derwowusste
Goto Top

Wer nutzt SmartCards für Windows-Login?

Moin Kollegen.

Ich bin damit beschäftigt, zu prüfen, ob unsere Domänenlogons in Zukunft mittels SmartCard ausführbar gemacht werden sollen und suche nach Erfahrungsaustausch.
Wichtig ist mir zunächst einmal zu wissen, ob es überhaupt gebräuchlich ist, also ob es z.B. in der Leserschaft hier viele (wenige?) gibt, die das benutzen.

Mit SmartCard-Login meine ich keinen VPN-Zugang, sondern normalen Windows-Domänenlogon unter Einsatz einer wie auch immer gearteten SmartCard, z.B. Yubikey oder auch virtuelle SmartCards.

Wer nutzt das?
Disclaimer: bitte nicht "ich nicht" schreiben, das interessiert hierbei nicht. Nur melden, wenn Ihr's nutzt face-smile

Content-Key: 638576

Url: https://administrator.de/contentid/638576

Ausgedruckt am: 29.03.2024 um 14:03 Uhr

Mitglied: Dani
Dani 07.01.2021 um 11:52:58 Uhr
Goto Top
Moin,
Wer nutzt das?
Hier. face-big-smile

Gruß,
Dani
Mitglied: lcer00
lcer00 07.01.2021 um 13:29:44 Uhr
Goto Top
Hallo,
Zitat von @Dani:

Moin,
Wer nutzt das?
Hier. face-big-smile

Gruß,
Dani
und hier. In unserem Fall mit Yubikey als Smartcard==SmartcardReader.

Grüße

lcer
Mitglied: H41mSh1C0R
H41mSh1C0R 07.01.2021 um 15:11:40 Uhr
Goto Top
Hier.

Ich nutze allerdings primär die Tastatur, damit die Finger die Kennwörter nicht vergessen. *gg*
Mitglied: NetzwerkDude
NetzwerkDude 07.01.2021 um 16:06:02 Uhr
Goto Top
Gehts dir bei der Frage um Login NUR mit Smartcard oder als MFA?
Mitglied: DerWoWusste
DerWoWusste 07.01.2021 aktualisiert um 16:08:23 Uhr
Goto Top
Danke soweit...

Auf gut 300 Aufrufer nur 3 Leute? Ich habe es befürchtet... Gute Technik, aber geringe Verbreitung.
Ok, falls Ihr noch ein wenig Zeit habt:

Was genau nutzt Ihr? (Icer hat's schon gesagt)
Welche Probleme gab/gibt es (Einführung/Handling/Komfort/Sicherheit)?
Kennt Ihr SSO-Anwendungen, die damit Probleme haben?

[Zudem habe ich noch etwas vorbereitet, das ich hier in einem Wissensbeitrag später noch vorstellen will: Smartcard-Logon ohne jegliche Zusatzsoftware mit normalen USB-Sticks]

Edit: @NetzwerkDude
Das ist egal. Beides interessant
Mitglied: H41mSh1C0R
H41mSh1C0R 07.01.2021 aktualisiert um 17:28:40 Uhr
Goto Top
Welche Technik hinter unserer Smartcard steckt k.A., wird einfach ins Lesegerät der mobilen Workstation gesteckt und voala.
Für Festrechner gibt's auch Kartenleser.

Probleme bei den Anderen sehe ich keine außer das es 2 Lager gibt.
Die die das sofort benutzt haben und die (wie ich) die Karte nicht nutzen.
Wie oben geschrieben, meine Finger vergessen sonst die vielen Kennwörter. *gg*

Soweit ich weiß werden die Karten bei uns nur für die Anmeldungen an den Maschinen benutzt, aber (noch) nicht für andere Anwendungen.

Die Einführung hat etwas gedauert, aber da wir hier die gesamte IT Landschaft umgekrempelt hatten, war das Thema Smartcard nur eines unter vielen und musste sich dort anstellen wo es im Plan dran war.

