Security Stick für die PC Anmeldung
Hallo,
ich bin angehender IT-Techniker und wurde mit einem Projekt beauftragt das mir langsam Kopfschmerzen bereitet.
Ich soll eine Lösung finden wie man mittels eines USB Stick die Windows Anmeldung ersetzen bzw. erweitern kann.
Es geht darum das im Unternehmen die Sicherheit bei der Anmeldung erhöht werden soll, da die Mitarbeiter sich zu einfache PW für Ihre Arbeitsplatzrechner vergeben.
Aus rechtlichen Gründen dürfen wir Ihnen keine Passwörter vorschreiben, Dienstanweisungen sichere PW zu benutzen werden erfolgreich missachtet.
Daher soll nun eine USB Stick Lösungen eingeführt werden. Die Mitarbeiter bekommen jeweils einen für Ihren Rechner und nur dort darf der Stick funktionieren.
rohos.net habe ich bereits getestet und für bedingt nutzbar erachtet.
Funktion:
• Es wird eine Software auf dem Rechner installiert
• mit dieser Software wird ein USB-Stick initialisiert, dabei kann man die Aktion einstellen was beim abziehen des Stick passieren soll (Abmelden, Desktop sperren, Rechner runter fahren)
• danach kann man sich mit diesen Stick anmelden, zieht man den Stick ab wird der Benutzer abgemeldet
Soweit ganz Ok, aber löscht oder formatiert man den Stick ist keine Anmeldung mehr möglich.
Klar man kann einen Stick verwenden den man mechanisch sperren kann aber das ist irgendwie nicht die beste Lösung.
Dann kommt hinzu das der Anbieter der Software in Timbuktu sitzt.
Nun meine Frage!
Hat einer von Euch schon Erfahrungen mit dieser Art Rechner Anmeldung sammeln können?
Welche Lösungen gibt es noch die auch was Taugen, die Kosten pro Rechner sollten natürlich nicht zu hoch ausfallen.
Mir bekannte Alternativen.
"Stick Security" wird ja leider nicht weiter entwickelt
Wer hat schon Erfahrungen mit eToken gesammelt und kann mir da ein System für den Praxis Einsatz empfehlen?
Gruß
Torsten
ich bin angehender IT-Techniker und wurde mit einem Projekt beauftragt das mir langsam Kopfschmerzen bereitet.
Ich soll eine Lösung finden wie man mittels eines USB Stick die Windows Anmeldung ersetzen bzw. erweitern kann.
Es geht darum das im Unternehmen die Sicherheit bei der Anmeldung erhöht werden soll, da die Mitarbeiter sich zu einfache PW für Ihre Arbeitsplatzrechner vergeben.
Aus rechtlichen Gründen dürfen wir Ihnen keine Passwörter vorschreiben, Dienstanweisungen sichere PW zu benutzen werden erfolgreich missachtet.
Daher soll nun eine USB Stick Lösungen eingeführt werden. Die Mitarbeiter bekommen jeweils einen für Ihren Rechner und nur dort darf der Stick funktionieren.
rohos.net habe ich bereits getestet und für bedingt nutzbar erachtet.
Funktion:
• Es wird eine Software auf dem Rechner installiert
• mit dieser Software wird ein USB-Stick initialisiert, dabei kann man die Aktion einstellen was beim abziehen des Stick passieren soll (Abmelden, Desktop sperren, Rechner runter fahren)
• danach kann man sich mit diesen Stick anmelden, zieht man den Stick ab wird der Benutzer abgemeldet
Soweit ganz Ok, aber löscht oder formatiert man den Stick ist keine Anmeldung mehr möglich.
Klar man kann einen Stick verwenden den man mechanisch sperren kann aber das ist irgendwie nicht die beste Lösung.
Dann kommt hinzu das der Anbieter der Software in Timbuktu sitzt.
Nun meine Frage!
Hat einer von Euch schon Erfahrungen mit dieser Art Rechner Anmeldung sammeln können?
Welche Lösungen gibt es noch die auch was Taugen, die Kosten pro Rechner sollten natürlich nicht zu hoch ausfallen.
