Biometrischen Login – Gruppenrichtlinie und Registry
Biometrie spielt in der heutigen Zeit eine immer größere Rolle. Egal ob eine Gesichtserkennung oder ein Fingerabdruck verwendet wird, es gibt immer eine Eigenschaft die einzigartig ist. Das entsperren von Windows mit Gesichtserkennung oder Fingerabdruck ist nicht nur ein Sicherheitsaspekt, sondern steigert auch die Akzeptanz der Benutzer, da man sich kein Kennwort merken muss. Um einen Biometrischen Login aktivieren oder deaktivieren zu können, stellt uns Microsoft Bordmittel zur Verfügung. Zum einen gibt es Gruppenrichtlinien (GPO), wir können aber auch die Windows Registry benutzen.
Biometrischen Login aktivieren unter Windows
Bei Heim-Computern bei Privatanwendern kann ein biometrischer Login einfach eingerichtet werden. Egal ob Gesichtserkennung mit Windows Hello oder Fingerabdruck. Bei Computern die einer Active Directory Domäne angehören ist der biometrische Login deaktiviert. Das ist auch gut so, sonst könnte sich jeder User seinen Zugang konfigurieren, obwohl das eventuell gegen die Unternehmensrichtlininen spricht.
Um in einer Domäne auf Windows einen Biometrischen Login aktivieren zu können, bietet uns Microsoft die Möglichkeit mit Gruppenrichtlinie / GPO oder mit der Windows Registry zu arbeiten.
Gruppenrichtlinien / GPO
Als Standard ist die Biometrie bei Domänen-Computern deaktiviert. Microsoft bietet uns aber die schöne Möglichkeit einen biometrischen Login per Gruppenrichtlinie / GPO aktivieren zu können. Da diese Einstellungen zur Gesichtserkennung jeden Benutzer am Computer betreffen, benötigen wir eine Computer-Richtlinie. Hierzu müssen wir eine neue GPO erstellen und zu folgendem Pfad wechseln:
Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Biometrie
Hier gibt es folgende Punkte, die alle aktiviert werden müssen. Je nach Anforderung kann es natürlich sein, dass nicht alle aktiviert werden müssen:
- Verwendung der Biometrie zulassen
- Benutzeranmeldung mithilfe von Biometrie zulassen
- Domänenbenutzeranmeldung mithilfe von Biometrie zulassen
Nachdem diese Einstellungen konfiguriert und aktiviert wurde, muss die Gruppenrichtlinie natürlich noch auf die Computer-OU zugewiesen werden, damit die Biometrie unter Windows aktiviert wird.
Windows Biometric Framework (WBF)
Unter Umständen kann es sein, dass zuvor der Dienst “Windows-Biometriedienst” aktiviert werden muss. Dieser muss bei Start-Typ auf “Automatisch” gestellt werden.
Registry
Der Login, beziehungsweise Logon an Windows mit Biometrischen Daten kann auch über wie Registry aktiviert oder deaktiviert werden. Auch hier sind die Einstellungen zur Anmeldung für den ganzen Computer geltend. Das bedeutet, dass wir die Einstellungen unter “Local_Machine” vornehmen.
- Als Erstes öffnen wir die Windows Registry als Administrator und navigieren zu folgendem Pfad:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Biometrics
Hier muss es einen Eintrag names “Enabled” geben, der auf “1” gestellt werden muss. (DWORD 32-bit)
- Danach navigieren wir noch eine Ebene nach unten in den Ordner “Credential Provider”:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Biometrics\Credential Provider
Hier gibt es den Eintrag “Domain Accounts“, der ebenfalls den Wert “1” benötigt. (DWORD 32-bit)
Sollte es diese Ordner / Werte nicht geben, müssen diese angelegt werden!
- “Credential Provider” = Schlüssel
- “Enabled” = DWORD 32-bit
- “Domain Accounts” = DWORD 32-bit
Nachdem alle Einstellungen zum Biometrischen Login / zur biometrischen Anmeldung gesetzt wurden, muss der Computer noch neu gestartet werden.