Windows-Sicherheit
Windows SoftwareseitigFefe
https://blog.fefe.de/?ts=9c40177c
Ich halte das hier mal fest, geht um diese Präsentation.
HardwarekeysGrundkonzept
IMMERDas pingeligunsicherste aufist für den Anwender das bequemste, und demnach auch das vom Anwender bevorzugte.
Alle Sicherungsmaßnahmen machen den eigentlichen Umgang mit dem System unbequemer.
Daher ist die Lieferungideale achten:
DamalsSicherheit vonein PaypalKompromiss dieaus Karten (noch Symantec - auch um 2015 rum) hatten mehrfach Probleme: die erste ging gar nicht, die zweite kam in aufgerissenemSicherung und neu verklebtem Umschlag, die dritte kam okay an, hatte aber kaum noch Batterie, bis ich mir in Amerika persönlich ein anderes Symantec-Modell abgeholt hatte welches nicht im Scheckkartenformat ist.
Nun unterstützt PayPal die Symantec nicht mehr, nur noch FIDO2.Bequemlichkeit.
Domänenabsicherung
Fullcloud-Entra / Exchange Online ohne Hybridbetrieb erreichen.
Zentrales User-Management via Microsoft Entra
Single-Sign-On aus Entra-Daten (weil: Psychologie: Müssen viele Accounts gepflegt werden, wird das gleiche Passwort überall verwendet)
Multifaktor-Authentifizierung mit Hardwarekeys (idealerweise via Biometrie) für alle Microsoft Entra Accounts.- Alternativ: Multifaktor mit Windows 11 & TPM-Chip der Mainboards.
YubiKeyDanach Neokommen 2015Dinge warwie okay,Patchmanagement alles Originalverpacktetc.
Der GoogleAngreifer Titanist Key von 2023 hatte ein Siegelsticker,der, der scheinbarbeim nichtunbedarften sonderlichAnwender festanruft, klebteweil under eineeinen HälfteSchriftverkehr davondazu nichtaus mehrder "ums Eck" klebte.
Windows 11 kann 2-Faktor-Authentifizierung im Web per Windows Hello. Das ist eine ziemlich dumme Idee, wenn die Maschine nicht permanent am Mann ist. Windows Hello bindet sichvorne an
den TPM-Chip auf dem Mainboard. Daher kann man das als Hardwarekey sehen.
genau so kann Dashlane inzwischen Passkeys speichern. Andere Passwortmanager sicherlich auch. Dashlane synchronisiert aber übers Internet.Passwortmanager vermurksen also den Begriff Hardwarekey, weil sie das rein an Software binden.
Blöd dazu ist dass Microsoft natürlich die Nutzung von Windows Hello als Passkey möglichst einfach gestaltet, während die echten USB-Securitykeys deutlich mehr Klicks zum Einrichten benötigen. Viele unbedarfte Anwender landen also in dem eigenen TPM-Chip auf dem Mainboard. (Psychologie: Weg des geringsten Widerstands bzw. ungelesenes Durchklicken der
erstenStraße Optionen)stehenden EsPapiertonne gibtgefischt mehrere FIDO-Standards, ein YubiKey Neo aus 2015 funktioniert z.B. wegen dem älteren Standard nicht mit Microsoft, dafür aber mit Google und und fast überall anders auch, weil diese den alten Standard noch zulassen.
Auch Security Keys müssen also zumindest jedes Jahrzehnt ersetzt werden, weil sich die Standards und Sicherheitstechniken entwickeln.
hat.