abylon LOGON: Sicherere und komfortable Windows- und Applikationsanmeldung

• Homepage
•  » Software
•  » abylon LOGON Support

Bei der SecureID handelt es sich um ein sogenanntes Notfallpasswort. Dieses kann bei Defekt oder Verlust der Chipkarte oder USB-Stick alternativ bei der Windows-Anmeldung eingegeben werden.

Die Ermittlung der SecureID erfolgt während der Einrichtung des Logon-Kontos oder im Einstellungsdialog au der Seite Logon->Konten'. 

Die SecureID ist für jedes Windows-Anmeldekonto unterschiedlich und baut sich wie folgt auf:

# + 48 Zeichen + ## + 32 Zeichen + # 
(Zeichen nur Zahlen 0-9 oder Buchstaben A-F; z. B. #01699A9534F683073795238AC7F12DA1950E0C3A08060202# #44D6D243E0AEF35FAFE4CB4A24087578#

HINWEIS  
- Ab Version 8.3 können sowohl Groß- als auch Kleinbuchstaben eingegeben werden. Bei älteren Versionen ist die Eingabe Case-Sensitive. 
- Zur Eingabe sollte der PasswortScrambler deaktiviert werden!
- Die SecureID sollte an einem sicheren Ort aufbewahrt werden!
- Die SecureIDs sind für Verschlüsselung und Windows-Anmeldung unterschiedlich. 

Im "Über"- Dialog (unten rechts) wird das installierte Betriebssystem falsch angezeigt. Aufgrund unterschiedlicher Techniken zwischen Windows XP und Vista lässt sich die Software abylon LOGON nicht aktivieren. 

Abhilfe:

1. Öffnen des Registry-Editor durch 'Start->Ausführen->Regedit'
2. Wechseln in folgenden Pfad:
   HKLM\SOFTWARE\abylon\LOGON\
3. Erstellen einen neuen Schlüssels:
   mit der Bezeichnung "XP" oder "VISTA" entsprechend Ihres Betriebssystems
4. Neustart des Rechners

HINWEIS Diese Option wird erst ab Version 7.3 angeboten!

Für die Verwendung von USB-Token mit unserer Software abylon LOGON müssen folgende Kriterien erfüllt sein:

• Der USB-Stick muss als Laufwerk im Datei Explorer angezeigt werden!
• Der USB-Stick darf nicht als Laufwerk A: oder B: im Datei Explorer angezeigt werden!

Für die Verwendung einer CD/DVD mit unserer Software abylon LOGON muss folgendes Kriterium erfüllt sein:

• Das Hauptverzeichnis (ROOT) der CD oder DVD darf nicht nur Verzeichnisse enthalten. Zum Anlegen des Kontos ist eine ausreichende Anzahl an Dateien im Hauptverzeichnis notwendig!  

In der Regel wird der am Client angeschlossene Kartenleser mit den Standarteinstellungen während der Remote Desktop Verbindung erkannt und kann direkt verwendet werden.

Sollte der Kartenleser nicht erkannt werden, so kann er beim Anlegen der Remote Desktop Verbindung unter "Optionen->Lokale Resourcen->Lokale Geräte" aktiviert werden. Eine weitere Einstellungsoption finden Sie unter "Terminaldienstekonfiguration->Verbindungen->Eigenschaften->Clienteinstellungen->Verbindungseinstellungen von Benutzereinstellungen" oder entsprechend in den Policies.

Folgende Kartenleser wurden erfolgreich getestet: Kartenleser von Cherry, Cardman 2020 und vergleichbare, sowie der Aladdin eToken (USB-Token)!
Um einen USB-Stick verwenden zu können, muss dieser ebenfalls während der Remote Desktop Anmeldung bekannt sein.

Je nach Konfiguration Ihres System kann es vorkommen, das nach dem Entsperren des Rechners der Task-Manager angezeigt wird. Um dies zu verhindern können Sie in den abylon EINSTELLUNGEN auf der Seite 'Logon->Erweitert' unter 'Anmeldeverhalten' die Option 'Soll der Sicherheitsdialog (VOR ANMELDUNG STRG+ALT+ENTF DRÜCKEN) automatisch übersprungen werden?' deaktivieren (kein Häkchen).

