SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

SEFIROT eCard Logon Handbuch

© SEFIROT GmbH 2016 Kein Teil dieses Handbuches darf in irgendeiner Form (Druck, Fotokopie oder die Speicherung und/oder Verbreitung in elektronischer Form) ohne schriftliche Genehmigung der SEFIROT GmbH reproduziert oder vervielfältigt werden. Die Texte in dieser Beschreibung wurden sorgfältig zusammengestellt. Dennoch können Fehler nicht vollständig ausgeschlossen werden. Herausgeber und Autoren können für fehlerhafte Angaben und deren Folgen weder eine juristische Verantwortung noch irgendeine Haftung übernehmen. Für Hinweise auf Fehler und Verbesserungsvorschläge sind Herausgeber und Autoren dankbar. Alle Rechte vorbehalten. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Herausgebers unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Die in diesem Buch genannten Programmnamen, Soft- und Hardwarebezeichnungen sind meistens auch eingetragene Warenzeichen der Herstellerfirmen und unterliegen als solche den gesetzlichen Bestimmungen. Sie dürfen nicht gewerblich oder in sonstiger Weise verwendet werden. Irrtümer vorbehalten.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 1 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Inhalt Allgemeines ............................................................................................................................................. 4 Übersicht ............................................................................................................................................. 4 Voraussetzungen ................................................................................................................................. 5 Sicherheit............................................................................................................................................. 6 Nutzungshinweise ............................................................................................................................... 7 Standardeinstellungen nach Installation der Software ....................................................................... 8 Erste Schritte ........................................................................................................................................... 9 Aktivierung der eCard Logon Software ............................................................................................... 9 Anmeldung mit Karte und Nutzerregistrierung ................................................................................ 11 Anmeldung mit Karte ........................................................................................................................ 15 Aktivierung Ihrer eCard Logon Smart Card ....................................................................................... 16 Erweiterte Vorgänge ............................................................................................................................. 18 Mehr als ein Nutzerkonto für die Anmeldung registrieren ............................................................... 18 Löschung von Nutzeranmeldungen ................................................................................................... 21 Ein Kennwort ändern und synchronisieren ....................................................................................... 24 Die Kennwortrichtlinie für das eCard Logon optimieren .................................................................. 26 Eine Smart Card entsperren .............................................................................................................. 28 Eine gesperrte Karte ersetzen ........................................................................................................... 32 Die eCard Logon Lizenz vom Computer zurückziehen ...................................................................... 33 Unterschiede im eCard Logon auf verschiedenen Windows Versionen ............................................... 35 Anmeldeoptionen unter Windows 8 und Windows 8.1.................................................................... 36 Anmeldeoptionen unter Windows Vista und Windows 7 ................................................................. 37 Arbeitsstation sperren: Windows 10 und Windows 10 Update 1..................................................... 38 Arbeitsstation sperren: Windows 8 und Windows 8.1 ..................................................................... 39 Arbeitsstation sperren: Windows Vista und Windows 7 .................................................................. 40 Administrative Vorgänge ....................................................................................................................... 41 Die Passwort Nutzungsdauer ändern ................................................................................................ 41 Das Verhalten beim Entfernen von Smart Cards ändern (Windows)................................................ 43 Das Verhalten beim Entfernen von Smart Cards ändern (SEFIROT) ................................................. 44 Den Sperrbildschirm ändern: Windows Vista und Windows 7 ......................................................... 46 Den Sperrbildschirm ändern: Windows 8 und Windows 10 ............................................................. 48 Zusätzliche Arten der Anmeldung ......................................................................................................... 50 Als Administrator ausführen ............................................................................................................. 51 © SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 2 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin Authentifizierung auf Netzwerkebene mit Windows RDP Client ...................................................... 52 Als anderer Benutzer ausführen ....................................................................................................... 53 eCard Logon auf dem Server verwenden .............................................................................................. 54 Remote Sitzung am Server anmelden: Microsoft RDP Client............................................................ 54 Remote Sitzung am Server anmelden: Citrix ICA Client .................................................................... 57 Setup...................................................................................................................................................... 58 Installieren ......................................................................................................................................... 58 Aktualisieren...................................................................................................................................... 61 Deinstallieren .................................................................................................................................... 62

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 3 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Allgemeines Übersicht Das eCard Logon bietet dem Nutzer eine besonders einfache, schnelle und intuitive Möglichkeit, sich mit Hilfe von Smart Cards an einem Arbeitsplatz anzumelden, Sitzungen zu trennen und diese später wieder fortzusetzen. Die Anmeldung beginnt mit Stecken der Smart Card in ein vorhandenes Lesegerät und wird mit der Eingabe der Karten PIN abgeschlossen. Die Standardeinstellungen nach Installation der Software sind so gewählt, 



dass die Eingabe der PIN nur einmal pro Arbeitstag eingegeben werden muss. Weitere Anmeldungen am gleichen Tag erfolgen lediglich durch Stecken der Karte und sind mit einem Wimpernschlag abgeschlossen. dass beim Entfernen der Karte aus dem Lesegerät eine Trennung der aktuellen Sitzung erfolgt. Hierdurch ist es möglich, dass weitere Personen den Arbeitsplatz im Wechsel nutzen. Jeder Nutzer findet nach dem Wiederverbinden seiner Sitzung alle Anwendungen so vor, wie zum Zeitpunkt der Sitzungstrennung und kann die Arbeit dann nahtlos fortsetzen.

Alle Situationen, in denen sich Nutzer einen oder mehrere Arbeitsplätze im Wechsel teilen, werden vom eCard Logon in idealer Weise unterstützt. Es können lokale Nutzerkonten eines Computers wie auch Domain Konten von Nutzern zur Anmeldung verwendet werden.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 4 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Voraussetzungen Damit das eCard Logon installiert werden kann, muss auf dem betreffenden Computer eines der folgenden Windows Betriebssysteme vorhanden sein: Windows 7, Windows 8, Windows 8.1, Windows 10 und Windows 10 (1511 – Update Februar 2016). Achtung → Windows 10 (1511 – Update Februar 2016) ist in der Grundversion nicht verwendbar und muss über den Windows Update Mechanismus aktualisiert werden, bevor das eCard Logon in Betrieb genommen werden kann. Darüber hinaus werden folgende Komponenten benötigt: 1. Ein betriebsbereites Kartenlesegerät. 2. Eine Lizenzkarte, die als Lizenzträger für das eCard Logon dient. 3. Eine unterstützte Smart Card für jeden Mitarbeiter, der das eCard Logon nutzt. Die Lizenzkarte, die in der Regel zusammen mit dem Kartenlesegerät erworben wird, enthält genau eine Lizenz für einen Arbeitsplatz mit beliebig vielen Nutzern. Diese Lizenzkarte kann nicht für ein Server Betriebssystem verwendet werden. Sie haben die Möglichkeit Lizenzkarten für Client- und Serverbetriebssysteme zu erwerben. Folgende Smart Cards werden aktuell unterstützt: 1. Heilberufsausweis (HBA - Generation G2): Die Anwendung ESIGN wird vorausgesetzt und PIN und PUK der Karte müssen initialisiert sein! 2. Gesundheitskarte (eGK - Generation G2): Die Anwendung ESIGN wird vorausgesetzt und PIN und PUK der Karte müssen initialisiert sein! 3. D-TRUST Card 3.0 (qualified): Karten PIN und Karten PUK müssen initialisiert sein. 4. SEFIROT eCard (Smart Card mit Anmeldefunktion): PIN und PUK werden bei der Inbetriebnahme gesetzt. 5. SEFIROT eCard (Smart Card mit „Anmeldefunktion und Clientlizenz“): PIN und PUK werden bei der Inbetriebnahme gesetzt. 6. SEFIROT eCard (Smart Card mit „Anmeldefunktion und Serverlizenz“): PIN und PUK werden bei der Inbetriebnahme gesetzt. Einzelheiten zu allen Drittherstellerkarten entnehmen Sie bitte der Dokumentation des jeweiligen Kartenherausgebers. Alle von der SEFIROT GmbH herausgegebenen Karten für das eCard Logon besitzen folgende Charakteristik:    

