Windows login logoff mit programm

[wbeppler]

Hallo zusammen,
Ich suche den Betriebssystem-Zugang um per Programm einen User anzumelden. Ich glaube das Abmelden bekomme ich hin weil es dazu ja ne Tastenkombination gibt. WIN-L oder so.

Ich mochte mittels einer Hardware die am USB haengt nennen User am Windows einloggen (und ausloggen). Dazu will ich was im systray und am USB einen arduino.

Habe aber noch keine API oder Dienst-Schnittstelle gefunden wie sa was gehen kann.
BITTE ALLES posten,

Danke

[Warf]

Das was du vor hast ist möglich, aber dafür muss man tief in die Trickkiste greifen.

Du kannst via USB eine USB-Tastatur simulieren, dabei wird windows nicht nachfragen und es einfach akzeptieren, dann sendest du über Tastenkombinationen deiner "Tastatur" die nötigen Informationen zum Benutzer wechseln.

[wbeppler]

Eben das geht nicht weil ich dadurch benutzernamen und passwortgeschützt senden muesste. Macht das jemand wenn Word schon auf ist, steht das pwd auf dem schirm.

Ich muss wissen ob jemand angemeldet ist.

Trotzdem danke, das war auch mein erster gedanke.

[af0815]

Das Windows System hält das Anmeldesystem vom normalen System getrennt. Das aus gutem Grunde. Es wird gibt meiner Information nach keine (einfachen) Möglichkeiten das zu umgehen.

[Warf]

So ganz verstehe ich dein Problem nicht, aber man könnte einfach tiefer in die Trickkiste greifen, Windows hat im Login Bildschirm einen Hilfe Button welcher ein Programm aus dem Windows Systemordner ausführt (weiß nicht mehr welches). Unter alten Windows Versionen konnte man die Datei einfach überschreiben und konnte so ein Programm mit Vollzugriff vor dem Login öffnen. Ob das immer noch geht weiß ich nicht, aber falls das noch funktioniert könnte man da ansetzen, einfach ein Programm welches sich um den Login kümmert mit dem Programm überschreiben, und im Login Screen auf den Button Klicken, und dieses Programm den Rest machen lassen.

[Komoluna]

Kann ich bestätigen (Win 7). Das Programm zum ersetzen findet man hier: "C:\Windows\System32\Utilman.exe".
Utilman.exe wird gestartet wenn man auf den "Eingabehilfe" Button im Login Screen drückt.

MFG

Komoluna

[af0815]

Schaut mal nach, in welchen Kontext dann das Programm läuft. Sieht man mit den Sysinternals Tool Prozessexplorer recht gut.

[RuhrPotto]

Ich muss wissen ob jemand angemeldet ist.

Auch ich verstehe den Sinn nicht wirklich. Auch unter Win XP war immer ein Benutzer aktiv (den Namen kann man ermitteln) auch wenn der Login via Kennwort deaktiviert wurde und direkt zum Desktop gebootet wurde.
Insofern kann ein Programm des Status feststellen und ein Logoff veranlassen.
Benutzername/Konto und Kennwort werden über normale Tastatur gewählt und eingegeben.
Aber am sollte man vertrauliche Zugangsdaten auf einem anderen System speichern und diese dann simuliert eingeben und dann irgendas veranlassen, von dem der dann angemeldete User nichts weiss?

[wbeppler]

Mein Kunde hat Transporter und will dass die Mitarbeiter sich damit am PC anmelden. Ich mach viel mit microcontroller und kann seine Transporter lesen, ich kann vcp oder hdmi sein, aber passwortgeschützt einfach eintippen geht garnicht. Klar ?

[af0815]

Geht es um Transponder (RFID) oder Transporter ?!

Edit:
Schau dir mal folgendes an:
The Secure Access Using Smart Cards Planning Guide
Richtlinien für die Smartcard-Anmeldung über Zertifizierungsstellen von Fremdanbietern
NFC Connector – Use RFID or basic cards as smart cards to login to active directory

[wbeppler]

Hi, es geht um eine Art rfid. Kundenspezifisch !!!!!!!!
Ich weiss, das ist nicht standard. Mir nutzen beitrage wie "dazu gibt es lesegeraete, usb, etc" nichts. Ich muss mit spezial-hard-und-Software einen Windows login hingekommen ohne das Kennwort sichtbar als zu tastatur einzugeben.

Ich weiss, das ist anders als Normal

Danke, gruss, w.