Den einzigen Charme den ich bei den Smartcards sehe ist, wenn die Karte gezogen wird ist die Maschine ad hoc gesperrt.
Mitglied: chkdsk
chkdsk 07.01.2021 um 17:04:13 Uhr
Goto Top
Wir haben bei uns in der Firma auch Smartcads in Benutzung. Vor allem für SSO auf diversen Intranet Seiten und für PrintToMe Funktionen auf den iDomp Geräten von Canon.
Mitglied: DerWoWusste
DerWoWusste 07.01.2021 aktualisiert um 17:05:56 Uhr
Goto Top
Ok, magst Du weitere Auskünfte geben (siehe mein Kommentar)?
Mitglied: chkdsk
chkdsk 07.01.2021 um 17:09:13 Uhr
Goto Top
Probleme gibt es manchmal nur mit der dahinter liegenden Software Trustware. Wenn diese beim PC Start nicht hoch kommt oder abstürzt werden die Zertifikate nicht mehr erkannt.
Ab und zu fliegen die Karten auch aus dem Uniflow System. Das liegt aber wohl eher bei Canon.
Mitglied: C.R.S.
C.R.S. 07.01.2021 aktualisiert um 19:04:34 Uhr
Goto Top
Hi,

dachte, Du wärst schon voll dabei, nach deinen vorherigen Fragen. Ich hatte einige Smartcard-Projekte, zuletzt mit YubiKeys. Privat nutze ich es auch.

Domain-Logon ist eigentlich nie das Problem. Ich habe bei einer IT-affinen Nutzerbasis sogar die YubiKey Touch-Policy aktiv, und es wurde gut angenommen (obwohl es bei langsamen RDP-Logins via VPN nerven kann, zugegebenermaßen).
Gerade bin ich dabei, das wieder abzulösen. Denn es ist halt nicht unbedingt einfach oder "schnell", Mitarbeitern im z.B. im Ausland das konfigurierte Gerät zur Verfügung zu stellen. Wenn man per Auto-Enrollment provisioniert, ist das wieder etwas anders, aber das hat je nach Features der Smartcard andere Nachteile. Die Cloud-IAMs setzen auch nicht darauf. In der eigenen IT und mit Gebieten mit Cloud-Aversion würde ich immer zur Smartcard greifen.

Grüße
Richard
Mitglied: Dani
Dani 07.01.2021 um 23:01:18 Uhr
Goto Top
Moin,
Auf gut 300 Aufrufer nur 3 Leute? Ich habe es befürchtet... Gute Technik, aber geringe Verbreitung.
Ich habe mit weniger Aufrufer gerechnet.

Was genau nutzt Ihr? (Icer hat's schon gesagt)
Klassisches Smartcard. Die Zertifikate stammen von unserem TrustCenter. Denn die Karte wird nicht nur für die Anmeldung am Rechner genutzt, sondern auch als Mitarbeiterausweis, Verschlüsselung, VPN, Zugangsberechtigungen für Standorte und deren Bereiche, Zeiterfassung, Kantine, etc...

Welche Probleme gab/gibt es (Einführung/Handling/Komfort/Sicherheit)?
Das weiß ich leider nicht. Die Implementierung passierte vor meiner Anstellung. Aus Erzählungen weiß ich aber, dass es eine lebengroße Spielwiese gab, wo nach Plan nach und nach die Anwendungen bzw. die jeweiligen Teams ihre Workflow testen konnten. Um so Schulungen als auch die notwendigen Anpassungen für die Produktivumgebung dokumentieren zu können.

Kennt Ihr SSO-Anwendungen, die damit Probleme haben?
Ja. Es sind primär Nischenprodukte oder Eigenentwicklungen die nicht so einfach angepasst werden können. Ich kann dir theoretisch eine Liste zur Verfügung stellen, aber ein direkten Nutzen für dich sehe ich nicht. Wo kein SSO (mehr) möglich ist/war, greifen wir auf Techniken wie SAML/oAuth in Kombination mit AD FS zurück.


Gruß,
Dani
Mitglied: Dani
Dani 07.01.2021 um 23:07:20 Uhr
Goto Top
Den einzigen Charme den ich bei den Smartcards sehe ist, wenn die Karte gezogen wird ist die Maschine ad hoc gesperrt.
Ich sehe da noch weitere (positive) Punkte in der Fläche:
  • Keine Weitergabe der Zugangsdaten mehr möglich. Denn eine Karte ist erst einmal einzigartig.
  • Sperren der Karte führt automatisch dazu, dass alle verbundenen IT-Systeme und Anwendungen nicht mehr genutzt werden können.


