← Späť na blog
Microsoft 365 jún 2025 8 min čítania

Windows Hello for Business a Kerberos Cloud Trust: koniec hesiel bez zložitej PKI

Heslá sú najslabší článok firemnej bezpečnosti. Windows Hello for Business ich nahrádza biometriou alebo PINom – a s Kerberos Cloud Trust to celé funguje bez certifikačnej autority, dokonca aj na čisto Entra joined zariadeniach.

VV
Viliam Vojtek
IT Admin & Konzultant · Cloud by Vojtek
🔑

Keď firmy počujú „nasadiť Windows Hello for Business", väčšina IT adminov sa inštinktívne zamrazí. Historicky to znamenalo nastaviť PKI infraštruktúru, certifikačnú autoritu, distribuovať certifikáty zariadeniam – a celé to udržiavať. Pre malú alebo strednú firmu to bol neprimeraný overhead.

Microsoft to zmenil. Kerberos Cloud Trust je model nasadenia WHfB, kde všetka ťažká práca prebieha v cloude. Žiadna on-premise CA. Žiadne certifikáty. A pritom plná integrácia s Active Directory – vrátane prístupu k lokálnym súborovým serverom a zdrojom. Funguje aj na čisto Entra joined zariadeniach, nielen na hybridných.

Prečo sa vôbec zbavovať hesiel?

Nie je to len o komforte. Je to o bezpečnosti. Heslá sú náchylné na celý rad útokov:

  • Phishing – zamestnanec zadá heslo na falošnej prihlasovacej stránke
  • Password spray – útočník skúša bežné heslá na tisícoch účtov
  • Credential stuffing – uniknuté heslá z iných služieb použité na firemnom účte
  • Pass-the-hash – krádež hashu hesla z pamäte Windows

Windows Hello for Business používa asymetrickú kryptografiu. Pri registrácii sa vygeneruje pár kľúčov – súkromný zostáva v TPM čipe zariadenia, verejný sa uloží v Entra ID. Pri prihlásení súkromný kľúč nikdy neopustí zariadenie. Útočník, ktorý ukradne hashovaný token, nezíska nič použiteľné.

💡
Pre manažéra: WHfB s Cloud Trust znamená, že zamestnanci sa prihlásia odtlačkom prsta alebo 6-8 miestnym PINom viazaným na konkrétne zariadenie. Heslo do Active Directory prestane existovať ako útočný vektor. Je to jedna z najefektívnejších bezpečnostných zmien, ktorú môžeš vo firme urobiť.

Tri modely nasadenia – kde Cloud Trust vyhrá

WHfB má tri trust modely. Rozdiel je hlavne v tom, či potrebuješ vlastnú PKI infraštruktúru:

  • Key Trust – nevyžaduje PKI, ale s on-prem AD má obmedzenú konfiguráciu. Vhodný skôr pre cloud-only prostredie.
  • Certificate Trust – vyžaduje enterprise PKI a certifikačnú autoritu. Plná integrácia s AD, ale náročný na nasadenie aj údržbu.
  • Cloud Trust – nevyžaduje žiadnu PKI, plná integrácia s AD, funguje na Entra-only aj hybridných zariadeniach. Microsoft ho odporúča ako predvolený.

Cloud Trust je zlatý stred. Máš on-premise Active Directory (a teda lokálne súborové servery, tlačiarne, legacy aplikácie) – ale nechceš budovať a udržiavať PKI. Presne pre toto bol Cloud Trust navrhnutý.

Ako to technicky funguje

Kerberos Cloud Trust využíva funkciu Microsoft Entra Kerberos. Entra ID sa správa ako dôveryhodná Kerberos autorita pre on-premise doménu. Zjednodušený tok:

  1. Zariadenie je Entra joined (alebo Hybrid Entra joined)
  2. Zamestnanec sa prihlási cez WHfB (biometria / PIN)
  3. Entra ID vydá Partial TGT (čiastočný Kerberos ticket)
  4. Keď zariadenie potrebuje prístup k on-prem zdroju, doménový radič (DC) tento ticket rozšíri na plnohodnotný TGT
  5. Prístup k fileserveru, tlačiarni alebo inej on-prem aplikácii funguje bez hesla
⚠️
Pozor: Doménový radič musí byť Windows Server 2016 alebo novší s aktuálnymi patchmi. Starší DC (2012 R2) Cloud Trust nepodporuje – pred nasadením skontroluj verzie všetkých DC v doméne.
⚠️
Obmedzenie: Cloud Kerberos Trust nepokrýva on-prem RemoteApps, RDP a VDI – tam budú používatelia stále vyzvaní na zadanie hesla. Pre bežný prístup k súborom, tlačiarňam a webovým aplikáciám to ale funguje bez problémov.

Postup nasadenia krok za krokom

1. Skontroluj prerekvizity

Pred začatím over:

  • Všetky DC: Windows Server 2016+ s aktuálnymi patchmi
  • Zariadenia: Entra joined alebo Hybrid Entra joined (oboje funguje)
  • Windows verzia: Win10 21H2 (KB5010415) / Win11 21H2 (KB5010414) alebo novšie
  • TPM 2.0 na zariadeniach (takmer všetky PC od 2016 ho majú)
  • Identita používateľa synchronizovaná do Entra ID a člen Domain Users
  • Licencia: Microsoft Entra ID P1 (súčasť M365 Business Premium, E3, E5)
  • On-premise AD doména s DC – Entra Kerberos objekt sa vytvára práve na nej
💡
Dobrá správa pre cloud-first firmy: Zariadenia nemusia byť Hybrid joined. Cloud Trust funguje aj na čisto Entra joined zariadeniach – pre tie je to dokonca jediná cesta ako získať Kerberos prístup k on-prem zdrojom bez opakovaného zadávania hesla.

