Häufig gestellte Fragen

Warum sind bereits so viele Anmeldemethoden auf meinem Windows installiert?

Viele Credential Provider sind bereits im Microsoft Betriebssystem integriert. Microsoft möchte so seinen Nutzern bereits eine Reihe von Authentifizierungsmöglichkeiten anbieten. Im Besonderen die Einführung eines Accounts über alle Windows Geräte (Desktop-PC, Laptop, Tablet, Smartphone) hat dazu geführt, dass Microsoft eine Reihe eigener Credential Provider bereitstellt.

Des Weiteren haben einige Hersteller von PC-Komplettsystemen eigene Credential Provider vorinstalliert.

Welche Credential Provider muss ich abschalten, um mich nicht mehr mit Passwort anmelden zu können?

Auf einem Standard-Windows-System ist es ausreichend, dafür den „Microsoft Password Provider“ zu deaktivieren. Auf Komplett-PCs, bei denen der Hersteller einen eigenen Provider mitliefert, muss dieser möglicherweise zusätzlich deaktiviert werden.

Woran kann es liegen, dass die Online Aktivierung nicht funktioniert?

Eine Ursache dafür, dass die Online Aktivierung nicht funktioniert kann die Firewall sein. Dort muss Port 2301 in beide Richtungen freigegeben sein. Eine weitere Ursache kann die Verwendung eines Proxyservers sein. Diesen können Sie im Einstellungsdialog eintragen.

Wie kann man die 2-Faktor-Authentifizierung auch im abgesicherten Modus aktivieren?

Um die 2-Faktor-Authentifizierung auch im abgesicherten Modus zu verwenden muss in der Registry unter: „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers“ ein DWORD mit dem Namen „ProhibitFallbacks“ angelegt werden. Diesen setzt man dann auf den Wert 1.

Nähere Informationen zu diesem Thema finden Sie hier*. Bitte beachten Sie, dass Sie dann nur noch den abgesicherten Modus mit Netzwerktreibern verwenden können.
*https://social.msdn.microsoft.com/Forums/windowsdesktop/en-US/b943227f-0df6-4924-987e-78f6479d4ce2/boot-as-safe-mode-vista-never-call-custom-credential-provider?forum=windowssecurity

Wie wird die Unterstützung für bestimmte Token aktiviert oder deaktiviert?

Die Unterstützung für bestimmte Token wird im digitronic® Token Engine Manager aktiviert oder deaktiviert. Diesen findet man unter „C:\Program Files\Common Files\digitronic\Manager“.

In den Einstellungen der Token Engine lassen sich die verschiedenen Tokenarten ein- und ausschalten. Wir empfehlen nicht benötigte Tokenarten abzuschalten.

Bei einer Standardinstallation mithilfe des Secure Logon™ 2-Installers, wird MIFARE DESFire als unterstützter Token eingestellt.

Kann man bei einer Passwortänderung auf die Eingabe des alten Kennwortes verzichten?

Aus Sicherheitsgründen wird bei der Änderung des Passwortes das alte Kennwort vom Benutzer erfragt. Man kann Secure Logon™ 2.0 jedoch so konfigurieren, dass als altes Passwort, jenes verwendet wird, welches sich auf dem SecurityToken befindet.

Hierzu muss in der Windows Registrierung unter: „HKEY_LOCAL_MACHINE\SOFTWARE\digitronic\SecureLogon2\CredentialProvider“ ein DWORD mit dem Namen „ChangePasswordWithTokenFlags“ und dem Wert 1 angelegt werden.

Sollte dieser Wert bereits existieren, muss er mit „0x1“ OR-Verknüpft werden.

Diese Option ist ab der Credential Provider Version 1.0.5.427 möglich.

Wie kann verhindert werden, dass der Secure Logon™ 2.0 Manager von Benutzern ohne administrative Rechte gestartet wird?

Damit kein Standard-Nutzer den Manager öffnen kann, muss in der Registry unter: „HKEY_LOCAL_MACHINE\SOFTWARE\digitronic\SecureLogon2\Manager“ ein DWORD angelegt werden. Dieses muss den Namen „DisallowManagerUsageForUsers“ tragen und auf den Wert 1 gesetzt werden.

Diese Einstellung ist nur bei einem Manager mit einer Version größer als 1.0.8.435 möglich.