Gruß,
Dani
Mitglied: lcer00
lcer00 08.01.2021 um 07:25:32 Uhr
Goto Top
Hallo,
Zitat von @H41mSh1C0R:

Wie oben geschrieben, meine Finger vergessen sonst die vielen Kennwörter. *gg*


Den einzigen Charme den ich bei den Smartcards sehe ist, wenn die Karte gezogen wird ist die Maschine ad hoc gesperrt.
Zwischengespeicherte Passwordhashes waren der Hauptgrund für die Einführung. Zunächst haben wir für die Admin-Konten die Smartcardanmeldung erzwungen.

Die Normal-Benutzer-Anmeldung läuft meist über Kennworte. Hier muss man nämlich einen Weg gegen das „Steckenlassen“ und „Verbummeln“ finden. Bei den Yubikeys ist durch die Kombi aus Lesegerät und Smartcard die Anwendung an sich einfach. Aber das Ding ist ziemlich klein. Es gibt auch Smartcardreader mit Bluetooth, die als Mitarbeiterausweis an die Brust geheftet getragen werden. Das ist mit zu viel Technik (Bluetooth-Dongle am PC, Batterie im „Ausweis“).

Wo es möglich ist, haben wir andere Anmeldungen an das AD gebunden. Zum Teil mit Azure/SAML.

Grüße

lcer
Mitglied: nEmEsIs
nEmEsIs 08.01.2021 um 09:23:59 Uhr
Goto Top
Hi

Wir verwenden zwar nicht den "Windows Standard" sondern eine SSO Lösung von Evidian
https://www.evidian.com/products/enterprise-sso/?s=316471&gclid=EAIa ...

Funktioniert sehr gut. Hat auch einen Kioskmodus zb für Scada Systeme (WinCC ist nicht mehrfach Startbar)
Anwender kann für bestimmte Tätigkeiten diesen selbst anlernen zb für Browser Passwörter.
Alle x Stunden und beim ersten anmelden am Tag muss zusätzlich ein PIN eingegeben werden.

Und vieles mehr. Bei Interesse gerne nachfragen.

Mit freundlichen Grüßen Nemesis
Mitglied: DerWoWusste
DerWoWusste 08.01.2021 aktualisiert um 11:06:02 Uhr
Goto Top
@c.r.s.
dachte, Du wärst schon voll dabei, nach deinen vorherigen Fragen
Hi. Ja, ein IT-interner Test läuft schon ein paar Wochen mit Yubikey5 und neuerdings auch mit virtuellen SmartCards. Da ich davon ausgehe, dass ich nie ganz verstehen werde, was an Restrisiken bleibt (da blickt meiner Ansicht nach nur noch Herr Delpy von Mimikatz durch), will ich mich in Punkto Sicherheit aber noch umhören, bevor wir eine Entscheidung treffen. Auch das Handling und Deployment sehen bislang sehr gut aus, aber mich interessieren die Erfahrungen anderer sehr.

Da man wohl bei allen SmartCards mit Mimikatz die PIN aus dem RAM auslesen kann, sehe ich auch keinen entscheidenden Vorteil gegenüber virtuellen SmartCards, jedenfalls nicht, wenn man die VSCs so verwendet wie ich (dazu später mehr).

@Dani
Bei dieser Frage sind es mittlerweile 600 Leser und ca. 6 Anwender. Nun, ich finde es immer gefährlich, Randgruppentechniken zu verwenden, selbst wenn Sie noch so sicher sein sollten. Es hat ja auch eine Weile gedauert, bis Leute über die Rocker-Sicherheitslücke gestolpert sind (Achtung, absichtlich falsch geschrieben - wisst Ihr, worum es geht? Wäre besser für Euch face-smile )
Wegen der SSO-Probleme: da wir bislang noch gar keine hatten (Sharepoint und mehrere andere Webanwendungen), wüsste ich schon gerne, in welcher Form und warum es da bei Euch Probleme gab - die Namen der Anwendungen sind unwichtig.

@chkdsk
Wird aber auch zum normalen Windows-Logon eingesetzt?

@lcer00
und Du meinst, nun werden keine Hashes mehr zwischengespeichert? Hast Du das mit Mimikatz nachgeprüft?

@nEmEsIs (und andere)
Und was kostet Euch das pro User (SmartCard, Software, Maintenance der Software)?
Mitglied: lcer00
lcer00 08.01.2021 aktualisiert um 12:35:32 Uhr
Goto Top
Hallo,
Zitat von @DerWoWusste:
@lcer00
und Du meinst, nun werden keine Hashes mehr zwischengespeichert? Hast Du das mit Mimikatz nachgeprüft?
nee habe ich nicht - da müsste ich mir das runterladen von Mimikatz selbst genehmigen. face-smile - Aber zumindest speichert er keine Passwordhashes, weil es ja kein Passwort gibt.

