Laden...

Ist es möglich ein Service zu schreiben der die Windows Anmeldung übernimmt?

Erstellt von FrankenDerStein vor 4 Jahren Letzter Beitrag vor 4 Jahren 1.559 Views
FrankenDerStein Themenstarter:in
72 Beiträge seit 2015
vor 4 Jahren
Ist es möglich ein Service zu schreiben der die Windows Anmeldung übernimmt?

Hallo liebe Kollegen,

Mir ist seit kurzem eine Frage in den Kopf gekommen die mich einfach nicht loslassen will.

Die Frage lautet: Ist es möglich ein Service zu schreiben der die Windows Anmeldung übernimmt?

Ich beziehe mich auf eine Anmeldung per Benutzername und Passwort.

Wie wäre sowas umzusetzen und gibt es Schnittstellen hierfür?

Weiss jemand darüber etwas?

Mit freundlichen Grüßen,

FrankenDerStein.

463 Beiträge seit 2009
vor 4 Jahren

Was willst du denn damit erreichen? Die Themen Datenschutz & Datensicherheit sind dir bekannt?

FrankenDerStein Themenstarter:in
72 Beiträge seit 2015
vor 4 Jahren

Meine Idee ist es die Anmeldung an andere Bedingungen oder Faktoren zuknüpfen, womit die Anmeldung angenehmer werden kann.

16.806 Beiträge seit 2008
vor 4 Jahren

Du willst also die Systemsicherheit aushebeln? Gott sei Dank ist das nicht so einfach möglich und in Unternehmen auch verboten - allein schon gesetzlich.

Wenn du es angenehmer haben willst, dann nimm etwas wie Windows Hello.
Aber bitte untergrab nicht die Sicherheit von Systemen - genau so gibt's Data Leaks.

FrankenDerStein Themenstarter:in
72 Beiträge seit 2015
vor 4 Jahren

Ich muss sagen, dass ich diese einwende nicht verstehe.

Theoretisch wäre es keine Sicherheitsproblem. Der Rechner kann ja jetzt auch schon sich automatisch anmelden, warum dann nicht mit einem Handy verknüpfen der z.b. ein Fingerabdrucksensor bereitstellt. Durch Verschlüsselung und anderen Sicherheitsmechanismen kann doch weiterhin die Sicherheit gewährleistet werden oder?

Mit freundlichen Grüßen,

FrankenDerStein.

16.806 Beiträge seit 2008
vor 4 Jahren

Bin kein Jurist, daher keine Gewähr zur Ausdrucksweise von gesetzlichen Vorgaben und Situationen.

In der EU gibt es die gesetzliche Situation, dass Unternehmen gesetzlich dazu verpflichtet sind Zugänge und Daten mit "ausreichend", etablierten, standardisierten Sicherheitsverfahren schützen müssen.
Das Thema "ausreichend" ist gesetzlich leider relativ ungenau; Experten und Gerichte sind jedoch aktuell der Auffassung, dass bei Kundendaten und wichtige Systemen damit implizit nach aktueller Technik ein 2-Wege-Verfahren gemeint ist.
Soviel mal zur aktuellen Lage.

Was Du da bastelst ist weder ein standardisiertes noch ein etabliertes System - daher verstößt Du damit prinzipiell schon mal gegen die aktuelle rechtliche Sitation, was dazu führt, dass Du im Falle eines Schadens nicht nur fahrlässig sondern grob fahrlässig gehandelt hast.
Du erfüllst ein solchen Zustand nur, wenn Du die Sicherheitsmöglichkeiten verwendest, die das Betriebssystem Dir bereitstellt; das kann Windows Hello sein - aber kein selbst geschriebener Windows Service, der die OS-Sicherheiten aushebelt um ein eigenes System zu verwenden.

