torsten-md
Goto Top

Security Stick für die PC Anmeldung

Hallo,
ich bin angehender IT-Techniker und wurde mit einem Projekt beauftragt das mir langsam Kopfschmerzen bereitet.

Ich soll eine Lösung finden wie man mittels eines USB Stick die Windows Anmeldung ersetzen bzw. erweitern kann.
Es geht darum das im Unternehmen die Sicherheit bei der Anmeldung erhöht werden soll, da die Mitarbeiter sich zu einfache PW für Ihre Arbeitsplatzrechner vergeben.

Aus rechtlichen Gründen dürfen wir Ihnen keine Passwörter vorschreiben, Dienstanweisungen sichere PW zu benutzen werden erfolgreich missachtet.

Daher soll nun eine USB Stick Lösungen eingeführt werden. Die Mitarbeiter bekommen jeweils einen für Ihren Rechner und nur dort darf der Stick funktionieren.

rohos.net habe ich bereits getestet und für bedingt nutzbar erachtet.
Funktion:
• Es wird eine Software auf dem Rechner installiert
• mit dieser Software wird ein USB-Stick initialisiert, dabei kann man die Aktion einstellen was beim abziehen des Stick passieren soll (Abmelden, Desktop sperren, Rechner runter fahren)
• danach kann man sich mit diesen Stick anmelden, zieht man den Stick ab wird der Benutzer abgemeldet
Soweit ganz Ok, aber löscht oder formatiert man den Stick ist keine Anmeldung mehr möglich.
Klar man kann einen Stick verwenden den man mechanisch sperren kann aber das ist irgendwie nicht die beste Lösung.

Dann kommt hinzu das der Anbieter der Software in Timbuktu face-smile sitzt.

Nun meine Frage!
Hat einer von Euch schon Erfahrungen mit dieser Art Rechner Anmeldung sammeln können?
Welche Lösungen gibt es noch die auch was Taugen, die Kosten pro Rechner sollten natürlich nicht zu hoch ausfallen.
Mir bekannte Alternativen.

"Stick Security" wird ja leider nicht weiter entwickelt

Wer hat schon Erfahrungen mit eToken gesammelt und kann mir da ein System für den Praxis Einsatz empfehlen?
Gruß
Torsten

Content-ID: 175626

Url: https://administrator.de/forum/security-stick-fuer-die-pc-anmeldung-175626.html

Ausgedruckt am: 23.12.2024 um 10:12 Uhr

thaefliger
thaefliger 01.11.2011 um 22:08:15 Uhr
Goto Top
Zitat von @Torsten-MD:
Aus rechtlichen Gründen dürfen wir Ihnen keine Passwörter vorschreiben, Dienstanweisungen sichere PW zu benutzen
werden erfolgreich missachtet.


Wie wär's wenn ihr die Dienstanweisungen einfach per GPO erzwingt...?
kaiand1
kaiand1 01.11.2011 um 22:12:11 Uhr
Goto Top
Moin
Es gibt auch die Möglichkeit sowas über eine Karte zu machen.
Viele Industrie PCs haben ein Chipkartenleser am PC oder an der Tastatur um sich an dem PC An/Ab zumelden.
C.R.S.
C.R.S. 02.11.2011 um 05:19:34 Uhr
Goto Top
Im allgemeinen taugen die USB-Stick-Lösungen nichts. Das Lustigste an Rohos ist, dass man den Schlüssel nur rasch genug einstecken und abziehen braucht, um sich schließlich ohne ihn anmelden zu können. Wenn ich eine empfehlen müsste, wäre das Dekart Logon. Die Windows Vista/7-Version wirst Du aber nur auf Anfrage lizenziert bekommen und die ist auch nicht ganz komplikationsfrei, je nach Hardware. Die Frage ist, ob es in der konkreten Anwendung einen Sicherheitsgewinn darstellt, wenn die Anmeldedaten Base64-kodiert auf einem USB-Stick liegen.
Bei den Token/Smartcards müsst ihr euch halt umsehen, welche Lösung in Sachen Hardware, Middleware und Administrations-Werkzeugen am sinnvollsten ist.