PIN : 4-8 Ziffern, gesperrt nach 3 Fehleingaben der PIN PUK : 6-8 Ziffern, gesperrt nach 3 Fehleingaben der PUK Entsperren der PIN: Die PIN kann mit der PUK beliebig oft entsperrt werden. Die Karte muss ersetzt werden, wenn PIN und PUK gleichzeitig gesperrt sind.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 5 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Sicherheit Die eCard Logon Lösung ist auf Geschwindigkeit, Komfort und Einfachheit optimiert und verwendet Nutzername und Kennwort zur Anmeldung. Alle Kennwörter werden durch AES 256 Bit Verschlüsselung geschützt und auf dem lokalen Rechner in einer Datenbank hinterlegt. Bei der Anmeldung werden Karte und PIN dazu verwendet, den 256 Bit AES Schlüssel mit Hilfe des privaten RSA Schlüssels auf der Karte des Nutzers lesbar zu machen. Der 256 Bit AES Schlüssel wird im nächsten Schritt dazu genutzt, das Passwort zu dechiffrieren, damit es für die Anmeldung verwendet werden kann. Die Grundeinstellungen der Software sind so gewählt, dass sich der Nutzer nach einmaliger PIN Eingabe in den darauffolgenden 12 Stunden ohne Eingabe der PIN anmelden kann. Für diese Komfortfunktion werden die Passwörter des Nutzers zusätzlich mit dem geheimen Schlüssel des Computers geschützt. Präsentiert der Nutzer die Karte, wird das Passwort mit Hilfe des Computerkontos entschlüsselt und zur Anmeldung verwendet. Der mit Hilfe des Computerkontos verschlüsselte Datensatz wird beim Ausschalten des Computers oder nach 12 Stunden gelöscht. Die Sicherheit des eCard Logon kann heraufgesetzt werden. Die Standardeinstellung von 12 Stunden wurde dazu veränderbar eingerichtet. Wird die Einstellung auf 0 gesetzt, werden Passwörter niemals für das Computerkonto verschlüsselt. Der Nutzer muss in diesem Fall bei jeder Anmeldung die PIN der Karte eingeben, damit das Passwort entschlüsselt werden kann.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 6 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Nutzungshinweise Bei der Umstellung eines Arbeitsplatzes auf eCard Logon Anmeldung ist es ratsam, die Kennwörter der Nutzer durch komplexere Kennwörter zu ersetzen, die höchsten Sicherheitsanforderungen genügen. Durch den Einsatz des eCard Logons ist es möglich, auf Passwörter hoher Komplexität überzugehen, da die Smart Card Nutzer nur die für die Anmeldung relevante Karten PIN nachweisen müssen. Unabhängig davon, ob Kennwörter einfach oder schwierig zu erinnern sind, werden Nutzer ihre Kennwörter eher und häufiger vergessen, wenn sie diese nicht mehr täglich eingeben müssen. Treffen Sie organisatorische Maßnahmen und sorgen Sie für den Fall vor, dass ein Nutzer sich mit einem Kennwort anmelden muss. Ein Nutzer ist in folgenden Situationen dazu gezwungen, sein Kennwort zu verwenden: 1. Die Karte wurde vergessen, verlegt oder verloren. 2. Die Karte wurde endgültig gesperrt oder ist defekt. 3. Der Kartenleser ist defekt und es gibt kein Ersatzgerät. Überdenken Sie, ob es nach der Umstellung auf das eCard Logon und der Verwendung von sicheren Kennwörtern erforderlich ist, Nutzer zu regelmäßigen Kennwortänderungen zu zwingen. Lesen Sie zu diesem Thema auch den Abschnitt „Die Kennwortrichtlinie für das eCard Logon optimieren“.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 7 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Standardeinstellungen nach Installation der Software Für die Arbeitsweise des eCard Logon sind drei Einstellungen von Bedeutung: 1. Passwort Nutzungsdauer (Standard: 12 Stunden) → Die Passwort Nutzungsdauer legt fest, wie lange ein Nutzer, der sich initial mit Karte und PIN authentisiert hat, wiederholt mit der Karte anmelden kann, ohne die PIN erneut eingeben zu müssen. Wenn nach Installation der Software keine Änderungen an den Standardeinstellungen vorgenommen werden, dann gilt ein Intervall von 12 Stunden. Dessen ungeachtet muss die PIN immer eingegeben werden, wenn ein Neustart des Computers erfolgt ist. Die Einstellung der Passwort Nutzungsdauer wirkt auf alle Nutzer des Computers und kann daher nicht nutzerindividuell festgelegt werden. 2. Verhalten beim Entfernen von Smart Cards (Standard: Sitzung trennen) → Das Verhalten beim Entfernen von Smart Cards legt fest, was passiert, wenn ein Nutzer die Smart Card, die zur Anmeldung verwendet wurde, aus dem Lesegerät entfernt. Wenn nach der Software Installation keine weitere Festlegung erfolgt, wird die Sitzung getrennt. So ist es möglich, dass Nutzer sich einen Computerarbeitsplatz auf einfache Art und Weise, problemlos und unabhängig voneinander, teilen können. Die Einstellung des Verhaltens beim Entfernen von Smart Cards wirkt auf alle Nutzer des Computers und kann daher nicht nutzerindividuell festgelegt werden. 3. Sperrbildschirm (Standard: Nicht anzeigen) → Alle Windows Versionen können eine Form des Sperrbildschirms anzeigen. Dieser verhindert, dass beim Stecken einer Smart Card die Anmeldung automatisch gestartet werden kann. Wenn nach der Software Installation keine weitere Festlegung erfolgt, wird der Sperrbildschirm nicht mehr angezeigt, um die Anmeldung mit Karte weitestgehend zu vereinfachen. Die Einstellung für die Anzeige des Sperrbildschirms wirkt auf alle Nutzer des Computers und kann daher nicht nutzerindividuell festgelegt werden. Das Standardverhalten des eCard Logon tritt natürlich nur dann in Kraft, wenn nicht durch übergeordnete Gruppenrichtlinien ein anderes Verhalten festgelegt wird.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 8 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Erste Schritte Aktivierung der eCard Logon Software Melden Sie sich zunächst an Ihrem Arbeitsplatz an und starten Sie die eCard Logon Installationsanwendung. Nach der Installation müssen Sie sich abmelden. Sie werden dann aufgefordert die Lizenzkarte einzulegen. Die Anzeige variiert je nach Betriebssystem. Unter Windows 10 ergibt sich folgendes Bild:

Die Produktaktivierung beginnt sofort nach Einstecken der Lizenzkarte in das betriebsbereite Lesegerät: Kartenlesegerät :

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 9 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin Die Lizenzierung der Software benötigt nur einen kurzen Moment. Sobald der Vorgang erfolgreich abgeschlossen ist, erscheint die Meldung, dass die Lizenzkarte entfernt werden kann:

Die Lizenzkarte ist nun an den Rechner gebunden und kann nicht mehr für die Lizenzierung anderer Computer verwendet werden. Bewahren Sie die Karte dennoch gut auf, denn Sie benötigen die Lizenzkarte möglicherweise zu einem späteren Zeitpunkt in folgenden Situationen:  

Die Lizenz soll auf einen anderen Computer umziehen Der Computer erhält ein Betriebssystem Upgrade.

