💼 Management Samenvatting
Windows Hello for Business (WHfB) biedt wachtwoordloze authenticatie via biometrie of PIN gekoppeld aan TPM-hardware, wat phishing-resistent is omdat de private key nooit het apparaat verlaat.
Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
5/10
Implementatie
24u (tech: 8u)
Van toepassing op:
✓ Windows 10
✓ Windows 11
✓ Intune
✓ Windows 11
✓ Intune
Wachtwoorden zijn de zwakste schakel in beveiliging: 90% van datalekken betreft gestolen wachtwoorden, ze zijn phishbaar via nep-inlogpagina's, herbruikbaar over meerdere accounts, zwak omdat mensen voorspelbare wachtwoorden kiezen, en deelbaar waardoor verantwoordelijkheid verloren gaat. Windows Hello for Business lost deze problemen op door biometrische authenticatie (gezichts- of vingerafdrukherkenning) of een apparaatspecifieke PIN te combineren met TPM-hardware. De private key wordt opgeslagen in de TPM en kan niet worden geëxtraheerd. Bij phishing-aanvallen krijgt de aanvaller niets bruikbaars omdat er geen wachtwoord wordt verstuurd en de private key in de TPM blijft. Ook Adversary-in-the-Middle (AiTM) aanvallen die sessiecookies stelen, zijn ineffectief omdat de sessie aan het apparaat is gebonden.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
De implementatie van Windows Hello for Business omvat gebruikersenrollment waarbij een biometrische scan wordt gemaakt of een 6-8 cijferige PIN wordt ingesteld. De TPM genereert een private key die permanent in de TPM blijft en een public key die naar Azure AD wordt verzonden. Bij inloggen ontgrendelt de gebruiker via biometrie of PIN de private key in de TPM, Azure AD stuurt een cryptografische challenge, de TPM ondertekent deze met de private key, en Azure AD verifieert de handtekening. Resultaat: geen wachtwoorden worden verzonden. Dit werkt voor Azure AD-aanmelding, lokale Windows-aanmelding en on-premises AD via hybride Windows Hello for Business.
Vereisten
Een succesvolle implementatie van Windows Hello for Business vereist een zorgvuldige voorbereiding waarbij zowel technische als licentievereisten moeten worden gecontroleerd voordat de uitrol start. De basisvereisten omvatten moderne Windows-besturingssystemen, specifieke hardwarecomponenten, passende licenties en netwerkconnectiviteit. Organisaties moeten een grondige inventarisatie uitvoeren van hun huidige omgeving om te bepalen welke apparaten geschikt zijn voor Windows Hello for Business en welke mogelijk upgrades of vervangingen nodig hebben. Het besturingssysteem vormt de eerste kritieke vereiste. Windows Hello for Business is beschikbaar vanaf Windows 10 versie 1703, ook wel bekend als de Creators Update uit april 2017. Voor optimale functionaliteit en beveiliging wordt echter sterk aanbevolen om minimaal Windows 10 versie 1903 of hoger te gebruiken, of nog beter: Windows 11. Deze nieuwere versies bevatten verbeterde beveiligingsfuncties en betere integratie met moderne authenticatiemethoden. Het is belangrijk te benadrukken dat alleen de Pro, Enterprise of Education edities van Windows ondersteuning bieden voor Windows Hello for Business. De Home-editie mist deze functionaliteit volledig, wat betekent dat organisaties met apparaten die Windows 10 Home draaien, moeten upgraden naar een zakelijke editie voordat implementatie mogelijk is. Hardwarevereisten vormen een tweede cruciale pijler. De Trusted Platform Module, ofwel TPM, is absoluut essentieel voor Windows Hello for Business. Specifiek is TPM versie 2.0 vereist, omdat deze versie de cryptografische beveiliging biedt die nodig is om de private keys veilig op te slaan. Gelukkig zijn TPM 2.0-chips standaard aanwezig in vrijwel alle zakelijke apparaten die vanaf 2016 zijn geproduceerd. Organisaties met oudere apparaten moeten controleren of hun hardware TPM 2.0 ondersteunt, of overwegen om deze apparaten te vervangen. De TPM fungeert als een beveiligde cryptografische processor die de private keys genereert en opslaat, waardoor deze nooit het apparaat kunnen verlaten en dus beschermd zijn tegen extractie door kwaadwillenden. Biometrische hardware is optioneel maar sterk aanbevolen voor een optimale gebruikerservaring. Windows Hello for Business ondersteunt gezichtsherkenning