Was aber auch bei einer VM geht sind andere Geräte im Netzwerk, deren Namen oder Freigaben. Das setzt natürlich weiterhin voraus das Geheim gehalten wird was es nun genau ist.
Besser wäre es wenn der berechtigte eine Nachricht bekommt, SMS oder sowas, und antworten muss.

Dafür kann man ja einen Authenticator nutzen.

Wenn das Laufwerk verschlüsselt ist, nutzt es einem Dieb nichts, wenn es jemand schlicht klaut.

Auf den Rechner kommen vermutlich nur Vertrauenswürdige und Hacker aber auf die betroffene VM schon einige Mitarbeiter. Der Zugriff auf das system ist auch dokumentiert, weil es eben wichtig ist das es läuft.
Kann ein TPM modul letzten endes nicht auch ein Dongel sein?

Ja, so könnte man auch das Geheimnis selbst recht gemütlich über eine Webservice oder eine App eingeben.

Wenn das Laufwerk verschlüsselt ist, muss man ein Passwort beim Start des Computers eingeben oder?
Ein Authenticator ließe sich zumindest auch im Urlaub aber nicht so toll im Krankenhaus benutzen.
Aber so eine App ist sicher der komfortabelste Weg das Geheimnis einzugeben, wenn man sich nicht Remote auf die VM wo der Dienst läuft einlogen will.

[irony on]
in den alten nntp newsgroups hatte MM damals angemerkt, man könnte die Zugangsdaten im Klartext in die readme packen, da die eh niemand liest
[irony off]
Wenn der Schlüssel auf dem System gespeichert ist, gilt er als bekannt. Da gibt es keine Ausnahme, auch kein Verschleiern. Die einzige Möglichkeit: pack den Schlüssel in eine Hardware und nur mit dieser Hardware ist der Dienst lauffähig. Die Kollegen von https://www.wibu.com/de/produkte/wibukey.html waren früher immer auf der EKON und haben ihre Lösung vorgestellt.

Irgend einen Dongel wird es brauchen. bzw. einen Dongel und eine Verteiltenschlüssel.
Halt mindestens als Urlaubs/Krankenhaus Modus.


Das ist Brilliant! So läuft das bei uns auch. am besten mit README.MD , dann weiß man schon, wenn man drauf klickt findet Windows nicht die Anwendung mit der man die Datei öffnen kann und muss selber aus der Liste eins auswählen, was natürlich viel zu viel Aufwand ist...

Hallo,
ich habe mit dem Hardware-Schutz (Dongle) von MatrixLock http://www.matrixlock.de/modelle.htm in der Vergangenheit gute Erfahrungen gemacht. Einen oder mehrere Teile des Schlüssels kann man in den Registern des Dongles speichern und den USB-Dongle nicht nur an den lokalen PC’s, sondern auch direkt an den Server anschließen. Ohne diesen Hardware-Schutz läuft dann eben kein Programm.

Ich mache das in einer Anwendung mit einem USB-Zu-Ethernet-Gerät (wie auch schon von johndoe049 vorgeschlagen). Bei meinem Kunden gab es die Möglichkeit, das Gerät (und somit den USB-Stick) im nicht frei zugänglichen Keller aufzustellen. Der Server steht dann anderswo im Gebäude und die Firewall erlaubt nur von der Server-IP Zugriff auf den USB-Netzwerkadapter. Die Überlegung dabei: wenn der Server geklaut wird, dann muss der Dieb nochmal kommen, um den Stick zu klauen. Das verhindert aber natürlich nicht den Angriff auf das System über's Internet, aber das sollte ja eigentlich die Firewall verhindern...

Fazit: absolute Sicherheit gibt es nicht, aber es kann einem Angreifer so schwer wie möglich gemacht werden.

Hartmut