Die genaue Vorgehensweise hierzu finden Sie im Kapitel „Die eCard Logon Lizenz vom Computer zurückziehen“

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 10 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Anmeldung mit Karte und Nutzerregistrierung Unmittelbar nach Lizenzierung der Software und Entfernen der Lizenzkarte, kann das eCard Logon zur Anmeldung genutzt werden, es erscheint die Aufforderung zur Anmeldung mit Karte:

Sollte die Option „Anmeldung mit Karte“ nicht automatisch vorausgewählt sein, so klicken Sie mit dem Mauszeiger auf das entsprechende Feld. Starten Sie nun den Anmeldevorgang, indem Sie Ihre Karte in das betriebsbereite Lesegerät stecken. Kartenlesegerät :

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 11 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin Was nun geschieht, hängt von der verwendeten Karte ab und ob diese erst noch initialisiert werden muss. Im Folgenden wird der einfachste Fall dargestellt, d.h. die Karte ist eine Drittherstellerkarte (wurde also bereits initialisiert) oder eine SEFIROT Java-ID (eCard) die gemäß der Vorgehensweise aus dem Abschnitt „Aktivierung Ihrer eCard Logon Smart Card“ aktiviert wurde:

Die eCard Logon Software hat erkannt, dass noch kein Benutzerkonto zur Anmeldung mit der Karte verknüpft ist. Es zeigt deshalb die einzig sinnvolle und mögliche Option „Anmeldung mit gleichzeitiger Registrierung eines Nutzerkontos“ an. Damit der Vorgang abgeschlossen werden kann, müssen Sie folgende Aktionen ausführen: 1. Den Computernutzer aus der oberen Auswahlbox wählen. Klicken Sie dazu auf das kleine Auswahlsymbol am rechten Rand der Auswahlbox. 2. Geben Sie das passende Kennwort des Nutzers in das darunterliegende Textfeld ein. 3. Zum Schluss müssen Sie die Karten PIN eingeben, damit die Daten mit Hilfe des Schlüssels auf der Smart Card verschlüsselt werden können.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 12 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin Die Auswahlbox erlaubt die Auswahl eines Namens aus der Liste der lokalen Computerbenutzer:

Wurde bereits ein Benutzerkonto mit der Karte registriert, so erscheint der Name nicht mehr auf der Liste und wenn bereits alle Nutzerkonten mit der Karte registriert sind, dann wird die Option zur Registrierung nicht mehr angezeigt. Ist der Computer Mitglied in einer Windows Domäne, dann erscheint statt der Auswahlbox mit der Liste der lokalen Benutzer des Computers nur ein Textfeld und der vollständige Anmeldename muss von Hand eingegeben werden: 1. 2. 3. 4.

Für Lokale Nutzer (Alternative 1): Für Lokale Nutzer (Alternative 2 ): Für Domänen-Nutzer (Alternative 1): Für Domänen-Nutzer (Alternative 2):

© SEFIROT GmbH 2016

.\ \ \ @

Dienstag, 05. April 2016

Seite 13 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin Sobald Nutzer und Kennwort vorliegen muss zum Abschluss der Registrierung die PIN der Karte eingegeben und bestätigt werden:

Klicken Sie zur Bestätigung der Anmeldedaten auf den Pfeil rechts im PIN Eingabefeld oder drücken Sie einfach die ENTER Taste. Sobald alle Daten korrekt eingegeben und bestätigt wurden, erfolgt die Anmeldung. Der Anmeldedatensatz wird verschlüsselt gespeichert, so dass die Daten nur mit Hilfe von Karte und PIN wieder gelesen werden können. Die Anmeldedaten werden außerdem auch noch für den Computer verschlüsselt. Dieser zweite Datensatz wird nicht dauerhaft gespeichert, in der Standardeinstellung maximal 12 Stunden und dann gelöscht. Nach einmaliger, erfolgreicher Authentisierung mit Karte und PIN kann der Nutzer sich in den darauffolgenden 12 Stunden wiederholt mit Karte anmelden, ohne die PIN der Karte erneut eingeben zu müssen. Die für den Computer verschlüsselten Daten werden auch dann gelöscht, wenn der Rechner neu gestartet wird, so dass nach einem Neustart die Eingabe der PIN zur Anmeldung erforderlich ist.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 14 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Anmeldung mit Karte Sobald ein Nutzerkonto mit einer Karte verknüpft ist, kann die Anmeldung automatisch erfolgen, indem die Karte eingelegt wird. Bei erstmaliger Verwendung der Karte nach einem Neustart des Rechners oder wenn die letzte PIN Eingabe mehr als 12 Stunden (Standardeinstellung) zurückliegt, muss die PIN erneut eingegeben werden:

Sobald die PIN eingegeben und bestätigt ist, erfolgt die Anmeldung und wenn die Karte entfernt wird, erfolgt die Trennung der Sitzung. Wenn Sie die Sitzung vollständig beenden wollen, dann lassen Sie die Karte einfach stecken und melden sich wie gewohnt von Ihrer Windows Sitzung ab. Es erfolgt keine Neuanmeldung, wenn die Karte bereits beim Start des Anmeldebildschirms eingelegt ist. Dies würde sonst verhindern, dass Sie sich erfolgreich abmelden können.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 15 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Aktivierung Ihrer eCard Logon Smart Card Die Einzelheiten zur Initialisierung und Inbetriebnahme von Drittherstellerkarten entnehmen Sie bitte der Dokumentation des jeweiligen Kartenherausgebers. Sie können diesen Abschnitt überspringen, wenn Sie eine solche Karte verwenden. Die im Folgenden beschriebene Vorgehensweise bezieht sich nur auf SEFIROT Java-ID (eCard) Smart Cards. Wenn Sie eine solche Karte erstmalig einsetzen, befindet sich diese im Auslieferungszustand und muss initialisiert werden, d.h. PUK und PIN der Karte müssen gesetzt werden:

Alle von der SEFIROT GmbH ausgegebenen Karten für das eCard Logon besitzen folgende Charakteristik:  

PIN PUK

: 4-8 Ziffern, gesperrt nach 3 Fehleingaben der PIN : 6-8 Ziffern, gesperrt nach 3 Fehleingaben der PUK

Sie müssen für die PUK mindestens 6 und für die PIN mindestens 4 Ziffern eingeben. Ziffer bedeutet in diesem Kontext, dass nur die Ziffern 0-9 verwendet werden können.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 16 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin PUK und PIN müssen jeweils zweimal eingegeben werden um Fehler zu vermeiden:

Klicken Sie zur Bestätigung der Karteninitialisierung auf den Pfeil rechts im PIN Eingabefeld oder drücken Sie einfach die ENTER Taste. Sobald die Karte erfolgreich aktiviert wurde, erscheint die Aufforderung Anmeldedaten sowie die PIN einzugeben, um den ersten Nutzer der Karte zu registrieren. Folgen Sie dazu den Anweisungen im Abschnitt „Anmeldung mit Karte und Nutzerregistrierung“.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 17 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Erweiterte Vorgänge Mehr als ein Nutzerkonto für die Anmeldung registrieren Das eCard Logon erlaubt es, mehr als ein Benutzerkonto einer Karte zuzuordnen und dafür zu registrieren. Damit Sie nicht automatisch beim Stecken der Karte angemeldet werden, müssen Sie zuvor einfach mit der Maus die Option „Anmeldung hinzufügen“ aktivieren:

Dies ist das Signal an die eCard Logon Software, dass Sie es nicht wünschen unmittelbar angemeldet zu werden, sondern einen zusätzlichen Nutzer registrieren möchten, sobald Sie Ihre Karte in das betriebsbereite Lesegerät stecken.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 18 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin Links eingeblendet finden sich die Optionen, die sich Ihnen bieten: Nutzer „Mira Bellenbaum“ anmelden oder „Anmeldung hinzufügen“, wobei letztere automatisch ausgewählt wurde:

