n-a-g-u-s
Goto Top

Vorplanung - Windows Domänen Anmeldung via Smartcard, Transponder, o.Ä.

Hallo zusammen,

ich administriere ein Netzwerk eines kleinen Unternehmens im Gesundheitsgewerbe (der Einfachheit halber vergleichen wir es mal mit einem Fitnessstudio) mit folgenden Spezifikationen (weitere Details wenn nötig auf Anfrage):

technisch:
1x Windows 2008R2 Standard Server, übernimmt alles im Netzwerk (AD, Fileserver, Printserver, SQLServer usw.)
6x Windows 7 Professional Clients

personell:
roundabout 15 Mitarbeiter, jeder verfügt über einen eigenen AD-Account. Dazu kommen alle paar Monate wechselnde Praktikanten, diese teilen sich bisher einen Account. Angedacht ist aber auch hier die Umstellung auf mehrere Accounts, für jeden Praktikanten einen, der dann weitergegeben wird.

organisatorisch:
es gibt drei Bereiche, die sich hauptsächlich im Hinblick auf gemeinsame Datenhaltung (Freigabe von Netzlaufwerken) unterscheiden. OUs habe ich damals keine eingeführt, nur verschiedene Benutzergruppen. Obwohl es nicht 1:1 überein stimmt, lässt sich die Struktur folgendermaßen untergliedern: Verwaltung, Trainer, Kundenbetreuung

räumlich:
die (organisatorischen) Bereiche sind leider nicht sauber getrennt, einige Clients werden also gruppenübergreifend genutzt. Es gibt in allen Bereichen Clients, die - zumindest physisch - offen zugänglich sind und wieder andere, die permanent hinter "verschlossener Tür" stehen. Das ist wichtig im Hinblick auf den Kundenverkehr.

Wichtig: Ich bin nicht vom Fach, mache das mehr hobbymäßig und aus familiären Abhängigkeiten heraus. Auch wenn mir manche fachlichen Hintergründe fehlen, möchte ich dennoch gute Arbeit leisten und schrecke vor selbiger auch nicht zurück, ebensowenig davor, mir Dinge anzulesen. Dennoch fällt das Betreten von Neuland leichter, wenn man dies nicht alleine tut. Das o.g. Netzwerk habe ich vor knapp zwei Jahren geplant und "gebaut" und betreue es seitdem. Es ist meine erste Domäne und sicherlich liegt darin das ein oder andere "im Argen". Für themenfremde Verbesserungsvorschläge bin ich daher ebenfalls dankbar und versuche sie umzusetzen. Aufgrund anderweitiger Vollzeit-Berufstätigkeit geht aber manches nicht ganz so flüssig daher wie ich es mir wünschen würde. Es wäre nett, wenn die Antwortenden dies berücksichtigen könnten. Dafür und insbesondere für Eure (gewohnt) engagierten Antworten jetzt schon mal vielen Dank!

Wie das Thema schon sagt: ich möchte die Anmeldung an der Domäne überarbeiten. Bisher geschieht dies ganz klassisch über Eingabe von Benutzername und Passwort, wobei die Anwender unter den Standard-Kennwortrichtlinien regelmäßig ächzen, von vergessenen Passwörtern usw. ganz zu schweigen. Das stößt auch auf erhebliche Kritik seitens der Geschäftsleitung. Hier mangelt es einfach am nötigen Verständnis für Datensicherheit (was ich für mich auch nicht beanspruche!). Also habe ich mir Gedanken gemacht, wie man das vereinfachen kann und bin bei meinen Google-Recherchen mehrfach über (wie mir scheint: proprietäre) Smartcard-Lösungen gestolpert.

