CodeB Credential Provider V2
Eine eigenständige .NET-Bibliothek, die Microsofts ICredentialProviderCredential2-Schnittstelle
implementiert. Komplett neu in 100 % Managed Code geschrieben, mit einer Plugin-Architektur für
eigene Token- und Autorisierungs-Workflows.
Was es ersetzt
Die Microsoft-Passwort-Provider-Kachel. CodeB liefert einen integrierten Credential Provider Filter mit aus; sobald die Richtlinie angewendet ist, verschwindet die Passwort-Kachel vollständig.
Herkunft
CP V2 ist kein Produkt der Version 1.0. Aloaha hat Aloaha Smartlogin mehr als zwei Jahrzehnte entwickelt und betreut — einer der am längsten laufenden Windows-Credential-Provider am Markt. Der Credential Provider V2 ist dessen vollständige Neuentwicklung in modernem Managed Code: dieselbe operative Erfahrung, moderne Architektur, ein Plugin-Modell, das neue Token-Typen einfach ergänzen lässt. Sie erwerben zwanzig Jahre Erfahrung mit Sonderfällen in einer aktuellen Codebasis.
FIPS 140-2 erzwingbar — und einzigartig
Weil der Credential Provider V2 in 100 % Managed .NET Code geschrieben ist, beachtet er die Standard-Group-Policy-Einstellung „Systemkryptografie: Konformität mit FIPS-Algorithmus für Verschlüsselung, Hashing und Signatur erzwingen“. Schalten Sie sie ein, und Windows selbst erzwingt FIPS 140-2 gegen jeden Krypto-Aufruf, den CodeB tätigt — keine zusätzliche Laufzeit, keine parallele Krypto-Bibliothek, kein „vertrauen Sie uns“. Jeder andere uns bekannte Windows-Credential-Provider ist in nativem Code geschrieben und kann auf diese Weise nicht erzwungen werden. Wenn Sie einen FIPS-konformen Anmelde-Pfad benötigen, ist CodeB der einzige Credential Provider, der ihn per einem einzigen GPO-Schalter liefert.
Zwei Editionen, ein Credential Provider
Wählen Sie diejenige, die am besten zu Ihrem Bereitstellungs-Modell passt. Beide Editionen setzen auf demselben Credential Provider auf — der Unterschied liegt darin, wie die unterstützenden Helfer paketiert sind.
Alle Werkzeuge in einer Anwendung im System-Tray. Erforderlich, wenn Sie Aktionen beim Karten-Entfernen brauchen (automatisches Sperren oder Abmelden). Leichterer Rollout für den täglichen Einsatz.
System Tray Edition herunterladenJede Funktion als eigenständige ausführbare Datei. Administratoren installieren genau die Werkzeuge, die sie benötigen, und nichts darüber hinaus — nützlich für Skripting, Aufgabenplanung oder die Einbindung in größere Abläufe.
Tools Edition herunterladen
Tipp für die Produktion: Das System-Tray-Symbol lässt sich vor Endanwendern verbergen,
indem der Registry-Wert
HKLM\SOFTWARE\WOW6432Node\CodeB\Config\HideSystray gesetzt wird. Der Helfer läuft weiter
— einschließlich Aktionen beim Karten-Entfernen — aber normale Anwender sehen ihn nicht und
können ihn nicht versehentlich verstellen.
Admin-Werkzeuge für unbeaufsichtigte Rollouts
CodeB Admin CLI (CodeBAdminCLI.exe) ist ein separates Kommandozeilen-Werkzeug
für Systemadministratoren. Es führt dieselben Enrollment-Aktionen aus wie die GUI-Helfer — eine
NFC-Karte einem AD-Benutzer zuordnen, verschlüsselte Anmeldedaten speichern, lokale Soft-Tokens anlegen,
Zuweisungen prüfen, eine Karte sperren — aber unbeaufsichtigt, aus jedem Batch-Skript, jeder
PowerShell-Pipeline oder jedem SCCM-Task. 500 Karten von Hand auszurollen ist eine Woche; aus einer CSV
in einer Schleife ein Nachmittag.
Eigenständiger Download. Nicht in den beiden Editionen oben enthalten — laden Sie ihn separat, wenn Sie das Enrollment skripten möchten. Funktioniert sowohl gegen lokale Konten als auch gegen Active Directory. Bei korrekt delegierten AD-Berechtigungen sind keine lokalen Administratorrechte erforderlich.