Die Software abylon LOGON ist im abgesicherten Modus (ohne Netzwerk) NICHT aktiv. Dabei handelt es sich um eine Schutz von unserer Seite, damit Sie im Notfall die Software abylon LOGON deaktivieren können, ohne Ihr ganzes System neu aufsetzen zu müssen. 

Auch im abgesicherten Modus müssen Sie für die Windowsanmeldung Ihr Passwort eingeben, sodass dies nicht für einen Angriff ausgenutzt werden kann. Im Normalbetrieb brauchen Sie nicht Ihr Passwort für die Windowsanmeldung eingeben, sondern stecken nur das Medium (Chipkarte, CD, USB-.Stick) und die Windowsanmeldung erfolgt automatisch. Aus diesem Grund können Sie ein extrem langes Passwort verwenden (mind. 12 Zeichen, wobei Zahlen, Sonderzeichen, Klein- und Großbuchstaben vorkommen sollten). Je länger das Passwort ist, um so schwer wird es für einen Angreifer das Passwort zu knacken. Hierdurch wird Ihr System deutlich sicherer, als wenn Sie kein oder ein kurzes Passwort verwenden. Nur mit dem entsprechenden Medium (Chipkarte, CD, USB-.Stick) ist damit die Windowsanmeldung möglich.

HINWEIS Bei Domain-Netzwerken kann des Zugriff über den abgesicherten Modus deaktiviert werden!

Dieses Problem tritt aufgrund von Problemen des Aladdin CSP beim Zurücksetzen des Zertifikatsspeichers im Systemuserkontext auf.

Dadurch ist das Anlernen von Konten für den Aladdin eToken nur im Einstellungsdialog von abylon LOGON möglich. Dies hat jedoch keinerlei Auswirkung auf den Einsatz der Aladdin USB-Token mit unserer Software.

Für die Überwachung des Ziehen und Stecken der Chipkarte oder des USB-Token ist das Starten eines Service nötig. Nach der Installation muss das Programm in den Einstellungen aktiviert und der Rechner einmalig gebootet werden. Um die Systemressourcen nicht unnötig zu belasten, wird auch bei der Anmeldung über die normale Windowsanmeldemaske dieser Service nicht gestartet.

HINWEIS Der Service kann auch manuell über folgenden Befehlsaufruf gestartet werden: abylon ENTERPRISE: Programmverzeichnis\APMService /cardcheck oder abylon LOGON: Programmverzeichnis\SALService /cardcheck

Die CT32-DLL wird nur benötigt, wenn unsere Software mit einer Speicherchipkarte (z. B. Krankenversichertenkarte) verwendet werden soll. In allen anderen Fällen (z. B. bei EC-Karten) ist das Vorhandensein einer CT32-DLL NICHT erforderlich.

Falls vorhanden, wird die CT32-DLL bei der Treiberinstallation des Kartenleser installiert. Jeder Kartenleserhersteller liefert seine eigene CT32-DLL aus, die auch unterschiedliche Namen besitzen. Mit unserer Suchfunktionalität bieten wir eine Hilfe zur Ermittelung der CT32-DLL. Durch die Vielzahl der Anbieter kann eine einwandfreie Bestimmung jedoch nicht garantiert werden. In diesem Fall ist auch eine manuell Auswahl der Datei möglich. In der Regel ist die CT32-DLL im Windows- oder Windowssystem-Verzeichnis zu finden. Hier einige Beispiele von Anbietern:

• ReinerSCT Cyberjack: CTRSCT32.DLL
• SCM Microsystems (Ältere Chipdrive Modelle): CTAPIW32.DLL
• SCM Microsystems (SCR3340): CTPCSC31.dll; Port: 1; Pin: 1
• Kobil KAAN: CT32.DLL
• Cherry Kartenleser: keine CT32-DLL

Sollte die CT32-DLL Suchfunktionalität kein Ergebnis gebracht haben und Ihr Kartenleser nicht aufgeführt sein, so lesen Sie bitte die Dokumentation des Kartenleser oder erfragen beim Hersteller ob sein Produkt eine CT32-DLL (CT-API) anbietet.