via infraroodcamera's en vingerafdrukherkenning via gespecialiseerde scanners. Deze biometrische methoden bieden niet alleen een snellere en gebruiksvriendelijkere authenticatie, maar verhogen ook het beveiligingsniveau omdat biometrische kenmerken uniek zijn en moeilijk te repliceren. Het is echter belangrijk te benadrukken dat biometrische hardware niet verplicht is; gebruikers kunnen altijd terugvallen op een apparaatspecifieke PIN-code als primaire of alternatieve authenticatiemethode. Deze flexibiliteit zorgt ervoor dat Windows Hello for Business toegankelijk blijft voor alle gebruikers, ongeacht de beschikbare hardware. Licentievereisten vormen een derde belangrijke overweging. Azure AD Premium P1 is vereist voor Windows Hello for Business functionaliteit. Deze licentie is standaard inbegrepen in Microsoft 365 E3 en E5-abonnementen, wat betekent dat de meeste zakelijke organisaties al over de benodigde licenties beschikken. Organisaties die alleen Azure AD Free gebruiken, moeten upgraden naar Premium P1 om Windows Hello for Business te kunnen implementeren. Daarnaast is een Microsoft Intune-abonnement nodig voor het beheren en configureren van Windows Hello for Business via apparaatbeheerbeleidsregels. Intune maakt het mogelijk om de Windows Hello-instellingen centraal te beheren en te distribueren naar alle apparaten in de organisatie. Netwerkconnectiviteit is een vierde essentiële vereiste. Apparaten moeten via HTTPS kunnen communiceren met Azure AD endpoints om de registratie en authenticatieprocessen te kunnen uitvoeren. Dit betekent dat organisaties moeten zorgen voor uitgaande internetconnectiviteit naar Microsoft-cloudservices. Voor organisaties met strikte firewallregels is het belangrijk om de benodigde Azure AD endpoints toe te voegen aan de whitelist. In hybride scenario's, waarbij organisaties zowel on-premises Active Directory als Azure AD gebruiken, zijn aanvullende componenten nodig. Azure AD Connect of Active Directory Federation Services (ADFS) moeten worden geconfigureerd om de synchronisatie en federatie tussen on-premises en cloudomgevingen mogelijk te maken. Deze hybride configuratie stelt gebruikers in staat om Windows Hello for Business te gebruiken voor zowel cloud- als on-premises resources.
Implementatie
De implementatie van Windows Hello for Business via Microsoft Intune vereist een gestructureerde aanpak waarbij configuratieprofielen worden gebruikt om de gewenste instellingen centraal te beheren en te distribueren. Het implementatieproces begint in het Intune-beheercentrum, waar beheerders navigeren naar de sectie Devices en vervolgens naar Configuration profiles. Hier wordt een nieuw profiel aangemaakt dat specifiek is geconfigureerd voor Windows Hello for Business. Het is belangrijk om het juiste platformtype te selecteren, namelijk Windows 10 en later, en het profieltype moet worden ingesteld op Settings catalog. Deze catalogusbenadering biedt de meest uitgebreide configuratiemogelijkheden en stelt beheerders in staat om alle Windows Hello for Business-gerelateerde instellingen op één centrale locatie te beheren. Na het aanmaken van het basisprofiel moet een duidelijke en beschrijvende naam worden toegewezen, bijvoorbeeld 'Windows Hello for Business - alle Devices'. Deze naamgeving helpt bij het beheer en de identificatie van het profiel in de toekomst. Vervolgens worden de specifieke Windows Hello for Business-instellingen toegevoegd door te zoeken naar 'Windows Hello for Business' in de instellingencatalogus. Dit opent een uitgebreide lijst met configureerbare opties die bepalen hoe Windows Hello for Business functioneert binnen de organisatie. De eerste en meest fundamentele instelling is het inschakelen van Windows Hello for Business zelf. Deze instelling activeert de functionaliteit op de doelapparaten en maakt het mogelijk voor gebruikers om zich te registreren voor biometrische authenticatie of PIN-codes. Zonder deze instelling blijft Windows Hello for Business uitgeschakeld, ongeacht andere configuraties. PIN-configuratie vormt een kritiek onderdeel van de beveiligingsinstellingen. De minimale PIN-lengte moet worden ingesteld op minimaal 8 tekens, zoals