Grüße
Richard
Torsten-MD
Torsten-MD 02.11.2011 um 08:41:19 Uhr
Goto Top
GPO wird bereits eingesetzt (große und kleine Buchstaben + Sonderzeichen werden erzwungen)

trotzdem verwenden die meisten ihren Vornamen + Sonderzeichen
die Mitarbeiter sind da sicher sehr kreativ face-sad

Wie gesagt mussten bereits alle Mitarbeiter unterschreiben ein sicheres PW zu verwenden, trotzdem hält sich keiner daran und alle Abmahnen geht ja schlecht.
PW vorgeben dürfen wir nicht.

Kartenleser sind bis in der Buchhaltung, für das Bankinsystem keine vorhanden bzw. an den Lenovo Thinkcentre nicht integriert.

Darum dachte ich an eine USB Lösung.
Die Rohos Software habe ich ja getestet und leider auch zu viele Macken gefunden.

Eine Tocken Lösung muss ich also erst noch finden und testen.
Dekart Logon werde ich mir mal anschauen, allerdings brauche ich schon eine Lösung die auch Windows 7 64bit kompatibel ist.
Pago159
Pago159 02.11.2011 um 08:55:13 Uhr
Goto Top
Hi,
was eigentlich immer gut ist, sind Biometrische Zugangsdaten, da man diese nicht vergessen kann oder aber auf dem Schreibtisch liegen lassen kann,
wie es gerne mit USB-Sticks oder Chipkarten getan wird.

Hier eine Software eines deutschen Unternehmens.

Was bei alternativen Passwort Programmen allerdings immer gemacht werden sollte, ist:

Administratorzugang bitte immer mit einem sicheren Passwort versehen (evt. auch einfach nur Notadmin, also ein User, welcher extra angelegt wird mit einem Sicheren Passwort, beides getrennt voneinander Dokumentieren und an verschiedenen stellen SICHER lagern.)
Somit ist gewährleistet, dass man als Administrator noch Zugriff zu den einzelnen Maschinen hat, wenn etwas schief geht.

Lg Grapper
Lochkartenstanzer
Lochkartenstanzer 02.11.2011 um 10:40:34 Uhr
Goto Top
Aladdins eToken ist ganz brauchbar. Von RSA würde ich nach deren Informationspolitik nach dem großen Hack abraten.


ich persönlich würde das eToken PASS nehmen, aber das kommt ganz auf Euer Budget und Eure Anforderugnen an, ob die anderen Module für euch besser geeignet sind. Such Dir am besten einen Anbieter Deines Vertrauens.
Nagus
Nagus 02.11.2011 um 13:17:30 Uhr
Goto Top
Moin
Zitat von @Torsten-MD:
GPO wird bereits eingesetzt (große und kleine Buchstaben + Sonderzeichen werden erzwungen)

trotzdem verwenden die meisten ihren Vornamen + Sonderzeichen
die Mitarbeiter sind da sicher sehr kreativ face-sad

kann man da nicht auch den eigenen Namen ausschließen? Ich meine das wäre möglich ... Warum genügt es nicht, wenn die Komplexität Anforderungen erfüllt werden? Dann ist es doch sicher ... Ansonsten einfach die Komplexität etwas erhöhen ... face-smile


Wie gesagt mussten bereits alle Mitarbeiter unterschreiben ein sicheres PW zu verwenden, trotzdem hält sich keiner daran und
alle Abmahnen geht ja schlecht.

Ähm - wie setzt Ihr sonst Regelungen durch?
Anderseits: woher wisst Ihr dass? Also wie kommt Ihr zu der Information, das die Ihren Namen benutzen mit ein paar Zahlen? Ihr lest ja wohl nicht die PW aus, also ist das eine Annahme - auf der Basis eine Abmahnung zu schicken ist natürlich übel ....