Bei einer Betriebssysteminstallation mit Standard-Einstellung kann ein Passwort ohne Zeichen (Blank-Passwort) und Autologon gesetzt sein. Diese Werte sind für unser Logon nicht zulässig und führen dazu, dass der Passwortdialog nicht angezeigt wird!

Zum Beheben dieses Problems weisen Sie dem entsprechenden Anwender ein Passwort zu und schalten das Autologon aus!

Nach der korrekten Deinstallation von abylon LOGON werden alle durch die Software vorgenommen Einstellungen in der Registry wieder auf den Wert vor der Installation zurückgesetzt. In speziellen Fällen kann es jedoch vorkommen, dass die globalen Einstellungen durch die lokalen Einstellungen überschrieben werden. In diesem Fall gehen Sie wie folgt vor:

In den Policies:

1. Öffnen unter 'Start->Systemsteuerung->Verwaltung' den Einstellungsdialoges 'Lokale Sicherheitsrichtlinie'
2. Wechseln in den Pfad 'Sicherheitseinstellungen->Lokale Richtlinien->Sicherheitsoptionen'
3. Doppelklick auf die Richtlinie 'STRG+ALT+ENTF-Anforderung zur Anmeldung deaktivieren'
4. Setzen des Wertes: 
   Deaktiviert = STRG+ALT+ENTF-Dialog wird angezeigt
   Aktiviert = STRG+ALT+ENTF-Dialog wird NICHT angezeigt
   HINWEIS Verwirrend durch doppelte Negierung!
5. Neustart des Rechners

In der Registry:

1. Öffnen des Registry-Editor durch 'Start->Ausführen->Regedit'
2. Wechsel in folgende Pfade:
   a) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
   b) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
3. Setzen der Werte:
   DisableCAD = 0 -> STRG+ALT+ENTF-Dialog wird angezeigt 
   DisableCAD = 1 -> STRG+ALT+ENTF-Dialog wird NICHT angezeigt
   HINWEIS Verwirrend durch doppelte Negierung!
4. Neustart des Rechners

HINWEIS Häufig werden die Einstellungen und Policies erst nach einer gewissen Zeit (Abgleich mit dem Server) oder einem Neustart des Rechners wirksam.

In den Einstellungen legen Sie fest, welche Aktion der Computer durchführen soll, wenn die Chipkarte oder der USB-Token gezogen wird.

Zusätzlich bietet abylon LOGON ab Version 5.2 die Möglichkeit, ohne Änderung der Einstellungen beim Ziehen der Chipkarte eine entsprechende Aktion direkt auszuwählen. Drücken Sie dazu nur eine der folgenden Tasten (HotKeys) während des Ziehens der Chipkarte:

• Umschalttaste: Sperren des Computers
• Strg-Taste: Nicht tun
• Alt-Taste: Abmelden der Computers
• Strg+Alt-Taste: Herunterfahren des Computers

Nach dem Ziehen der Chipkarte müssen Sie die entsprechende Taste (HotKey) so lange gedrückt halten, bis der Computer 2x piept. Je nach Kartenleser kann dies bis zu 3 Sekunden dauern!

Windows verwendet zur Beschleunigung des Anmeldevorgangs einen Trick, indem es den Desktop anzeigt, bevor alle Treiber und Services geladen sind. Dies beschleunigt zwar die Anmeldung, kann aber zu Problemen führen. 

Da wir keinen Einfluss auf die Reihenfolge des Ladevorgangs haben, muss unsere Software warten, bis alle Services und Treiber geladen sind. Dies ist notwendig, um auch auf die entsprechende Chipkarte oder den USB-Token zugreifen zu können.

HINWEIS Über den Schiebeschalter in den Einstellungen kann der Logon-Vorgang beschleunigt oder verzögert werden!