Jedenfalls haben wir für die Adminkonten im AD eingestellt, dass eine Smartcard zum Login erforderlich ist und das führt dazu, dass kein Password mehr da ist.

Es ist übrigends nett in Powershell zu beobachten was wann passiert, wenn man beim Yubikey den "Tastendruck" als Bestätigung aktiviert hat:

$cred = Get-Credential
Restart-Computer -Credential $cred -Computername PC1
Restart-Computer -Credential $cred -Computername PC2

Die Pin wird vom Get-Credential abgefragt.

Der Tastendruck auf den Yubikey wird erst angefordert (erkennbar durch blinken, als Anzeigen von Kryptooperationen) wenn der Restart-Computer Befehl ausgeführt wird. Und beim 2. PC wird wieder ein Tastendruck angefordert.

Dass die Kombination aus Zertifikat, PIN und Tastendruck (3 Faktoren) schon deutlich sicherer als ein Passwort (ein Faktor) ist sicher unstrittig.

Grüße

lcer

PS:

Da man wohl bei allen SmartCards mit Mimikatz die PIN aus dem RAM auslesen kann ...
der Yubikey führt die erforderlichen Smartcard-Kryptooperationen ersrt durch, wenn man die Taste drückt. Zumindest, wenn man mittels GPO die Touch Policy setzt: https://developers.yubico.com/yubikey-piv-manager/Settings_and_Group_Pol ...

PPS:
zum Testen muss man nicht Restart-Computer nehmen face-smile
Mitglied: 146211
146211 08.01.2021 um 12:56:24 Uhr
Goto Top
Wir nutzen dies für AD, Admin Zugänge und auch die User in der VDI Umgebung.
Mitglied: DerWoWusste
DerWoWusste 08.01.2021 aktualisiert um 13:19:23 Uhr
Goto Top
@lcer00
zumindest speichert er keine Passwordhashes, weil es ja kein Passwort gibt.
Vorsicht, da irrst Du dich gewaltig. NTLM Hashes sind vorhanden, wirf mal mimikatz an. Das gilt selbst dann, wenn man wie du erzwingt, dass nur SmartCardlogon erlaubt ist. Und mit dem Hash kann Mimikatz alles machen, was es mit einem Plaintextpasswort auch kann.
Da man wohl bei allen SmartCards mit Mimikatz die PIN aus dem RAM auslesen kann ...
der Yubikey führt die erforderlichen Smartcard-Kryptooperationen ersrt durch, wenn man die Taste drückt...
Hast Du geprüft, dass die PIN dann nicht dauerhaft im RAM landet?

@146211
Schön. Und magst Du noch etwas mehr schreiben zu meinen Fragen aus Wer nutzt SmartCards für Windows-Login?
Mitglied: NetzwerkDude
NetzwerkDude 08.01.2021 um 13:44:28 Uhr
Goto Top
Löst die Themen nicht ein aktivierter Credential Guard?
Mitglied: DerWoWusste
DerWoWusste 08.01.2021 aktualisiert um 13:53:21 Uhr
Goto Top
Löst die Themen nicht ein aktivierter Credential Guard?
Ja nun, was will ich denn lösen? Lokale Hashes willst Du ja manchmal sogar unverschlüsselt haben.
Zudem kommt, dass Cred.Guard Entrepriselizenzen voraussetzt, welche wir nicht überall einsetzen.
Mitglied: NetzwerkDude
NetzwerkDude 08.01.2021 um 14:05:17 Uhr
Goto Top
Zitat von @DerWoWusste:

Löst die Themen nicht ein aktivierter Credential Guard?
Ja nun, was will ich denn lösen? Lokale Hashes willst Du ja manchmal sogar unverschlüsselt haben.
Zudem kommt, dass Cred.Guard Entrepriselizenzen voraussetzt, welche wir nicht überall einsetzen.
Mit aktiviertem CredGuard kommt kein Tool an die Hashes (des domain accounts) - also hast du weder passworteingabe die man abfangen kann, noch gespeicherte hashe auf der kiste - das ist doch das Ziel hier, oder?
Mitglied: DerWoWusste
DerWoWusste 08.01.2021 aktualisiert um 14:25:44 Uhr
Goto Top
Was Du zitierst widerspricht dem. Will ich beispielsweise gespeicherte Credentials für RDP haben, kann ich Credential Guard nicht nutzen.
Habe ich kein Win10 Enterprise, kann ich es auch nicht nutzen.