2. Povoľ Microsoft Entra Kerberos

Na serveri s nainštalovaným modulom AzureADHybridAuthenticationManagement spusti PowerShell ako Domain Admin a vytvor Kerberos server objekt:

PowerShell – vytvorenie Entra Kerberos objektu
Import-Module AzureADHybridAuthenticationManagement

# Prihlásenie do Entra ID (Global Admin)
$cloudCred = Get-Credential

# Prihlásenie do AD (Domain Admin)
$domainCred = Get-Credential

Set-AzureADKerberosServer `
  -Domain "vasadomena.local" `
  -CloudCredential $cloudCred `
  -DomainCredential $domainCred

Overenie, že server bol vytvorený:

PowerShell – overenie
Get-AzureADKerberosServer `
  -Domain "vasadomena.local" `
  -CloudCredential $cloudCred `
  -DomainCredential $domainCred

Mal by sa zobraziť objekt s hodnotami Id, UserAccount a KeyVersion.

3. Nastav WHfB politiku cez Intune

V Intune (Endpoint Manager) vytvor konfiguračnú politiku:

Cesta v Intune
Devices → Windows → Configuration Profiles
→ Create Policy → Windows 10 and later
→ Settings Catalog

Vyhľadaj a nastav tieto hodnoty:

  • Use Windows Hello for Business → Enabled
  • Use cloud trust for on-premises authentication → Enabled
  • Use a hardware security device (TPM) → Enabled
  • Minimum PIN length → 6 (odporúčam 8)
  • Use enhanced sign-in security → Enabled (ak zariadenia podporujú)
💡
Tip: Politiku priraď najprv pilotnej skupine (5–10 zariadení), nie celej organizácii naraz. WHfB registrácia prebehne pri ďalšom prihlásení – zamestnanec bude vyzvaný nastaviť PIN alebo biometriu.

4. Alternatíva: Group Policy (bez Intune)

Ak spravuješ zariadenia cez GPO namiesto Intune:

Cesta v Group Policy
Computer Configuration
→ Administrative Templates
→ Windows Components
→ Windows Hello for Business

Use Windows Hello for Business: Enabled
Use cloud trust for on-premises auth: Enabled
Use certificate for on-premises auth: Disabled (!)
Use a hardware security device: Enabled
⚠️
Dôležité: „Use certificate for on-premises auth" musí byť Disabled alebo Not Configured. Ak je Enabled, systém sa pokúsi o Certificate Trust model a Cloud Trust nebude fungovať.

5. Over funkčnosť

Na testovanom zariadení po registrácii WHfB over, že Cloud Trust funguje:

CMD / PowerShell na zariadení
klist

# Hľadaj TGT od "vasadomena.local"
# a tiket "krbtgt/vasadomena.local"

Ak vidíš Kerberos TGT a vieš pristupovať k zdieľaniam na fileserveri bez zadávania hesla – Cloud Trust funguje správne.

Čo sa zmení pre zamestnancov

Po nasadení sa zamestnanci pri prvom prihlásení stretnú s výzvou nastaviť Windows Hello. Proces trvá asi 2 minúty:

  1. Zadajú svoje aktuálne heslo (naposledy)
  2. Nastavia 6-8 miestny PIN viazaný na toto zariadenie
  3. Voliteľne pridajú odtlačok prsta alebo Face ID (ak zariadenie podporuje)

Od toho momentu sa heslom prihlasovať nemusia. PIN nie je „slabšia náhrada hesla" – je kryptograficky viazaný na konkrétne zariadenie a TPM čip. Ukradnúť PIN bez fyzického prístupu k zariadeniu je prakticky nemožné.

💡
Komunikácia so zamestnancami: Pred rolloutom pošli jednoduchý email s vysvetlením čo sa stane a prečo. Zmena prihlasovacieho procesu bez varovania vyvolá support tickety. Pár riadkov dopredu ušetrí hodiny reaktívnej podpory.

Záver: oplatí sa to?

Pre firmu s hybridným prostredím (AD + Microsoft 365), kde zariadenia spravuješ cez Intune alebo GPO, je Kerberos Cloud Trust najjednoduchšia cesta k passwordless. Oproti Certificate Trust modelu ušetríš dni práce na PKI a stovky hodín na dlhodobej údržbe.

Nasadenie celého riešenia od prerekvizít po pilotný rollout zvládneš za jeden pracovný deň. Bezpečnostný prínos – eliminácia heslového útočného vektora – je pritom jeden z najvyšších, aký môžeš v prostredí Microsoft 365 dosiahnuť.

Heslo, ktoré neexistuje, sa nedá ukradnúť.

Chcete nasadiť WHfB vo vašej firme?

Spravím audit vášho prostredia a navrhnem postup nasadenia prispôsobený vašej infraštruktúre. Prvá konzultácia je zadarmo a nezáväzná.

Kontaktujte ma →
Windows Hello for Business Kerberos Cloud Trust Microsoft Entra ID Passwordless Active Directory Intune
VV
Viliam Vojtek

IT Admin a konzultant s 9+ rokmi praxe. Špecializujem sa na Microsoft 365, Azure a sieťovú infraštruktúru. Pomáham firmám mať IT pod kontrolou bez zbytočného chaosu.