10
Starke Authentifizierung
Hallo Zusammen,
wir haben jetzt die Anforderung bkommen, für einen Teil unserer Computer im Netzwerk eine starke Authentifizierung zu verwenden.
Ich habe bisher absolut keinerlei Berührungspunkte damit gehabt, mit Hilfe von Google habe ich jetzt herausgefunden, dass es wohl eine Anmeldung an einem Rechner mithilfe eines Kennworts und z.B. eine Smartcard ist. Alternativen wären Bsp. mit Fingerabdruck oder TPM Chip. TPM Chips haben schätzungsweise einen Teil der Geräte nicht, sodass ich hier dann Schwierigkeiten erwarte. Die Notebooks sind z.B. aktuell mit Sophos Safeguard verschlüsselt, dies spielt ja ebenfalls eine Rolle.
Ich habe jetzt mal 2 Kartenleser und 2 Smartcards geordert, da ich hier das relativ zügig umgesetzt haben muss und will da noch etwas weiterschauen.
Kann mir da jemand von euch mal weiterhelfen oder Tipps geben, wie man so etwas realisiert?
Ist hier eine Windows-Domäne mit Windows 7 als Client und Server 2008r2 sowie 2012r2 als Domaincontroller.
Mein Ziel wäre es möglichst alles am Domaincontroller verwalten zu können und nicht noch extra Zusatzsoftware installieren zu müssen.
Vielen Dank!
wir haben jetzt die Anforderung bkommen, für einen Teil unserer Computer im Netzwerk eine starke Authentifizierung zu verwenden.
Ich habe bisher absolut keinerlei Berührungspunkte damit gehabt, mit Hilfe von Google habe ich jetzt herausgefunden, dass es wohl eine Anmeldung an einem Rechner mithilfe eines Kennworts und z.B. eine Smartcard ist. Alternativen wären Bsp. mit Fingerabdruck oder TPM Chip. TPM Chips haben schätzungsweise einen Teil der Geräte nicht, sodass ich hier dann Schwierigkeiten erwarte. Die Notebooks sind z.B. aktuell mit Sophos Safeguard verschlüsselt, dies spielt ja ebenfalls eine Rolle.
Ich habe jetzt mal 2 Kartenleser und 2 Smartcards geordert, da ich hier das relativ zügig umgesetzt haben muss und will da noch etwas weiterschauen.
Kann mir da jemand von euch mal weiterhelfen oder Tipps geben, wie man so etwas realisiert?
Ist hier eine Windows-Domäne mit Windows 7 als Client und Server 2008r2 sowie 2012r2 als Domaincontroller.
Mein Ziel wäre es möglichst alles am Domaincontroller verwalten zu können und nicht noch extra Zusatzsoftware installieren zu müssen.
Vielen Dank!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 304775
Url: https://administrator.de/contentid/304775
Printed on: April 24, 2024 at 15:04 o'clock
10 Comments
Latest comment
Soll das auch fürs Netzwerk gelten ? Thema Port Security ?
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Sonst wärs ja nur die halbe Miete...
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Sonst wärs ja nur die halbe Miete...
Zitat von @westberliner:
wir haben jetzt die Anforderung bkommen, für einen Teil unserer Computer im Netzwerk eine starke Authentifizierung zu verwenden.
Ich habe bisher absolut keinerlei Berührungspunkte damit gehabt, mit Hilfe von Google habe ich jetzt herausgefunden, dass es wohl eine Anmeldung an einem Rechner mithilfe eines Kennworts und z.B. eine Smartcard ist.
Nabend,wir haben jetzt die Anforderung bkommen, für einen Teil unserer Computer im Netzwerk eine starke Authentifizierung zu verwenden.
Ich habe bisher absolut keinerlei Berührungspunkte damit gehabt, mit Hilfe von Google habe ich jetzt herausgefunden, dass es wohl eine Anmeldung an einem Rechner mithilfe eines Kennworts und z.B. eine Smartcard ist.
verstehe ich das richtig, das du errätst, was eigentlich gefordert ist und dann hoffst, das du richtig geraten hast?
Gruß Krämer
Vor ~10 Jahren hatten wir bei einigen Kunden Kobil im Einsatz. OTP-Token. Wird auf einem Server eingerichtet und ist eine 2-Faktor Authorisierung.