Lass es bitte dabei bewenden, das ist zwar ein verwandtes Thema, aberich möchte es hier nicht vertiefen face-smile
Mitglied: lcer00
lcer00 08.01.2021 um 14:40:42 Uhr
Goto Top
Hallo
Zitat von @DerWoWusste:

Hast Du geprüft, dass die PIN dann nicht dauerhaft im RAM landet?

Na ja, die PIN muss ja in irgend einer Art und Weise im RAM liegen. Der springende Punkt ist, dass noch jeweils ein Tastendruck erforderlich ist. Damit genehmigt man jeden Einsatz (bzw, wenn entsprechend eingestellt jede Einsatzmöglichkeit für eine „kurze Zeitspanne“ ) separat. Das schränkt die Verwendung sehr ein.

Wenn man beispielsweise eine gesperrte RDPSitzung entsperren will, ist es erforderlich Yubikey, PIN und Tastendruck zu haben. Das Kapern der Sitzung ist ohne Benutzertastendruck nicht möglich (ob man das mit irgendwelchen expoilts umgehen kann? Da kann man sich nie sicher sein).

Grüße

lcer
Mitglied: DerWoWusste
DerWoWusste 08.01.2021 aktualisiert um 15:26:43 Uhr
Goto Top
Der springende Punkt ist, dass noch jeweils ein Tastendruck erforderlich ist.
Ja, aber der ist doch von jedem durchführbar.
Wenn ich mir deine PIN mittels Mimikatz (oder Kamera) gekrallt habe, muss ich nur abwarten, bis du deinen Yubikey mal gesteckt gelassen hast.
Mitglied: DerWoWusste
DerWoWusste 08.01.2021 um 14:48:32 Uhr
Goto Top
Ich habe nun meine Idee zur Nutzung von 2FA mittels virtueller SmartCards (nur Bordmittel) wie angekündigt als Wissensbeitrag eingestellt:
Echte 2FA mit TPM-VSC (virtuelle Smartcards)
Feedback erwünscht!
Mitglied: C.R.S.
C.R.S. 08.01.2021 um 15:34:11 Uhr
Goto Top
Das Berühren des YubiKeys ist eine Smartcard-seitige Voraussetzung zur Freigabe der Private-Key-Operation(en), und damit schon geeignet, menschliche Interaktion abzuschichten. Im Endeffekt aber nur, wenn die Smartcard entsprechend konfiguriert wurde, und nicht mit Treiber-Setting (ich weiß nicht mehr, ob der verlinkte Manager als Hintegrunddienst gedacht ist und damit nur gleichwertig zum Treiber wäre; ich habe das immer ohne Client-Software gemacht).

Die Überlegungen zu RAM-Content und Mimikatz sind etwas theoretisch, weil ja das viel grundlegendere "Problem" (oder einfach Design) ist, dass eine Smartcard aus Sicht des Client-Computers quasi als Remote-Computer zwar einen Vorgang authentifiziert, aber das Client-System und damit den Vorgang selbst nicht kontrolliert. Der YubiKey erlaubt nach PIN- und/oder Touch-Authentifizierung Private-Key-Operations einzeln oder zeitbasiert (in der Regel ist nur zeitbasiert praktikabel oder - bei vielen anderen Smartcards - unterstützt). Die Vornahme der Private-Key-Operationen in dieser Situation wird von Windows prozessbasiert kontrolliert, nicht von der Smartcard.
Mitglied: DerWoWusste
DerWoWusste 08.01.2021 um 15:35:12 Uhr
Goto Top
Kurzum: ist die PIN im RAM oder nicht?
Mitglied: 146211
146211 08.01.2021 um 16:06:38 Uhr
Goto Top
Wir haben es so gelöst:

User steckt Yubikey in sein Device und kann das OS (Linux oder MacOS ) auf dem Device starten, ohne Yubikey gar keine OS Nutzung
möglich. (Yubikey & PIN & 2FA Code aus der App)

In der VDI wird der Yubikey weitergereicht und der User kann sich dann mit dem Yubikey & PIN & 2FA Code aus der App (Wir nutzen dafür DUO Security von Cisco) an der VDI egal welches OS er nutzen will, anmelden.
Beim Admin Panel ist es auch Yubikey & PIN & 2FA Code aus der App anmelden.

