Neo van Matix Geschrieben 28. August 2014 Geschrieben 28. August 2014 Hallo, ich habe gerade eine Anforderung seitens eines Kunden erhalten, der zur Zertifizierung eines Zulieferers bestimmte Sicherheitsbestimmungen erfüllen muss. Eine davon ist, dass geheime Daten verschlüsselt abgespeichert werden - das ließe sich relativ einfach via Bitlocker bewerkstelligen. Die zweite besteht darin, dass Benutzer die auf diese geheimen Daten zugreifen mit einer Zwei-Wege-Authentifizierung bestückt werden. Hier geht es um sage und schreibe 5 Benutzer. Nun bin ich auf der Suche soetwas zu integrieren - mein Problem: Ich weiß garnicht, wo ich ansetzen soll. Es gibt RSA, SmartCards, Drittanbieter, usw. - aber vieles oder fast alles zielt darauf ab, große Netze mit 1000 Benutzern zu schützen. Ich brauche aber nur eine Lösung für 5 - und da sind sachen wie RSA anscheinend finanzieller Overkill. Besteht nicht die Möglichkeit 5 Kartenleser und 5 SmartCards anzuschaffen, und in der AD-Domain einen Haken zu setzen, dass diese User sich mit der SmartCard anmelden müssen (statt via Kennwort)? Zitieren
Wuwu Geschrieben 31. August 2014 Geschrieben 31. August 2014 (statt via Kennwort)? 2 Faktor funktioniert so aber nicht. Zitieren
Neo van Matix Geschrieben 31. August 2014 Autor Geschrieben 31. August 2014 2 Faktor funktioniert so aber nicht. Toller Einwand! Soviel ich weiß, benötigte ich für 2FA etwas das ich weiß und etwas das ich besitze. Wenn ich eine SmartCard und ein dazugehöriges Kennwort besitze, mutmaße ich, dass wir von 2FA sprechen. Wie wäre es, statt einen unnützen Beitrag zu formulieren (0 Informationsgehalt, 0 Bezug auf meine Anfrage, hauptsächlich nur mal kurz getrollt), einfach sich den Post zu verkneifen? Zitieren
flashpixx Geschrieben 31. August 2014 Geschrieben 31. August 2014 Soviel ich weiß, benötigte ich für 2FA etwas das ich weiß und etwas das ich besitze. Wenn ich eine SmartCard und ein dazugehöriges Kennwort besitze, mutmaße ich, dass wir von 2FA sprechen. Nein, siehe Zwei-Faktor-Authentifizierung Wie wäre es, statt einen unnützen Beitrag zu formulieren (0 Informationsgehalt, 0 Bezug auf meine Anfrage, hauptsächlich nur mal kurz getrollt), einfach sich den Post zu verkneifen? Du hättest Di Basisinformationen z.B. in Wikipedia selbst finden können. Zitieren
pr0gg3r Geschrieben 31. August 2014 Geschrieben 31. August 2014 Wenn ein Kennwort mit einer Card ersetzt wird, hat man trotzdem nur eine Autorisierung. Anders ist es, wenn man zB ein Passwort und ein Token hat, die aber miteinander nichts zu tun haben (außer, dass sie den selben Benutzer autorisieren). Ich finde, gegen RSA spricht absolut nichts. Der Server ist schnell installiert, bekommt von RSA sogar ein Linuximage. Beim Configurieren hilft der Support, ist aber auch selber machbar (Einbindung in die AD, Rechte vergeben, fertig). Man muss nur aufpassen, dass man nicht aus versehen alle AD-Benutzer auswählt, sondern eben nur die entsprechenden. Lässt sich aber alles über Gruppen regeln. Sehr teuer ist das auch nicht. Ansonsten hat jeder größere IT-Konzern etwas im Angebot (DELL, IBM, HP, ...). Da musst du einfach mal verschiedene Software testen und im Preis vergleichen. Wir setzen auf RSA. Zitieren
SilentDemise Geschrieben 1. September 2014 Geschrieben 1. September 2014 Hallo, ich habe gerade eine Anforderung seitens eines Kunden erhalten, der zur Zertifizierung eines Zulieferers bestimmte Sicherheitsbestimmungen erfüllen muss. Eine davon ist, dass geheime Daten verschlüsselt abgespeichert werden - das ließe sich relativ einfach via Bitlocker bewerkstelligen. Die zweite besteht darin, dass Benutzer die auf diese geheimen Daten zugreifen mit einer Zwei-Wege-Authentifizierung bestückt werden. Hier geht es um sage und schreibe 5 Benutzer. Nun bin ich auf der Suche soetwas zu integrieren - mein Problem: Ich weiß garnicht, wo ich ansetzen soll. Es gibt RSA, SmartCards, Drittanbieter, usw. - aber vieles oder fast alles zielt darauf ab, große Netze mit 1000 Benutzern zu schützen. Ich brauche aber nur eine Lösung für 5 - und da sind sachen wie RSA anscheinend finanzieller Overkill. Besteht nicht die Möglichkeit 5 Kartenleser und 5 SmartCards anzuschaffen, und in der AD-Domain einen Haken zu setzen, dass diese User sich mit der SmartCard anmelden müssen (statt via Kennwort)? Okay, das klingt schon nach viel fehler potenzial. Bitlocker habt ihr wie realisiert? Habt ihr euch mal gedanken gemacht, wie ihr da einen Key restored, wenn mal was kaputt geht? Wieviel erfahrung hast du mit ADCS? Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.