Anmeldung an Domain Computern mit Tobii Eye-Tracking Kamera per Gesichtserkennung

Da ich Anfang Oktober in den Genuss eines neuen Notebooks von Alienware mit Tobii Eye-Tracking Kamera gekommen bin, wollte ich natürlich auch die Gesichtserkennungsfunktion mit Windows Hello ausprobieren. Wie man schon in mehreren Foren lesen kann, gestaltet sich das teilweise doch etwas schwierig, insbesondere bei Domain-joined Computern, da es einerseits Windows Hello und Windows Hello for Business (WHfB) gibt – ich möchte die Nicht-Business-Variante nutzen, da WHfB Einiges an Mehraufwand und Infrastruktur bedeutet.

Als Erstes benötigt man natürlich die entsprechende Software von Tobii. Die aktuellste Version lässt sich hier herunterladen. Danach sind mehrere Einstellungen per GPO zu konfigurieren:

  • Zugriff auf die Kamera – Logisch, bei Gesichtserkennung, oder?
  • Aktivierung der Biometrie und der Anmeldung für lokale und Domain-Benutzer.
  • Konfiguration der PIN Eingabe für Windows Hello – Auch wenn am Ende die Anmeldung per Gesichtserkennung funktionieren soll, wird als Erstes eine PIN benötigt. Die PIN ist die Voraussetzung für die Freischaltung der biometrischen Anmeldeoptionen, da sie als „Notfall-Anmeldung“ fungiert, falls die Biometrie mal nicht funktioniert.

Mit dem folgenden Einstellungen habe ich es ganz einfach zum Laufen bekommen unter Windows 10 1803 (die kursiven Einstellungen sind optional, so hab ich’s für mich eben eingestellt) – wichtig ist, dass bei Nutzung von Windows Hello die Einstellung für WHfB (Use Windows Hello for Business) NICHT konfiguriert sein darf, weder Enabled, noch Disabled!

Computer Configuration
  Policies
    Administrative Templates
      System
        Logon
          - Turn on convenience PIN sign-in: Enabled
        PIN Complexity
          - Expiration: Enabled -> PIN Expiration: 0
          - Maximum PIN length: Enabled -> Maximum PIN length: 8
          - Minimum PIN length: Enabled -> Minimum PIN length: 4
          - Require digits: Enabled
      Windows Components
        App Privacy
          - Let Windows apps access the camera: Enabled
            - Default for all apps: User is in control
        Camera
          - Allow the use of camera: Enabled
        Biometrics
          - Allow the use of biometrics: Enabled
          - Allow users to lo on using biometrics: Enabled
          - Allow domain users to log on using biometrics: Enabled
          Facial Features
            - Use enhanced anti-spoofing when available: Enabled
        Windows Hello for Business
          - Use Windows Hello for Business: Not configured
  Preferences
    Windows Settings
      Registry
        New Registry Item
          - Action: Create
          - Hive: HKEY_LOCAL_MACHINE
          - Key Path: SOFTWARE\Microsoft\Windows\CurrentVersion\WinBio\Credential Provider
          - Value name: Domain Accounts
          - Value type: REG_DWORD
          - Value data: 1

Nach einen Neustart des Clients oder einem Gruppenrichtlinien-Update lässt sich nun eine PIN konfigurieren und im Anschluss die Gesichtserkennung.

Wichtig in Domain Umgebungen ist aus sicherheitstechnischer Sicht, dass bei Verwendung von alternativen Anmeldemethoden wie PIN und Biometrie das eigentliche Passwort im Windows Credential Manager gespeichert ist und durch Tools wie z.B. Mimikaz ausgelesen werden können – bei Workgroup Installationen ist dies sowieso der Fall (auch ohne alternative Anmeldemethoden), da nur in Domains Sicherheitsmechanismen wie z.B. Kerberos oder Credential Guard funktionieren.

Update 05.10.2018
Neben vielen tollen Problemen bei Windows 10 1809 gibt es wohl auch eins mit Tobii und Windows Hello. Siehe hier: https://help.tobii.com/hc/en-us/articles/360010161773-Windows-Hello-issues-with-Windows-10-October-Update-1809-. Daher bitte den Artikel verfolgen und erst updaten, wenn das Problem gelöst ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.