Wir nutzen MacOS und Linux als Grund OS. Windows nur noch als virtuelles OS. Kein User hat ein lokales Windows auf seiner Hardware. Kein lokales Windows spart dem Admin massig aufwand und ärger. Non-Persistent VDI und jeden Tag hat der User eine Jungfräuliche VDI.

Ein Kopieren von Daten in oder aus der VDI ist ausgeschaltet. Für den Datentransfer intern, extern haben wir einen Nextcloud Cluster der mit Eset gescannt wird.

Probleme bei der Einführung = User mussten sich umgewöhnen.
SSO Probleme gabs nur mit dem SAP und was mit ein bisschen Aufwand gelöst werden konnte, das ServiceDesk Software gebastel, konnten wir dann Problemlos ablösen.

Sicherheit haben wir so von mittelsicherheit auf Sicher hochgeschraubt.
Was die User am meisten schätzen ist der Wegfall des ewigen Passwordwechsels.
Mitglied: DerWoWusste
DerWoWusste 08.01.2021 um 16:13:22 Uhr
Goto Top
Ok... aber daraum geht es daoch gerade gar nicht, Es geht um Windows-Login, siehe Titel.
Mitglied: 146211
146211 08.01.2021 aktualisiert um 16:17:44 Uhr
Goto Top
Windof ist und bleibt Windof egal ob Hardware oder Virtuell die Funktionen sind die selben.
Mitglied: C.R.S.
C.R.S. 08.01.2021 um 17:40:40 Uhr
Goto Top
Die PIN ist im RAM.
Mitglied: rzlbrnft
rzlbrnft 09.01.2021 aktualisiert um 00:17:27 Uhr
Goto Top
Zitat von @146211:
Wir nutzen MacOS und Linux als Grund OS. Windows nur noch als virtuelles OS. Kein User hat ein lokales Windows auf seiner Hardware. Kein lokales Windows spart dem Admin massig aufwand und ärger. Non-Persistent VDI und jeden Tag hat der User eine Jungfräuliche VDI.
Ein Kopieren von Daten in oder aus der VDI ist ausgeschaltet. Für den Datentransfer intern, extern haben wir einen Nextcloud Cluster der mit Eset gescannt wird.

Mal so ein paar Fragen, müssen eure User in ihrer Arbeitszeit Geld verdienen oder ist das egal?
Mir kommt das alles wie ein massiver Time Sink vor, der produktives Arbeiten ziemlich einschränkt.
Müssen eure User zum Kunden und dort mit der Software umgehen oder ist alles zentral an einem Standort?
Wieviele IT-Ler habt ihr pro User um eine solche Monströsität zu verwalten?
Wie oft werden Rechner ausgetauscht und wie viel IT-Budget habt ihr um solche Späße zu finanzieren?
Ich mein nur, ich habe auch so einen Kunden, der ähnlich hohe Sicherheitsstandards umsetzt, die IT-ler finden sich es total super, aber alle die damit arbeiten müssen, sind nur noch am abkotzen.
Bleibt da der Servicegedanken nicht irgendwie auf der Strecke?
Mitglied: MartinAd23
MartinAd23 11.01.2021 um 20:24:21 Uhr
Goto Top
Hier, ich nutze das auch bei mir sogar zum Starten des PC
Mitglied: Dani
Dani 11.01.2021 um 20:52:41 Uhr
Goto Top
Mal so ein paar Fragen, müssen eure User in ihrer Arbeitszeit Geld verdienen oder ist das egal?
Ja. Die Einen mit direkten Kontakt zum Kunden mehr. Das Controlling eher weniger.

Mir kommt das alles wie ein massiver Time Sink vor, der produktives Arbeiten ziemlich einschränkt.
Das kann ich nicht beurteilen. Denn das System gibt es hier schon seit ich angenfangen habe. Einen Einblick, zu wie viele Problemen/Störungen/etc... es im Jahr kommt, habe ich leider nicht.

Müssen eure User zum Kunden und dort mit der Software umgehen oder ist alles zentral an einem Standort?
Sowohl als auch.