Gruß
Nagus
Torsten-MD
Torsten-MD 02.11.2011 um 17:30:07 Uhr
Goto Top
---
Torsten-MD
Torsten-MD 02.11.2011 um 17:31:07 Uhr
Goto Top
PW auslesen ist garnicht nötig wenn die auf einem Zettel unter der Tastatur zu finden sind, bei einem der Mitarbeiter wurde die Tastatur wegen einem Defekt ausgetauscht und da klebte halt ein Zettel drunter.
Der Mitarbeiter wusste das selber nicht mehr und versuchte sich raus zu reden, natürlich hat das der Cheffe mitbekommen und darum ging diese Passwort Debatte mal wieder vorn vorne los.

Was nützt es mir wenn ich die Vornamen der Mitarbeiter sperre oder verbiete und die dann wieder zu einfach erratende PW,s benutzen.

Mir hängt das Theme zum Halse raus und darum suche ich nach einer sichere Hardware/Software Lösung, der Preis sollte sich pro Rechner um die 30 Euro bewegen, bei ca. 50 Rechner im Unternhemen.

Muss mir die Aladin Lösung mal anschauen, bin natürlich für Praxis bewährte oder nicht bewährte Erfahrungen immer dankbar.
felixcc
felixcc 04.11.2011 um 08:57:19 Uhr
Goto Top
Hallo Torsten,

es gibt doch die Lesegeräte für den neune Personalausweis,
da gibt es auch andere Karten die geesen werden können.

Man kann eine Anmeldung also über den Personalausweis ermöglichen,
ist aber wahrscheinlich mit viel Konfigurationsaufwand verbunden.

Ein rudimentäres Lesegerät von z.B. REINERSCT kostet um die 30 Euro.

Leider kenn ich mich auf diesem Gebiet nicht so sehr aus,
da noch kein Denkanstoß in die Richtung kam, wollte ich dir das aber mal vorschlagen.

Gruß
Felix
martin42
martin42 07.11.2011 um 10:20:22 Uhr
Goto Top
Hallo Thorsten,

habt ihr evt. schon Chips im Einsatz, mit denen die Mitarbeiter Zugang zum Gebäude bekommen?
Falls ja, könnt ihr diese ja für eine PC Anmeldung mit nutzen, dann können diese die Mitarbeiter auch nicht einfach im Büro liegen lassen.

Per Windows GPO kannst du verbieten, dass die User keine Teile aus ihrem Benutzerkonto im PW verwenden dürfen.

Gruß Martin
kerberos242
kerberos242 07.11.2011 um 10:21:59 Uhr
Goto Top
Vieleicht helfen dir Smartcards weiter ?? Ansonsten würde ich auch von USB-Stick geschichten abraten.

JAB_Liebenau
derklient
derklient 07.11.2011 um 12:17:34 Uhr
Goto Top
Hallo

Ich sehe mit Smart Cards 2 Möglichkeiten wie man es realisieren kann.

1.)
An jedem Arbeitsplatz befindet sich ein Smartcard Reader per USB oder Seriel(Bei Notebooks per Steckkarte oder USB) angeschlossen und der benutzer steckt seine Karte da rein.

Lesegeräte zwischen 10 und 30 Euro

2.)
Jeder Benutzer bekommt ein USB-Dongle(Sieht aus wie ein USB Stick) wo die Smartcard im Sim Format eingesteckt ist und der Benutzer steckt es in einen Freien USB Port und meldet sich dann an.

USB-Dongle zwischen 10 und 30 Euro


PKI fähige Smartcards Kosten zwischen 15 und 25Eur


Hier gibt es eine Anleitung für eine Testumgebung mit den Smartcards in der MS umgebung: http://www.cryptoshop.com/de/downloads/testumgebungpki.pdf
Und hier ein Shop dazu: http://www.cryptoshop.com/ damit man mal die preise kennt.


Dann gibt es noch die Lösung von Fingerprint Readern zur Anmeldung

Da ist eine Professionele Lösung UPEK mit Anbindung in die Domaine, übersteigt aber das Budge, kosten Pro Arbeitsplatz 100 bis 140Eur, in Dell, Lenovo, HP installierter Fingerprint Reader sind dazu auch Kompatiebel.