Die aktuellen Sicherheitssysteme und Verfahren haben sehr viele, schlaue Menschen zusammen entwickelt, um Anforderungen an ein Sicherheitssystem erfüllen zu können.
Und es hat auch sehr viel Zeit und Geld gekostet, dass Hersteller diese Systeme validieren, zertifizieren und sicher implementieren.

Heute bekommt man ein Windows Hello gesicherten Fingerprint-Scanner ab 30€; Windows Hello über eine Kamera für 150€. Beides sichere und bequeme Systeme, standardkonform.
Letzteres hab ich schon erfolgreich bei einigen auch sehr großen Kunden im Maschinenbau-Bereich eingeführt, dass die Maschinen endlich eine Benutzerabsicherung haben - ohne, dass die Bediener mit oft schmutzigen Händen oder Handschuhen die Tastatur bedienen müssen.

Warum meinst Du, dass es eine gute Idee ist, solche Systeme auszuhebeln, damit Du etwas eigenes nutzen kannst?

FrankenDerStein Themenstarter:in
72 Beiträge seit 2015
vor 4 Jahren

Ok in Unternehmens Umgebung ist ehh alles anders. Im Privatbereich sieht es da anders aus.

Meine Idee ist es eigentlich bereits existierende verfahren in Windows zu implementieren, wie die 2 Faktor Authentifizierung oder ähnliches zu zuzüglich einer Hardware wie z.b. Handy.

Was daran falsch?

Und was taugt die Windows Anmeldung, wenn durch ein simplen Boot-Stick einfach umgangen werden kann.

Ebenso kann mein Service mit einem Passwort Manager verglichen werden, also was spricht dagegen?

Mit freundlichen Grüßen,

FrankenDerStein.

16.806 Beiträge seit 2008
vor 4 Jahren

Puh, also da ist ganz arg viel im Argen 😃

Ebenso kann mein Service mit einem Passwort Manager verglichen werden, also was spricht dagegen?

Nein, kann es nicht. Du vergleichst Äpfel mit Birnen - ich hoffe Du gehst in dieser Form nicht mit sonstigen Sicherheits- oder Datenrelevanten Dingen um.
Bitte informier Dich ein wenig.

  • Ein Passwort Manager ist ein Datentresor. Mit Hilfe eines Schlüssel passiert prinzipiell nichts anderes, dass ein verschlüsselter Datenblob sichtbar gemacht wird.
  • Was Du vor hast ist ein Zugangssystem: Mit Hilfe von Credentials willst Du den Zugang zu einem System gewähren. Zugang zu einem System verwaltest Du dann, wenn Du die Hoheit über das System besitzt. Man nennt sowas auch Trust for Delegation. Und dazu musst Du die Sicherheitsmechanismen von Windows nutzen oder aushebeln. Etwas völlig anderes als ein Datentesor.

Aus guten Gründen ist das aber alles andere als "einfach mal so" möglich und basierend auf Deinem Vergleich zwischen Datentesor und Zugangsverwaltung solltest Du Dich da eventuell auch noch mal in die Themen einlesen.

Meine Idee ist es eigentlich bereits existierende verfahren in Windows zu implementieren, wie die 2 Faktor Authentifizierung oder ähnliches zu zuzüglich einer Hardware wie z.b. Handy.

Dann nutz das, was Windows Hello Dir hier bietet - und heble nichts aus.

Du könntest aber Windows an ein Active Directory anbinden, wobei Du den Authentifizierungsprovider des Active Directory Servers schreibst.
Die Authentifizierungsmethode des Providers kannst Du dann basierend zB auf OAuth2 selbst schreiben - mit einer Hardware oder sonst was.

Damit wäre weiterhin die Sicherheit Deiner Software fraglich; aber zumindest das Protokoll wäre sicher.

Und was taugt die Windows Anmeldung, wenn durch ein simplen Boot-Stick einfach umgangen werden kann.

Du kannst die Windows Anmeldung nicht (einfach so) aushebeln, wenn Du die Grundlagen einer Systemsicherung anwendest: zB Bitlocker.