Kennwort + das Token, was jeweils nur eine Minute gültig ist.
Weiß aber nicht, wie die heute da stehen.
Zudem muss man sich im Hinterkopf behalten, daß die Software "aus Kompatibilitätsgründen" direkt in der root von C:\ installiert werden musste. NTFS-Berechtigungen und ähnliches waren damals alle auf Vollzugriff gestellt. Das hat man davon, wenn die Programmierer aus der Linuxwelt kommen und keine Ahnung von Rechtevergaben unter Windows haben (hatten).
Ich hoffe aber, da´sie bis heute daraus gelernt haben.....
Grüße, Henere
Kennwort + das Token, was jeweils nur eine Minute gültig ist.
Weiß aber nicht, wie die heute da stehen.
Zudem muss man sich im Hinterkopf behalten, daß die Software "aus Kompatibilitätsgründen" direkt in der root von C:\ installiert werden musste. NTFS-Berechtigungen und ähnliches waren damals alle auf Vollzugriff gestellt. Das hat man davon, wenn die Programmierer aus der Linuxwelt kommen und keine Ahnung von Rechtevergaben unter Windows haben (hatten).
Ich hoffe aber, da´sie bis heute daraus gelernt haben.....
Grüße, Henere
Hallo,
@aqui: nein, hier wurde nichts angemerkt, sodass dies nur für die Rechneranmeldung gilt.
Auch wenns nur die halbe Miete ist, müssen wir das dennoch umsetzen und deswegen brauche ich hier eine Lösung.
@krämer: Naja - im Audit hiess es auch "Schauen Sie einfach im Internet nach" ...was will man sonst machen.
@Henere: Die Tokens kenne ich, dachte eher an etwas wie Smart Card oder so...vielleicht hat jemand noch eine Idee.
@aqui: nein, hier wurde nichts angemerkt, sodass dies nur für die Rechneranmeldung gilt.
Auch wenns nur die halbe Miete ist, müssen wir das dennoch umsetzen und deswegen brauche ich hier eine Lösung.
@krämer: Naja - im Audit hiess es auch "Schauen Sie einfach im Internet nach" ...was will man sonst machen.
@Henere: Die Tokens kenne ich, dachte eher an etwas wie Smart Card oder so...vielleicht hat jemand noch eine Idee.
Moin,
angenommen du liegst soweit richtig, würde ich auch auf Smartcards setzen. Die werden recht gut unterstützt.
Gruß Krämer
angenommen du liegst soweit richtig, würde ich auch auf Smartcards setzen. Die werden recht gut unterstützt.
Gruß Krämer
Wenn es auch um externe Anmeldungen geht, sind Smart Cards eher nicht geeignet, da nicht überall ein Card Reader zur Verfügung steht. Ein OTP-Token kann man am Schlüsselbund mit sich rumtragen.
Es geht eigtl. nur im die interne Anmeldung am Client. Ich weiss nur nicht wie dass dann ablaufen wird, wenn ich mit meinem Notebook zu hause bin und mich am Rechner dann anmelden möchte, während die Domäne nicht zur Verfügung steht. VPN an sich wird mit den AD Zugangsdaten per LDAP authentifiziert.
Der Client cacht die Anmeldedaten zumindest vom AD. Was mit einer weiteren Authentisierung dann ist, kann Dir nur der Hersteller der Software sicher verraten.
Das ist jetzt nicht mein Themengebiet,
Aber wie wäre es mit sicheren Passwort und einem YubiKey als eine Art Smartcard?
mfG Jonas
Aber wie wäre es mit sicheren Passwort und einem YubiKey als eine Art Smartcard?
mfG Jonas
Ich habe jetzt mal eine Server2012r2 Zertifizierungsstelle eingerichtet mit Hilfe diverser Anleitungen. Scheinbar werden zwar irgendwelche Zertifikate auf den Rechner manuell ausgestellt, jedoch klappt die Automatisierung per GPo nicht. Aktiviere ich die Einstellung für Richtlinien öffentlicher Zertifikate manuell auf dem Client, so kommt nach dem Logon auch keine Anmeldung, dass man eine Smartcard einlegen muss...
Ich könnte verzweifeln...
Ich könnte verzweifeln...
