Wer nutzt SmartCards für Windows-Login?

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

07.01.2021, aktualisiert 11:38 Uhr, 1557 Aufrufe, 40 Kommentare, 2 Danke

Moin Kollegen.

Ich bin damit beschäftigt, zu prüfen, ob unsere Domänenlogons in Zukunft mittels SmartCard ausführbar gemacht werden sollen und suche nach Erfahrungsaustausch.
Wichtig ist mir zunächst einmal zu wissen, ob es überhaupt gebräuchlich ist, also ob es z.B. in der Leserschaft hier viele (wenige?) gibt, die das benutzen.

Mit SmartCard-Login meine ich keinen VPN-Zugang, sondern normalen Windows-Domänenlogon unter Einsatz einer wie auch immer gearteten SmartCard, z.B. Yubikey oder auch virtuelle SmartCards.

Wer nutzt das?
Disclaimer: bitte nicht "ich nicht" schreiben, das interessiert hierbei nicht. Nur melden, wenn Ihr's nutzt :-) face-smile
40 Antworten
Mitglied: Dani
07.01.2021 um 11:52 Uhr
Moin,
Wer nutzt das?
Hier. :-D face-big-smile

Gruß,
Dani
Bitte warten ..
Mitglied: lcer00
07.01.2021 um 13:29 Uhr
Hallo,
Zitat von Dani:

Moin,
Wer nutzt das?
Hier. :-D face-big-smile

Gruß,
Dani
und hier. In unserem Fall mit Yubikey als Smartcard==SmartcardReader.

Grüße

lcer
Bitte warten ..
Mitglied: H41mSh1C0R
07.01.2021 um 15:11 Uhr
Hier.

Ich nutze allerdings primär die Tastatur, damit die Finger die Kennwörter nicht vergessen. *gg*
Bitte warten ..
Mitglied: NetzwerkDude
07.01.2021 um 16:06 Uhr
Gehts dir bei der Frage um Login NUR mit Smartcard oder als MFA?
Bitte warten ..
Mitglied: DerWoWusste
07.01.2021, aktualisiert um 16:08 Uhr
Danke soweit...

Auf gut 300 Aufrufer nur 3 Leute? Ich habe es befürchtet... Gute Technik, aber geringe Verbreitung.
Ok, falls Ihr noch ein wenig Zeit habt:

Was genau nutzt Ihr? (Icer hat's schon gesagt)
Welche Probleme gab/gibt es (Einführung/Handling/Komfort/Sicherheit)?
Kennt Ihr SSO-Anwendungen, die damit Probleme haben?

[Zudem habe ich noch etwas vorbereitet, das ich hier in einem Wissensbeitrag später noch vorstellen will: Smartcard-Logon ohne jegliche Zusatzsoftware mit normalen USB-Sticks]

Edit: @NetzwerkDude
Das ist egal. Beides interessant
Bitte warten ..
Mitglied: H41mSh1C0R
07.01.2021, aktualisiert um 17:28 Uhr
Welche Technik hinter unserer Smartcard steckt k.A., wird einfach ins Lesegerät der mobilen Workstation gesteckt und voala.
Für Festrechner gibt's auch Kartenleser.

Probleme bei den Anderen sehe ich keine außer das es 2 Lager gibt.
Die die das sofort benutzt haben und die (wie ich) die Karte nicht nutzen.
Wie oben geschrieben, meine Finger vergessen sonst die vielen Kennwörter. *gg*

Soweit ich weiß werden die Karten bei uns nur für die Anmeldungen an den Maschinen benutzt, aber (noch) nicht für andere Anwendungen.

Die Einführung hat etwas gedauert, aber da wir hier die gesamte IT Landschaft umgekrempelt hatten, war das Thema Smartcard nur eines unter vielen und musste sich dort anstellen wo es im Plan dran war.