[af0815]

Letzten Link, dort kannst du vielleicht vielleicht deinen Reader als ein Device für einen der vorhandenen Connector verwenden. Ansonsten sehe ich keine Möglichkeit das zu lösen.


Vielleicht ein Anknüpfungspunkt
LogonUser function
aber kA was da genau macht.

Beispiel: http://codingforpassion.blogspot.co.at/ ... r-net.html

[t0c4]

Was du suchst nennt sich Credential Provider:
https://docs.microsoft.com/en-us/window ... in-windows

Beispiel einer Umsetzung:
https://usblogon.quadsoft.org/de/

Mußte mich vor längerem mal mit dem Thema befassen. Beim USBLogon stört mich, daß er closed source ist. Klar, jeder muß Geld verdienen und von was leben. Aber der USBLogon ist frei. Deshalb sehe ich das Argument dort nicht wirklich. Open Source wäre mir in dem Bereich lieber. Es geht um Passwörter und Zugänge. Das ist sehr sicherheitssensibel. - Oder halt ein großer kommerzieller, damit die Nutzerbasis groß genug ist, damit Bugs und Security Issues "schnell" gefunden werden können. Windows kann mittlerweile Fido2. Wobei mich da stört, daß man dafür zwingend ein Microsoft Konto braucht Meine Vorgabe war (bzw. ist): zweiter Faktor und wenn möglich mit der Wahlmöglichkeit passwortless oder zumindest separate (kleine) Pin. Mit Fido2 müßte man zumindest endlich nicht mit einem riesen Schlüsselbund herumlaufen und hätte den einen Ring der sie alle öffnet

PS.: Fido2 mit Win 10 habe ich nie probiert. Warte noch, bis der MS Konto Zwang weg kommt oder bis eh alle ein MS Konto aufgezwungen bekommen haben.

Ich hatte kurz drüber nachgedacht, selbst einen Credential Provider zu programmieren, hab aber doch nie Zeit dafür gefunden. Und wie gesagt, kann MS mittlerweile Fido2.

Bei allen Lösungen fehlen mir aber einige nette Gimmicks, so daß ich das Thema immer im Hinterkopf behalten habe. Wir setzen für die Türen ein Siemenssystem ein. (PS.: Ich meine echte, physische Türen, mit Türgriff, Türschloss usw.) Die haben keinen Griff mehr. Jeder Mitarbeiter hat einen rfid Token. Damit öffnet man die Türen. Bei der Siemenssoftware kann man nicht nur eingeben, welche Türen ein Token öffnen darf, sondern alles auch mit Uhrzeiten hinterlegen. Bspw. kann ein Mitarbeiter aus Abteilung A nur in die Bereiche von Abteilung A hinein und das auch nur von 5 bis 19 Uhr. Mit seinem Token - bei Verlust bspw. - könnte jemand Nachts überhaupt keine Tür öffnen. Das ganze auch Tagesbezogen. Dh. bspw. Montags und mittwochs von 5 bis 19 Uhr, dienstags von 8 bis 16 Uhr, freitags nur vormittags und samstag und sonntag garnicht. Sowas wäre ein nettes Gimmick auch für die Windowsanmeldung. Die Zeiterfassung läuft über die Software eines andern Herstellers. Dh. die Türen "wissen" nicht, daß es zwar Mittwoch ist, dieser Mitarbeiter aber gerade im Urlaub ist.

