Anmeldung an Remote Desktop über Rohos Logon Key

Rohos Logon Key arbeitet mit dem MS Remote Desktop Verbindungswerkzeug und ermoglicht Ihnen die Anmeldung an einem Remote Desktop mithilfe von USB-Geraten, wie USB-Sticks, Smart-Cards oder Einmalkennwortern. Durch die Verwendung von PIN-Codes in Verbindung mit einem USB-Gerat konnen Sie Ihren Remote Desktop durch Zwei-Faktor-Authentifizierung schutzen.

Rohos Logon Key ermoglicht den sicheren Zugriff auf Windows Computer und ersetzt das unsichere passwortbasierte Anmeldungsverfahren unter Verwendung von USB-Schlusseln und Authentifizierungsgeraten (Einmalkennworter, PKCS11).


Wie es funktioniert

Rohos Logon Key wird in den Anmeldeschirm der Windows Terminal Services integriert und fugt der bereits bestehenden Authentifizierungsstruktur die Zwei-Faktor-Authentifizierung hinzu. Nach der Installation konnen Benutzer sich durch Verwendung eines Hardware-Gerats in den Remote Desktop einloggen.

Vorzuge der Zugriffskontrolle fur Remote Desktops:

  • Ermoglicht es den Zugriff auf den Remote Desktop auf eine Liste oder Gruppe an Benutzern einzuschranken
  • Benutzer mussen bei jeder Anmeldung einen USB-Schlussel oder ein Einmalkennwort verwenden
  • Jeder generierte Schlussel ist einzigartig und kann nicht vom Benutzer kopiert werden
  • Der USB-Schlussel muss zur Installation nicht direkt am TS-Server angeschlossen werden
  • Rohos muss nicht auf den PC/Gerat installiert werden, von dem aus Sie sich anmelden

Ein hoheres Ma? an Sicherheit durch die Vielfalt der Zwei-Faktor-Authentifizierung

  • Nutzeranmeldung + USB-Schlussel wie SafeNet, eToken, iKey, ePass und Weitere inklusive PKCS#11.
  • Nutzeranmeldung + USB-Stick
  • Nutzeranmeldung + Einmalkennwort via SMS
  • Nutzeranmeldung + Mobiltelefon mit Software zur Erstellung von Einmalkennwortern, wie Google Authenticator
  • Nur verschlusselte Passworter werden auf dem USB-Gerat gespeichert

Lesen Sie weiter, um herauszufinden, wie die Konfiguration funktioniert.

Nach oben


Zugriff auf und Vielfalt der Zwei-Faktor-Authentifizierung

Um die Anmeldung an Remote Desktops per USB-Schlussel auszuprobieren, konnen Sie die 15-tagige Testversion von Rohos Logon Key herunterladen. Download

Sie sollten Windows 2003/ 2008/ 2012 Server als Terminal Server haben, um Rohos zu testen.

Bitte sehen Sie sich die Arten der Zwei-Faktor-Authentifizierung bevor Sie beginnen:

Typ der Authentifizierung fur Terminal Server Type an Sicherheitsgeraten/-modulen Rohos Logon Key auf einem Client PC und/oder Server installieren
Client
Windows XP/7/8
TS Server
Windows 2003/2008/2012
1) 2-Faktor-Authentifizierung. Hardware-Schlussel oder Einmalkennwort + Windows-Passwort
  • USB-Gerate wie eToken, iKey etc (PKCS#11)
  • Smart-cards
  • Einmalkennwort von Google Authenticator oder per SMS/Yubikey
  • USB-Stick*
+
2) Nur Schlussel (oder Schlussel mit PIN-Code) USB-Sticks
USB-Gerate (PKCS#11)
Smart-cards
+ +
3) Schlussel wird nur auf der Seite des Client zur bequemen und schnellen Anmeldung verwendet. Terminal Server uberpruft USB-Schlussel nicht. Jede Art an Schlussel +

* Falls Sie einen USB-Stick als Schlusselgerat verwenden :
– Administrator muss Rohos Logon Key oder portable Rohos Logon auf einem lokalen PC installieren.

Nach oben


Unterstützte Arten an Sicherheitstokens zur Anmeldung an Remote Desktops über Rohos Logon Key

  1. Smart-cards, Java Cards (Mifare 1K)
  2. PKCS11 tokens, zum Beispiel SafeNet eToken, Securetoken ST3/4, senseLock trueToken, RuToken, uaToken, iKey.
  3. Yubikey Tokens und Einmalkennwörter, beispielsweise durch Google Authenticator.
  4. USB-Sticks. In diesem Falle wird die portable Anwendung von Rohos Logon Key (RDC Setup) nach Vorbereitung des USB-Schlüssels auf den Stick kopiert.

Nach oben


Einrichtung der Anmeldung an Remote Desktops per USB-Schlüssel oder Einmalkennwort

1. Rohos auf dem Terminal Server installieren:

– Installieren Sie Rohos Logon Key auf dem Terminal Server Computer.

2. Installieren Sie das Paket Rohos Management Tools auf dem Computer des Administrators

3. USB-Schlüssel für die Authentifizierung konfigurieren:

Legen Sie in den Einstellungen zur MS RDC Verbindung fest, dass der lokale USB-Anschluss (oder Smart-Card Reader) an den Remote Desktop umgeleitet werden soll.