Falls Sie es sich anders überlegt haben, können Sie „Mira Bellenbaum“ anklicken und sich auf diese Weise anmelden oder einen weiteren Nutzer der Karte zuordnen und für diese registrieren. Gehen Sie dabei wie in „Anmeldung mit Karte und Nutzerregistrierung“ beschrieben vor.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 19 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin Sobald mehrere Computerkonten mit einer Karte verknüpft sind, erfolgt keine automatische Anmeldung, da nicht offensichtlich ist, welcher Nutzer angemeldet werden soll. Stattdessen erscheint ein entsprechender Hinweis, dass es notwendig ist, ein Nutzerkonto aktiv auszuwählen:

Die beiden Nutzer „Justin Time“ und „Nick Name“ sind mit „grünem Pfeil auf der jeweiligen Anmeldekachel“ links unten im Bereich der Anmeldeoptionen zu sehen. Dies ist ein Zeichen dafür, dass bereits aktive Sitzungen dieser Nutzer auf dem Computer vorhanden sind und wiederverbunden werden, wenn Sie einen dieser Nutzer auswählen. Klicken Sie hingegen auf „Mira Bellenbaum“, wird eine zusätzliche Sitzung für Mira Bellenbaum gestartet. Die Anmeldekachel „Mehrere Nutzerkonten“ erscheint erst ab Windows 10 und auch nur dann, wenn die eCard Logon Software nicht mit Sicherheit verhindern kann, dass eine automatische Anmeldung erfolgt.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 20 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Löschung von Nutzeranmeldungen Zum Löschen einer Nutzeranmeldung, Aufhebung der Verknüpfung zwischen einem Benutzerkonto und einer Karte, müssen Sie die Option „Anmeldung löschen“ mit einem Mausklick auswählen, bevor Sie Ihre Karte in den angeschlossenen Leser stecken:

Wenn Sie nun Ihre Karte einlegen, findet keine automatische Anmeldung statt. Stattdessen können Sie mit der Karte verbundene Anmeldungen löschen. Beachten Sie: Es wird lediglich die „Anmeldung mit der Karte“ entfernt und nicht der Computerbenutzer. Das Nutzerkonto bleibt bestehen und kann mit Nutzername und Kennwort weiterhin verwendet werden.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 21 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin In der oberen Auswahlbox für Nutzer befinden sich alle für die Karte registrierten Anmeldenamen:

Falls Sie es sich anders überlegt haben; mit einem Klick auf eine der links angezeigten Anmeldekacheln melden Sie sich mit dem von Ihnen ausgewählten Nutzer an, oder Sie entfernen eine oder mehrere der mit der Karte registrierten Nutzeranmeldungen. Dazu wählen Sie einen Namen aus der Liste aus und geben die PIN der Karte ein. Klicken Sie zur Bestätigung des Löschvorgangs auf den Pfeil rechts im PIN Eingabefeld oder drücken Sie einfach die ENTER Taste.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 22 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin Sobald Sie eine Anmeldung löschen wird diese auch aus der Liste der Anmeldeoptionen am linken Bildschirmrand entfernt. Sie können den Vorgang solange wiederholen, bis keine Anmeldungen mehr mit der Karte verbunden sind. In diesem Fall wird eine entsprechende Meldung ausgegeben:

Sie können nun die Karte entfernen oder die Option „Anmeldung hinzufügen“ auswählen, um einen anderen Nutzer für die Anmeldung mit der Karte zu registrieren, folgen Sie dazu den Anweisungen im Abschnitt „Anmeldung mit Karte und Nutzerregistrierung“.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 23 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Ein Kennwort ändern und synchronisieren Wenn Sie das Kennwort eines Benutzerkontos ändern, das bereits mit einer Karte registriert ist, dann scheitert der nächste Anmeldeversuch mit dieser Karte und es erscheint die Meldung „Der Benutzername oder das Kennwort ist falsch“.

Ist der Benutzername falsch, ist das Benutzerkonto auf dem Rechner gelöscht worden. Dann sollten Sie die Nutzeranmeldung für die Karte entfernen. Folgen Sie dazu den Anweisungen im Abschnitt „Löschung von Nutzeranmeldungen“. Andernfalls bestätigen Sie einfach die Meldung mit „OK“, um mit der Kennwortaktualisierung fortzufahren.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 24 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin Für die Kennwortaktualisierung müssen Sie das neue Kennwort und die PIN der Karte eingeben:

Klicken Sie zur Bestätigung der Eingabe auf den Pfeil rechts im PIN Eingabefeld oder drücken Sie einfach die ENTER Taste. Der Anmeldedatensatz für die Karte wird jetzt mit dem neuen Kennwort aktualisiert und Sie werden angemeldet.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 25 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Die Kennwortrichtlinie für das eCard Logon optimieren Häufige Kennwortänderungen und die notwendige Synchronisierung dieser Kennwörter mit der Karte mindern den Komfort, den das eCard Logon bei der Anmeldung bietet. Als Administrator können Sie den Benutzerkomfort optimieren, erzwungene Kennwortwechsel vermeiden, indem Sie die Kennwortrichtlinie von Windows geeignet anpassen. Starten Sie dazu das Windows Programm gpedit.msc (Tastenkombination +R):

Öffnen Sie nun die Kennwortrichtlinie in der Computerkonfiguration:

Durch einen Doppelklick auf die Richtlinie „Maximales Kennwortalter“ öffnen Sie den Dialog, um Anpassungen an dieser Richtlinie vorzunehmen.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 26 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin Sie können jetzt die Anzahl der Tage festlegen, die ein Kennwort benutzt werden darf, bevor Nutzer zu einer Änderung gezwungen werden:

Setzen Sie diesen Wert auf 0, so laufen die Kennwörter der Nutzer des Computers niemals ab. Diese Einstellung bietet zwar den meisten Komfort, beeinträchtigt aber auch die Sicherheit. Sollten Sie sich dennoch dafür entscheiden, so verwenden Sie bitte keine kurzen oder einfachen Kennwörter. Hinweis → Die Anmeldung mit dem eCard Logon erleichtert den Einsatz von sehr komplexen und langen Kennwörtern, da der Nutzer sich nur die PIN der Karte merken muss.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 27 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Eine Smart Card entsperren Beim Registrieren, Löschen und Anmelden von Nutzern muss die PIN der Karte verwendet werden. Hierbei kann es zu Fehleingaben kommen. Sollte dies passieren wird eine entsprechende Meldung angezeigt:

Sobald Sie diese Meldung mit „OK“ bestätigen, können Sie den aktuellen Vorgang wiederholen und es erneut versuchen. Verwenden Sie anschließend die korrekte PIN, so wird der Fehlbedienungszähler der PIN wieder auf den Ausgangswert zurückgesetzt (meist sind 3 Fehlversuche eingestellt) und der Vorgang wird erfolgreich beendet. Achtung → Lautet die angezeigte Meldung „Die angegebene PIN ist falsch.“, dann war die PIN zu kurz, zu lang oder enthielt unzulässige Zeichen. In einem solchen Fall wird der Fehlbedienungszähler der PIN nicht reduziert.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 28 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin Egal in welchem Anwendungsfall Sie sich befinden: Wenn Fehleingaben der PIN festgestellt werden und der Fehlbedienungszähler reduziert wird, erscheint zusätzlich eine entsprechende Warnung:

Im vorliegenden Beispiel handelt es sich um den letzten Versuch. Eine weitere fehlerhafte Eingabe der PIN wird die Karte sperren.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 29 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin Scheitert auch der letzte Versuch die richtige PIN einzugeben, wird eine entsprechende Meldung ausgegeben:

Wenn sie diese Meldung mit „OK“ bestätigen, dann wird der aktuelle Vorgang beendet und Sie erhalten die Gelegenheit die Karte zu entsperren.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 30 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin Sobald Sie während eines Vorgangs die Karte sperren oder eine bereits gesperrte Karte einsetzen wird automatisch die Option „Karte gesperrt“ angezeigt:

Sie haben nun die Möglichkeit, mit Hilfe der Karten PUK die Karten PIN neu zu setzen. Dazu müssen Sie die korrekte PUK der Karte eingeben. Legen Sie danach eine neue PIN fest. Klicken Sie zur Bestätigung der Eingabe auf den Pfeil rechts im „PIN bestätigen“ Feld oder drücken Sie einfach die ENTER Taste.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 31 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Eine gesperrte Karte ersetzen Sobald die PUK genutzt wird, um die PIN einer gesperrten Karte zurückzusetzen, kann natürlich auch die PUK durch Fehleingaben gesperrt werden. Wenn PIN und PUK der Karte gleichzeitig gesperrt sind, kann die Karte nicht mehr zur Anmeldung verwendet und muss ersetzt werden. Sollten Sie bei dem Versuch die PIN zurückzusetzen die PUK sperren oder eine Karte einsetzen, deren PIN und PUK gesperrt sind, wird die folgende Meldung angezeigt:

Ob die verwendete Karte nach Sperrung der PUK gänzlich nutzlos wird, hängt vom Typ der Karte ab. Eine Karte, die einzig die Anmeldefunktion unterstützt, ist nach Sperrung der PUK nutzlos und kann entsorgt werden. Ist die Karte gleichzeitig eine Lizenzkarte, so sollten Sie die Karte sorgfältig aufbewahren (siehe Abschnitt „Die eCard Logon Lizenz vom Computer zurückziehen“), denn die Lizenzfunktion bleibt vollständig erhalten. Die aktuell und zukünftig unterstützten Drittherstellerkarten besitzen oft noch zusätzliche Funktionen und PINs für andere Einsatzzwecke, die weiterhin genutzt werden können. Die Einzelheiten zu allen Drittherstellerkarten entnehmen Sie bitte der Dokumentation des jeweiligen Kartenherausgebers.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 32 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Die eCard Logon Lizenz vom Computer zurückziehen Damit Sie Ihre eCard Logon Lizenz auch nach einem Wechsel der Computer Hardware oder nach einem Betriebssystem Upgrade weiter verwenden können, muss die laufende Lizenz auf die Karte zurückübertragen werden. Wählen Sie dazu am Anmeldebildschirm einfach die Option „Anmeldung löschen“ aus und setzen Sie dann die Lizenzkarte in das betriebsbereite Lesegerät ein. Es erscheint nun die folgende Meldung:

Bewegen Sie jetzt den Mauszeiger über den „Die Lizenz auf diesem Computer zurückziehen“ Link. Wenn Sie den Link durch Drücken der linken Maustaste auslösen, wird die Lizenz auf die Karte zurückübertragen.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 33 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin Nachdem der Vorgang erfolgreich abgeschlossen ist, werden Sie aufgefordert die Lizenzkarte zu entfernen:

Sie können nun das eCard Logon auf einem anderen Computer installieren oder nach einem Betriebssystem Upgrade auf dem gleichen Computer erneut installieren und das Produkt mit der Lizenzkarte wieder aktivieren. Achtung → Sollten Sie es versäumen, die Lizenz vor einem Computerwechsel oder Betriebssystem Upgrade zurückzuziehen, kann die Lizenzkarte nicht erneut verwendet werden. Sie müssen für diesen Fall eine separate Lizenz neu erwerben.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 34 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Unterschiede im eCard Logon auf verschiedenen Windows Versionen Auf allen Windows Plattformen wird die gleiche eCard Logon Software ausgeführt. Das eCard Logon erkennt die verschiedenen Betriebssystemversionen und passt die graphische Darstellung und das Verhalten entsprechend an. Windows Vista und Windows 7 weisen identisches Verhalten auf und benutzen dieselbe reichhaltige und farbintensive Darstellung. Windows 8 und Windows 8.1 verhalten sich noch identisch zur Vorgängerversion, der größte Unterschied liegt im Übergang zu einer flachen und farbarmen Darstellung der Bedienelemente. Windows 10 und Windows 10 Update1 übernehmen die flache und farblose Darstellung der Vorgängerversion, zeigen jedoch die Liste verfügbarer Anmeldeoptionen zusammen und auf derselben Ebene wie die ausgewählte Anmeldeoption an. Nutzer wechseln deshalb nicht mehr zwischen verschiedenen Ebenen und eine Anmeldemöglichkeit ist stets vorausgewählt:

Anmeldeoptionen

Ausgewählte Anmeldeoption

Nutzer haben ab Windows 10 alle Möglichkeiten im Überblick, können die gewünschte Anmeldekachel im linken Bereich direkt auswählen und sich ohne weitere Wechsel in der Anzeige an ihrem Arbeitsplatz anmelden.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 35 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Anmeldeoptionen unter Windows 8 und Windows 8.1 Die Liste der Anmeldeoptionen, die in Windows 10 platzsparend am linken Bildschirmrand erscheint, beansprucht unter Windows 8 und 8.1 den gesamten Bildschirm:

Sobald sich ein Nutzer mit einem Klick für eine der angebotenen Zugangsoptionen entschieden hat, erscheint diese separat dargestellt:

Um zur Liste der Anmeldeoptionen zurückzukehren, muss der Pfeil links oberhalb der Anmeldekachel aktiviert oder die ESCAPE Taste gedrückt werden.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 36 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Anmeldeoptionen unter Windows Vista und Windows 7 Die Anmeldeoptionen werden auf einem separaten Bildschirm dargestellt und unterscheiden sich im Verhalten nicht von Windows 8 oder Windows 8.1. Einzig die graphische Darstellung weicht ab:

Sobald sich ein Nutzer mit einem Klick für eine der angebotenen Zugangsoptionen entschieden hat, erscheint diese separat dargestellt:

Um zur Liste der Anmeldeoptionen zurückzukehren, muss die Schaltfläche „Benutzer wechseln“ aktiviert oder die ESCAPE Taste gedrückt werden.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 37 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Arbeitsstation sperren: Windows 10 und Windows 10 Update 1 Im Gegensatz zu den Vorgängerversionen erscheint der Sperrbildschirm unter Windows 10 nicht, wenn der Nutzer den Arbeitsplatz in einer lokalen Sitzung sperrt. Windows 10 verhält sich wie nach einem „Benutzerwechsel“, egal welche der folgenden Optionen für das „Verhalten beim Entfernen der Smart Card“ unter Windows 10 eingestellt ist: 1. Trennen, falls Remotedesktopdienste-Sitzung, 2. Arbeitsstation sperren oder 3. Benutzerwechsel Erst für Remotedesktopdienste-Sitzungen wird der Unterschied sichtbar und der Sperrbildschirm tritt wieder in Erscheinung:

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 38 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Arbeitsstation sperren: Windows 8 und Windows 8.1 Falls „Arbeitsstation sperren“ für das „Verhalten beim Entfernen der Smart Card“ eingestellt ist und der Nutzer die Karte aus dem Lesegerät entfernt, wird der Sperrbildschirm angezeigt:

Wird bei installiertem eCard Logon der Pfeil links neben der Anmeldekachel aktiviert oder die ESCAPE Taste gedrückt, bekommt man zusätzlich die Möglichkeit zum Entsperren per Kennwort offeriert:

Wird die „Zurück“ Schaltfläche erneut aktiviert, gelangt man zu dem Punkt, der sich auf Karteziehen bei konfiguriertem Benutzerwechsel einstellen würde. Mit nur einem weiteren Klick erhält man den Bildschirm mit den gelisteten Anmeldeoptionen. © SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 39 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Arbeitsstation sperren: Windows Vista und Windows 7 Falls „Arbeitsstation sperren“ für das „Verhalten beim Entfernen der Smart Card“ eingestellt ist und der Nutzer die Karte aus dem Lesegerät entfernt, wird der Sperrbildschirm angezeigt:

Wird bei installiertem eCard Logon die Schaltfläche „Andere Anmeldeinformation“ aktiviert, bekommt man zusätzlich die Möglichkeit zum Entsperren per Kennwort offeriert:

Über die Schaltfläche „Benutzer wechseln“ gelangt man zu dem Punkt, der sich auf Karteziehen bei konfiguriertem Benutzerwechsel einstellen würde. Mit nur einem weiteren Klick erhält man den Bildschirm mit den gelisteten Anmeldeoptionen. © SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 40 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Administrative Vorgänge Als Administrator können Sie das Verhalten des eCard Logon auf Kartenaktionen an verschiedene Situationen und Bedürfnisse anpassen. Die Arbeitsweise der Software wird grundsätzlich über Windows Gruppenrichtlinien eingestellt. Für den Zugriff auf diese Einstellungen wird der Editor für lokale Gruppenrichtlinien benötigt. Starten Sie dazu das Windows Programm gpedit.msc (Tastenkombination +r):

Die Passwort Nutzungsdauer ändern Öffnen Sie im „Editor für lokale Gruppenrichtlinien“ in der Computerkonfiguration die Richtlinien für „eCard Anmeldung“, und wählen Sie mit der linken Maustaste den Eintrag „Passwort Nutzungsdauer“ mit einem Doppelklick aus:

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 41 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin Wählen Sie nun die Option „Aktiviert“ und legen Sie den gewünschten Wert fest:

Mit den vorgenommenen Festlegungen bestimmen Sie, wann und wie oft die PIN bei der Anmeldung mit Karte nachgewiesen werden muss.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 42 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Das Verhalten beim Entfernen von Smart Cards ändern (Windows) Öffnen Sie im „Editor für lokale Gruppenrichtlinien“ in der Computerkonfiguration die Richtlinien für „Sicherheitsoptionen“, und wählen Sie mit der linken Maustaste den Eintrag „Interaktive Anmeldung: Verhalten beim Entfernen von Smartcards“ mit einem Doppelklick aus:

Legen Sie den gewünschten Wert fest und übernehmen Sie die Änderung:

Mit der Festlegung „Trennen, falls Remotedesktop-Sitzung“ werden lokale Sitzungen zugleich auf „Benutzerwechsel“ eingestellt.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 43 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Das Verhalten beim Entfernen von Smart Cards ändern (SEFIROT) Öffnen Sie im „Editor für lokale Gruppenrichtlinien“ in der Computerkonfiguration die Richtlinien für „Smart Card Service“, und wählen Sie mit der linken Maustaste den Eintrag „Interaktive Anmeldung: Verhalten beim Entfernen der Smart Card“ mit einem Doppelklick aus:

Wählen Sie nun die Option „Aktiviert“ und legen Sie die gewünschten Werte für verschiedene Sitzungsarten und Protokolle fest:

Wenn Sie diese Richtlinie aktivieren, setzen Sie die entsprechende, im vorherigen Abschnitt beschriebene Windows Einstellung ganz oder teilweise außer Kraft.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 44 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin Mit der Einstellung für „Lokale Sitzung (Konsole)“ legen Sie das Verhalten für Nutzer fest, die direkt an dem Computer arbeiten. Mit der Einstellung für „Remote Sitzung (RDP)“ legen Sie das Verhalten für Nutzer fest, die mit Hilfe des Windows Remote Desktop Client auf einem entfernten Computer arbeiten. Mit der Einstellung für „Remote Sitzung (ICA)“ legen Sie das Verhalten für Nutzer fest, die mit Hilfe des Citrix Terminal Dienste Client auf einem entfernten Computer arbeiten. Mit der Einstellung für „Remote Sitzung (ICA – Linux Client)“ legen Sie das Verhalten für Nutzer fest, die mit Hilfe des Citrix Terminal Dienste Client auf einem entfernten Computer arbeiten und dabei einen Linux Thin Client verwenden. Folgende Optionen sind für alle Sitzungsarten verfügbar:  











Keine Aktion → Wenn Sie „Keine Aktion“ einstellen, bleibt die Sitzung des Nutzers beim Entfernen der Smart Card geöffnet. Arbeitsstation sperren →Wenn Sie „Arbeitsstation sperren“ einstellen, wird die Arbeitsstation beim Entfernen der Smart Card gesperrt, so dass der Benutzer den Arbeitsbereich verlassen, die Smart Card mitnehmen und dennoch eine geschützte Sitzung aufrechterhalten kann. Benutzerwechsel →Wenn Sie „Benutzerwechsel“ einstellen, wird beim Entfernen der Smart Card die Sitzung umgeschaltet und ein anderer Nutzer kann sich an dem Computer anmelden. Der aktuelle Benutzer kann sich später wieder anmelden und seine umgeschaltete Sitzung wieder aufnehmen. Abmeldung erzwingen → Wenn Sie „Abmeldung erzwingen“ einstellen, wird der Benutzer automatisch abgemeldet, wenn die Smart Card entfernt wird und erhält keine Möglichkeit den Vorgang aufzuhalten. Sitzung trennen → Wenn Sie „Sitzung trennen“ einstellen, wird beim Entfernen der Smart Card die Sitzung getrennt, ohne dass der Benutzer abgemeldet wird. So kann der Benutzer die Sitzung zu einem späteren Zeitpunkt nach Einlegen der Smart Card am selben Computer fortsetzen oder die Smart Card in einen anderen, mit einem Lesegerät ausgestatteten Computer einlegen und die Sitzung dort weiterführen, ohne sich erneut anmelden zu müssen (Wiederverbinden / Reconnect). Benutzer abmelden → Wenn Sie „Benutzer abmelden“ einstellen, wird der Benutzer automatisch abgemeldet, wenn die Smart Card entfernt wird. Anwendungen erhalten zusätzlich Zeit, um ungesicherte Daten zu speichern, bevor die Sitzung endgültig abgemeldet wird. Der Nutzer erhält dadurch ggf. Gelegenheit den Vorgang aufzuhalten. Lokale Richtlinie verwenden → Wenn Sie „Lokale Richtlinie verwenden“ einstellen, wird die in der Standard Windows Richtlinie festgelegte Aktion ausgeführt (siehe „Das Verhalten beim Entfernen von Smart Cards ändern (Windows)“.