Mir bekannte Alternativen.
"Stick Security" wird ja leider nicht weiter entwickelt
Wer hat schon Erfahrungen mit eToken gesammelt und kann mir da ein System für den Praxis Einsatz empfehlen?
Gruß
Torsten
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 175626
Url: https://administrator.de/forum/security-stick-fuer-die-pc-anmeldung-175626.html
Ausgedruckt am: 23.12.2024 um 10:12 Uhr
21 Kommentare
Neuester Kommentar
Zitat von @Torsten-MD:
Aus rechtlichen Gründen dürfen wir Ihnen keine Passwörter vorschreiben, Dienstanweisungen sichere PW zu benutzen
werden erfolgreich missachtet.
Aus rechtlichen Gründen dürfen wir Ihnen keine Passwörter vorschreiben, Dienstanweisungen sichere PW zu benutzen
werden erfolgreich missachtet.
Wie wär's wenn ihr die Dienstanweisungen einfach per GPO erzwingt...?
Im allgemeinen taugen die USB-Stick-Lösungen nichts. Das Lustigste an Rohos ist, dass man den Schlüssel nur rasch genug einstecken und abziehen braucht, um sich schließlich ohne ihn anmelden zu können. Wenn ich eine empfehlen müsste, wäre das Dekart Logon. Die Windows Vista/7-Version wirst Du aber nur auf Anfrage lizenziert bekommen und die ist auch nicht ganz komplikationsfrei, je nach Hardware. Die Frage ist, ob es in der konkreten Anwendung einen Sicherheitsgewinn darstellt, wenn die Anmeldedaten Base64-kodiert auf einem USB-Stick liegen.
Bei den Token/Smartcards müsst ihr euch halt umsehen, welche Lösung in Sachen Hardware, Middleware und Administrations-Werkzeugen am sinnvollsten ist.
Grüße
Richard
Bei den Token/Smartcards müsst ihr euch halt umsehen, welche Lösung in Sachen Hardware, Middleware und Administrations-Werkzeugen am sinnvollsten ist.
Grüße
Richard
Hi,
was eigentlich immer gut ist, sind Biometrische Zugangsdaten, da man diese nicht vergessen kann oder aber auf dem Schreibtisch liegen lassen kann,
wie es gerne mit USB-Sticks oder Chipkarten getan wird.
Hier eine Software eines deutschen Unternehmens.
Was bei alternativen Passwort Programmen allerdings immer gemacht werden sollte, ist:
Administratorzugang bitte immer mit einem sicheren Passwort versehen (evt. auch einfach nur Notadmin, also ein User, welcher extra angelegt wird mit einem Sicheren Passwort, beides getrennt voneinander Dokumentieren und an verschiedenen stellen SICHER lagern.)
Somit ist gewährleistet, dass man als Administrator noch Zugriff zu den einzelnen Maschinen hat, wenn etwas schief geht.
Lg Grapper
was eigentlich immer gut ist, sind Biometrische Zugangsdaten, da man diese nicht vergessen kann oder aber auf dem Schreibtisch liegen lassen kann,
wie es gerne mit USB-Sticks oder Chipkarten getan wird.
Hier eine Software eines deutschen Unternehmens.
Was bei alternativen Passwort Programmen allerdings immer gemacht werden sollte, ist:
Administratorzugang bitte immer mit einem sicheren Passwort versehen (evt. auch einfach nur Notadmin, also ein User, welcher extra angelegt wird mit einem Sicheren Passwort, beides getrennt voneinander Dokumentieren und an verschiedenen stellen SICHER lagern.)
Somit ist gewährleistet, dass man als Administrator noch Zugriff zu den einzelnen Maschinen hat, wenn etwas schief geht.
Lg Grapper
Aladdins eToken ist ganz brauchbar. Von RSA würde ich nach deren Informationspolitik nach dem großen Hack abraten.
ich persönlich würde das eToken PASS nehmen, aber das kommt ganz auf Euer Budget und Eure Anforderugnen an, ob die anderen Module für euch besser geeignet sind. Such Dir am besten einen Anbieter Deines Vertrauens.
ich persönlich würde das eToken PASS nehmen, aber das kommt ganz auf Euer Budget und Eure Anforderugnen an, ob die anderen Module für euch besser geeignet sind. Such Dir am besten einen Anbieter Deines Vertrauens.