Wie kann man die Initialisierung des SecurityTokens während der Anmeldung verhindern?

Unter der Voraussetzung, dass der SecurityToken die Initialisierung mithilfe der TokenEngine unterstützt, kann ein Token normalerweise während der Anmeldung initialisiert werden.

Aus Sicherheitsgründen kann dieses Verhalten unterbunden werden. Hierzu muss in der Registry unter „HKEY_LOCAL_MACHINE\SOFTWARE\digitronic\SecureLogon2\CredentialProvider“ ein REG-DWORD mit dem Namen „DisableTokenInitialization“ und dem Wert 1 angelegt werden.

Dieses Feature ist ab der Credential Provider Version 1.0.5.427 verfügbar.

Ist es möglich bei der Initialisierung eines SecurityTokens während der Anmeldung die Null-PIN Funktionalität abzuschalten?

Wenn der SecurityToken eine Null-PIN Unterstützt, kann bei der Initialisierung während der Anmeldung die Null-PIN Unterstützung abgestellt werden. Hierzu muss in der Registry unter „HKEY_LOCAL_MACHINE\SOFTWARE\digitronic\SecureLogon2\CredentialProvider“ ein DWORD mit dem Namen „TokenInitializationDisallowNullPIN“ mit dem Wert 1 angelegt werden.

Diese Option ist ab der Credential Provider Version 1.0.5.427 möglich.

Wie kann man das Hinzufügen von Credentials während der Anmeldung verhindern?

Wird bei der Anmeldung ein leerer, aber bereits initialisierter SecurityToken verbunden, besteht per Standard die Möglichkeit einen Anmeldedatensatz zu hinterlegen. Dieses Verhalten lässt sich folgendermaßen unterbinden. Legen Sie einen REG_DWORD mit dem Namen „DisallowAddingCredentials“ mit dem Wert 1 unter „HKEY_LOCAL_MACHINE\SOFTWARE\digitronic\SecureLogon2\CredentialProvider“ an.

Dieses Feature ist ab der Credential Provider Version 1.0.5.427 verfügbar.

Wie kann eine Secure Logon™ 2.0-Installation deaktiviert werden?

Um eine aktivierte Installation von Secure Logon™ 2.0 zu deaktivieren, muss Secure Logon™ 2.0 deinstalliert werden. Am Ende der Deinstallation, vor dem Abschluss Dialog, erscheint eine Meldung, welche Auskunft über die automatische Deaktivierung gibt.

Bei einer Deinstallation erscheint diese Meldung in jedem Fall – egal, ob die automatische Deaktivierung erfolgreich war oder nicht. Zusätzlich wird der Inhalt der Meldung auch im Windows-Ereignisprotokoll unter „Anwendung“ protokolliert – und im Logfile des Setups.

Sollte eine Deaktivierung nicht automatisch durchgeführt werden können, so enthält die Meldung einen Deactivation Key.

Bitte geben Sie diesen unter https://www.digitronic.net/service/lizenzaktivierung-deaktivierung ein, oder senden Sie diesen via E-Mail an support@digitronic.net oder vertrieb@digitronic.net, damit die Deaktivierung durch einen digitronic® Mitarbeiter abgeschlossen werden kann.

Kann ich Smartcards in Remote-Sitzungen verwenden?

Wird von einem Client-Computer mittels Remotedesktopverbindung auf einen entfernten Computer zugegriffen, so können Smartcards, die physisch mit dem Client-Computer verbunden sind, auch am Zielsystem genutzt werden. Hierzu muss vor dem Aufbau der Remotedesktopverbindung in den Verbindungseinstellungen das Durchreichen von Smartcards aktiviert werden.

Eine mit dem entfernten Computer physisch verbundene Smartcard kann dagegen nicht genutzt werden, solang der Zugriff auf den entfernten Computer mittels Remotedesktopverbindung erfolgt. Das Session-Management des Betriebssystems verhindert jeglichen Zugriff auf physisch verbundene Geräte, solange über Remotedesktopverbindung auf den entfernten Computer zugegriffen wird.

Wird es notwendig, beispielsweise im Rahmen einer Fernwartung, auf eine Smartcard am entfernten Computer zuzugreifen, können anstelle der Remotedesktopverbindung andere Varianten wie TeamViewer genutzt werden, um dieses Session-Management zu umgehen.