WARNUNG → Verwenden Sie keine der anderen unter dem „Smart Card Service“ aufgeführten Richtlinien, außer der in diesem Abschnitt beschriebenen Richtlinie („Interaktive Anmeldung: Verhalten beim Entfernen der Smart Card“), da die anderen Richtlinien nicht für die eCard Logon Anmeldung relevant sind.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 45 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Den Sperrbildschirm ändern: Windows Vista und Windows 7 Die Betriebssysteme Windows Vista und Windows 7 können so konfiguriert werden, dass der Nutzer vor jeder Anmeldung die Tastenkombination „Strg+Alt+Entf“ drücken muss:

Wenn der Sperrbildschirm angezeigt wird, ist es nicht möglich, durch einfaches Stecken einer Smart Card die Anmeldung zu starten. Das eCard Logon deaktiviert bei der Installation daher den Sperrbildschirm. Zum Ändern der Einstellung öffnen Sie im „Editor für lokale Gruppenrichtlinien“ in der Computerkonfiguration die Richtlinien für „Sicherheitsoptionen“, und wählen Sie mit der linken Maustaste den Eintrag „Interaktive Anmeldung: Kein STRG+ALT+ENTF erforderlich“ mit einem Doppelklick aus:

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 46 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin Wenn Sie die Richtlinie aktivieren, wird kein Sperrbildschirm angezeigt:

Wenn Sie die Richtlinie deaktivieren, erscheint der Sperrbildschirm wieder und jeder Nutzer muss vor der Anmeldung die Tastenkombination „Strg+Alt+Entf“ drücken.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 47 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Den Sperrbildschirm ändern: Windows 8 und Windows 10 Die Betriebssysteme Windows 8, 8.1 und Windows 10 können so konfiguriert werden, dass der Nutzer vor jeder Anmeldung eine Taste drücken, den Bildschirm berühren oder mit der Maus klicken muss, damit der Sperrbildschirm verschwindet:

Sperrbildschirm Windows 8

Sperrbildschirm Windows 10

Wenn ein Sperrbildschirm angezeigt wird, ist es nicht möglich, durch einfaches Stecken einer Smart Card die Anmeldung zu starten. Die eCard Logon Software deaktiviert daher bei der Installation den Sperrbildschirm. Zum Ändern der Einstellung öffnen Sie im „Editor für lokale Gruppenrichtlinien“ in der Computerkonfiguration die Richtlinien für „Anpassung“, und wählen Sie mit der linken Maustaste den Eintrag „Sperrbildschirm nicht anzeigen“ mit einem Doppelklick aus:

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 48 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin Wenn Sie die Richtlinie aktivieren, wird kein Sperrbildschirm angezeigt:

Wenn Sie die Richtlinie deaktivieren, erscheint der Sperrbildschirm wieder und jeder Nutzer muss vor der Anmeldung eine Taste drücken, den Bildschirm berühren oder mit der Maus klicken.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 49 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Zusätzliche Arten der Anmeldung Das eCard Logon unterstützt neben der interaktiven Anmeldung der Windows Sitzung des Nutzers weitere Arten der Anmeldung. Für jede Art der Anmeldung nutzt das eCard Logon einen anderen Anmeldedatensatz: 1. Computer: Der Computerdatensatz enthält die Anmeldungen für interaktive Sitzungen auf dem Arbeitsplatz des Benutzers und wird auch verwendet, wenn der Nutzer ein Programm als Administrator ausführen will. 2. Netzwerk: Der Netzwerkdatensatz enthält die Anmeldungen, die nicht auf dem Arbeitsplatz des Nutzers ausgeführt werden und wird verwendet, wenn der Nutzer sich mit dem Windows RDP-Client auf einen entfernten Rechner mit der Option Authentifizierung auf Netzwerkebene verbindet. 3. Andere: Der Datensatz enthält alle Anmeldungen, die weder Computer noch Netzwerk sind und wird verwendet, wenn ein Nutzer ein Programm mit einer anderen Identität startet. Hinweis → Wenn Sie die Anmeldedatensätze „Netzwerk“ oder „Andere“ erstmalig nutzen, muss die PIN erneut eingegeben werden.

Achtung → Die hier im Kapitel „Den Sperrbildschirm ändern: Windows Vista und Windows 7 Die Betriebssysteme Windows Vista und Windows 7 können so konfiguriert werden, dass der Nutzer vor jeder Anmeldung die Tastenkombination „Strg+Alt+Entf“ drücken muss:

Wenn der Sperrbildschirm angezeigt wird, ist es nicht möglich, durch einfaches Stecken einer Smart Card die Anmeldung zu starten. Das eCard Logon deaktiviert bei der Installation daher den Sperrbildschirm. Zum Ändern der Einstellung öffnen Sie im „Editor für lokale Gruppenrichtlinien“ in der Computerkonfiguration die Richtlinien für „Sicherheitsoptionen“, und wählen Sie mit der linken Maustaste den Eintrag „Interaktive Anmeldung: Kein STRG+ALT+ENTF erforderlich“ mit einem Doppelklick aus: © SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 50 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Wenn Sie die Richtlinie aktivieren, wird kein Sperrbildschirm angezeigt:

Wenn Sie die Richtlinie deaktivieren, erscheint der Sperrbildschirm wieder und jeder Nutzer muss vor der Anmeldung die Tastenkombination „Strg+Alt+Entf“ drücken.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 51 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Den Sperrbildschirm ändern: Windows 8 und Windows 10 Die Betriebssysteme Windows 8, 8.1 und Windows 10 können so konfiguriert werden, dass der Nutzer vor jeder Anmeldung eine Taste drücken, den Bildschirm berühren oder mit der Maus klicken muss, damit der Sperrbildschirm verschwindet:

Sperrbildschirm Windows 8

Sperrbildschirm Windows 10

Wenn ein Sperrbildschirm angezeigt wird, ist es nicht möglich, durch einfaches Stecken einer Smart Card die Anmeldung zu starten. Die eCard Logon Software deaktiviert daher bei der Installation den Sperrbildschirm. Zum Ändern der Einstellung öffnen Sie im „Editor für lokale Gruppenrichtlinien“ in der Computerkonfiguration die Richtlinien für „Anpassung“, und wählen Sie mit der linken Maustaste den Eintrag „Sperrbildschirm nicht anzeigen“ mit einem Doppelklick aus:

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 52 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin Wenn Sie die Richtlinie aktivieren, wird kein Sperrbildschirm angezeigt:

Wenn Sie die Richtlinie deaktivieren, erscheint der Sperrbildschirm wieder und jeder Nutzer muss vor der Anmeldung eine Taste drücken, den Bildschirm berühren oder mit der Maus klicken.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 53 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin Zusätzliche Arten der Anmeldung“ im Folgenden beschriebenen Features sind nicht Gegenstand der lizenzierten eCard Logon Produkte. Die Nutzung erfolgt auf eigenes Risiko und ohne Gewähr.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 54 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Als Administrator ausführen Wenn man ein Programm als Administrator ausführen möchte, kann man die eCard Logon Software dazu verwenden, ein Konto mit Administratorberechtigung zu registrieren:

Wie registriert wird, findet man im Abschnitt „Anmeldung mit Karte und Nutzerregistrierung“ beschrieben. Das Programm wird nach der Registrierung sofort mit Administratorberechtigung gestartet. Wenn bereits ein Administratorkonto mit der Karte verknüpft ist, braucht man nur auf die Anmeldeoption Administrator zu klicken, um das Programm unter dieser Nutzerkennung auszuführen:

Man kann auch „Anmeldung löschen“ zum Entfernen des Administratorkontos anklicken und die Registrierung mit der Karte aufheben. Wie Kontenverknüpfungen mit der Karte aufgehoben werden, findet sich in „Löschung von Nutzeranmeldungen“ beschrieben. Die Option „Anmeldung hinzufügen“ steht nur dann zur Verfügung, wenn weitere Konten mit Administratorberechtigung auf dem Computer vorhanden sind. © SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 55 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Authentifizierung auf Netzwerkebene mit Windows RDP Client Falls man sich mit dem Windows RDP Client auf einem anderen, entfernten Rechner anmelden möchte, kann man die eCard Logon Software dazu verwenden, ein Konto für diesen Rechner zu registrieren und mit Hilfe der Authentifizierung auf Netzwerkebene eine Remote Sitzung zu starten:

Wie registriert wird, findet man im Abschnitt „Anmeldung mit Karte und Nutzerregistrierung“ beschrieben. Die Sitzung wird nach der Registrierung sofort unter der entsprechenden Nutzerkennung gestartet.