Gröbste Laienfragen vorweg, um überhaupt erstmal in die Thematik einsteigen zu können:
Beim Herumspielen an "meinem" Server (OP am offenen Herzen!) bin ich auf die Microsoft Zertifikatsdienste gestoßen, wie sie ja im 2008R2 in einer wohl neuen Version integriert sind. Leider bin ich durch die Ausführungen zum Thema Zertifikatsdienste in Galileo Books nicht ganz durchgestiegen. Was ich von diesem Thema allgemein mitgenommen habe, ist, dass für die Windows Authentifizierung ein Read-Only-Chip nicht zu gebrauchen ist, weil eben dieses Zertifikat der Zertifizierungsstelle auf dem Chip gespeichert werden muss. Ich hatte mir das in meinen laienhaften Überlegungen so vorgestellt, dass durch den Chip (ROM) eine simple Nummer an den PC übertragen wird, die mit dem Benutzernamen gleichzusetzen ist.
  • Durch die Eingabe einer (z.B.) vierstelligen PIN (=Passwort) wäre dann doch auch eine Two-Factor-Authentication gegeben, also die Kombination aus Besitz und Wissen, oder?
  • Wozu benötige ich also einen beschreibbbaren Chip und das o.g. Zertifikat? Ist das einfach nur eine Vorgabe von Microsoft oder lässt sich das auch rein physikalisch erklären?

Um erstmal völlig untechnisch an die Sache heran zu gehen (Wunschzustand):
  1. User startet morgens den Client, wird automatisch mit seinem Benutzerprofil angemeldet und kann ohne Unterbrechnungen arbeiten.
  2. Wenn der User aufsteht und den Arbeitsplatz verlässt, sperrt sich der Rechner automatisch (Abmeldung macht nicht wirklich Sinn, um kurze Zeit später weiter arbeiten zu können).
  3. Ein anderer User muss, wenn er sich an den Arbeitsplatz setzt, die Möglichkeit haben, automatisch angemeldet zu werden und zu arbeiten.

Dieses System kennt man - wenn auch hinsichtlich der dahintersteckenden Technik wahrscheinlich stark abgespeckt - von neueren Registrierkassen, da erfolgt die Zuordnung der Kassierer über magnetische Chips, die an die Kasse gehalten werden. Der Chip klebt, solange der Kassierer mit der Kasse zugange ist, am Receiver. Beim Verlassen wird der Magnetkontakt gelöst und der Kassierer abgemeldet. Für den PC Bereich habe ich genau das nicht gefunden, aber mir ist PC-LOC von Teratron ins Auge gefallen, was ja genau den o.g. Wunschzustand verspricht - und dann auch noch kontaktlos! Probleme, die ich dabei sehe:
  • Was ist, wenn zwei User nebeneinander stehen? Hat da jemand Erfahrung mit?
  • Wie sieht es dabei mit Two-Factor-Auth aus? Lässt sich z.B. über die Software zusätzlich implementieren? Zwar haben wir mitnichten mit hochkritischen Anwendungen oder Daten zu tun, aber auch die Kundendaten (Name, Geburtsdatum, Größe, Gewicht, teilweise sogar orthopädische Beschwerden) dürfen auf keinen Fall "offen" liegen. Gibt es dahingehend vll sogar gesetzliche Vorschriften?
  • Kennt Ihr Konkurrenzanbieter?

Auf physisch verbundene Komponenten, wie bei USB-Tokens oder Chipkarten, möchte ich eigentlich verzichten, in erster Linie aus Verschleißgründen und wegen der längeren Anwendungsdauer. Gegenteilige Meinungen aber auch hier willkommen face-smile

Wenn man vom Wunschzustand ein wenig abrückt, konkret also die automatische Abmeldung bei Entfernen vom Arbeitsplatz entfällt, kommen noch einige andere (kontaktlose) Lösungen in Betracht. Beim Quersurfen habe ich einige Anbieter gefunden, teils auch mit unterschiedlichen Technologien (LEGIC, Mifare, ...), die Werbeversprechen sind aber wie immer mit Vorsicht zu genießen. Vielleicht hat ja einer von Euch eine solche Lösung im Einsatz und kann mir davon berichten.

In meinen Augen gute Infos dazu haben auch schon @dog und @jk-concept in ihren Beiträgen in diesem Thread gebracht. Auch @tikayevent hat hier und hier gute (und auch für mich verständliche) Hinweise geboten. Danke dafür. Dennoch reicht das noch nicht aus, um Licht in meine diesbezügliche geistige Umnachtung zu bringen, weil es halt doch teilweise andere Ausgangssituationen sind. Ich stehe glücklicherweise ganz am Anfang meiner Planung - ich muss nur wissen was ich kaufen soll face-smile

Alle Lösungen, die ich bis jetzt gefunden habe, scheinen auf Middleware (ich hoffe mal der Begriff ist hier richtig verwandt: Software, die zwischen die Hardware und das AD geschaltet ist) zu setzen. Ich bevorzuge immer die Verwendung von Bordmitteln.
  • Ist das für diesen Einsatzzweck auch möglich?
  • Welche Einschränkungen ergeben sich daraus?