Auf den "Computerbereich" kann man das ewig weiterspinnen.
- An manchen PCs darf sich nicht jeder anmelden. Da die Nutzer selbst keine lokalen Adminrechte haben, können die nichts installieren. Da die spezielle Software xyz, die super sicherheitsrelevant ist und im Netz sehr viel verstellen kann, aber nur auf zwei Geräten installiert ist und auf diese Geräte durch unseren Credential Provider sichergestellt nur eine handvoll berechtigte Leute sich anmelden kann, weiß man sicher, daß niemand unberechtigtes die Software nichtmal auch nur starten kann, nichtmal aus versehen.
- Mitarbeiter der Abteilung A können sich nur an Geräten der Abteilung A anmelden. Das sind spezielle Powermaschinen die extrem teuer waren. Da sollen nicht Hinz und Kunz ihre Tabellenkalkulationen drauf rechnen lassen und die Maschinen mit sowas banalem verschleissen.
Man kann sich vieles dieserart vorstellen.
Da es ja "offene" Software ist und wir den Quellcode erweitern können, könnten wir auf die Idee kommen, die Software bspw. um Konzepte aus dem Software Defined Networking oder der Software Controlled Configuration zu erweitern.
- Wir kennen unsere Switche, wo sie stehen, usw., können durch besagte Konzepte/Methoden feststellen, daß aktuelles Geräte gerade nicht an einem der Switche 17, 23 und 36 angeschlossen ist: nada mit der Anmeldung. Diese (oben erwähnten) PCs seine teilweise Laptops. Wir wollen nicht, daß die aus der Abtelung A hinausgetragen werden und woanders genutzt werden. Einzig Chefe Nr. 3. Der darf das. Kann sich also auch dann anmelden, wenn der Laptop nicht an einem der besagten Switches hängt.
- Wir wollen die "Packungsdichte" eines Raumes, Lagerhalle, Produktionshalle etc. "beeinflussen". Wir kennen nicht nur unsere Switche, sondern auch unsere Wlan Access Points. Ein Nutzer möchte sich an einem "tragbaren" Arbeitsplatz anmelden. Unsere Software stellt fest "OK, Mittagspause ist rum, der darf wieder arbeiten", dann: "draußen regnet es, aber ist ok, da laut Wlan AP er im Wintergarten arbeiten möchte", dann aber: "über den Wlan AP sind aktuell bereits 4 angemeldet, dh. er darf hier doch nicht, da es für den Wintergarten eine maximal zulässige Belegungszahl gibt". Unsere Software ist natürlich so intelligent, nur die Laptops zu zählen. Die Handys bleiben unberücksichtigt. Die sitzen da ja jetzt nicht länger, sondern laufen nur durch.
Auch in diesem Bereich kann man sich vieles weiteres vorstellen.
Ein ganz anderer Bereich wäre sowas wie Multi Faktor Authentifizierung.
- Der rfid Token allein reicht nicht. Der Nutzer bekommt eine Nachricht an sein Handy, die er (wie auch immer) bestätigen muß.
- Der zweite Faktor könnte aber auch menschlich sein Nennt sich vier Augen Prinzip. Nehmen wir wieder diese super sicherheitsrelevante Maschine von oben. Wir haben bereits sichergestellt, daß sich nur die Admins aus dem Adminteam an diese "Adminmaschine" anmelden können. Wir haben auch sichergestellt, daß sich die Maschine zwinged im Serverraum B befinden muß. Nun stellen wir noch sicher, daß die Anmeldung zusätzlich auch der Abteilungsleiter IT "erlauben" muß.
usw. usw. usw.

PS.: bezogen auf deinen Vertipper "Transporter". Nehmen wir mal an, es wird in einer Logistikfirma eingesetzt. Die Fahrer haben Laptops/Tablets dabei. Der Fahrer will sich mit dem rfid Token anmelden und die Software merkt dabei: wieso in Spanien? Du bist laut Tourenplan doch in Frankreich.


----------


Gleich vorneweg ... Ja, gibts irgendwie alles schon ... Aber eben nur irgendwie. Genauer besehen, kann eine Lösung immer nur ein paar der Dinge. Letzlich dann nur in Teilen einsetzbar und nicht im ganzen Unternehmen. Oder jeder Unternehmensteil hat eine eigene Insellösung. Der Gedanke ist der: wenns open source ist, gut, brauchbar, ein tolles Stück Software, usw. wär's doch zumindest denkbar, daß es sich bspw. wie Nagios über Icinga zu Icinga 2 usw, verselbstständigt. Wo man aktuell noch denkt "Ja klar, jeder Switch ist angebunden. Auch die von HP. Und für Dell kochst du wieder ein eigenes Süppchen zur Software dazu. Schläfst du noch? .....", könnte doch ein "wäre hätte gedacht, daß HP von sich aus ein Plugin dafür schreibt und Dell dann auch gezwungen war und nun sogar Ubiquity einen Connector zu deren Controllersoftware veröffentlicht hat" werden. Warum nicht?

Nun, viel Spaß bei dem Projekt ..... Obwohl es kommerziell und für einen Kunden ist, trotzdem mal die Frage, werden/würden/könnten Sourcen offen gestellt

Grüße

[six1]

Kunden wollen immer alles mögliche und unmögliche...

Meiner Meinung nach macht es keinen Sinn, einen RFID Transponder an ein Lesegerät eines Rechners zu halten und danach Zugriff auf ein Benutzerkonto zu erhalten.
Was ist daran sicher?
Dies wäre ungefähr so sicher, wie ein Schild über einem Rechner, welcher automatisch in ein Benutzerkonto bootet, wo draufsteht: "Arbeiten an diesem PC nur für Berechtigte!"

[sstvmaster]

Außerdem ist der Beitrag schon 5 Jahre alt.