RFID ist auch noch ein Weg, da würde es sich lohnen das mit einem Zeiterfassungssystem parallel zu betreiben.
So das sich die Benutzer darüber an einem Zeiterfassungsterminal An und Ab Melden im bezug aufdie Arbeitszeit und dann mit der Karte sich am PC Anmelden.
RFID USB Leser kosten leider zwischen 50 und 70Eur.


Aber eins muss dabei immer bedacht werden, was passiert wenn die Karte/Stick verloren gehen oder was wenn der Benutzer diese zu Hause vergessen hat?
Und beim Aushändigen einer Smart Card sich unterschreiben lassen das man diese ausgehändigt hat(Mit angabe der Seriennummer der Karte) und der Benutzer bei verlust verpflichtet ist dieses umgehend zu melden.
Torsten-MD
Torsten-MD 07.11.2011 um 21:00:11 Uhr
Goto Top
Hallo @all,

danke erst einmal für Eure Mühe.
Bitte wundert Euch nicht wenn ich mich mal nicht sofort melde, zurzeit stecken wir voll mit Arbeit und da komme ich nicht immer dazu gleich zu Antworten.
Kurz mal rein schauen und lesen geht ja schnell aber man will ja auch auf Eure Vorschläge eingehen können.

"Anmeldung über den Personalausweis" geht nicht da die meisten Mitarbeiter noch einen alten Ausweis haben.
Die Erneuerung der Ausweise wollen wir nicht tragen.

"habt ihr evt. schon Chips im Einsatz" nein, es werden noch ganz normale Schlüssel benutzt, ein Umbau ist soweit ich weis auch nicht geplant.

"Smart Cards" hört sich schon mal Gut an, muss ich mich auf jedenfall mal mehr mit beschäftigen
"USB-Dongle(Sieht aus wie ein USB Stick) wo die Smartcard im Sim Format" das scheint mir eine Super Lösung zu sein

Ich werde mich mit den Smartcard Lösungen beschäftigen, von den Fingerprint Readern halte ich nix, bei den IBM Notebooks haben wir nur Trabbel mit der Technik.

Gruß
Torsten
Pago159
Pago159 08.11.2011 um 11:56:13 Uhr
Goto Top
Bei den Fingerprint Readern kommt es wie über auf die Qualität der Hardware an.

desweiteren sollte man bei jedem System zur alternativen User-Authentifizierung auch einen Administrator mit Herkömmlichem Passwort bereithalten,
falls die Systeme mal streiken. Wenn man dann keinen Admin mehr hat, dann hat man sich aus dem kompletten System ausgesperrt und es wird schwierig
wieder in sein System zu kommen.

Du kannst ja mal bei Herrn Hilgers anrufen und ihn nach einem Testreader und einem Testzugang fragen.

+49 (0) 6541 814422

Er kann dir auch den ganzen ablauf super erklären und Hilft auch Telefonisch, wenn es mal zu schwierigkeiten kommen sollte.

Lg GRapper
derklient
derklient 08.11.2011 um 13:29:11 Uhr
Goto Top
Ein Adminkonto eventuell noch ein paar andere wird es eh geben die für das system bzw systemverwaltung oder ähnliches gedacht sind die man auch nicht umbedingt zum logon braucht und diese mit einem kryptischen passwort versehen werden.

Weil was nützt einem ein Adminkonto wo fingerprints hinterlegt sind bei einer EDV-Abteilung mit mehreren Mitarbeitern wo unter umständen mal jeder irgendwann dran muss.

Dürfte Lustig enden wenn in einer EDV-Abteilung 40 Mitarbeiter arbeiten und man nur 10 Finger speichern kann.
Entweder regt sich dann einer drüber auf das er ständig mit dem finger jemanden anmelden muss.
Oder die EDV`ler sind Bastelfreudig und basteln sich aus Knetgummi einen Masterfinger zum Rüberziehen wie ein Schlüssel zum Schloss.
Pago159
Pago159 08.11.2011 um 16:54:55 Uhr
Goto Top
Also ich weiß ja nicht, in welcher IT-Abteilung du arbeitest,
aber bei uns hat jeder Admin sein eigenes Admin-Konto.

Mit den Fingerprint-Lösungen kann man auch für jeden Admin ein eigenes Konto absichern.