Außerdem soll über die Tokens eine Zeiterfassung der Mitarbeiter als auch der Kunden erfolgen, das heißt jeder soll einen solchen Token bekommen. Bei 15 Mitarbeitern und 300 Kunden bietet sich vielleicht auch die Anschaffung getrennter Tokens an, denn die Kunden benötigen ja keinen Zugang zum AD. Hier müsste eigentlich auch ein (günstigerer) Read-Only-Chip ausreichen, oder? Könnte man hier vielleicht sogar mit dem neuen Personalausweis arbeiten? Toll wäre aber ein (1) Gerät à la Stempeluhr am Ein-/Ausgang (direkt über RJ45 am Netz), bei der sich alle Tokeninhaber im Vorbeigehen ein- und ausloggen. Diese Daten müssen dann über eine Schnittstelle in die von uns verwendete Verwaltungssoftware eingelesen werden (es gibt bereits Module zur Zeiterfassung für Mitarbeiter und Erstellung einer Trainingsstatistik für Kunden), aber das ist dann eher mit dem Programmierer der Software abzustimmen. So weit ich weiß ist die Software derzeit so ausgelegt, dass der Lesevorgang durch USB-Lesegeräte direkt am PC vorgenommen wird. Für die MA-Zeiterfassung durchaus möglich, für die Kunden-Zeiterfassung in meinen Augen bedenklich und unkomfortabel. Wie seht Ihr das bzw. habt es vielleicht sogar im Einsatz?

In-AD-Szenarien wie das Signieren von E-Mails kommen erstmal nicht in Frage, könnten aber prinzipiell später interessant werden. Ex-AD-Szenarien wie Türoffner, Bezahlung in Kantine etc. sind nicht geplant.

So far - ich denke weitere Fragen kommen dann, wenn Ihr mir all mein Halbwissen wieder zerredet face-smile Bis hier hin schon mal Danke für's Mitlesen und Mitdenken und für Eure Antworten.

Beste Grüße,
Nagus

Content-ID: 182811

Url: https://administrator.de/contentid/182811

Ausgedruckt am: 22.11.2024 um 21:11 Uhr

dog
dog 30.03.2012 um 15:48:24 Uhr
Goto Top
dass durch den Chip (ROM) eine simple Nummer an den PC übertragen wird, die mit dem Benutzernamen gleichzusetzen ist.

Nö, so läuft das höchstens bei (völlig unsicheren) Gebäudezugangssystemen (von HID).
Bei Smartcards braucht jeder Benutzer ein EIGENES Zertifikat, das wird bei der Anmeldung mit dem AD gegengeprüft und darum muss es auf den Chip geschrieben werden.

Für den PC Bereich habe ich genau das nicht gefunden

Was du beschreibst ist ein Standard-Feature von Smartcard-Anmeldung.
Beim Entfernen der Smartcard kann der PC automatisch gesperrt werden.

Ich bevorzuge immer die Verwendung von Bordmitteln.

Geht nicht. Für die sichere Anmeldung mit Zertifikaten brauchst du immer Prozessorchipkarten und die haben für den Datenaustausch keinen Standard (Standards gibt es nur für Format, Schnittstellen und Byte-Übertragung mit dem Reader).
Darum ist immer ein Treiber notwendig!
Hier gibt es aber den Unterschied zwischen "klassischen" Smartcards und Smartcards mit Base CSP-Minidriver - bei den Karten kann nämlich der Treiber direkt von Windows Update nachinstalliert werden, wenn er benötigt wird.
Bei den anderen ist zusätzliche kostenpflichtige Software notwendig.

Hier müsste eigentlich auch ein (günstigerer) Read-Only-Chip ausreichen, oder?

Ja

Könnte man hier vielleicht sogar mit dem neuen Personalausweis arbeiten?

Sicher. Wenn du genug Geld hast um T-Systems oder Frauenhofer mit der Programmierung von so einer Software zu beauftragen face-wink

Toll wäre aber ein (1) Gerät à la Stempeluhr

z.B. pcs Intus