1. abylon LOGON ist noch nicht aktiviert!
2. Die Einstellungsoption 'Kontenerstellung für neue Chipkarten während der Windowsanmeldung NICHT zulassen!' ist aktiviert! Bei der Aktivierung dieser Option können auch in den Einstellungen kein neues Konto erstellt werden!
3. Bei der Chipkarte handelt es sich nicht um eine EC-Karte, eine Krankenversicherten Karte, eine Zertifikatschipkarte oder einen USB-Token!
4. Die EC-Karte besitz nur einen Magnetstreifen und keinen Chip!
5. Bei der EC-Karte muss zwingend der PC/SC-Treiber installiert sein!
6. Bei Krankenversichertenkarten muss zwingend eine CT32.DLL installiert sein!
7. Bei einer Zertifikatschipkarte oder USB-Token muss zwingend der passende CSP im entsprechenden Feld eingetragen sein!
8. Sie besitzen einen Chipkartenleser mit älteren Treibern. Diese können unter Umständen nur Einträge mit einer Speichergröße von 40 Byte auflesen. Bei den neuen EC-Karten müssen jedoch Einträge mit bis zu 255 Byte aufgelesen werden!

Um dies zu beheben, stellen Sie sicher,

1. dass abylon LOGON aktiviert ist!
2. dass die Einstellungsoption während der Kontenerstellung deaktiviert wird!
3. dass Sie im Besitz einer unterstützen Chipkarte oder USB-Token sind!
4. dass Sie im Besitz eine EC-Karte mit Chip sind!
5. dass ein entsprechender PC/SC-Treiber installiert ist! (HINWEIS Bei Reiner SCT Kartenleser wird bei der Standardinstallation dieser Treiber nicht installiert - Download auf der Homepage http://www.reiner-sct.de)
6. dass eine entsprechende CT32.DLL installiert ist. Bei Problemen wenden Sie sich an den Kartenleserhersteller!
7. dass der richtige CSP im entsprechende Feld eingetragen ist. Bei Problemen erkundigen Sie sich bei Hersteller der Chipkarte oder des USB-Token nach einem CSP!
8. dass ein aktueller Treiber installiert ist. Bei Problemen wenden Sie sich an den Kartenleserhersteller bezüglich eines aktuellen Treiberupdates!

Bei der Einzelversion kann ein Konto nur bei aktiviertem Logon erstellt oder getestet werden, weil nur dann der benötigte Service läuft!

Um unsere Software mit einer Zertifikatschipkarte zu betreiben, müssen Sie den entsprechenden CSP (Crypto Service Provider = Schnittstelle zwischen dem Zertifikat auf der Chipkarte und der Software) in das entsprechende Feld in den Einstellungen eintragen. Dadurch wird der CSP beim Logon-Vorgang gestartet und nur so ist ein Zugriff auf das Zertifikat möglich. 

Der CSP wird in der Regel mit der Zertifikatschipkarte und dem Zertifikat ausgeliefert.

Ein CSP ist NICHT Bestandteil unserer Software!

Prinzipiell arbeitet unsere Software mit allen gängigen Kartenlesern zusammen, die allgemeinübliche Standards verwenden. Wenn der Kartenleser korrekt installiert ist, können Sie die Funktionalität unserer Software mit einer normalen EC-Karte testen. Diese werden i.d.R. bei jedem Kartenleser unterstützt. 

Sollten Sie die Funktionalität mit einer Zertifikatschipkarte testen wollen, so müssen Sie den verwendeten CSP (Crypto Service Provider: Treiberschnittstelle zwischen dem Zertifikat auf der Chipkarte und der Software) in das entsprechende Feld der Einstellungen eintragen. Dazu wenden Sie sich am besten an den Kartenleser-Hersteller oder Chipkartenaussteller.

Bei konkreten Fragen können Sie sich gerne an uns wenden.

Für die Nutzung von abylon LOGON sollte in den Optionen (Anwender muss vor der Anmeldung 'STRG+ALT+ENTF' drücken) deaktiviert sein. Prinzipiell ist dies auch heute von Windows so voreingestellt. Unter Windows NT4.0 muss diese Option explizit deaktiviert werden. Den entsprechenden Key 'DisabledCAD' finden Sie in der Registry (regedit.exe) unter 'HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon' und muss von 0 auf 1 gesetzt werden.