Moin
kann man da nicht auch den eigenen Namen ausschließen? Ich meine das wäre möglich ... Warum genügt es nicht, wenn die Komplexität Anforderungen erfüllt werden? Dann ist es doch sicher ... Ansonsten einfach die Komplexität etwas erhöhen ...
Wie gesagt mussten bereits alle Mitarbeiter unterschreiben ein sicheres PW zu verwenden, trotzdem hält sich keiner daran und
alle Abmahnen geht ja schlecht.
Ähm - wie setzt Ihr sonst Regelungen durch?
Anderseits: woher wisst Ihr dass? Also wie kommt Ihr zu der Information, das die Ihren Namen benutzen mit ein paar Zahlen? Ihr lest ja wohl nicht die PW aus, also ist das eine Annahme - auf der Basis eine Abmahnung zu schicken ist natürlich übel ....
Gruß
Nagus
Zitat von @Torsten-MD:
GPO wird bereits eingesetzt (große und kleine Buchstaben + Sonderzeichen werden erzwungen)
trotzdem verwenden die meisten ihren Vornamen + Sonderzeichen
die Mitarbeiter sind da sicher sehr kreativ
GPO wird bereits eingesetzt (große und kleine Buchstaben + Sonderzeichen werden erzwungen)
trotzdem verwenden die meisten ihren Vornamen + Sonderzeichen
die Mitarbeiter sind da sicher sehr kreativ
kann man da nicht auch den eigenen Namen ausschließen? Ich meine das wäre möglich ... Warum genügt es nicht, wenn die Komplexität Anforderungen erfüllt werden? Dann ist es doch sicher ... Ansonsten einfach die Komplexität etwas erhöhen ...
Wie gesagt mussten bereits alle Mitarbeiter unterschreiben ein sicheres PW zu verwenden, trotzdem hält sich keiner daran und
alle Abmahnen geht ja schlecht.
Ähm - wie setzt Ihr sonst Regelungen durch?
Anderseits: woher wisst Ihr dass? Also wie kommt Ihr zu der Information, das die Ihren Namen benutzen mit ein paar Zahlen? Ihr lest ja wohl nicht die PW aus, also ist das eine Annahme - auf der Basis eine Abmahnung zu schicken ist natürlich übel ....
Gruß
Nagus
Hallo Torsten,
es gibt doch die Lesegeräte für den neune Personalausweis,
da gibt es auch andere Karten die geesen werden können.
Man kann eine Anmeldung also über den Personalausweis ermöglichen,
ist aber wahrscheinlich mit viel Konfigurationsaufwand verbunden.
Ein rudimentäres Lesegerät von z.B. REINERSCT kostet um die 30 Euro.
Leider kenn ich mich auf diesem Gebiet nicht so sehr aus,
da noch kein Denkanstoß in die Richtung kam, wollte ich dir das aber mal vorschlagen.
Gruß
Felix
es gibt doch die Lesegeräte für den neune Personalausweis,
da gibt es auch andere Karten die geesen werden können.
Man kann eine Anmeldung also über den Personalausweis ermöglichen,
ist aber wahrscheinlich mit viel Konfigurationsaufwand verbunden.
Ein rudimentäres Lesegerät von z.B. REINERSCT kostet um die 30 Euro.
Leider kenn ich mich auf diesem Gebiet nicht so sehr aus,
da noch kein Denkanstoß in die Richtung kam, wollte ich dir das aber mal vorschlagen.
Gruß
Felix
Hallo Thorsten,
habt ihr evt. schon Chips im Einsatz, mit denen die Mitarbeiter Zugang zum Gebäude bekommen?
Falls ja, könnt ihr diese ja für eine PC Anmeldung mit nutzen, dann können diese die Mitarbeiter auch nicht einfach im Büro liegen lassen.