Öffnen Sie Rohos Logon Key auf dem Remote Desktop.
Klicken Sie auf den Button “USB-Schlüssel einrichten”. Der umgeleitete USB-Schlüssel wird erkannt. Geben Sie Ihr Windows-Passwort ein und klicken Sie auf “Einrichten”.

– Anschließend ist Ihr USB-Schlüssel bereit für die Anmeldung. Sie können die TS-Sitzung schließen und versuchen sich mit dem USB-Schlüssel anzumelden.

– Für USB-Sticks kopiert Rohos außerdem die Datei “Rohos Logon Key (RDC Setup).exe”. Dies ist ein portabler Teil von Rohos, der die Benutzung dieses Schlüssels an jedem PC ohne Installation von Rohos Logon Key ermöglicht. Lesen Sie weiter unten mehr über die Benutzung der Datei.

Hinweis: Es ist möglich PKCS#11 Sicherheitstokens und MiFare Cards mithilfe des USB Key Manager aus dem Rohos Management Tools Paket einzurichten/anzulegen. Nach der Vorbereitung aller Schlüssel, muss die Schlüsselliste auf den Terminal Server exportiert werden. Mehr über Rohos Management Tools.

4. Um die Sicherheit des Terminal Servers zu verstärken, können Sie den Zugriff für Benutzer ohne USB-Schlüssel einschränken

Öffnen Sie Rohos Logon Key > Optionen > Anmeldung nur per USB-Schlüssel ermöglichen -> Für bestimmte Nutzer oder für die Anmeldung an einem Remote Desktop. Diese Option erhöht die Sicherheit, indem es die Anmeldung ohne Authentifizierung via USB-Schlüssel deaktiviert.

Es gibt folgende Auswahlmöglichkeiten:

 

  • Keine
    Alle Nutzer können sich per manueller Passworteingabe und durch Benutzung eines USB-Schlüssels anmelden. Nicht empfohlen für den Terminal Server.
  • Für jeden Benutzer
    Entspricht der vorigen Option “Anmeldung nur per USB-Schlüssel erlauben”. Alle Nutzer müssen sich mit einem USB-Schlüssel anmelden.
  • Für bestimmte Benutzer
    Nur Benutzer einer festgelegten Liste müssen sich per USB-Schlüssel anmelden. Alle anderen Benutzer können sich weiterhin auch mit einem Passwort einloggen. Die Liste wird automatisch erstellt, wenn ein USB-Schlüssel für einen Benutzer hinzugefügt wird. Siehe auch das Kapitel zum Dialogfenster Benutzer und Schlüssel.
  • Für die Benutzergruppe ‘rohos’ im Active Directory
    Alle Benutzer der ‚rohos‘ Gruppe müssen die Authentifizierung via USB-Schlüssel verwenden. Rohos testet den Nutzer auf Mitgliedschaft der ‚rohos‘ Gruppe und erlaubt die Anmeldung per Passwort nur, falls der Benutzer keiner ‚rohos‘ Gruppe angehört.
    Bitte beachten: Die Benutzergruppe ‘rohos’ sollte vom Administrator des Active Directory angelegt werden
  • Für die Anmeldung an einem Remote Desktop
    Lokale Benutzer können sich mit und ohne USB-Schlüssel anmelden. Die Anmeldung an einem Remote Desktop ist nur mithilfe eines USB-Schlüssels möglich.
  • Für die Anmeldung an einem Remote Desktop ohne LAN-Verbindung
    Die Anmeldung an einem Remote Desktop innerhalb eines LAN-Netzwerks ist mit und ohne USB-Schlüssel möglich. Nur Benutzer, die sich per Wählverbindung, DSL-Verbindung oder aus anderen Netzwerken anmelden müssen einen USB-Schlüssel verwenden.

Nach oben


Verbindung zum Remote Desktop

Dieses Fenster behandelt die Authentifzierung auf Netzwerkebene. Wählen Sie den erforderlichen Benutzer und geben Sie das Passwort ein.

Rohos Logon Key kann die Authentifizierung anhalten, falls noch kein USB-Schlüssel angeschlossen wurde:

Nach oben


Portable Rohos Logon Key

Falls Sie sich dafür entschieden haben, einen USB-Stick und die erste Variante der Authentifzierung zu benutzen, müssen Sie Rohos Logon Key nicht an jedem Arbeitsplatz installieren. Wie die Einrichtung funktioniert?

In der Anwendung USB-Schlüssel Manager gibe es eine zusätzliche Option, die festlegt, dass Rohos Remote Login auf den USB-Stick kopiert wird. Benutzen Sie dazu den Button Remote Desktop im USB-Schlüssel Manager.

Mehr über USB-Schlüssel Manager

Jeder Benutzer sollte die Anwendung Logon Key (RDP setup) einmalig auf einem beliebigen Client PC mit Windows 7/8 starten. Anschließend muss er die Anwendung Remote Desktop starten.

Nach oben


Rohos Logon Key für Terminal Server lizensieren

  • Die Rohos Server Lizenz wird für jeden Terminal Server PC mit Rohos Logon Key unter Windows 2003, 2008, 2012 mit RDC Zugriff benötigt. Die Anzahl an Tokens und Benutzern ist nicht limitiert
  • Für Arbeitsplätze mit RDC Zugriff (andere Windows Versionen) – PRO Lizenz.
  • Falls Sie Rohos Logon Key auf den lokalen PCs installieren (für Authentzifizierungs-Art 2/3) – brauchen Sie eine persönliche Lizenz für jeden PC.

Nach oben