Den einzigen Charme den ich bei den Smartcards sehe ist, wenn die Karte gezogen wird ist die Maschine ad hoc gesperrt.
Bitte warten ..
Mitglied: chkdsk
07.01.2021 um 17:04 Uhr
Wir haben bei uns in der Firma auch Smartcads in Benutzung. Vor allem für SSO auf diversen Intranet Seiten und für PrintToMe Funktionen auf den iDomp Geräten von Canon.
Bitte warten ..
Mitglied: DerWoWusste
07.01.2021, aktualisiert um 17:05 Uhr
Ok, magst Du weitere Auskünfte geben (siehe mein Kommentar)?
Bitte warten ..
Mitglied: chkdsk
07.01.2021 um 17:09 Uhr
Probleme gibt es manchmal nur mit der dahinter liegenden Software Trustware. Wenn diese beim PC Start nicht hoch kommt oder abstürzt werden die Zertifikate nicht mehr erkannt.
Ab und zu fliegen die Karten auch aus dem Uniflow System. Das liegt aber wohl eher bei Canon.
Bitte warten ..
Mitglied: C.R.S.
07.01.2021, aktualisiert um 19:04 Uhr
Hi,

dachte, Du wärst schon voll dabei, nach deinen vorherigen Fragen. Ich hatte einige Smartcard-Projekte, zuletzt mit YubiKeys. Privat nutze ich es auch.

Domain-Logon ist eigentlich nie das Problem. Ich habe bei einer IT-affinen Nutzerbasis sogar die YubiKey Touch-Policy aktiv, und es wurde gut angenommen (obwohl es bei langsamen RDP-Logins via VPN nerven kann, zugegebenermaßen).
Gerade bin ich dabei, das wieder abzulösen. Denn es ist halt nicht unbedingt einfach oder "schnell", Mitarbeitern im z.B. im Ausland das konfigurierte Gerät zur Verfügung zu stellen. Wenn man per Auto-Enrollment provisioniert, ist das wieder etwas anders, aber das hat je nach Features der Smartcard andere Nachteile. Die Cloud-IAMs setzen auch nicht darauf. In der eigenen IT und mit Gebieten mit Cloud-Aversion würde ich immer zur Smartcard greifen.

Grüße
Richard
Bitte warten ..
Mitglied: Dani
07.01.2021 um 23:01 Uhr
Moin,
Auf gut 300 Aufrufer nur 3 Leute? Ich habe es befürchtet... Gute Technik, aber geringe Verbreitung.
Ich habe mit weniger Aufrufer gerechnet.

Was genau nutzt Ihr? (Icer hat's schon gesagt)
Klassisches Smartcard. Die Zertifikate stammen von unserem TrustCenter. Denn die Karte wird nicht nur für die Anmeldung am Rechner genutzt, sondern auch als Mitarbeiterausweis, Verschlüsselung, VPN, Zugangsberechtigungen für Standorte und deren Bereiche, Zeiterfassung, Kantine, etc...

Welche Probleme gab/gibt es (Einführung/Handling/Komfort/Sicherheit)?
Das weiß ich leider nicht. Die Implementierung passierte vor meiner Anstellung. Aus Erzählungen weiß ich aber, dass es eine lebengroße Spielwiese gab, wo nach Plan nach und nach die Anwendungen bzw. die jeweiligen Teams ihre Workflow testen konnten. Um so Schulungen als auch die notwendigen Anpassungen für die Produktivumgebung dokumentieren zu können.

Kennt Ihr SSO-Anwendungen, die damit Probleme haben?
Ja. Es sind primär Nischenprodukte oder Eigenentwicklungen die nicht so einfach angepasst werden können. Ich kann dir theoretisch eine Liste zur Verfügung stellen, aber ein direkten Nutzen für dich sehe ich nicht. Wo kein SSO (mehr) möglich ist/war, greifen wir auf Techniken wie SAML/oAuth in Kombination mit AD FS zurück.


Gruß,
Dani
Bitte warten ..
Mitglied: Dani
07.01.2021 um 23:07 Uhr
Den einzigen Charme den ich bei den Smartcards sehe ist, wenn die Karte gezogen wird ist die Maschine ad hoc gesperrt.
Ich sehe da noch weitere (positive) Punkte in der Fläche:
  • Keine Weitergabe der Zugangsdaten mehr möglich. Denn eine Karte ist erst einmal einzigartig.
  • Sperren der Karte führt automatisch dazu, dass alle verbundenen IT-Systeme und Anwendungen nicht mehr genutzt werden können.