HINWEIS Wird ab Version 4.6 automatisch berücksichtigt!

Bei der Anmeldung (Logon) wird nicht der richtige Treiber geladen, sodass abylon LOGON mit Ihrem Aladdin eToken nicht funktioniert. Sie müssen einfach im Setup folgende Datei in die Liste der CSP-Module (Treiber) hinzufügen:

• 'CertStoreInit.exe' im Windowsverzeichnis 'System32'

HINWEIS Ab Version 4.6 wird der Aladin RTE (CSP) automatisch erkannt!

In diesem Fall wurde für die Zertifikatschipkarte bei der Anmeldung (Logon) nicht der richtige Treiber geladen, sodass abylon LOGON die Chipkarte einfach als EC-Karte behandelt hat. Sie müssen einfach im Setup die entsprechenden CSP-Module (Treiber) in der entsprechenden Liste hinzufügen.

Beispiel SmartTrust-Treiber:

Datei 'SmartCertmover.exe' im Verzeichnis 'CSP' 

Um die entsprechenden Dateien in Erfahrung zu bringen, lesen Sie bitte die Anleitung Ihrer Chipkarte- und Ihres Chipkartenlesers oder wenden sich an deren Hersteller.

Dieser Fehler tritt bei der Version 7.0 auf. Bitte laden Sie das Setup auf der Download-Seite manuell herunter und installieren dieses. Alle Einstellungen der Vorgängerversion werden dabei übernommen. 

Ja, denn bei der Installation muss die Software einige Einstellungen vornehmen, wozu nur der Administrator Rechte besitzt. Also melden Sie sich für die Installation als Administrator an oder wenden Sie sich an Ihren zuständigen Administrator.

Das Betriebssystem Windows Vista läuft zur Zeit leider noch nicht reibungslos. Fast täglich spielt Microsoft mindestens ein Patch gegen Sicherheitslücken, Bugs oder Probleme ein. Dieser ständige Fluss kann auch erhebliche Auswirkungen auf unsere Software haben. Unsere Software ist so umfangreich, dass wir nicht ständig alle Änderungen und Auswirkungen im Blick haben. Bitte verwenden Sie unser Supportformular und schildern uns Ihr Problem so ausführlich wie möglich.

• Was haben Sie genau getan?
• Wo tritt der Fehler auf?
• Welche Fehlermeldung wird angezeigt?

Je mehr Informationen Sie uns zuschicken, desto eher können wir eine Lösung anbieten. 

HINWEIS Bitte verstehen Sie auch, dass wir nicht für jedes Problem eine Lösung bieten können, vor Allem wenn sich das Problem nicht auf unseren Testrechnern nachstellen lässt.

TIPP Bitte testen Sie unsere Software vor dem Kauf ausführlich mit Ihrer eingesetzten Hardware. Aus diesem Grund bieten wir unsere Software auch als 30 Tage Testversion an!

Um einen Wechseldatenträger (z. B. USB-Stick) als "Schlüssel" für die Anmeldung und Verschlüsselung oder den mobilen Einsatz (Schalter "Module auf USB-Stick installieren") verwenden zu können, müssen folgende Bedingungen erfüllt sein:

1. Der USB-Stick muss gesteckt sein
2. Der USB-Stick muss ein neues Laufwerk anlegen
3. Das Laufwerk muss formatiert sein
4. Das Laufwerk muss beschreibbar sein (Schreibrechte)
5. Das Laufwerk muss genügend Speicherplatz besitzen
6. Der Treiber muss das Laufwerk als "Removable Device" (Wechseldatenträger) eintragen

CHM-Dateien sind sogenannte HTML-Hilfe-Dateien, die mit einem entsprechenden Programm angezeigt werden. Bei Windows 2000 und Windows XP wird das entsprechende Programm schon mit dem Betriebssystem mitgeliefert. Bei älteren Betriebssystem muss evtl. das entsprechende Anzeigeprogramm (Viewer) separat installiert werden (Download bei Microsoft >> hhupd.exe).