Wieviele IT-Ler habt ihr pro User um eine solche Monströsität zu verwalten?
Das ist schwer zu sagen. Denn die notwendigen Infrastrukturen, Applikationen, werden ja nicht nur für den einen Zweck genutzt. Sondern es haben sich mit der Zeit auch Synergien für Produkte ergeben, mit den wir wieder Geld verdienen.

Wie oft werden Rechner ausgetauscht und wie viel IT-Budget habt ihr um solche Späße zu finanzieren?
Alle 5 Jahre. Wobei 80% der IT-Arbeitsplätze als VDI betrieben werden. Hier erfolgt ein Tausch der Zero/Thinclients nur noch wenn es notwendig ist. Wobei das aus meiner Sicht erstmal unabhängig von der Smartcard Thematik ist.

Bleibt da der Servicegedanken nicht irgendwie auf der Strecke?
In wie fern? Ob der Nutzer Benutzername und Passwort eintippt oder die Smartcard einsteckt und mit den PIN bestätigt, macht erst einmal keinen großen Unterschied.


Gruß,
Dani
Mitglied: DerWoWusste
DerWoWusste 12.01.2021 aktualisiert um 14:13:03 Uhr
Goto Top
@MartinAd23
Ich hatte noch ein paar weitere Fragen gestellt, vielleicht hast Du ja Lust, was dazu zu schreiben. Danke

@Dani
Das war an ZeroTrust gerichtet.
Mitglied: rzlbrnft
rzlbrnft 13.01.2021 aktualisiert um 23:42:57 Uhr
Goto Top
Zitat von @Dani:
Bleibt da der Servicegedanken nicht irgendwie auf der Strecke?
In wie fern? Ob der Nutzer Benutzername und Passwort eintippt oder die Smartcard einsteckt und mit den PIN bestätigt, macht erst einmal keinen großen Unterschied.

Mir gings dabei wie von DerWoWusste bereits korrekt bemerkt um dieses komische Mac/Linux + Virtuelles Windows Konstrukt von ZeroTrust, welches meines Erachtens nur funktioniert wenn alles in einem Standort sitzt, und dann ist eigentlich die Sicherheit auch ohne dieses komische Konstrukt relativ easy umzusetzen, weshalb ich nicht verstehe warum man den Usern so eine Grausamkeit antut.

Das mit dem Stick und draufdappen interessiert mich aber schon auch brennend, gerade weil ich das mit dem kleineren blauen Yubikey nicht hinbekommen hab, und gern wissen würde was man tun muss, um es gewinnbringend einzusetzen. Dazu gehört aber auch der Business Case, denn mach mal einer Firma für Schweissdienstleistungen klar, warum sie sowas braucht, ich will das danach ja auch verkaufen.
Grad das Thema Business Case und Rentabilität wird hier und in anderen deutschen Foren gern unter den Tisch gekehrt, ist aber für die Rechtfertigung von bestimmten Vorgehensweisen essentiell.
Mitglied: DerWoWusste
DerWoWusste 14.01.2021 um 10:06:31 Uhr
Goto Top
@rzlbrnft
...weil ich das mit dem kleineren blauen Yubikey nicht hinbekommen hab...
Der blaue Yubikey kann nicht für Zertifikatslogon benutzt werden. Brauchst einen teureren (45€, Yubikey 5 NfC), zum Beispiel.
Mitglied: lcer00
lcer00 14.01.2021 um 13:15:21 Uhr
Goto Top
Hallo

Ein wesentlicher Vorteil für den Endbenutzer ist, dass das Zwang für sichere Passwörter und deren regelmäßiges Ändern wegfällt.
Zitat von @DerWoWusste:

@rzlbrnft
...weil ich das mit dem kleineren blauen Yubikey nicht hinbekommen hab...
Der blaue Yubikey kann nicht für Zertifikatslogon benutzt werden. Brauchst einen teureren (45€, Yubikey 5 NfC), zum Beispiel.
Das entsprechende Stichwort heißt "PIV": https://developers.yubico.com/PIV/Guides/

Grüße

lcer
Mitglied: DerWoWusste
DerWoWusste 14.01.2021 um 13:21:15 Uhr
Goto Top
Mitglied: lcer00
lcer00 14.01.2021 um 13:47:21 Uhr
Goto Top
Ich hatte das so gemeint: Man sollte sich vor der Anschaffung der Hardware über das Stichwort "PIV" informieren.

Grüße

lcer