Gruß,
Dani
Bitte warten ..
Mitglied: lcer00
08.01.2021 um 07:25 Uhr
Hallo,
Zitat von H41mSh1C0R:

Wie oben geschrieben, meine Finger vergessen sonst die vielen Kennwörter. *gg*

....

Den einzigen Charme den ich bei den Smartcards sehe ist, wenn die Karte gezogen wird ist die Maschine ad hoc gesperrt.
Zwischengespeicherte Passwordhashes waren der Hauptgrund für die Einführung. Zunächst haben wir für die Admin-Konten die Smartcardanmeldung erzwungen.

Die Normal-Benutzer-Anmeldung läuft meist über Kennworte. Hier muss man nämlich einen Weg gegen das „Steckenlassen“ und „Verbummeln“ finden. Bei den Yubikeys ist durch die Kombi aus Lesegerät und Smartcard die Anwendung an sich einfach. Aber das Ding ist ziemlich klein. Es gibt auch Smartcardreader mit Bluetooth, die als Mitarbeiterausweis an die Brust geheftet getragen werden. Das ist mit zu viel Technik (Bluetooth-Dongle am PC, Batterie im „Ausweis“).

Wo es möglich ist, haben wir andere Anmeldungen an das AD gebunden. Zum Teil mit Azure/SAML.

Grüße

lcer
Bitte warten ..
Mitglied: nEmEsIs
08.01.2021 um 09:23 Uhr
Hi

Wir verwenden zwar nicht den "Windows Standard" sondern eine SSO Lösung von Evidian
https://www.evidian.com/products/enterprise-sso/?s=316471&gclid=EAIa ...

Funktioniert sehr gut. Hat auch einen Kioskmodus zb für Scada Systeme (WinCC ist nicht mehrfach Startbar)
Anwender kann für bestimmte Tätigkeiten diesen selbst anlernen zb für Browser Passwörter.
Alle x Stunden und beim ersten anmelden am Tag muss zusätzlich ein PIN eingegeben werden.

Und vieles mehr. Bei Interesse gerne nachfragen.

Mit freundlichen Grüßen Nemesis
Bitte warten ..
Mitglied: DerWoWusste
08.01.2021, aktualisiert um 11:06 Uhr
@C.R.S.
dachte, Du wärst schon voll dabei, nach deinen vorherigen Fragen
Hi. Ja, ein IT-interner Test läuft schon ein paar Wochen mit Yubikey5 und neuerdings auch mit virtuellen SmartCards. Da ich davon ausgehe, dass ich nie ganz verstehen werde, was an Restrisiken bleibt (da blickt meiner Ansicht nach nur noch Herr Delpy von Mimikatz durch), will ich mich in Punkto Sicherheit aber noch umhören, bevor wir eine Entscheidung treffen. Auch das Handling und Deployment sehen bislang sehr gut aus, aber mich interessieren die Erfahrungen anderer sehr.

Da man wohl bei allen SmartCards mit Mimikatz die PIN aus dem RAM auslesen kann, sehe ich auch keinen entscheidenden Vorteil gegenüber virtuellen SmartCards, jedenfalls nicht, wenn man die VSCs so verwendet wie ich (dazu später mehr).

@Dani
Bei dieser Frage sind es mittlerweile 600 Leser und ca. 6 Anwender. Nun, ich finde es immer gefährlich, Randgruppentechniken zu verwenden, selbst wenn Sie noch so sicher sein sollten. Es hat ja auch eine Weile gedauert, bis Leute über die Rocker-Sicherheitslücke gestolpert sind (Achtung, absichtlich falsch geschrieben - wisst Ihr, worum es geht? Wäre besser für Euch :-) face-smile )
Wegen der SSO-Probleme: da wir bislang noch gar keine hatten (Sharepoint und mehrere andere Webanwendungen), wüsste ich schon gerne, in welcher Form und warum es da bei Euch Probleme gab - die Namen der Anwendungen sind unwichtig.