Man erstellt dann noch ein oder zwei Maser-Admin Konten, mit einem Sicheren-Kennwort,
wobei Kennwort und User an Seperaten Stellen getrennt voneinander gelagert werden.

Somit hat man noch die möglichkeit per Kennworteingabe in das System zu gelangen.
Alle anderen Admin-Aufgaben können dann auch per Fingerprint getätigt werden.

Das Problem, was ich bei Smart-Cards oder USB-Dongels sehe, ist dass die User die Dongels/Smart-Cards liegen lassen,
oder erst gar nicht abstecken. Somit kann jeder zugriff zu den Daten bekommen und das System kompromitieren.

Bei den Fingerprintlösungen kann man dann noch eine Gruppenrichtlinie erstellen, welche bei z.B. 5 Minuten inaktivität des Users den
Bildschirmschoner aktiv schaltet und einen erneuten Login fordert.

Lg Grapper
Janowitsch
Janowitsch 09.11.2011 um 14:25:02 Uhr
Goto Top
Tach,

wenn das Passwort den Komplexitätsregeln entspricht ist es doch ok. Ein Passwort in dem der Benutzername vorkommt geht in diesem Fall ja auch nur einmal. In spätestens 3 Monaten muss ein anderes PW ran.
Ansonsten wäre die Tokenlösung eine wirklich gute Wahl.

Viele Grüsse
Janowitsch
Torsten-MD
Torsten-MD 13.11.2011 um 11:46:41 Uhr
Goto Top
ich melde mich noch mal kurz
das Thema liegt jetzt erst mal auf Eis, habe einfach keine Zeit mehr.
Aber ich bleibe drann und melde mich Ende November zurück.
Danke noch mal für Euro Hilfe bzw. Anregungen.
Gruß
Torsten
quadsoft
quadsoft 20.05.2012 aktualisiert um 13:11:35 Uhr
Goto Top
Hallo,

ich habe vor Kurzem ein Tool (heißt "USBLogon") entwickelt, das genau die Anmeldung per USB-Stick ermöglicht.

Leider kann ich Ihr "Problem" mit den gelöschten Sticks nicht ganz nachvollziehen: Warum sollte denn jemand seinen Stick formatieren? Das wäre dann ja so, als ob der seinen Schlüssel in den Gully werfe...

Also das Problem ist, dass das Tool das Sie verwenden, wie auch meines, eine Datei auf dem Stick ablegt, das ihn als Schlüssel identifiziert. Nach der Formatierung ist diese natürlich weg. Eine Lösung wäre aber, dass ein Dienst im Hintergrund läuft und prüft, ob eine Formatierung des Sticks bevorsteht und eine Meldung herausgibt.

Sie können sich mein Programm gerne ansehen: http://quadsoft.org/download.php -> Dort auf "USBLogon"
Es ist kostenlos herunterladbar, ich entwickle meine Programme nur hobbymäßig.

MfG

Adrian J.
Torsten-MD
Torsten-MD 05.06.2012 um 10:30:36 Uhr
Goto Top
Hallo Adrian,

das Projekt wurde zwischenzeitlich auf Eis gelegt.
Grund: Noch keine passende Lösung gefunden.

Fertige lösungen inkl. Hardware sind meist zu teuer um es bei Firmen in größeren Stückzahlen einzusetzen.

Das Zenario mit dem formatieren des USB-Sticks ist nur ein Gedankenspiel. Die Möglichkeit ist aber durch Drittpersonen immer gegeben das ein Stick einmal unabsichtlich oder absichtlich gelöscht oder formatiert wird.

Daher wäre es Gut wenn dies vom Stick selber verhindert werden kann.
Es gibt ja USB-Sticks mit einer Hardewaresperre als Schreibschutz. Dies wurde im Praxiseinsatz getestet und für nicht praktikabel befunden, da man die Hardwaresperre aufheben kann.
Ich bleibe am Ball und werde mir Dein Programm einmal anschauen und testen.

Ps.: Hobbylösungen sind grundsätzlich nichts Schlechtes, auch Microsoft hat so angefangen.
Gruß
Torsten