aanbevolen door de CIS Benchmark voor Windows-beveiliging. Deze lengte biedt een goede balans tussen beveiliging en gebruiksvriendelijkheid. Langere PIN's verhogen de beveiliging exponentieel, maar kunnen ook de gebruikerservaring negatief beïnvloeden. De maximale PIN-lengte is standaard ingesteld op 127 tekens, wat voldoende ruimte biedt voor complexe wachtwoordachtige PIN's indien gewenst. De complexiteit van PIN's kan worden verhoogd door het toestaan van verschillende tekentypen. Kleine letters, hoofdletters en speciale tekens kunnen allemaal worden toegestaan in PIN's, wat de beveiliging aanzienlijk verhoogt door de mogelijke combinaties exponentieel te vergroten. Cijfers moeten altijd verplicht zijn, omdat deze de basis vormen van elke PIN. Door meerdere tekentypen toe te staan, transformeren PIN's van eenvoudige numerieke codes naar complexe authenticatiegegevens die veel moeilijker te raden of te brute-forcen zijn. PIN-verval is een belangrijke overweging. Omdat PIN's apparaatgebonden zijn en niet kunnen worden hergebruikt op andere apparaten, is het niet nodig om ze periodiek te laten verlopen zoals bij traditionele wachtwoorden. Daarom wordt aanbevolen om de PIN-vervalperiode in te stellen op 0 dagen, wat betekent dat PIN's nooit automatisch verlopen. Deze aanpak is logisch omdat de beveiliging van Windows Hello for Business niet afhankelijk is van regelmatige wijzigingen, maar van de cryptografische binding tussen de PIN en de TPM-hardware. PIN-geschiedenis is een andere belangrijke beveiligingsfunctie. Door deze in te stellen op 5, voorkomt de organisatie dat gebruikers recent gebruikte PIN's opnieuw kunnen instellen. Dit verhindert het hergebruik van oude PIN's die mogelijk zijn gecompromitteerd of waarvan de gebruiker de gewoonte heeft om ze te delen. De geschiedenis wordt bijgehouden per apparaat, wat betekent dat een gebruiker op verschillende apparaten wel dezelfde PIN kan gebruiken, maar op hetzelfde apparaat niet kan terugkeren naar recent gebruikte PIN's. PIN-herstel is een essentiële functionaliteit voor gebruikerservaring. Door PIN-herstel in te schakelen via de Microsoft PIN-resetservice, kunnen gebruikers hun PIN zelf opnieuw instellen zonder tussenkomst van de IT-afdeling. Dit vermindert de helpdeskbelasting aanzienlijk en verbetert de gebruikerservaring. De herstelservice werkt door gebruikers te verifiëren via alternatieve authenticatiemethoden, zoals hun Azure AD-referenties, waarna ze een nieuwe PIN kunnen instellen. Biometrische authenticatie moet worden ingeschakeld wanneer apparaten beschikken over de benodigde hardware. Deze instelling maakt gezichtsherkenning en vingerafdrukherkenning mogelijk, wat de gebruikerservaring aanzienlijk verbetert. Gebruikers hoeven dan alleen maar naar de camera te kijken of hun vinger op de scanner te plaatsen, in plaats van een PIN in te voeren. Biometrische authenticatie is niet alleen sneller, maar ook gebruiksvriendelijker en wordt door de meeste gebruikers als prettiger ervaren. Verbeterde anti-spoofing is een kritieke beveiligingsfunctie die moet worden ingeschakeld om foto-spoofing te voorkomen. Deze technologie gebruikt geavanceerde algoritmen om te detecteren of een echte persoon voor de camera staat of dat er een foto of video wordt gebruikt. Zonder deze functie zouden aanvallers mogelijk een foto van een gebruiker kunnen gebruiken om toegang te krijgen tot het systeem. Verbeterde anti-spoofing maakt gebruik van infraroodtechnologie en dieptedetectie om levende personen te onderscheiden van statische afbeeldingen. Na het configureren van alle instellingen moet het profiel worden toegewezen aan de doelgroep. Voor een volledige implementatie wordt aanbevolen om het profiel toe te wijzen aan alle Windows-apparaten in de organisatie. Dit zorgt voor consistente beveiliging en gebruikerservaring op alle apparaten. De doelstelling voor enrollment moet worden vastgesteld op 100% binnen drie maanden, wat een realistische tijdlijn is voor de meeste organisaties. Deze periode geeft gebruikers voldoende tijd om zich te registreren en stelt de IT-afdeling in staat om eventuele problemen op te lossen en gebruikers te ondersteunen tijdens het onboardingproces.
