Was aber auch bei einer VM geht sind andere Geräte im Netzwerk, deren Namen oder Freigaben. Das setzt natürlich weiterhin voraus das Geheim gehalten wird was es nun genau ist.
Besser wäre es wenn der berechtigte eine Nachricht bekommt, SMS oder sowas, und antworten muss.

Vielleicht kann man ja das TPM-Modul nutzen. Problematisch ist aber in jedem Fall ein unbefugter physischer Zugriff auf das System.

Dafür kann man ja einen Authenticator nutzen.

Wenn das Laufwerk verschlüsselt ist, nutzt es einem Dieb nichts, wenn es jemand schlicht klaut.

Auf den Rechner kommen vermutlich nur Vertrauenswürdige und Hacker aber auf die betroffene VM schon einige Mitarbeiter. Der Zugriff auf das system ist auch dokumentiert, weil es eben wichtig ist das es läuft.
Kann ein TPM modul letzten endes nicht auch ein Dongel sein?

Ja, so könnte man auch das Geheimnis selbst recht gemütlich über eine Webservice oder eine App eingeben.

Wenn das Laufwerk verschlüsselt ist, muss man ein Passwort beim Start des Computers eingeben oder?
Ein Authenticator ließe sich zumindest auch im Urlaub aber nicht so toll im Krankenhaus benutzen.
Aber so eine App ist sicher der komfortabelste Weg das Geheimnis einzugeben, wenn man sich nicht Remote auf die VM wo der Dienst läuft einlogen will.

[irony on]
in den alten nntp newsgroups hatte MM damals angemerkt, man könnte die Zugangsdaten im Klartext in die readme packen, da die eh niemand liest
[irony off]
Wenn der Schlüssel auf dem System gespeichert ist, gilt er als bekannt. Da gibt es keine Ausnahme, auch kein Verschleiern. Die einzige Möglichkeit: pack den Schlüssel in eine Hardware und nur mit dieser Hardware ist der Dienst lauffähig. Die Kollegen von https://www.wibu.com/de/produkte/wibukey.html waren früher immer auf der EKON und haben ihre Lösung vorgestellt.

Irgend einen Dongel wird es brauchen. bzw. einen Dongel und eine Verteiltenschlüssel.
Halt mindestens als Urlaubs/Krankenhaus Modus.


Das ist Brilliant! So läuft das bei uns auch. am besten mit README.MD , dann weiß man schon, wenn man drauf klickt findet Windows nicht die Anwendung mit der man die Datei öffnen kann und muss selber aus der Liste eins auswählen, was natürlich viel zu viel Aufwand ist...

Hallo,
ich habe mit dem Hardware-Schutz (Dongle) von MatrixLock http://www.matrixlock.de/modelle.htm in der Vergangenheit gute Erfahrungen gemacht. Einen oder mehrere Teile des Schlüssels kann man in den Registern des Dongles speichern und den USB-Dongle nicht nur an den lokalen PC’s, sondern auch direkt an den Server anschließen. Ohne diesen Hardware-Schutz läuft dann eben kein Programm.

Ich mache das in einer Anwendung mit einem USB-Zu-Ethernet-Gerät (wie auch schon von johndoe049 vorgeschlagen). Bei meinem Kunden gab es die Möglichkeit, das Gerät (und somit den USB-Stick) im nicht frei zugänglichen Keller aufzustellen. Der Server steht dann anderswo im Gebäude und die Firewall erlaubt nur von der Server-IP Zugriff auf den USB-Netzwerkadapter. Die Überlegung dabei: wenn der Server geklaut wird, dann muss der Dieb nochmal kommen, um den Stick zu klauen. Das verhindert aber natürlich nicht den Angriff auf das System über's Internet, aber das sollte ja eigentlich die Firewall verhindern...

Fazit: absolute Sicherheit gibt es nicht, aber es kann einem Angreifer so schwer wie möglich gemacht werden.

Hartmut

Es ist auch zu einem erheblichen Teil eine CYA-Maßnahme.... Mit zunehmender Menge an Kundendaten, wird mir zunehmend unwohler.
Ich hatte schon mal nen Alptraum das die weggekommen sind und ich bin der Entwickler und Admin usw. für das Ding.

Für den Zugriff auf eine API/Cloud müsste ich im Programm die Zugangsdaten hinterlegen.

Da hab ich demnächst vor, dass im KeyStore des Windows zu hinterlegen (wo auch RDP und Co. ihre Passwörter hinterlegen).
Aktuell ist das auch noch hässlich pseudoverschlüsselt im Programm (Datenbank) hinterlegt.

Windows (Win32) bietet auch "einfache" Verschlüsselungsfunktionen an,
* mit dem aktuellen Programm als Schlüssel (so lange es aktiv ist, kann es Daten der selben Instanz entschlüsseln)
* mit dem UserLogin ... so lange der Nutzer eingeloggt ist, können Daten innerhalb der Session ver-/entschlüsselt werden
* oder mit einem SystemKey (der WindowsInstallation), können innerhalb dieser Installation Daten ver-/entschlüsselt werden
CryptProtectData

Im WinRT soll es besseres Zeugs geben, aber von Win32 muß man sich erst dahin durchkämpfen (wie bei der API für die Notifications im Windows).