Yubi und Windows

vorhergehende Artikel in: Linux Windows Security
24.10.2016

Ich habe meine Tests zum Yubikey nochmals intensiviert und einige neue Informationen gewonnen...

Versionsprobleme

Eigentlich habe ich ja Windows versprochen - aber trotzdem muss ein kurzer Ausflug zu Linux sein: Ich hatte meinen Yubi im Slot 2 ja für Linux und PAM passend konfiguriert - mit dieser Konfiguration kam aber die Windows-Logonkomponente nicht klar. Bevor ich aber meinen Yubi nochmal neu konfiguriere, wollte ich sicherstellen, dass ich die ursprüngliche Konfiguration wiederherstellen kann - schließlich brauche ich die für die Root-Shell unter Linux. Also fix die Personalization-GUI aus dem Ubuntu 16.04-Repository installiert und dann deprimiert geschaut: Der Yubi ließ sich nicht beschreiben, die Fehlermeldung völlig nichtssagend.

Also erstmal mit zittrigen Fingern versuchen, ob das Teil gebrickt ist - nein, Root-Shell öffnen funktioniert wie gehabt - puuh!

Dann das Teil an Windows angestöpselt Konfiguration schreiben - funktioniert! Hmmm... Wieder zurück zu Linux - anderen USB-Port probieren - geht nicht, ebensowenig wie der Versuch, das Ganze als root zu probieren. Die Sorgenfalten werden tiefer... Schließlich die Erleuchtung: beim initialen Konfigurieren habe ich nicht die GUI aus dem Repository genommen, sondern mir selbst eine übersetzt! Damit funktionierte es dann auch.

Fazit: Wenn man eine Variante hat, die mit dem Key funktioniert - gut aufheben!!

Windows

Nach der Anleitung auf der Seite funktionierte es ganz hervorragend, auch wenn ich ein wenig aufgeregt war, denn mit Windows ist es nicht wie mit Linux und Pam - man kann nicht mehrere Authentifizierungspfade anlegen: ist der Yubi weg, kann man sich erstmal nicht mehr anmelden - so lange, bis einneuer Schlüssel nachgemacht wurde. Hier sieht man sehr gut die Nähe zu physikalischen Schlüsseln: Wenn er weg ist, geht das Schloss nicht mehr auf!

Ich habe in diesem Test auch nur das lokale Login geprüft - das über AD konnte und wollte ich nicht checken - schließlich betreibe ich zu Hause keinen Windows Server, sondern habe nur einen Reserve-Rechner stehen, falls mich mal die Lust auf überkommt oder ich eine neue Version Inkscape bauen will...

Fazit ist auf jeden Fall: Konfiguration ist kinderleicht, die Funktion ist tadellos - man sollte sich aber vorher Gedanken darüber machen, dass man gegebenenfalls einen Yubi nachkaufen muss, falls der benutzte verlorengeht. Alle Daten zur Wiederherstellung eines identischen Schlüssels müssen außerhalb des geschützten Rechners verwahrt werden.

Die Alternative ist, ein weiteres Administratorkonto ohne Yubi einzurichten, das mir Zugriff auch dann gewährt, wenn der Yubi verlorengeht. Aber dannbrauche ich auch keine Mehrfaktor-Authentifizierung...

Zugabe: automatisches Sperren des Bildschirms

Hier fand ich noch eine sehr interessante Anleitung zum Thema automatisches Sperren des Rechners, wenn der Yubi rausgezogen wird. Interessant deswegen, weil man hier kurz zusammengefasst erfährt, wie udev, die udev-rules und Linux an sich zusammenspielen, wenn Geräte an- und abgestöpselt werden.

Und dann ist es natürlich eine feine Sache, wenn man den Schlüssel beim Verlassen des Schreibtisches an sich nimmt und dadurch die Arbeitsstation sperrt.

Noch eine interessante Facette ist, dass man in diesem Artikel auch Informationen dazu findet, wie man die Konsolen ebenfalls sperrt und beendet - das ist etwas, das ich noch ausprobieren muss...

Ich habe im Zuge der Arbeiten auch gleich meinen Laptop auf den U2F-K5 umgestellt, was problemlos möglich war und ebenfalls die Gelegenheit gibt, Aktionen über udev anzustoßen, wenn das Gerät entfernt wird.

Artikel, die hierher verlinken

Yubi zur 2FA mit GitLab

13.10.2018

Ich hatte hier ja schon verschiedentlich über Möglichkeiten des Einsatzes meines Yubi-Key berichtet - nun kam noch eine hinzu...

Alle Artikel rss Wochenübersicht Monatsübersicht Github Repositories Gitlab Repositories Mastodon Über mich home xmpp


Vor 5 Jahren hier im Blog

  • Aviator + Websockets

    15.06.2019

    Nachdem ich in den letzten Wochen und Monaten meine Zeit und Energie in die sQLshell gesteckt habe - was sowohl Bugfixing als auch neue Features betraf - habe ich nun endlich die Zeit gefunden, ein bereits lange überfälliges Feature an dWb+ und speziell am aviator zu implementieren.

    Weiterlesen...

Neueste Artikel

  • Neue Version plantumlinterfaceproxy napkin look

    Es gibt eine neue Version des Projektes plantumlinterfaceproxy - Codename napkin look.

    Weiterlesen...
  • Apache HTTPCore5 funktioniert nicht mit Docker

    Ich habe neulich drei Stunden meines Lebens verschwendet weil ich unbedingt die neueste Version der HTTPCore5 Library von Apache einsetzen wollte.

    Weiterlesen...
  • Entwurfsmodus für beliebige SVG Graphiken

    Nachdem ich in der Vergangenheit immer wieder Weiterentwicklungen der Idee vorgestellt habe, Graphiken mit dem Computer so zu ezeugen dass sie eine gewisse "handgemachte" Anmutung haben, habe ich nunmehr die durchschlagende Idee gehabt:

    Weiterlesen...

Manche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.

Wer daran teilhaben und eventuell sogar davon profitieren möchte, muß damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.

Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...

PS: Meine öffentlichen GitHub-Repositories findet man hier - meine öffentlichen GitLab-Repositories finden sich dagegen hier.