Gebruik PowerShell-script windows-hello-for-business.ps1 (functie Invoke-Monitoring) – Monitoring van Windows Hello for Business configuratie en enrollment status.
Monitoring
Gebruik PowerShell-script windows-hello-for-business.ps1 (functie Invoke-Monitoring) – Controleert Windows Hello for Business registry configuratie en enrollment status.
Effectieve monitoring van Windows Hello for Business is essentieel om te verzekeren dat de implementatie succesvol is en dat alle gebruikers de beveiligingsvoordelen kunnen benutten. Het monitoringproces omvat verschillende aspecten, van enrollment-tracking tot authenticatie-analyse, en vereist regelmatige controle en rapportage. Het primaire monitoringinstrument voor Windows Hello for Business enrollment is het specifieke rapport dat beschikbaar is in het Intune-beheercentrum. Beheerders kunnen dit rapport vinden door te navigeren naar Devices, vervolgens naar Monitor, en daar het Windows Hello for Business enrollment report te selecteren. Dit rapport biedt een uitgebreid overzicht van de enrollmentstatus voor alle apparaten in de organisatie. Het toont welke apparaten succesvol zijn geregistreerd, welke nog in behandeling zijn, en welke problemen ondervinden tijdens het enrollmentproces. Het rapport categoriseert apparaten op basis van hun enrollmentstatus en biedt gedetailleerde informatie over elk apparaat, inclusief de gebruikersnaam, apparaatnaam, en de specifieke status van de Windows Hello-configuratie. De doelstelling voor enrollment moet worden vastgesteld op 100% binnen 90 dagen na de initiële implementatie. Deze periode geeft gebruikers voldoende tijd om zich te registreren en stelt de organisatie in staat om eventuele technische of organisatorische uitdagingen aan te pakken. Regelmatige monitoring, bijvoorbeeld wekelijks, helpt om trends te identificeren en tijdig in te grijpen wanneer de enrollment achterblijft bij de verwachtingen. Het is belangrijk om niet alleen te kijken naar het totale percentage, maar ook naar specifieke groepen of afdelingen die mogelijk extra ondersteuning nodig hebben. Wanneer apparaten niet succesvol kunnen worden geregistreerd voor Windows Hello for Business, zijn er verschillende veelvoorkomende redenen. Apparaten zonder TPM 2.0-chip kunnen niet worden geregistreerd omdat de TPM essentieel is voor de cryptografische beveiliging. In deze gevallen is een hardware-upgrade vereist, wat betekent dat de organisatie moet overwegen om deze apparaten te vervangen of te upgraden. Apparaten met Windows 10 Home-editie kunnen evenmin worden geregistreerd, omdat Windows Hello for Business alleen beschikbaar is in Pro, Enterprise of Education edities. Voor deze apparaten is een licentie-upgrade nodig voordat enrollment mogelijk is. Een andere veelvoorkomende reden voor niet-enrollment is dat gebruikers de enrollmentprompt hebben overgeslagen of geweigerd. In deze gevallen is het belangrijk om gebruikers te informeren over de voordelen van Windows Hello for Business en hen aan te moedigen om zich alsnog te registreren. Beheerders kunnen ook een hernieuwde prompt policy configureren die