Per Windows GPO kannst du verbieten, dass die User keine Teile aus ihrem Benutzerkonto im PW verwenden dürfen.
Gruß Martin
habt ihr evt. schon Chips im Einsatz, mit denen die Mitarbeiter Zugang zum Gebäude bekommen?
Falls ja, könnt ihr diese ja für eine PC Anmeldung mit nutzen, dann können diese die Mitarbeiter auch nicht einfach im Büro liegen lassen.
Per Windows GPO kannst du verbieten, dass die User keine Teile aus ihrem Benutzerkonto im PW verwenden dürfen.
Gruß Martin
Hallo
Ich sehe mit Smart Cards 2 Möglichkeiten wie man es realisieren kann.
1.)
An jedem Arbeitsplatz befindet sich ein Smartcard Reader per USB oder Seriel(Bei Notebooks per Steckkarte oder USB) angeschlossen und der benutzer steckt seine Karte da rein.
Lesegeräte zwischen 10 und 30 Euro
2.)
Jeder Benutzer bekommt ein USB-Dongle(Sieht aus wie ein USB Stick) wo die Smartcard im Sim Format eingesteckt ist und der Benutzer steckt es in einen Freien USB Port und meldet sich dann an.
USB-Dongle zwischen 10 und 30 Euro
PKI fähige Smartcards Kosten zwischen 15 und 25Eur
Hier gibt es eine Anleitung für eine Testumgebung mit den Smartcards in der MS umgebung: http://www.cryptoshop.com/de/downloads/testumgebungpki.pdf
Und hier ein Shop dazu: http://www.cryptoshop.com/ damit man mal die preise kennt.
Dann gibt es noch die Lösung von Fingerprint Readern zur Anmeldung
Da ist eine Professionele Lösung UPEK mit Anbindung in die Domaine, übersteigt aber das Budge, kosten Pro Arbeitsplatz 100 bis 140Eur, in Dell, Lenovo, HP installierter Fingerprint Reader sind dazu auch Kompatiebel.
RFID ist auch noch ein Weg, da würde es sich lohnen das mit einem Zeiterfassungssystem parallel zu betreiben.
So das sich die Benutzer darüber an einem Zeiterfassungsterminal An und Ab Melden im bezug aufdie Arbeitszeit und dann mit der Karte sich am PC Anmelden.
RFID USB Leser kosten leider zwischen 50 und 70Eur.
Aber eins muss dabei immer bedacht werden, was passiert wenn die Karte/Stick verloren gehen oder was wenn der Benutzer diese zu Hause vergessen hat?
Und beim Aushändigen einer Smart Card sich unterschreiben lassen das man diese ausgehändigt hat(Mit angabe der Seriennummer der Karte) und der Benutzer bei verlust verpflichtet ist dieses umgehend zu melden.
Ich sehe mit Smart Cards 2 Möglichkeiten wie man es realisieren kann.
1.)
An jedem Arbeitsplatz befindet sich ein Smartcard Reader per USB oder Seriel(Bei Notebooks per Steckkarte oder USB) angeschlossen und der benutzer steckt seine Karte da rein.
Lesegeräte zwischen 10 und 30 Euro
2.)
Jeder Benutzer bekommt ein USB-Dongle(Sieht aus wie ein USB Stick) wo die Smartcard im Sim Format eingesteckt ist und der Benutzer steckt es in einen Freien USB Port und meldet sich dann an.
USB-Dongle zwischen 10 und 30 Euro
PKI fähige Smartcards Kosten zwischen 15 und 25Eur
Hier gibt es eine Anleitung für eine Testumgebung mit den Smartcards in der MS umgebung: http://www.cryptoshop.com/de/downloads/testumgebungpki.pdf
Und hier ein Shop dazu: http://www.cryptoshop.com/ damit man mal die preise kennt.
Dann gibt es noch die Lösung von Fingerprint Readern zur Anmeldung
Da ist eine Professionele Lösung UPEK mit Anbindung in die Domaine, übersteigt aber das Budge, kosten Pro Arbeitsplatz 100 bis 140Eur, in Dell, Lenovo, HP installierter Fingerprint Reader sind dazu auch Kompatiebel.
