Wenn dein Problem oder deine Frage geklärt worden ist, markiere den Beitrag als "Lösung",
indem du auf den "Lösung" Button rechts unter dem entsprechenden Beitrag klickst. Vielen Dank!
20.06.2012, 13:32 (Dieser Beitrag wurde zuletzt bearbeitet: 20.06.2012 13:32 von dali4u.)
ich muss bei einigen meiner Projekte sicherstellen, das die Software nur innerhalb
unseres Firmennetzwerks aufgerufen werden kann.
was ich bisher habe:
- Abfrage Anmeldename bei Windows (z.B. mmustermann), dann muss ich aber alle
Kürzel der Anmeldenamen in der Software hinterlegen
- Ping Server inkl. Auswertung der Antwort -> klappt einwandfrei, aber dann läuft
die Software nur wenn der Server online ist und kann evtl noch gestartet werden,
denn die IP in einem anderen Netz auch vorhanden ist
- Abfrage der Benutzergruppen der Active Directory mit CN=Max Mustermann über .NET
(geht nur wenn Server online ist)
Problem
- bei allen drei Möglichkeiten muss der Rechner eine Netzwerkverbindung haben,
allerdings kann das auch ein Notebook sein, was nicht immer am Netz hängt,
aber in der Domain registriert ist.
- Auch wenn keine Netzwerkverbindung vorhanden ist, kann man sich ja
am Notebook anmelden, wenn man sich bereits einmal an der Domain angemeldet hatte.
Idee:
Abfrage, ob der Rechner zu einer Domain gehört? Aber wie? Wenn ich das in diversen
Foren suche mit "Domain" erhalte ich eher die Beiträge zu Digital-Filter etc.
Bei den .NET Objekten weiss ich nicht so recht weiter, welche ich da brauche oder
benutzen muss? Habe scho in der MSDN von Microsoft gesucht, aber nicht das richtige
gefunden (vielleicht suche ich auch mit den falschen Begriffen)...
Hat jemand eine andere Idee oder wie kann ich die Domain abfragen?
Die Domain findest du z.B. in Win32_ComputerSystem.
Vielleicht hilft dir das ja weiter.
Gruß SeBa
Dieser Beitrag soll weder nützlich, informativ noch lesbar sein.
Er erhebt lediglich den Anspruch dort wo er ungenau ist, wenigstens eindeutig ungenau zu sein.
In Fällen größerer Abweichungen ist es immer der Leser, der sich geirrt hat.
Rette einen Baum!
Diesen Beitrag nur ausdrucken, wenn unbedingt nötig!
Ist das nicht suboptimal, da es nur "security by obstruction" liefert?
Ich meine: letztlich musst du dir darüber klar sein, dass man das einfach aushebeln kann indem man eine Domain gleichen Namens erstellt und das Program darauf laufen lässt. Ich würde das von daher zumindest noch mit einer PW Anfrage Verbinden bzw. mit einer der anderen Ideen wie zum Beispiel Firmenserver anpingen und sich die "Erlaubnis" holen das das Program ausgeführt werden darf.
Man könnte auch einen zweistufigen Prozess machen: Es wird ein Server gesucht zwecks verifizieren. Ist der nicht zu finden, hat man eine (oder halt 3, je nachdem wie oft man erwartet dass kein Server on ist) Benutzung frei (wenn die Domain stimmt). Diese können dann nur durch Serverkontakt wieder "aufgefüllt" werden. Dazu kann das Programm ja auch während der Laufzeit (wenn die Benutzungen nicht voll sind) immer mal wieder den Server anpingen (was weis ich - alle 10 min) und wenns irgendwann ne Antwort gibt, dann wird das Program wieder auf eine (3, mehr) Benutzungen aufgefüllt.
Hat den Vorteil, dass die vermutlich sicherere Methode über die Server Verfifizierung mit einem System verbindest, dass auch Standalone läuft.
Zitat:Märchen und Geschichten werden erzählt am Lagerfeuer, technischen Fakten werden mitgeteilt (oder so). (Genauso wie Software nicht auf einem Server "herumliegt", die ist dort installiert.)
(21.06.2012 08:43 )Kiesch schrieb: Ich meine: letztlich musst du dir darüber klar sein, dass man das einfach aushebeln kann indem man eine Domain gleichen Namens erstellt und das Program darauf laufen lässt.
Dann muss aber derjenige der die Software außerhalb der Firma erstmal wissen WIE ich das teste.
Ich melde ja nur das die Software außerhalb unseres Firmennetzwerks läuft und dann wird die
Software wieder beendet. Ich schreibe ja nicht "die Domain stimmt nicht" oder "der Server mit der IP xxx"
ist nicht vorhanden. Ich bin der einzige der weiß wie ich das Teste, also sollte das kein Problem sein.
Zitat:Ich bin der einzige der weiß wie ich das Teste, also sollte das kein Problem sein.
Nun ja. Erstmal poppt die Firewall auf und fragt, ob dieses Programm überhaupt ins Internet darf...
Jede bessere Firewall sagt außerdem noch, welche IP angefragt wird und auf welchem Port kommuniziert wird.
Aber du bist weiterhin der einzige, der weiß, wie da getestet wird
(21.06.2012 15:37 )GerdW schrieb: Nun ja. Erstmal poppt die Firewall auf und fragt, ob dieses Programm überhaupt ins Internet darf...
Jede bessere Firewall sagt außerdem noch, welche IP angefragt wird und auf welchem Port kommuniziert wird.
Aber du bist weiterhin der einzige, der weiß, wie da getestet wird
an die FW habe ich nicht gedacht, eindeutig zu heiß hier im Büro, zeit für Feierabend.
Aber bei einer Kombi aus Domainabfrage und "Username" des Windows-Zugangs sollte
evtl. reichen. Ist ja nicht so das wie jeden Tag jemanden einstellen und mit 20 Mitarbeitern
ist die Zahl überschaubar... daher wird es wohle so eine Kombi werden.
Zitat:Ich bin der einzige der weiß wie ich das Teste, also sollte das kein Problem sein.
Genau das meinte ich mit "security by obstruction". Das System lebt davon, dass niemand weis wie es funktioniert. ^^
Bin die Tage zufällig an historischen (und aktuellen) Verschlüsselungsverfahren hängen geblieben und da ging es halt genau darum, dass das eigentlich kein gutes System ist - schon allein weil wenn die "obstruction" aufgedeckt wird du das ganze System komplett umbauen musst. Wollte ansonsten nur helfen.
Gruß Kiesch
Zitat:Märchen und Geschichten werden erzählt am Lagerfeuer, technischen Fakten werden mitgeteilt (oder so). (Genauso wie Software nicht auf einem Server "herumliegt", die ist dort installiert.)