@chkdsk
Wird aber auch zum normalen Windows-Logon eingesetzt?

@lcer00
und Du meinst, nun werden keine Hashes mehr zwischengespeichert? Hast Du das mit Mimikatz nachgeprüft?

@nEmEsIs (und andere)
Und was kostet Euch das pro User (SmartCard, Software, Maintenance der Software)?
Bitte warten ..
Mitglied: lcer00
08.01.2021, aktualisiert um 12:35 Uhr
Hallo,
Zitat von DerWoWusste:
@lcer00
und Du meinst, nun werden keine Hashes mehr zwischengespeichert? Hast Du das mit Mimikatz nachgeprüft?
nee habe ich nicht - da müsste ich mir das runterladen von Mimikatz selbst genehmigen. :) face-smile - Aber zumindest speichert er keine Passwordhashes, weil es ja kein Passwort gibt.

Jedenfalls haben wir für die Adminkonten im AD eingestellt, dass eine Smartcard zum Login erforderlich ist und das führt dazu, dass kein Password mehr da ist.

Es ist übrigends nett in Powershell zu beobachten was wann passiert, wenn man beim Yubikey den "Tastendruck" als Bestätigung aktiviert hat:

Die Pin wird vom Get-Credential abgefragt.

Der Tastendruck auf den Yubikey wird erst angefordert (erkennbar durch blinken, als Anzeigen von Kryptooperationen) wenn der Restart-Computer Befehl ausgeführt wird. Und beim 2. PC wird wieder ein Tastendruck angefordert.

Dass die Kombination aus Zertifikat, PIN und Tastendruck (3 Faktoren) schon deutlich sicherer als ein Passwort (ein Faktor) ist sicher unstrittig.

Grüße

lcer

PS:

Da man wohl bei allen SmartCards mit Mimikatz die PIN aus dem RAM auslesen kann ...
der Yubikey führt die erforderlichen Smartcard-Kryptooperationen ersrt durch, wenn man die Taste drückt. Zumindest, wenn man mittels GPO die Touch Policy setzt: https://developers.yubico.com/yubikey-piv-manager/Settings_and_Group_Pol ...

PPS:
zum Testen muss man nicht Restart-Computer nehmen :) face-smile
Bitte warten ..
Mitglied: ZeroTrust
08.01.2021 um 12:56 Uhr
Wir nutzen dies für AD, Admin Zugänge und auch die User in der VDI Umgebung.
Bitte warten ..
Mitglied: DerWoWusste
08.01.2021, aktualisiert um 13:19 Uhr
@lcer00
zumindest speichert er keine Passwordhashes, weil es ja kein Passwort gibt.
Vorsicht, da irrst Du dich gewaltig. NTLM Hashes sind vorhanden, wirf mal mimikatz an. Das gilt selbst dann, wenn man wie du erzwingt, dass nur SmartCardlogon erlaubt ist. Und mit dem Hash kann Mimikatz alles machen, was es mit einem Plaintextpasswort auch kann.
Da man wohl bei allen SmartCards mit Mimikatz die PIN aus dem RAM auslesen kann ...
der Yubikey führt die erforderlichen Smartcard-Kryptooperationen ersrt durch, wenn man die Taste drückt...
Hast Du geprüft, dass die PIN dann nicht dauerhaft im RAM landet?

@ZeroTrust
Schön. Und magst Du noch etwas mehr schreiben zu meinen Fragen aus https://administrator.de/content/detail.php?id=638576&nid=1027333#co ...
Bitte warten ..
Mitglied: NetzwerkDude
08.01.2021 um 13:44 Uhr
Löst die Themen nicht ein aktivierter Credential Guard?
Bitte warten ..
Mitglied: DerWoWusste
08.01.2021, aktualisiert um 13:53 Uhr
Löst die Themen nicht ein aktivierter Credential Guard?
Ja nun, was will ich denn lösen? Lokale Hashes willst Du ja manchmal sogar unverschlüsselt haben.
Zudem kommt, dass Cred.Guard Entrepriselizenzen voraussetzt, welche wir nicht überall einsetzen.
Bitte warten ..
Mitglied: NetzwerkDude
08.01.2021 um 14:05 Uhr
Zitat von DerWoWusste:

Löst die Themen nicht ein aktivierter Credential Guard?
Ja nun, was will ich denn lösen? Lokale Hashes willst Du ja manchmal sogar unverschlüsselt haben.
Zudem kommt, dass Cred.Guard Entrepriselizenzen voraussetzt, welche wir nicht überall einsetzen.
Mit aktiviertem CredGuard kommt kein Tool an die Hashes (des domain accounts) - also hast du weder passworteingabe die man abfangen kann, noch gespeicherte hashe auf der kiste - das ist doch das Ziel hier, oder?
Bitte warten ..
Mitglied: DerWoWusste
08.01.2021, aktualisiert um 14:25 Uhr
Was Du zitierst widerspricht dem. Will ich beispielsweise gespeicherte Credentials für RDP haben, kann ich Credential Guard nicht nutzen.
Habe ich kein Win10 Enterprise, kann ich es auch nicht nutzen.

Lass es bitte dabei bewenden, das ist zwar ein verwandtes Thema, aberich möchte es hier nicht vertiefen :-) face-smile
Bitte warten ..
Mitglied: lcer00
08.01.2021 um 14:40 Uhr
Hallo
Zitat von DerWoWusste:

Hast Du geprüft, dass die PIN dann nicht dauerhaft im RAM landet?

Na ja, die PIN muss ja in irgend einer Art und Weise im RAM liegen. Der springende Punkt ist, dass noch jeweils ein Tastendruck erforderlich ist. Damit genehmigt man jeden Einsatz (bzw, wenn entsprechend eingestellt jede Einsatzmöglichkeit für eine „kurze Zeitspanne“ ) separat. Das schränkt die Verwendung sehr ein.

Wenn man beispielsweise eine gesperrte RDPSitzung entsperren will, ist es erforderlich Yubikey, PIN und Tastendruck zu haben. Das Kapern der Sitzung ist ohne Benutzertastendruck nicht möglich (ob man das mit irgendwelchen expoilts umgehen kann? Da kann man sich nie sicher sein).

Grüße

lcer
Bitte warten ..
Mitglied: DerWoWusste
08.01.2021, aktualisiert um 15:26 Uhr
Der springende Punkt ist, dass noch jeweils ein Tastendruck erforderlich ist.
Ja, aber der ist doch von jedem durchführbar.
Wenn ich mir deine PIN mittels Mimikatz (oder Kamera) gekrallt habe, muss ich nur abwarten, bis du deinen Yubikey mal gesteckt gelassen hast.
Bitte warten ..
Mitglied: DerWoWusste
08.01.2021 um 14:48 Uhr
Ich habe nun meine Idee zur Nutzung von 2FA mittels virtueller SmartCards (nur Bordmittel) wie angekündigt als Wissensbeitrag eingestellt:
https://administrator.de/contentid/638919
Feedback erwünscht!
Bitte warten ..
Mitglied: C.R.S.
08.01.2021 um 15:34 Uhr
Das Berühren des YubiKeys ist eine Smartcard-seitige Voraussetzung zur Freigabe der Private-Key-Operation(en), und damit schon geeignet, menschliche Interaktion abzuschichten. Im Endeffekt aber nur, wenn die Smartcard entsprechend konfiguriert wurde, und nicht mit Treiber-Setting (ich weiß nicht mehr, ob der verlinkte Manager als Hintegrunddienst gedacht ist und damit nur gleichwertig zum Treiber wäre; ich habe das immer ohne Client-Software gemacht).

