malkie
Goto Top

Windows Anmeldung (Domäne) mit NFC Chip

Guten Morgen,

ich würde gerne in einer Windows-Domäne folgendes umsetzen:

Jeder Computer hat einen NFC Card Reader, jeder Nutzer entsprechend eine NFC Card.
Der Nutzer soll jetzt in der Lage sein, sich am Computer anzumelden, wenn die Karte auf den Reader gelegt wird.

Dazu habe ich bereits Anleitungen gefunden, bezogen sich jedoch alle auf lokale Benutzer und nicht Benutzer aus einer Domänen-Struktur.
Daher würde ich gerne wissen, ob es für Domänenbenutzer sowas auch gibt?

Content-ID: 3026944476

Url: https://administrator.de/contentid/3026944476

Ausgedruckt am: 22.11.2024 um 08:11 Uhr

2423392070
2423392070 09.06.2022 um 09:00:07 Uhr
Goto Top
Ja, geht. Details hängen von der unbekannten Hardware ab.
DerWoWusste
DerWoWusste 09.06.2022 aktualisiert um 09:01:44 Uhr
Goto Top
Hi.

Ich würde keinen reinen NFC-Logon ohne PIN gut finden. Willst Du das wirklich? Karte in falschen Händen und schon Identitätsdiebstahl möglich?

Wenn Du mit PIN willst, wird das eine ganz andere Nummer, deshalb frage ich.
malkie
malkie 09.06.2022 um 09:13:39 Uhr
Goto Top
Es sollte mit einer PIN sein.
Am liebsten wäre mir sogar, wenn die Karte sich entfernt, dass der Computer gesperrt wird
DerWoWusste
DerWoWusste 09.06.2022 um 09:16:13 Uhr
Goto Top
DerWoWusste
DerWoWusste 09.06.2022 aktualisiert um 09:50:23 Uhr
Goto Top
https://cpl.thalesgroup.com/access-management/idprime-md-pki-smart-cards
-> SafeNet IDPrime 3940 kann auch NFC aber ermöglicht auch wahlweise den Betrieb mit separatem (non-NFC-) SmartCard Reader (z.B. mit Thales IDBridge CT 700). Vorteil: die PIN kann nicht mehr von Keyloggern gesehen werden.
Quercus
Quercus 09.06.2022 um 12:46:41 Uhr
Goto Top
Hallo DerWoWusste,

hierzu dann eine Frage bei Yubikey, wie könnte das gelösst werden bei Server RDP Sitzungen von Client PC's aus wo der User keine Domain Admin rechte besitz.
Plus bei Server RDP Sitzungen welche über Android oder IOS Geräte hergestellt werden
Mfg Quercus
DerWoWusste
DerWoWusste 09.06.2022 um 14:27:29 Uhr
Goto Top
@Quercus
Stell bitte eine eigene Frage. Zu dieser Frage von @malkie erkenne ich keinen Zusammenhang.
Wäre schön, wenn Du genauer sagen könntest, was Du machen möchtest und wo es hakt, ich kann so nicht verstehen, worum es geht bei "RDP Sitzungen von Client PC's aus".
RDP über Andoid/IOS: kann ich dir nicht sagen, nutzen wir nicht.
Crusher79
Crusher79 09.06.2022 aktualisiert um 22:59:25 Uhr
Goto Top
Diebstahl der Karte ist ein Problem. Auch wenn mal Windows streikt.

Eine Box davor wäre ggf. was. Bildschirm bleibt ohne Auth schwarz. Karte kann sogar in der Tasche - bei der aktiven Variante - verbleiben.

Hab leider noch nicht angefragt. Das Thema kam auch bei uns mal auf und hatte dann die Fa. in der Nachbarschaft gefunden face-wink Will keine Schleichwerbung machen. Aber fands für unsere Produktion interssant. Wo auch alte REchner stehen. Da es ja hier unabhängig läuft. Auch eine angemeldete RDP Sitzung wär kein Problem.

Nur müsste man dann für Plätze ohne diese Art der Auth darauf achten, dass RDP gesperrt wird. Verschiedene GPOs? Aufteilung der MA?

Kabel so verbauen, dass man nicht einfach umstecken kann. Vorteil wenn es streickt: Kabel umbauen, und es geht wieder. Ist ja eine Frage der Zeit. Wenn Diebe Stunden Zeit haben ist alles Essig. Schutz der Daten, DSGVO etc. find ich sowas ganz brauchbar....

Fa. südlich von Hannover im besten Bundesland der Welt. face-wink

https://www.deister.com/de/loesungen/computer-authentifizierung/


PS: Arbeitsplatzwechsel und automatisches Anmelden fallen hier natürlich flach. Ist mehr was für das Tagesgeschäft wo eben mal schnell gesperrt und entsperrt werden soll! Aber von wechselnden MA hast du oben nichts erwähnt.