Zum Inhalt springen

Zwei-Faktor-Authentifizierung für Windows Domain?


Empfohlene Beiträge

Geschrieben

Hallo,

ich habe gerade eine Anforderung seitens eines Kunden erhalten, der zur Zertifizierung eines Zulieferers bestimmte Sicherheitsbestimmungen erfüllen muss.

Eine davon ist, dass geheime Daten verschlüsselt abgespeichert werden - das ließe sich relativ einfach via Bitlocker bewerkstelligen.

Die zweite besteht darin, dass Benutzer die auf diese geheimen Daten zugreifen mit einer Zwei-Wege-Authentifizierung bestückt werden. Hier geht es um sage und schreibe 5 Benutzer.

Nun bin ich auf der Suche soetwas zu integrieren - mein Problem: Ich weiß garnicht, wo ich ansetzen soll. Es gibt RSA, SmartCards, Drittanbieter, usw. - aber vieles oder fast alles zielt darauf ab, große Netze mit 1000 Benutzern zu schützen.

Ich brauche aber nur eine Lösung für 5 - und da sind sachen wie RSA anscheinend finanzieller Overkill.

Besteht nicht die Möglichkeit 5 Kartenleser und 5 SmartCards anzuschaffen, und in der AD-Domain einen Haken zu setzen, dass diese User sich mit der SmartCard anmelden müssen (statt via Kennwort)?

Geschrieben
2 Faktor funktioniert so aber nicht.

Toller Einwand! Soviel ich weiß, benötigte ich für 2FA etwas das ich weiß und etwas das ich besitze. Wenn ich eine SmartCard und ein dazugehöriges Kennwort besitze, mutmaße ich, dass wir von 2FA sprechen.

Wie wäre es, statt einen unnützen Beitrag zu formulieren (0 Informationsgehalt, 0 Bezug auf meine Anfrage, hauptsächlich nur mal kurz getrollt), einfach sich den Post zu verkneifen?

Geschrieben
Soviel ich weiß, benötigte ich für 2FA etwas das ich weiß und etwas das ich besitze. Wenn ich eine SmartCard und ein dazugehöriges Kennwort besitze, mutmaße ich, dass wir von 2FA sprechen.

Nein, siehe Zwei-Faktor-Authentifizierung

Wie wäre es, statt einen unnützen Beitrag zu formulieren (0 Informationsgehalt, 0 Bezug auf meine Anfrage, hauptsächlich nur mal kurz getrollt), einfach sich den Post zu verkneifen?

Du hättest Di Basisinformationen z.B. in Wikipedia selbst finden können.

Geschrieben

Wenn ein Kennwort mit einer Card ersetzt wird, hat man trotzdem nur eine Autorisierung. Anders ist es, wenn man zB ein Passwort und ein Token hat, die aber miteinander nichts zu tun haben (außer, dass sie den selben Benutzer autorisieren).

Ich finde, gegen RSA spricht absolut nichts. Der Server ist schnell installiert, bekommt von RSA sogar ein Linuximage. Beim Configurieren hilft der Support, ist aber auch selber machbar (Einbindung in die AD, Rechte vergeben, fertig). Man muss nur aufpassen, dass man nicht aus versehen alle AD-Benutzer auswählt, sondern eben nur die entsprechenden. Lässt sich aber alles über Gruppen regeln. Sehr teuer ist das auch nicht. Ansonsten hat jeder größere IT-Konzern etwas im Angebot (DELL, IBM, HP, ...). Da musst du einfach mal verschiedene Software testen und im Preis vergleichen. Wir setzen auf RSA.

Geschrieben
Hallo,

ich habe gerade eine Anforderung seitens eines Kunden erhalten, der zur Zertifizierung eines Zulieferers bestimmte Sicherheitsbestimmungen erfüllen muss.

Eine davon ist, dass geheime Daten verschlüsselt abgespeichert werden - das ließe sich relativ einfach via Bitlocker bewerkstelligen.

Die zweite besteht darin, dass Benutzer die auf diese geheimen Daten zugreifen mit einer Zwei-Wege-Authentifizierung bestückt werden. Hier geht es um sage und schreibe 5 Benutzer.

Nun bin ich auf der Suche soetwas zu integrieren - mein Problem: Ich weiß garnicht, wo ich ansetzen soll. Es gibt RSA, SmartCards, Drittanbieter, usw. - aber vieles oder fast alles zielt darauf ab, große Netze mit 1000 Benutzern zu schützen.

Ich brauche aber nur eine Lösung für 5 - und da sind sachen wie RSA anscheinend finanzieller Overkill.

Besteht nicht die Möglichkeit 5 Kartenleser und 5 SmartCards anzuschaffen, und in der AD-Domain einen Haken zu setzen, dass diese User sich mit der SmartCard anmelden müssen (statt via Kennwort)?

Okay, das klingt schon nach viel fehler potenzial. Bitlocker habt ihr wie realisiert? Habt ihr euch mal gedanken gemacht, wie ihr da einen Key restored, wenn mal was kaputt geht?

Wieviel erfahrung hast du mit ADCS?

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...