Auch hier können weitere Anmeldungen hinzugefügt bzw. gelöscht werden. Wie dies geschieht, findet sich in den Abschnitten „Anmeldung mit Karte und Nutzerregistrierung“ oder „Löschung von Nutzeranmeldungen“ beschrieben.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 56 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Als anderer Benutzer ausführen Wenn man ein Programm als anderer Nutzer ausführen möchte, kann man die eCard Logon Software dazu verwenden, das Konto eines anderen Nutzers zu registrieren:

Wie registriert wird, findet man im Abschnitt „Anmeldung mit Karte und Nutzerregistrierung“ beschrieben. Das Programm wird nach der Registrierung sofort mit der entsprechenden Nutzerberechtigung gestartet.

Auch hier können weitere Anmeldungen hinzugefügt bzw. gelöscht werden. Wie dies geschieht, findet sich in den Abschnitten „Anmeldung mit Karte und Nutzerregistrierung“ oder „Löschung von Nutzeranmeldungen“ beschrieben.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 57 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

eCard Logon auf dem Server verwenden Wenn die eCard Logon Software auf einem Server installiert wird, können Nutzer Smart Card und PIN verwenden, um eine Windows Sitzung auf dem Server zu starten. Hierbei erfolgt die Authentifizierung direkt auf dem Server. Das Verhalten beim Entfernen der Smart Card und die Nutzungsdauer des Passworts kann am Server konfiguriert werden. Beginnt man hingegen eine Sitzung auf dem Server mittels „Authentifizierung auf Netzwerkebene mit Windows RDP Client“, kann diese Sitzung nicht durch Ziehen der Karte getrennt oder gesperrt werden, da Karte und PIN clientseitig verwendet werden, um Nutzername und Kennwort zum Server zu übertragen. Hinweis → Wenn Sie die eCard Logon Software auf einem Server verwenden möchten, können Sie dafür eine separate Server Lizenzkarte erwerben, um die Software auf dem Server zu aktivieren.

Remote Sitzung am Server anmelden: Microsoft RDP Client Damit Sie eine RDP Client Sitzung direkt am Server anmelden können, muss der Server so konfiguriert sein, dass die Authentifizierung auf Netzwerkebene nicht erzwungen wird. Öffnen Sie hierzu erst die Systemeigenschaften:

Klicken Sie auf „Remoteeinstellungen“, damit der Dialog erscheint, mit dem die Authentisierungseinstellungen geändert werden können.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 58 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin Entfernen Sie den Haken bei „Verbindung nur von Computern zulassen, auf denen Remotedesktop mit Authentifizierung auf Netzwerkebene ausgeführt wird (empfohlen)“:

Der Server erlaubt es nun, RDP Verbindungen aufzubauen, ohne vorher die Authentifizierung auf Netzwerkebene durchzuführen. Sie müssen im zweiten Schritt noch die *.RDP Datei für die RDP Client Verbindung ändern. Aktivieren Sie dazu das Kontextmenü indem Sie mit der rechten Maustaste auf das Dateisymbol klicken:

Wählen Sie aus dem Menü den Punkt „Öffnen mit…“.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 59 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin Benutzen Sie den Editor aus der Liste der verfügbaren Anwendungen, um damit die Einstellungen zu ändern:

Mit dem Editor erhalten Sie jetzt Zugriff auf alle Einstellungen, auch die, die mit der normalen „Bearbeiten“ Funktion nicht geändert werden können:

Suchen Sie die Zeile „enablecredsspsupport:i:1“ und ändern Sie den Wert auf „enablecredsspsupport:i:0“. Erstellen Sie einen neuen Eintrag, falls der Wert noch nicht existiert. Speichern Sie die Änderung. Wenn Sie die Verbindung jetzt öffnen, erfolgt die Anmeldung mit der Karte direkt auf dem Server.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 60 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Remote Sitzung am Server anmelden: Citrix ICA Client Wenn Sie die eCard Logon Software auf einem Server installieren, um Sitzungen mit einem Citrix ICA Client zu starten, sind keine weiteren Vorkehrungen nötig, da die Authentifizierung auf Netzwerkebene bei diesem Sitzungsprotokoll nicht verwendet wird.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 61 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Setup Installieren Sie müssen die eCard Logon Installationsanwendung ausführen, wenn Sie eCard Logon auf Ihrem Rechner installieren möchten. Starten Sie dazu das Installationsprogramm durch einen Doppelklick mit der linken Maustaste auf das Anwendungssymbol.

Wenn Sie bereits mit einem Nutzerkonto angemeldet sind, das über Administrationsberechtigung auf dem Computer verfügt, müssen Sie nur noch bestätigen, dass Änderungen am PC vorgenommen werden dürfen (linke Seite). Andernfalls werden Sie aufgefordert ein entsprechendes Nutzerkonto auszuwählen und das Kennwort einzugeben (rechte Seite).

Sobald Sie den Vorgang durch Klicken auf die „Ja“ Schaltfläche bestätigen, wird die Installation vorbereitet und die benötigten Dateien werden auf dem Computer entpackt.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 62 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin Nachdem die Installationsdateien auf dem Computer entpackt wurden, können Sie auf die „Weiter“ Schaltfläche klicken, um die Softwarelizenz anzuzeigen:

Lesen Sie sich die Lizenzbestimmungen sorgfältig durch:

Wählen Sie die Option „Ich akzeptiere die Bedingungen der Lizenzvereinbarung“, wenn Sie mit dem Inhalt einverstanden sind und mit der Installation beginnen möchten.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 63 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin Klicken Sie auf die Schaltfläche „Installieren“, um eCard Logon auf dem Rechner zu aktivieren:

Es dauert nun einige Momente, bis der Vorgang abgeschlossen ist:

Beenden Sie den Dialog, indem Sie „Fertig stellen“ mit der linken Maustaste bestätigen. Die eCard Logon Anmeldung ist nun auf dem Computer installiert und steht Ihnen bei der nächsten Anmeldung sofort zur Verfügung.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 64 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Aktualisieren Sie können die eCard Logon Anmeldung auf Ihrem Computer einfach aktualisieren, indem Sie eine eCard Logon Installationsanwendung mit einer höheren Versionsnummer ausführen. Starten Sie die Installationsanwendung wie eingangs im Abschnitt „Installieren“ beschrieben. Sie werden nun gefragt, ob Sie ein Update der Software durchführen möchten. Bestätigen Sie den Dialog mit „Ja“:

Während des Updateprozesses kann der Hinweis erscheinen, dass Dateien in Gebrauch sind. Bestätigen Sie diese Meldung einfach mit „OK“:

Falls die vorherige Meldung angezeigt wird, müssen Sie anschließend bestätigen, dass der Rechner neu gestartet werden kann:

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 65 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin

Deinstallieren Zum Deinstallieren von eCard Logon starten Sie am besten den Dateiexplorer von Windows. Wählen Sie in der linken Baumansicht den Knoten „Dieser PC“ aus und blenden Sie, falls erforderlich das Menu Band im oberen Bereich des Dialogs ein, klicken Sie dazu auf das Pfeilsymbol links neben dem Fragezeichen:

Dieser PC

Klicken Sie nun auf den „Programm deinstallieren oder ändern“ Eintrag und suchen Sie in der Liste der installierten Programme den Eintrag „SEFIROT - eCard Logon“:

Durch einen Doppelklick auf den Eintrag wird die Deinstallation der Software eingeleitet.

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 66 von 67

SEFIROT GmbH Habersaathstraße 34 D - 10115 Berlin Wenn Sie eCard Logon wirklich von Ihrem Computer entfernen wollen, bestätigen Sie den folgenden Dialog mit „Ja“:

Während der Deinstallation kann der Hinweis erscheinen, dass Dateien in Gebrauch sind. Bestätigen Sie diese Meldung einfach mit „OK“:

Falls die vorherige Meldung angezeigt wird, müssen Sie anschließend bestätigen, dass der Rechner neu gestartet werden kann:

© SEFIROT GmbH 2016

Dienstag, 05. April 2016

Seite 67 von 67