Die Überlegungen zu RAM-Content und Mimikatz sind etwas theoretisch, weil ja das viel grundlegendere "Problem" (oder einfach Design) ist, dass eine Smartcard aus Sicht des Client-Computers quasi als Remote-Computer zwar einen Vorgang authentifiziert, aber das Client-System und damit den Vorgang selbst nicht kontrolliert. Der YubiKey erlaubt nach PIN- und/oder Touch-Authentifizierung Private-Key-Operations einzeln oder zeitbasiert (in der Regel ist nur zeitbasiert praktikabel oder - bei vielen anderen Smartcards - unterstützt). Die Vornahme der Private-Key-Operationen in dieser Situation wird von Windows prozessbasiert kontrolliert, nicht von der Smartcard.
Bitte warten ..
Mitglied: DerWoWusste
08.01.2021 um 15:35 Uhr
Kurzum: ist die PIN im RAM oder nicht?
Bitte warten ..
Mitglied: ZeroTrust
08.01.2021 um 16:06 Uhr
Wir haben es so gelöst:

User steckt Yubikey in sein Device und kann das OS (Linux oder MacOS ) auf dem Device starten, ohne Yubikey gar keine OS Nutzung
möglich. (Yubikey & PIN & 2FA Code aus der App)

In der VDI wird der Yubikey weitergereicht und der User kann sich dann mit dem Yubikey & PIN & 2FA Code aus der App (Wir nutzen dafür DUO Security von Cisco) an der VDI egal welches OS er nutzen will, anmelden.
Beim Admin Panel ist es auch Yubikey & PIN & 2FA Code aus der App anmelden.

Wir nutzen MacOS und Linux als Grund OS. Windows nur noch als virtuelles OS. Kein User hat ein lokales Windows auf seiner Hardware. Kein lokales Windows spart dem Admin massig aufwand und ärger. Non-Persistent VDI und jeden Tag hat der User eine Jungfräuliche VDI.

Ein Kopieren von Daten in oder aus der VDI ist ausgeschaltet. Für den Datentransfer intern, extern haben wir einen Nextcloud Cluster der mit Eset gescannt wird.

Probleme bei der Einführung = User mussten sich umgewöhnen.
SSO Probleme gabs nur mit dem SAP und was mit ein bisschen Aufwand gelöst werden konnte, das ServiceDesk Software gebastel, konnten wir dann Problemlos ablösen.

Sicherheit haben wir so von mittelsicherheit auf Sicher hochgeschraubt.
Was die User am meisten schätzen ist der Wegfall des ewigen Passwordwechsels.
Bitte warten ..
Mitglied: DerWoWusste
08.01.2021 um 16:13 Uhr
Ok... aber daraum geht es daoch gerade gar nicht, Es geht um Windows-Login, siehe Titel.
Bitte warten ..
Mitglied: ZeroTrust
08.01.2021, aktualisiert um 16:17 Uhr
Windof ist und bleibt Windof egal ob Hardware oder Virtuell die Funktionen sind die selben.
Bitte warten ..
Mitglied: C.R.S.
08.01.2021 um 17:40 Uhr
Die PIN ist im RAM.
Bitte warten ..
Mitglied: rzlbrnft
09.01.2021, aktualisiert um 00:17 Uhr
Zitat von ZeroTrust:
Wir nutzen MacOS und Linux als Grund OS. Windows nur noch als virtuelles OS. Kein User hat ein lokales Windows auf seiner Hardware. Kein lokales Windows spart dem Admin massig aufwand und ärger. Non-Persistent VDI und jeden Tag hat der User eine Jungfräuliche VDI.
Ein Kopieren von Daten in oder aus der VDI ist ausgeschaltet. Für den Datentransfer intern, extern haben wir einen Nextcloud Cluster der mit Eset gescannt wird.

Mal so ein paar Fragen, müssen eure User in ihrer Arbeitszeit Geld verdienen oder ist das egal?
Mir kommt das alles wie ein massiver Time Sink vor, der produktives Arbeiten ziemlich einschränkt.
Müssen eure User zum Kunden und dort mit der Software umgehen oder ist alles zentral an einem Standort?
Wieviele IT-Ler habt ihr pro User um eine solche Monströsität zu verwalten?
Wie oft werden Rechner ausgetauscht und wie viel IT-Budget habt ihr um solche Späße zu finanzieren?
Ich mein nur, ich habe auch so einen Kunden, der ähnlich hohe Sicherheitsstandards umsetzt, die IT-ler finden sich es total super, aber alle die damit arbeiten müssen, sind nur noch am abkotzen.
Bleibt da der Servicegedanken nicht irgendwie auf der Strecke?
Bitte warten ..
Mitglied: MartinAd23
11.01.2021 um 20:24 Uhr
Hier, ich nutze das auch bei mir sogar zum Starten des PC
Bitte warten ..
Mitglied: Dani
11.01.2021 um 20:52 Uhr
Mal so ein paar Fragen, müssen eure User in ihrer Arbeitszeit Geld verdienen oder ist das egal?
Ja. Die Einen mit direkten Kontakt zum Kunden mehr. Das Controlling eher weniger.