Weitere Gründe für diesen Fehler:

1. Die Hilfe-Datei (*.chm) befindet sich NICHT im Programmverzeichnis.
2. Das Programm wurde auf einem gemappten Netzwerklaufwerk installiert. Dabei wird die Meldung im Viewer "Aktion abgebrochen" angezeigt. (Dies ist eine neue Sicherheitsrichtlinie von Microsoft und tritt nach dem Sicherheitsupdate MS05-26 oder MS04-23 auf >> Weitere Infos bei Microsoft)

Abhilfe zu Fall 1: Neuinstallation des Programms!

Abhilfe zu Fall 2: Um die Sicherheitseinschränkungen so zu lockern, dass Hilfe-Dateien im eigenen Intranet (Netzwerk) angezeigt werden, gehen Sie wie folgt vor:

1. Öffnen der Registydatei 'Start->Ausführen->Regedit'
2. Anlegen des folgenden Eintrags:

Schlüssel: HKEY_LOCAL_MACHINE
Pfad (Subschlüssel): SOFTWARE\Microsoft\HTMLHelp\1.x\itssRestrictions\
(falls Schlüssel "itssRestrictions" noch nicht exsistiert, bitte neu anlegen!)
Wertname: MaxAllowedZone
Werttyp: DWORD
Wert: 1

3. Evtl. Neustart des Rechners!

Download des Registry-Patches ohne Gewähr: Anzeige der Hilfe-Datei

Hinweis zu möglichen Werten:

0 = Nur lokalen Rechner (Standard nach dem Sicherheitsupdate)
1 = Lokaler Rechner + Lokale Internetzone (Netzwerk)
2 = Lokaler Rechner + Lokale Internetzone (Netzwerk) + Vertrauenswürdige Seiten
3 = Lokaler Rechner + Lokale Internetzone (Netzwerk) + Vertrauenswürdige Seiten + Internet
4 = Lokaler Rechner + Lokale Internetzone (Netzwerk) + Vertrauenswürdige Seiten + Internet + Eingeschränkte Seiten

Mögliche Fehlerursache:

1. Sie haben die Registrierungsdaten falsch eingegeben! Am sichersten ist es, wenn Sie den Namen und den Registrierungsschlüssel per Copy&Paste aus der Email direkt in den Registrierungsdialog unserer Software kopieren.
2. Jeder Lizenzschlüssel wird für jedes Programm und jede Version individuell erstellt. Kontrollieren Sie, ob Ihre Registrierungsdaten auch für die bei Ihnen installierte Version bestimmt sind!

Updates in der gleichen Hauptversionsnummer sind kostenlos. Für Updates auf die nächste Hauptversionnummer fällt eine Updategebühr am. Bitte treten Sie diesbezüglich mit uns in Kontakt.

Aufgrund von Fehlern im Betriebssystem bzw. anderer Software, sowie der Vielgestaltigkeit der zum Einsatz kommenden Hardware müssen scheinbar auftretende Fehler und / oder Unregelmäßigkeiten in der Software von abylonsoft nicht unbedingt auch in dieser Software begründet sein.
D. h. die Wechselwirkungen zwischen unserer Software und Software / Hardware anderer Hersteller sind so vielschichtig, das diese nicht in allen Fällen von uns berücksichtigt werden können. Häufig treten auch Fehler / Mängel in anderer Software (z. B. dem Betriebssystem) auf, die nur in Kombination mit unserer Software wirksam werden. Diese Fehler zeigen sich in der Regel in einer allgemeinen Schutzverletzung oder einem Systemabsturz. Aus diesen Gründen unterziehen wir unsere Software vor der Veröffentlichung einem sehr ausgiebigen Test, um die Probleme und Fehler auf ein Minimum zu reduzieren.

Sollten Sie dennoch auf einen direkten Fehler in unserer Software aufmerksam werden, so werden wir dies so schnell wie möglich beheben. Damit wir den Fehler / das Problem nachvollziehen können, sollten Sie uns alle Einzelheiten mitteilen:

• Betriebsystem
• Servicepacks
• Weitere verwendete Software
• Wobei ist der Fehler aufgetreten
• Ist der Fehler reproduzierbar
• Etc.

Bitte verwenden Sie hierzu unser Supportformular!

Weiteres siehe AGB's