gebruikers regelmatig herinnert aan de mogelijkheid om Windows Hello for Business in te stellen. Deze prompts kunnen worden aangepast om gebruikersvriendelijk te zijn en duidelijke instructies te bevatten over hoe ze zich kunnen registreren. Azure AD sign-in logs vormen een tweede belangrijke bron van monitoringinformatie. Deze logs bevatten gedetailleerde informatie over alle authenticatiepogingen, inclusief welke authenticatiemethode is gebruikt. Beheerders kunnen filteren op de authenticatiemethode 'Windows Hello for Business' om te zien hoeveel authenticaties succesvol zijn uitgevoerd met deze methode. Deze informatie is waardevol om te bepalen of gebruikers daadwerkelijk Windows Hello for Business gebruiken na registratie, of dat ze nog steeds terugvallen op traditionele wachtwoordauthenticatie. Het analyseren van deze trends helpt organisaties om te begrijpen hoe goed de adoptie verloopt en waar mogelijk extra training of ondersteuning nodig is. Het monitoren van authenticatiefouten is eveneens cruciaal voor het identificeren van problemen en het verbeteren van de gebruikerservaring. Windows Hello for Business authenticatiefouten kunnen verschillende oorzaken hebben, waaronder biometrische leesfouten, vergeten PIN's, of technische problemen met de TPM-hardware. Door deze fouten te analyseren, kunnen beheerders patronen identificeren en proactief ondersteuning bieden aan gebruikers die problemen ondervinden. Bijvoorbeeld, als bepaalde gebruikers regelmatig biometrische leesfouten ervaren, kan dit wijzen op problemen met de hardware of op de noodzaak voor gebruikers om hun biometrische gegevens opnieuw te registreren. PIN-reset functionaliteit is een belangrijk aspect van de gebruikerservaring en moet worden gemonitord om te verzekeren dat gebruikers zelfstandig problemen kunnen oplossen. De Microsoft PIN-resetservice biedt self-service functionaliteit waarmee gebruikers hun PIN kunnen resetten zonder tussenkomst van de IT-afdeling. Het monitoren van PIN-resets helpt organisaties om te begrijpen hoe vaak gebruikers problemen ondervinden en of er patronen zijn die wijzen op bredere problemen. Te frequente PIN-resets kunnen bijvoorbeeld wijzen op gebruikers die moeite hebben om hun PIN te onthouden, wat kan worden aangepakt door gebruikers te helpen bij het kiezen van een memorabele maar veilige PIN. Naast deze specifieke monitoringaspecten is het belangrijk om regelmatige rapportages te genereren die de voortgang van de Windows Hello for Business-implementatie weergeven. Deze rapportages moeten worden gedeeld met belanghebbenden, waaronder IT-management, security officers, en compliance teams. De rapportages moeten niet alleen cijfers bevatten, maar ook inzichten en aanbevelingen voor verbetering. Door continu te monitoren en te rapporteren, kunnen organisaties verzekeren dat Windows Hello for Business succesvol wordt geïmplementeerd en dat alle gebruikers de beveiligingsvoordelen kunnen benutten.
Remediatie
Gebruik PowerShell-script windows-hello-for-business.ps1 (functie Invoke-Remediation) – Configuratie van Windows Hello for Business via Intune.