Mir kommt das alles wie ein massiver Time Sink vor, der produktives Arbeiten ziemlich einschränkt.
Das kann ich nicht beurteilen. Denn das System gibt es hier schon seit ich angenfangen habe. Einen Einblick, zu wie viele Problemen/Störungen/etc... es im Jahr kommt, habe ich leider nicht.

Müssen eure User zum Kunden und dort mit der Software umgehen oder ist alles zentral an einem Standort?
Sowohl als auch.

Wieviele IT-Ler habt ihr pro User um eine solche Monströsität zu verwalten?
Das ist schwer zu sagen. Denn die notwendigen Infrastrukturen, Applikationen, werden ja nicht nur für den einen Zweck genutzt. Sondern es haben sich mit der Zeit auch Synergien für Produkte ergeben, mit den wir wieder Geld verdienen.

Wie oft werden Rechner ausgetauscht und wie viel IT-Budget habt ihr um solche Späße zu finanzieren?
Alle 5 Jahre. Wobei 80% der IT-Arbeitsplätze als VDI betrieben werden. Hier erfolgt ein Tausch der Zero/Thinclients nur noch wenn es notwendig ist. Wobei das aus meiner Sicht erstmal unabhängig von der Smartcard Thematik ist.

Bleibt da der Servicegedanken nicht irgendwie auf der Strecke?
In wie fern? Ob der Nutzer Benutzername und Passwort eintippt oder die Smartcard einsteckt und mit den PIN bestätigt, macht erst einmal keinen großen Unterschied.


Gruß,
Dani
Bitte warten ..
Mitglied: DerWoWusste
12.01.2021, aktualisiert um 14:13 Uhr
@MartinAd23
Ich hatte noch ein paar weitere Fragen gestellt, vielleicht hast Du ja Lust, was dazu zu schreiben. Danke

@Dani
Das war an ZeroTrust gerichtet.
Bitte warten ..
Mitglied: rzlbrnft
13.01.2021, aktualisiert um 23:42 Uhr
Zitat von Dani:
Bleibt da der Servicegedanken nicht irgendwie auf der Strecke?
In wie fern? Ob der Nutzer Benutzername und Passwort eintippt oder die Smartcard einsteckt und mit den PIN bestätigt, macht erst einmal keinen großen Unterschied.

Mir gings dabei wie von DerWoWusste bereits korrekt bemerkt um dieses komische Mac/Linux + Virtuelles Windows Konstrukt von ZeroTrust, welches meines Erachtens nur funktioniert wenn alles in einem Standort sitzt, und dann ist eigentlich die Sicherheit auch ohne dieses komische Konstrukt relativ easy umzusetzen, weshalb ich nicht verstehe warum man den Usern so eine Grausamkeit antut.

Das mit dem Stick und draufdappen interessiert mich aber schon auch brennend, gerade weil ich das mit dem kleineren blauen Yubikey nicht hinbekommen hab, und gern wissen würde was man tun muss, um es gewinnbringend einzusetzen. Dazu gehört aber auch der Business Case, denn mach mal einer Firma für Schweissdienstleistungen klar, warum sie sowas braucht, ich will das danach ja auch verkaufen.
Grad das Thema Business Case und Rentabilität wird hier und in anderen deutschen Foren gern unter den Tisch gekehrt, ist aber für die Rechtfertigung von bestimmten Vorgehensweisen essentiell.
Bitte warten ..
Mitglied: DerWoWusste
14.01.2021 um 10:06 Uhr
@rzlbrnft
...weil ich das mit dem kleineren blauen Yubikey nicht hinbekommen hab...
Der blaue Yubikey kann nicht für Zertifikatslogon benutzt werden. Brauchst einen teureren (45€, Yubikey 5 NfC), zum Beispiel.
Bitte warten ..
Mitglied: lcer00
14.01.2021 um 13:15 Uhr
Hallo

