westberliner
Goto Top

Starke Authentifizierung

Hallo Zusammen,

wir haben jetzt die Anforderung bkommen, für einen Teil unserer Computer im Netzwerk eine starke Authentifizierung zu verwenden.

Ich habe bisher absolut keinerlei Berührungspunkte damit gehabt, mit Hilfe von Google habe ich jetzt herausgefunden, dass es wohl eine Anmeldung an einem Rechner mithilfe eines Kennworts und z.B. eine Smartcard ist. Alternativen wären Bsp. mit Fingerabdruck oder TPM Chip. TPM Chips haben schätzungsweise einen Teil der Geräte nicht, sodass ich hier dann Schwierigkeiten erwarte. Die Notebooks sind z.B. aktuell mit Sophos Safeguard verschlüsselt, dies spielt ja ebenfalls eine Rolle.

Ich habe jetzt mal 2 Kartenleser und 2 Smartcards geordert, da ich hier das relativ zügig umgesetzt haben muss und will da noch etwas weiterschauen.

Kann mir da jemand von euch mal weiterhelfen oder Tipps geben, wie man so etwas realisiert?

Ist hier eine Windows-Domäne mit Windows 7 als Client und Server 2008r2 sowie 2012r2 als Domaincontroller.
Mein Ziel wäre es möglichst alles am Domaincontroller verwalten zu können und nicht noch extra Zusatzsoftware installieren zu müssen.


Vielen Dank!

Content-Key: 304775

Url: https://administrator.de/contentid/304775

Ausgedruckt am: 29.03.2024 um 01:03 Uhr

Mitglied: aqui
aqui 18.05.2016 um 16:56:06 Uhr
Goto Top
Soll das auch fürs Netzwerk gelten ? Thema Port Security ?
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Sonst wärs ja nur die halbe Miete...
Mitglied: Kraemer
Kraemer 18.05.2016 um 16:58:53 Uhr
Goto Top
Zitat von @westberliner:
wir haben jetzt die Anforderung bkommen, für einen Teil unserer Computer im Netzwerk eine starke Authentifizierung zu verwenden.

Ich habe bisher absolut keinerlei Berührungspunkte damit gehabt, mit Hilfe von Google habe ich jetzt herausgefunden, dass es wohl eine Anmeldung an einem Rechner mithilfe eines Kennworts und z.B. eine Smartcard ist.
Nabend,

verstehe ich das richtig, das du errätst, was eigentlich gefordert ist und dann hoffst, das du richtig geraten hast?

Gruß Krämer
Mitglied: Henere
Henere 18.05.2016 um 20:49:37 Uhr
Goto Top
Vor ~10 Jahren hatten wir bei einigen Kunden Kobil im Einsatz. OTP-Token. Wird auf einem Server eingerichtet und ist eine 2-Faktor Authorisierung.
Kennwort + das Token, was jeweils nur eine Minute gültig ist.

Weiß aber nicht, wie die heute da stehen.
Zudem muss man sich im Hinterkopf behalten, daß die Software "aus Kompatibilitätsgründen" direkt in der root von C:\ installiert werden musste. NTFS-Berechtigungen und ähnliches waren damals alle auf Vollzugriff gestellt. Das hat man davon, wenn die Programmierer aus der Linuxwelt kommen und keine Ahnung von Rechtevergaben unter Windows haben (hatten).
Ich hoffe aber, da´sie bis heute daraus gelernt haben.....

Grüße, Henere
Mitglied: westberliner
westberliner 19.05.2016 aktualisiert um 09:01:35 Uhr
Goto Top
Hallo,

@aqui: nein, hier wurde nichts angemerkt, sodass dies nur für die Rechneranmeldung gilt.

Auch wenns nur die halbe Miete ist, müssen wir das dennoch umsetzen und deswegen brauche ich hier eine Lösung.

@krämer: Naja - im Audit hiess es auch "Schauen Sie einfach im Internet nach" ...was will man sonst machen.

@Henere: Die Tokens kenne ich, dachte eher an etwas wie Smart Card oder so...vielleicht hat jemand noch eine Idee.
Mitglied: Kraemer
Kraemer 19.05.2016 um 10:28:36 Uhr
Goto Top
Moin,
angenommen du liegst soweit richtig, würde ich auch auf Smartcards setzen. Die werden recht gut unterstützt.

Gruß Krämer
Mitglied: Henere
Henere 19.05.2016 um 10:37:15 Uhr
Goto Top
Wenn es auch um externe Anmeldungen geht, sind Smart Cards eher nicht geeignet, da nicht überall ein Card Reader zur Verfügung steht. Ein OTP-Token kann man am Schlüsselbund mit sich rumtragen.
Mitglied: westberliner
westberliner 19.05.2016 um 13:50:34 Uhr
Goto Top
Es geht eigtl. nur im die interne Anmeldung am Client. Ich weiss nur nicht wie dass dann ablaufen wird, wenn ich mit meinem Notebook zu hause bin und mich am Rechner dann anmelden möchte, während die Domäne nicht zur Verfügung steht. VPN an sich wird mit den AD Zugangsdaten per LDAP authentifiziert.
Mitglied: Henere
Henere 19.05.2016 um 14:07:12 Uhr
Goto Top
Der Client cacht die Anmeldedaten zumindest vom AD. Was mit einer weiteren Authentisierung dann ist, kann Dir nur der Hersteller der Software sicher verraten.
Mitglied: J-N-S.K-N-R
J-N-S.K-N-R 19.05.2016 um 14:13:31 Uhr
Goto Top
Das ist jetzt nicht mein Themengebiet,

Aber wie wäre es mit sicheren Passwort und einem YubiKey als eine Art Smartcard?

mfG Jonas
Mitglied: westberliner
westberliner 01.06.2016 um 10:10:47 Uhr
Goto Top
Ich habe jetzt mal eine Server2012r2 Zertifizierungsstelle eingerichtet mit Hilfe diverser Anleitungen. Scheinbar werden zwar irgendwelche Zertifikate auf den Rechner manuell ausgestellt, jedoch klappt die Automatisierung per GPo nicht. Aktiviere ich die Einstellung für Richtlinien öffentlicher Zertifikate manuell auf dem Client, so kommt nach dem Logon auch keine Anmeldung, dass man eine Smartcard einlegen muss...

Ich könnte verzweifeln...