RFID ist auch noch ein Weg, da würde es sich lohnen das mit einem Zeiterfassungssystem parallel zu betreiben.
So das sich die Benutzer darüber an einem Zeiterfassungsterminal An und Ab Melden im bezug aufdie Arbeitszeit und dann mit der Karte sich am PC Anmelden.
RFID USB Leser kosten leider zwischen 50 und 70Eur.
Aber eins muss dabei immer bedacht werden, was passiert wenn die Karte/Stick verloren gehen oder was wenn der Benutzer diese zu Hause vergessen hat?
Und beim Aushändigen einer Smart Card sich unterschreiben lassen das man diese ausgehändigt hat(Mit angabe der Seriennummer der Karte) und der Benutzer bei verlust verpflichtet ist dieses umgehend zu melden.
Bei den Fingerprint Readern kommt es wie über auf die Qualität der Hardware an.
desweiteren sollte man bei jedem System zur alternativen User-Authentifizierung auch einen Administrator mit Herkömmlichem Passwort bereithalten,
falls die Systeme mal streiken. Wenn man dann keinen Admin mehr hat, dann hat man sich aus dem kompletten System ausgesperrt und es wird schwierig
wieder in sein System zu kommen.
Du kannst ja mal bei Herrn Hilgers anrufen und ihn nach einem Testreader und einem Testzugang fragen.
+49 (0) 6541 814422
Er kann dir auch den ganzen ablauf super erklären und Hilft auch Telefonisch, wenn es mal zu schwierigkeiten kommen sollte.
Lg GRapper
desweiteren sollte man bei jedem System zur alternativen User-Authentifizierung auch einen Administrator mit Herkömmlichem Passwort bereithalten,
falls die Systeme mal streiken. Wenn man dann keinen Admin mehr hat, dann hat man sich aus dem kompletten System ausgesperrt und es wird schwierig
wieder in sein System zu kommen.
Du kannst ja mal bei Herrn Hilgers anrufen und ihn nach einem Testreader und einem Testzugang fragen.
+49 (0) 6541 814422
Er kann dir auch den ganzen ablauf super erklären und Hilft auch Telefonisch, wenn es mal zu schwierigkeiten kommen sollte.
Lg GRapper
Ein Adminkonto eventuell noch ein paar andere wird es eh geben die für das system bzw systemverwaltung oder ähnliches gedacht sind die man auch nicht umbedingt zum logon braucht und diese mit einem kryptischen passwort versehen werden.
Weil was nützt einem ein Adminkonto wo fingerprints hinterlegt sind bei einer EDV-Abteilung mit mehreren Mitarbeitern wo unter umständen mal jeder irgendwann dran muss.
Dürfte Lustig enden wenn in einer EDV-Abteilung 40 Mitarbeiter arbeiten und man nur 10 Finger speichern kann.
Entweder regt sich dann einer drüber auf das er ständig mit dem finger jemanden anmelden muss.
Oder die EDV`ler sind Bastelfreudig und basteln sich aus Knetgummi einen Masterfinger zum Rüberziehen wie ein Schlüssel zum Schloss.
Weil was nützt einem ein Adminkonto wo fingerprints hinterlegt sind bei einer EDV-Abteilung mit mehreren Mitarbeitern wo unter umständen mal jeder irgendwann dran muss.
Dürfte Lustig enden wenn in einer EDV-Abteilung 40 Mitarbeiter arbeiten und man nur 10 Finger speichern kann.
Entweder regt sich dann einer drüber auf das er ständig mit dem finger jemanden anmelden muss.
Oder die EDV`ler sind Bastelfreudig und basteln sich aus Knetgummi einen Masterfinger zum Rüberziehen wie ein Schlüssel zum Schloss.
Also ich weiß ja nicht, in welcher IT-Abteilung du arbeitest,
aber bei uns hat jeder Admin sein eigenes Admin-Konto.
Mit den Fingerprint-Lösungen kann man auch für jeden Admin ein eigenes Konto absichern.