Ein wesentlicher Vorteil für den Endbenutzer ist, dass das Zwang für sichere Passwörter und deren regelmäßiges Ändern wegfällt.
Zitat von DerWoWusste:

@rzlbrnft
...weil ich das mit dem kleineren blauen Yubikey nicht hinbekommen hab...
Der blaue Yubikey kann nicht für Zertifikatslogon benutzt werden. Brauchst einen teureren (45€, Yubikey 5 NfC), zum Beispiel.
Das entsprechende Stichwort heißt "PIV": https://developers.yubico.com/PIV/Guides/

Grüße

lcer
Bitte warten ..
Mitglied: lcer00
14.01.2021 um 13:47 Uhr
Ich hatte das so gemeint: Man sollte sich vor der Anschaffung der Hardware über das Stichwort "PIV" informieren.

Grüße

lcer
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerke
Heimnetzwerk für mobiles Arbeiten
Matthias182Vor 1 TagFrageNetzwerke14 Kommentare

Hallo zusammen, Die Corona Pandemie treibt viele Veränderungen, so auch bei uns. Seit Wochen arbeiten meine Frau und ich wieder von zu Hause. Und ...

Firewall
Pfsense plus für Geschäftskunden
Looser27Vor 21 StundenInformationFirewall13 Kommentare

Netgate wird in Zukunft die Open Source Firewall pfSense hauptsächlich als kommerzielle Version unter dem Namen pfSense Plus vermarkten. Die "Community Version" wird weiter ...

TK-Netze & Geräte
Hybrid-Telefon für Betrieb an ISDN- sowie VoIP-Anschluss
Datax87Vor 1 TagFrageTK-Netze & Geräte30 Kommentare

Hallo, ich habe eine Frage zu einer geplanten TK-Anlagen-Umstellung. An der betreffenden ISDN-TK-Anlage sind zurzeit 6 ISDN-Telefone angeschlossen. Der dazugehörige Telefon-/Internetanschluss ist zurzeit ein ...

Router & Routing
Wie DMZ ohne doppeltes NAT am VF-Kabel-Internetzugang realisieren?
OldermanVor 1 TagFrageRouter & Routing24 Kommentare

Hallo und guten Tag allerseits! Ich habe mich nach einiger Zeit des Lesens der aufschlussreichen und wertvollen Beiträge hier zum Thema echtes DMZ mit ...

Windows Systemdateien
Windows 10 Kernisolierung: Inkompatible Treiber entfernen
FrankVor 1 TagAnleitungWindows Systemdateien1 Kommentar

Hallo, Eigentlich wollte ich nur den Empfehlungen der Windows Sicherheit nachgehen und unter Einstellungen -> Windows Sicherheit -> Kernisolierung, die Speicher-Integrität einschalten. Die Kernisolierung ...

Vmware
ESXI 6.5 Fehlgeschlagen - Zugriff auf eine Datei nicht möglich, weil sie gesperrt ist
gelöst zeroblue2005Vor 1 TagFrageVmware5 Kommentare

Hallo Zusammen, da meint man es gut und dann geht es in die Hose Aber erst mal zum IST-Zustand: - ESXI 6.5 U1 (Standalone) ...

Batch & Shell
Benutzeranmeldung mit Einschränkung
gelöst FreeBSDVor 1 TagFrageBatch & Shell8 Kommentare

Hallo zusammen, ich habe da ein kleines Problemchen und zwar versuche ich mich im PowerShell einzulernen, habe da eine kleine Aufgabe bekommen, dennoch krieg ...

Webbrowser
Frage zu "Remote-Debugging"
neuundbesserVor 1 TagFrageWebbrowser4 Kommentare

Moin, ich bin seit ein Paar Monaten in einem Projekt indem ich einfache Themen in JS-Code erledigen muss. Habe mich mittlerweile etwas in das ...