Compliance en Auditing
Windows Hello for Business voldoet aan de vereisten van moderne compliance frameworks door phishing-resistente authenticatie te bieden die de beveiligingsstandaarden van verschillende internationale en nationale richtlijnen overstijgt. De implementatie van Windows Hello for Business helpt organisaties om te voldoen aan een breed scala aan beveiligings- en compliance-eisen, wat essentieel is voor Nederlandse overheidsorganisaties en andere organisaties die werken met gevoelige informatie. De CIS Benchmark voor Microsoft Intune bevat specifieke aanbevelingen voor wachtwoordloze authenticatie, waarbij Windows Hello for Business wordt erkend als een van de aanbevolen methoden. Deze benchmark, ontwikkeld door het Center for Internet Security, biedt praktische, actiegerichte beveiligingsrichtlijnen die zijn gebaseerd op consensus van cybersecurity-experts. Door Windows Hello for Business te implementeren, voldoen organisaties aan de CIS-aanbevelingen voor het elimineren van wachtwoordafhankelijkheid en het implementeren van moderne authenticatiemethoden die beter bestand zijn tegen hedendaagse bedreigingen. De Baseline Informatiebeveiliging Overheid, ofwel BIO, bevat in controle 09.04 specifieke vereisten voor sterke authenticatie met phishing-resistente methoden. Windows Hello for Business voldoet volledig aan deze vereisten omdat de authenticatie gebaseerd is op cryptografische sleutels die zijn opgeslagen in de TPM-hardware en nooit het apparaat kunnen verlaten. Dit maakt het onmogelijk voor aanvallers om via phishing-aanvallen de authenticatiegegevens te stelen, omdat er simpelweg geen wachtwoord of andere overdraagbare credentials worden gebruikt. Voor Nederlandse overheidsorganisaties is voldoen aan BIO-vereisten niet alleen een best practice, maar vaak ook een wettelijke verplichting. ISO 27001:2022, de internationale standaard voor informatiebeveiligingsmanagementsystemen, bevat verschillende controles die relevant zijn voor Windows Hello for Business. Controle A.5.17 behandelt het beheer van authenticatie-informatie en vereist dat organisaties passende maatregelen nemen om authenticatiegegevens te beschermen. Windows Hello for Business voldoet aan deze vereiste door gebruik te maken van hardware-gebonden cryptografische sleutels die niet kunnen worden geëxtraheerd of gekopieerd. Controle A.9.4.3 behandelt wachtwoordbeheersystemen en vereist dat organisaties sterke wachtwoordbeleids implementeren. Windows Hello for Business elimineert de noodzaak voor wachtwoorden volledig, wat een nog sterkere beveiligingspositie biedt dan zelfs het sterkste wachtwoordbeleid. De NIS2-richtlijn, die van toepassing is op essentiële en belangrijke entiteiten in de Europese Unie, bevat in Artikel 21 specifieke vereisten voor cybersecurity risicobeheer. Deze richtlijn vereist dat organisaties passende technische en organisatorische maatregelen nemen om cybersecurity-risico's te beheersen, inclusief het gebruik van phishing-resistente meervoudige authenticatie voor bevoorrechte accounts. Windows Hello for Business voldoet aan deze vereisten door phishing-resistente authenticatie te bieden die kan worden gebruikt voor alle gebruikersaccounts, inclusief bevoorrechte accounts zoals beheerders en executives. Dit helpt organisaties om te voldoen aan de NIS2-vereisten en vermindert het risico op cybersecurity-incidenten. De NIST 800-63B Digital Identity Guidelines definiëren Authenticator Assurance Levels (AAL) die verschillende niveaus van beveiligingsvertrouwen specificeren. Windows Hello for Business kwalificeert als AAL2 wanneer het wordt gebruikt met een PIN-code in combinatie met TPM-hardware, omdat dit een combinatie biedt van iets dat de gebruiker weet (de PIN) en iets dat de gebruiker heeft (het apparaat met TPM). Wanneer biometrische authenticatie wordt gebruikt in combinatie met TPM-hardware, kwalificeert Windows Hello for Business zelfs als AAL3, het hoogste niveau, omdat biometrie wordt beschouwd als iets dat de gebruiker is. Deze classificatie maakt Windows Hello for Business geschikt voor gebruik in omgevingen met hoge beveiligingseisen, waaronder federale overheden en organisaties die werken met geclassificeerde informatie. Het Zero Trust Security Model, dat steeds meer wordt