdaten sowie die privaten Informationen Ihrer Kunden zu schützen.