Windows Key / Außendienstmitarbeiter verifizieren

[Thuroc 10]

Hallo zusammen,

 

ich bin gerade dabei für eine Server-Anmeldung eine möglichst sichere Authentifizierung zu programmieren. Da vom Außendienst von unterschiedlichen Netzen aus darauf zugegriffen wird, sollen die Laptops und das OS von den Technikern anhand diverser Merkmale identifiziert werden, um sowohl Hardwareänderungen als auch alternative Betriebssysteme zu erkennen.

 

Da es sich ausschließlich um firmeninterne Geräte handelt, sind sowohl die Komponenten also auch die aufgespielten Versionen und Keys von Windows genau nachzuvollziehen. Die folgend genannte String wird von den Admins direkt auf dem "persönlichen" Gerät des Technikers erstellt und manuell in der Server-Auth-DB eingetragen.

 

Ich dachte bei der Abfrage an eine gemischte Kontrolle via uuid des BIOS, der uuid der Festplatte, der LAN MAC und der Ferifizierung des Windows Keys im Format blowfish(uuidBIOS;uuidHDD;lanMAC;checksumKey). Dabei ist es vollkommen egal ob für den Key nur eine Prüfsumme oder der reale Key zurückgegeben wird. Wichtig ist, dass das originale System erkannt werden kann, auch wenn der (wie immer feindliche) Mitarbeiter ein neues OS auf die vorhandene Hardware aufspielt oder versucht die MAC zu ändern.

 

Die Anmeldung auf dem Server erfolgt durch ein eigenes C-Programm auf dem Client, welches die gewünschten Infos zusammenträgt, für einige Sekunden einen Port öffnet und den verschlüsselten String bereitstellt. Der Server gibt nach dem ersten Kontakt den Blowfish Key vor, fragt den geöffneten Port ab und erwartet den Blowfisch-String mit der korrekten Verschlüsselung.

 

Nun aber zu meinem Problem: Wie kann ich von den verschiedenen Versionen die Keys/Prüfsummen erfahren/erstellen? XP, klar in der Registry. Aber bei Vista und 7 steh ich ziemlich auf dem Schlauch. Es geht hier wie gesagt nur darum die Windows-Keys genau identifizieren zu können, nicht darum den eigentlichen Key in Erfahrung zu bringen.

 

Grüße Thuroc

[zahni 521]

Hallo,

 

das vorhanden verstehe ich nicht zu 100%.

 

Mach das doch, wie viele andere auch, über ein mit Zertifikaten gesichertes VPN. Dann reicht eine "normale" Authentifizierung. Die Zerfikate kannst Du z.B. vorher manuell auf den Geräten installieren. Wenn es richtig sicher sein soll, die Zertifikate auf sicheren Smartcards o.ä. ablegen. Gibt es eigentlich schon Lösungen für den TPM-Chip ?

 

-Zahni

[Dukel 436]

Zusätzlich zu Zahnis vorschlag kann man NAP mitnutzen.

[Thuroc 10]

NAP hört sich gut an. Ich meine leider im Hinterkopf noch was von "kein VPN möglich" schallen zu hören. Ich glaube das war in Verbindung mit der Browseroberfläche von Cacti. Werde das wohl einfach mal prüfen müssen.

[Thuroc 10]

So, aktueller Stand:

 

Cacti scheint soweit mit euren Vorschlägen, also auch mit VPN zu funktionieren. Leider sind meine Chefs von der Lösung garnicht überzeugt, weigern sich aber auch entsprechende Gründe zu nennen. Selbst der Admin von Cacti hat mir sein OK gegeben und trotzdem wird VPN strikt abgelehnt. Da scheint noch mehr dahinter zu stecken, worüber keiner gerne redet und deshalbt totgeschwiegen wird.

 

Somit komme ich leider zu dem alten Problem zurück, obwohl mir die Idee mit den Zertifikaten via VPN letztendlich auch viel besser gefallen hat.

 

Auf ein Neues: Wie kann ich eine Windows Vista oder Windos 7 Installation eindeutig wiedererkennen? Es gilt weiterhin, dass der Key vorab bekannt ist und nicht zwingend im Klartext ausgelesen werden muss. Hardware ist häufig identisch, da immer gleich 50-100 neue Lappies angeschafft werden, es muss also jede einzelne Installation erkannt und dem Techniker zugeordnet werden können.

 

Vielleicht ist ja eine andere Art Zertifikat dafür geeignet. Google hat mich diezbezüglich aber eher verwirrt und nicht wirklich weitergebracht. Dazu sei auch nochmal explizit auf den ersten Beitrag verwiesen, um nicht alles nochmal zu wiederholen.

 

Hilfe ist sehr Willkommen!

[zahni 521]

Einfach den Chef fragen, was ihm daran nicht passt und Ihm den Unterschied zwischen einer starken VPN-Verschlüsselung der gesammten Kommunikation und seiner Idee verdeutlichen. Zumal der Server durch die Öffnung irgendwelcher Nicht-VPN-Ports externen Angriffen ausgesetzt sein kann.

 

Eine Lösung ist nicht besser, nur der Chef das glaubt...

 

-Zahni

[LukasB 10]

Wenn ein VPN keine Option ist gibt es natürlich auch andere Varianten, mit denen du die gleiche Sicherheit erreichen kannst - z.B. mit einem RD Session Host und einem RD Gateway. NAP kannst du in diesem Fall genauso einsetzen, du hast kein VPN im Einsatz sondern nur einen Port (443). Am besten veröffentlichst du den RD Gateway mit einem Forefront TMG, damit du auch noch NIS nutzen kannst um Angriffe auf den RD Gateway zu verhindern.

 

Alternativ gibts eine ähnliche Lösung auch von Citrix, XenApp Server mit einem Citrix Access Gateway. Kann ein bisschen mehr und hat das nettere Webinterface, ist aber auch teurer.

 

Grundsätzlich sind aber beide Varianten wesentlich aufwendiger als ein VPN, und bei 200 Usern solltest du die Lizenzkosten nicht unterschätzen.

[substyle 20]

Hallo,

 

eine Windows Installation würde ich so erkennen wie MS es auch tut:

L_optDisplayIID

über slmgr in

C:\Windows\System32\slmgr.vbs

 

slmgr.vbs -dti

Display Installation ID for offline activation

 

Das sollte eine Windows Installation doch eindeutig kennzeichnen.

 

Auch einen Blick wert:

c:\Windows\System32\slmgr\0407\slmgr.ini

 

Grüße

Lars

[Thuroc 10]

Hui, viele neue Ideen. Danke euch! Werde mich da mal ein wenig einlesen und natürlich den Chef nochmals auf VPN ansprechen. Allerdings erwarte ich von ihm nicht all zu viele Infos...