Jump to content

Suche sichere Authentifizierungslösung für Multiuser-Produktionsumgebung (z.B. Smartcard)

TPok

Von TPok
in Windows Forum — Security

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

TPok Community Regular

TPok   11

Geschrieben
Geschrieben

Hallo,

 

ich bin auf der Suche nach einer sicheren Authentifizierungslösung für eine Multiuser-Produktionsumgebung. Ich denke da zum Beispiel an Smartcards, da User+Passwort, so wie Microsoft sich das denkt, nicht praktikabel ist. Generell wird es wohl mit Bordmitteln schwierig.

Im Folgenden eine kurze Beschreibung der Umgebung und Anforderungen. Vielleicht kennt ja einer einen Anbieter / ein Produkt / einen Ansprechpartner, der hier weiterhelfen kann. Ich bin für jeden Tipp dankbar.

 

Gegeben ist eine Produktionsumgebung mit einer Reihe von Prozessrechnern und Prüfsystemen. Alles ist Windows-basiert, die meisten Systeme sind Domain-joined. Die Systeme laufen während der Produktionszeit ununterbrochen mit der selben Windowsanmeldung durch, da die hierauf befindliche Software dies verlangt (kontinuierliche Prozessüberwachung, usw.). Eine Windows Nutzeran- und Abmeldung mit unterschiedlichen Konten ist nicht möglich. Allerdings wechselt das Bedienpersonal mehrfach täglich.

 

Folgende Ziele sollen umgesetzt werden:

  • Wenn gerade kein Bediener am PC arbeitet soll der PC (die Oberfläche) gesperrt sein.
  • Es gibt eine Gruppe berechtigte Bediener, die die Oberfläche entsperren können (z.B. durch Stecken Ihrer Smartcard). Dabei soll die Berechtigung abgeprüft werden und protokolliert werden, welcher Bediener wann am System gearbeitet hat.
  • Das ganze muss unabhängig von der (immer aktiven) Windowsanmeldung sein.
  • Es gibt mehrere solcher Systeme und man muss festlegen können, welcher Bediener, an welchen Systemen arbeiten darf.
  • Weitergehende granulare Berechtigungen (z.B. dass die Großzahl der Bediener das bereits angemeldete System nur entsperren darf und wenige Berechtigte auch das System initial anmelden und wieder herunterfahren dürfen) sind wünschenswert.

Das jetzige System, es ist immer ein Benutzer angemeldet und alle kennen das Passwort, ist verständlicherweise nicht zufriedenstellend.

 

Auf der einen Seite glaube ich, dass es mehrere Unternehmen mit diesen Herausforderungen gibt, auf der anderen Seite sind wir damit schon ein ganzes Stück vom Windows-Konzept entfernt. Ich hoffe, jemand hat schon mal etwas in dieser Art gesehen.

 

Danke für eure Unterstützung.

 

Gruß
Stephan

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.781

Geschrieben
Geschrieben

Moin,

 

grundsätzlich liegt der Fehler im System hier natürlich nicht bei Microsoft, sondern bei dem Hersteller der Applikationen bzw. bei der Art, wie sie genutzt werden. Software der Art, wie du sie beschreibst, sollte als Dienst laufen und nicht in einer interaktiven User-Session. Dann würde sich das ganze Problem gar nicht stellen.

 

Spontan käme mir bei deinem Szenario aber Fast User Switching in den Sinn, d.h. das Bedienpersonal nutzt nicht die bestehende Session, sondern öffnet sich eigene parallel. Das sollte auch mit Smartcards funktionieren. Konkrete Erfahrungen habe ich damit aber nicht.

 

Gruß, Nils

Link zu diesem Kommentar
TPok Community Regular

TPok   11

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Hallo Nils,

 

ich stimme dir voll und ganz zu. Der Fehler liegt natürlich nicht bei Microsoft, sondern an dem Konzept, wenn ein P(ersonal)C(omputer) nicht mehr personal=persönlich genutzt wird.

 

Das, was ich hochtrabend als "Prozesssoftware" bezeichnet habe, kann auch ein einfaches Prüfprogramm sein, welches ein PC-basiertes Testsystem ansteuert. Da gibt es einen Einrichter, der fährt das System hoch, lädt die benötigte Software, stellt Konfigurationen ein, weißt die Funktionsfähigkeit an einem Prüfmuster nach und gibt den Arbeitsplatz dann so mit Unterschrift frei. Danach müssen Werker daran arbeiten (auch mehrere nacheinander in mehreren Schichten). Ein Abmelden / Umloggen / etc. ist hier kontraproduktiv und nicht erwünscht, da damit der eingerichtete Zustand des Arbeitsplatzes zunichte gemacht wird. Fast-User-Switching löst diese Problem leider nicht.

Solange ein Werker an dem Platz arbeitet, ist auch alles ok. Muss dieser aber mal Pipi  ;)  oder es gibt Leerlaufzeiten in der Produktion, soll der Platz aber vor Manipulation (durch einen bösen Paketboten oder so) gesperrt sein.

 

So ungewöhnlich ist diese Anforderungen in einem Produktionsunternehmen eigentlich nicht. Leider sind hier bloß auch immer mehr Produktionssysteme PC-basierend, obwohl das Gesamtsystem PC/Windows und die damit verbundenen Sicherheitskonzepte in diesem Umfeld oft konterkariert werden.

 

Gruß

Stephan

bearbeitet von TPok
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...