Wenn es wenigstens keine VM wäre dann hätte man bei einem geteilten Schlüssel einen Teil aus dem Hardwareprofil nehmen können. Das wäre nicht gleich ein offensichtlicher Speicherort...leider ist es ne VM...
und da bekommt man höchstens unterschiedliche prozessornamen....
Andererseits habe ich diese Lösung(https://theroadtodelphi.com/2010/12/...i-and-the-wmi/) noch nie ausprobiert.

Der Vertrauenswürdige könnte sich im Urlaub auch von nem Rubber-Ducky vertreten lassen...
Gut aber dann kann man auch gleich auf eine richtige Dongel Lösung setzen.

Was aber auch bei einer VM geht sind andere Geräte im Netzwerk, deren Namen oder Freigaben. Das setzt natürlich weiterhin voraus das Geheim gehalten wird was es nun genau ist.
Besser wäre es wenn der berechtigte eine Nachricht bekommt, SMS oder sowas, und antworten muss.

Dafür kann man ja einen Authenticator nutzen.

Wenn das Laufwerk verschlüsselt ist, nutzt es einem Dieb nichts, wenn es jemand schlicht klaut.

Auf den Rechner kommen vermutlich nur Vertrauenswürdige und Hacker aber auf die betroffene VM schon einige Mitarbeiter. Der Zugriff auf das system ist auch dokumentiert, weil es eben wichtig ist das es läuft.
Kann ein TPM modul letzten endes nicht auch ein Dongel sein?

Ja, so könnte man auch das Geheimnis selbst recht gemütlich über eine Webservice oder eine App eingeben.

Wenn das Laufwerk verschlüsselt ist, muss man ein Passwort beim Start des Computers eingeben oder?
Ein Authenticator ließe sich zumindest auch im Urlaub aber nicht so toll im Krankenhaus benutzen.
Aber so eine App ist sicher der komfortabelste Weg das Geheimnis einzugeben, wenn man sich nicht Remote auf die VM wo der Dienst läuft einlogen will.

[irony on]
in den alten nntp newsgroups hatte MM damals angemerkt, man könnte die Zugangsdaten im Klartext in die readme packen, da die eh niemand liest
[irony off]
Wenn der Schlüssel auf dem System gespeichert ist, gilt er als bekannt. Da gibt es keine Ausnahme, auch kein Verschleiern. Die einzige Möglichkeit: pack den Schlüssel in eine Hardware und nur mit dieser Hardware ist der Dienst lauffähig. Die Kollegen von https://www.wibu.com/de/produkte/wibukey.html waren früher immer auf der EKON und haben ihre Lösung vorgestellt.

Irgend einen Dongel wird es brauchen. bzw. einen Dongel und eine Verteiltenschlüssel.
Halt mindestens als Urlaubs/Krankenhaus Modus.


Das ist Brilliant! So läuft das bei uns auch. am besten mit README.MD , dann weiß man schon, wenn man drauf klickt findet Windows nicht die Anwendung mit der man die Datei öffnen kann und muss selber aus der Liste eins auswählen, was natürlich viel zu viel Aufwand ist...

Hallo,
ich habe mit dem Hardware-Schutz (Dongle) von MatrixLock http://www.matrixlock.de/modelle.htm in der Vergangenheit gute Erfahrungen gemacht. Einen oder mehrere Teile des Schlüssels kann man in den Registern des Dongles speichern und den USB-Dongle nicht nur an den lokalen PC’s, sondern auch direkt an den Server anschließen. Ohne diesen Hardware-Schutz läuft dann eben kein Programm.

Vielleicht kann man ja das TPM-Modul nutzen. Problematisch ist aber in jedem Fall ein unbefugter physischer Zugriff auf das System.