Man erstellt dann noch ein oder zwei Maser-Admin Konten, mit einem Sicheren-Kennwort,
wobei Kennwort und User an Seperaten Stellen getrennt voneinander gelagert werden.
Somit hat man noch die möglichkeit per Kennworteingabe in das System zu gelangen.
Alle anderen Admin-Aufgaben können dann auch per Fingerprint getätigt werden.
Das Problem, was ich bei Smart-Cards oder USB-Dongels sehe, ist dass die User die Dongels/Smart-Cards liegen lassen,
oder erst gar nicht abstecken. Somit kann jeder zugriff zu den Daten bekommen und das System kompromitieren.
Bei den Fingerprintlösungen kann man dann noch eine Gruppenrichtlinie erstellen, welche bei z.B. 5 Minuten inaktivität des Users den
Bildschirmschoner aktiv schaltet und einen erneuten Login fordert.
Lg Grapper
aber bei uns hat jeder Admin sein eigenes Admin-Konto.
Mit den Fingerprint-Lösungen kann man auch für jeden Admin ein eigenes Konto absichern.
Man erstellt dann noch ein oder zwei Maser-Admin Konten, mit einem Sicheren-Kennwort,
wobei Kennwort und User an Seperaten Stellen getrennt voneinander gelagert werden.
Somit hat man noch die möglichkeit per Kennworteingabe in das System zu gelangen.
Alle anderen Admin-Aufgaben können dann auch per Fingerprint getätigt werden.
Das Problem, was ich bei Smart-Cards oder USB-Dongels sehe, ist dass die User die Dongels/Smart-Cards liegen lassen,
oder erst gar nicht abstecken. Somit kann jeder zugriff zu den Daten bekommen und das System kompromitieren.
Bei den Fingerprintlösungen kann man dann noch eine Gruppenrichtlinie erstellen, welche bei z.B. 5 Minuten inaktivität des Users den
Bildschirmschoner aktiv schaltet und einen erneuten Login fordert.
Lg Grapper
Hallo,
ich habe vor Kurzem ein Tool (heißt "USBLogon") entwickelt, das genau die Anmeldung per USB-Stick ermöglicht.
Leider kann ich Ihr "Problem" mit den gelöschten Sticks nicht ganz nachvollziehen: Warum sollte denn jemand seinen Stick formatieren? Das wäre dann ja so, als ob der seinen Schlüssel in den Gully werfe...
Also das Problem ist, dass das Tool das Sie verwenden, wie auch meines, eine Datei auf dem Stick ablegt, das ihn als Schlüssel identifiziert. Nach der Formatierung ist diese natürlich weg. Eine Lösung wäre aber, dass ein Dienst im Hintergrund läuft und prüft, ob eine Formatierung des Sticks bevorsteht und eine Meldung herausgibt.
Sie können sich mein Programm gerne ansehen: http://quadsoft.org/download.php -> Dort auf "USBLogon"
Es ist kostenlos herunterladbar, ich entwickle meine Programme nur hobbymäßig.
MfG
Adrian J.
ich habe vor Kurzem ein Tool (heißt "USBLogon") entwickelt, das genau die Anmeldung per USB-Stick ermöglicht.
Leider kann ich Ihr "Problem" mit den gelöschten Sticks nicht ganz nachvollziehen: Warum sollte denn jemand seinen Stick formatieren? Das wäre dann ja so, als ob der seinen Schlüssel in den Gully werfe...
Also das Problem ist, dass das Tool das Sie verwenden, wie auch meines, eine Datei auf dem Stick ablegt, das ihn als Schlüssel identifiziert. Nach der Formatierung ist diese natürlich weg. Eine Lösung wäre aber, dass ein Dienst im Hintergrund läuft und prüft, ob eine Formatierung des Sticks bevorsteht und eine Meldung herausgibt.
Sie können sich mein Programm gerne ansehen: http://quadsoft.org/download.php -> Dort auf "USBLogon"
Es ist kostenlos herunterladbar, ich entwickle meine Programme nur hobbymäßig.
MfG
Adrian J.