Windows 10 Anniversary Update (Version 1607) – Windows Hello aktivieren
Nach der Neuinstallation von Windows 10 Enterprise (Version 1607, Annniversary Update) war ich gezwungen, einige Einstellungen erneut anzuwenden. Dazu gehörte auch die Aktivierung von Windows Hello, um den Fingerprint-Sensor des Notebooks für die Anmeldung nutzen zu können. Bisher (Version 1511) hatte das reibungsfrei funktioniert. Die neuen biometrischen Funktionen von Windows 10 haben den Vorteil, dass die Funktionen von Windows Hello (for Business) wie eine Zwei-Faktor-Authentifizierung funktionieren. Faktor 1 sind die biotmetrischen Daten (Fingerabruck, PIN oder Gesichtserkennung), die nur auf dem Gerät gespeichert werden und dieses niemals verlassen. Faktor 2 ist das Gerät selbst, auf dem die Daten verschlüsselt abgelegt sind.
Nach der Aufnahme meines Laptops in der Domäne und der Aktivierung des Betriebssystems war ich in der Lage persönliche Einstellungen über die neuen Windows-Einstellungen vorzunehmen. Leider aber nicht für Windows Hello.
Problem
In den Windows-Einstellungen (Windows-Taste + I) findet sich Windows Hello unter Konten und Anmeldeoptionen wieder. In meinem Fall aber vollständig ausgegraut und nicht somit nicht administrierbar. Windows meldete zudem die Einstellungen zu Windows Hello wären über eine Gruppenrichtline im Unternehemen gesetzt worden:
Die Kontrolle in den GPOs brachte leider keinen Erfolg, Einschränkungen zu biometrischen Funktionen waren nicht vorhanden.
Lösung
Die Suche im Internet gab leider nur wenig Hinweise, nach einiger Zeit aber fand ich den entsprechenden Hinweis im Technet-Forum von Microsoft. Mit Hilfe der folgenden Registry-Einstellung
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
„AllowDomainPINLogon“=dword:00000001
konnte ich Windows Hello auf meinem Notebook aktivieren. Danach war ich in der Lage sowohl eine eigene PIN als auch Fingerabdrücke zu registrieren und zu verwenden. Kurioserweise spricht der folgende Artikel von Microsoft gegen dieses Vorgehen, da hier gesagt wird: „The Group Policy setting Turn on PIN sign-in does not apply to Windows 10. Use Windows Hello for Business policy settings to manage PINs.“
Fazit
Vermutlich sind in unserer Umgebung die Gruppenrichtlinien-Vorlagen (ADMX) für Windows 10 (Version 1607) noch nicht aktualisiert worden. Ich werde das bei Gelegenheit testen und kontrollieren, ob sich damit das Verhalten von Windows Hello (for Business) ändert und somit über GPOs steuern und aktivieren lässt. Über Hinweise zum beschriebenen Problem bin ich natürlich dankbar.
Wie bei allen meinen Beiträgen gilt: Bei Tipps, Vorschlägen sowie Fragen oder Kritiken hinterlasst bitte einen Kommentar.
Einen Blog am Leben zu erhalten kostet Zeit und Geld. Da ich auf meiner Seite weder Werbung einbinde, noch andersweitige Zuwendungen erhalte, freue ich mich über jede kleine Spende. Einfach und unkompliziert geht das über PayPalMe. Du unterstützt damit diesen Blog. Vielen Dank.
Auf Grund der am 25. Mai 2018 in Kraft tretenden europäischen Datenschutz-Grundverordnung wurden alle Kommentare abgeschaltet und gelöscht. Damit wird die Erhebung personenbezogener Daten vermieden. Das DSGVO wurde von Professor Thomas Hoeren zu "einem der schlechtesten Gesetze des 21. Jahrhunderts" gekürt, mit der Bemerkung, dass überbordene Werk sei "hirnlos". Ich bedaure sehr, das damit die Möglichkeit zum Austausch von Informationen von Gleichgesinnten verhindert wird.