geadopteerd door organisaties wereldwijd, heeft phishing-resistente authenticatie als een van zijn fundamentele pijlers. Zero Trust gaat uit van het principe 'never trust, always verify', wat betekent dat elke authenticatiepoging moet worden geverifieerd, ongeacht de locatie of het netwerk. Windows Hello for Business ondersteunt dit model door sterke, phishing-resistente authenticatie te bieden die niet kan worden omzeild door traditionele aanvalsmethoden zoals phishing of credential harvesting. Door Windows Hello for Business te implementeren, maken organisaties een belangrijke stap in de richting van een Zero Trust-architectuur. Executive Order 14028, uitgevaardigd door de Amerikaanse regering, vereist dat federale agentschappen phishing-resistente meervoudige authenticatie implementeren. Hoewel deze order specifiek gericht is op Amerikaanse overheidsinstanties, heeft het een bredere impact gehad door de industrie te beïnvloeden en de standaard te verhogen voor wat wordt beschouwd als acceptabele authenticatiemethoden. Windows Hello for Business voldoet volledig aan de vereisten van Executive Order 14028, wat het geschikt maakt voor gebruik door overheidsinstanties en andere organisaties die dezelfde hoge beveiligingsstandaarden willen hanteren. Voor Nederlandse organisaties die werken met gevoelige informatie of die onderworpen zijn aan specifieke compliance-vereisten, biedt Windows Hello for Business een manier om te voldoen aan meerdere frameworks tegelijkertijd. Dit vermindert niet alleen de compliance-last, maar verhoogt ook de algehele beveiligingspostuur van de organisatie. Door Windows Hello for Business te implementeren, maken organisaties een belangrijke stap in de richting van moderne, phishing-resistente authenticatie die voldoet aan de hoogste internationale standaarden.
Compliance & Frameworks
- BIO: 09.04.02 - Sterke authenticatie - Phishing-resistente methoden
- ISO 27001:2022: A.5.17, A.9.4.3 - Sterke authenticatiemechanismen - Wachtwoordloos
- NIS2: Artikel - Phishing-resistente MFA
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Security: Windows Hello for Business
.DESCRIPTION
CIS - Windows Hello for Business moet enabled zijn voor passwordless authentication.
.NOTES
Filename: windows-hello-for-business.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\PassportForWork\Enabled|Expected: 1
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\PassportForWork"; $RegName = "Enabled"; $ExpectedValue = 1
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "windows-hello-for-business.ps1"; PolicyName = "Windows Hello for Business"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { Write-Host "Revert via Intune policy" }
try { if (Test-Path $RegPath) { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; if ($v) { $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Windows Hello enabled" }else { $r.Details += "Windows Hello disabled" } }else { $r.Details += "Niet geconfigureerd" } }else { $r.Details += "Policy path niet gevonden" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { Write-Host "Windows Hello for Business configureren via Intune:" -ForegroundColor Yellow; Write-Host "Devices > Enrollment > Windows Hello for Business" -ForegroundColor Gray; Write-Host "Enable: Yes" -ForegroundColor Gray }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Write-Host "Revert via Intune policy" }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Medium: Medium risico: Wachtwoord-gebaseerde authenticatie blijft een phishing-vector. AiTM-aanvallen kunnen traditionele MFA omzeilen door sessiecookies te stelen. Windows Hello for Business biedt phishing-resistente beveiliging doordat de TPM-gebonden private key niet gestolen kan worden.
Management Samenvatting
Windows Hello for Business: wachtwoordloze authenticatie via biometrie/PIN + TPM. Phishing-resistent omdat de private key nooit het apparaat verlaat. Betere beveiliging en gebruikerservaring dan wachtwoorden. Vereist: Windows 10+ Enterprise, TPM 2.0, optioneel biometrische hardware. Voldoet aan BIO 09.04, NIST AAL2/AAL3, NIS2, Zero Trust. Uitrol: 8 uur technisch + 16 uur gebruiker inschrijvingscampagne (communicatie + training). Doelstelling: 100% binnen 90 dagen.
- Implementatietijd: 24 uur
- FTE required: 0.1 FTE