CodeB Admin CLI herunterladenVerstandene Schalter
/add2fa | Eine Kartenseriennummer als zweiten Faktor für einen AD-Benutzer zuweisen. Entspricht LinkNFC2AD.exe in Skriptform. |
|---|---|
/add2ad | Verschlüsselte Anmeldedaten in AD speichern („Store to AD“ aktiviert). Ersetzt den manuellen Ablauf von LinkNFCCard.exe. |
/add2fs | Ein verschlüsseltes Soft-Token lokal anlegen statt in AD zu speichern. |
/list2facards | Alle Kartenseriennummern auflisten, die einem bestimmten Benutzer zugewiesen sind. |
/list2fa | Umgekehrte Suche — bei gegebener Kartenseriennummer den zugewiesenen Benutzer ermitteln. |
/deletecard | Den Karten-Verweis sowohl aus den 2FA-Datensätzen als auch aus den Credential-Tokens entfernen. |
Parameter
/user | Verwalteter Benutzername. |
|---|---|
/domain | Anmelde-Domäne, zu der der Benutzer gehört. |
/password | Passwort des Benutzers — nur in Verbindung mit /add2ad erforderlich. |
/cardserial | Eindeutige Kennung (UID) der NFC-Karte. |
/pin | PIN, die der Karte zur Anmelde-Verifikation zugewiesen wird. |
/action | 1 = Bildschirm bei Karten-Entfernung sperren, 2 = Benutzer abmelden. |
Beispiel-Aufrufe
:: Eine Kartenseriennummer als zweiten Faktor zuweisen
CodeBAdminCLI.exe /add2fa /user stefan /domain CodeB /serial AAFFBBCC
:: Verschlüsselte Anmeldedaten in AD speichern
CodeBAdminCLI.exe /add2ad /user stefan /domain CodeB /password letmein /serial AAFFBBCC /pin 1234
:: Oder die verschlüsselten Anmeldedaten lokal als Soft-Token speichern
CodeBAdminCLI.exe /add2fs /user stefan /domain CodeB /password letmein /serial AAFFBBCC /pin 1234
:: Alle einem Benutzer zugewiesenen Karten auflisten
CodeBAdminCLI.exe /list2facards /user stefan /domain CodeB
:: Umgekehrte Suche: Wem gehört diese Karte?
CodeBAdminCLI.exe /list2fa /serial AAFFBBFF
:: Eine Karte sperren (entfernt 2FA + Credential-Token)
CodeBAdminCLI.exe /deletecard /serial AAFFBBFF /user stefanAdmin-Tipp: Die CLI schreibt in AD-Attribute und in den Credential-Speicher. Wenn Sie die passenden AD-Berechtigungen an das aufrufende Konto delegieren, sind keine lokalen Admin-Rechte notwendig — nützlich für SCCM-Tasks und unbeaufsichtigte Skripte.
Unterstützte Tokens
Sortiert nach Häufigkeit im Einsatz.
- NFC-Kontaktloskarten — die beliebteste Variante. MIFARE Classic, MIFARE DESFIRE EV1/EV2/EV3 und eine breite Auswahl kontaktloser Karten. Einsetzbar als zweiter Faktor oder als vollständiger Passwort-Ersatz.
- TOTP nach RFC 6238 — 30-Sekunden-Fenster, SHA-1 / SHA-256. Das zweithäufigste Token. Einsetzbar als zweiter Faktor oder als vollständiger Passwort-Ersatz.
- X.509 PKI-Smartcards — Gesundheitswesen, Verteidigung und unternehmensseitig ausgestellte Karten. Software-Zertifikate ebenfalls unterstützt. Seltener im Einsatz; eingesetzt, wo eine bestehende PKI-Infrastruktur bereits vorhanden ist.
- USB-Memory-Stick — eine schnelle Möglichkeit, das Produkt an einem Arbeitsplatz zu evaluieren, ohne neue Hardware zu beschaffen. Für Proof-of-Concept geeignet; für den produktiven Einsatz empfehlen wir NFC, TOTP oder PKI.
Wo es läuft
| Betriebssysteme | Windows 8, 8.1, 10, 11 · Windows Server 2012 R2 → 2025 (x86 + x64) |
|---|---|
| Konto-Modell | Lokal · Active Directory · Microsoft Entra ID · Hybrid |
| Verteilung | Kommandozeilen-Installer · ausrollbar per Group Policy oder beliebigem Registry-gesteuerten Konfigurationswerkzeug · MSI auf Anfrage |
| Architektur | Aufbauend auf ICredentialProviderCredential2 mit integriertem Credential Provider Filter; eigene Plugin-Bibliothek unterstützt. |
| FIPS 140-2 | Per Windows Group Policy erzwingbar (Managed-Code-Architektur beachtet „FIPS-konforme Algorithmen verwenden“). Native-Code-Mitbewerber lassen sich auf diese Weise nicht erzwingen. |
| Souveränität | Keine Cloud erforderlich · EU-betrieben. Ausschließlich On-Premises · keine SaaS-Steuerebene · keine Cloud- oder Internetverbindung zum Betrieb · Air-Gap-fähig · betrieben von einer EU-Gesellschaft (Aloaha Limited, Malta) und konzipiert für Organisationen, die eine europäisch betriebene, selbst gehostete Identitäts-Infrastruktur ohne Abhängigkeit von US-Cloud-Plattformen suchen |
Office-Author-Tagging auf Sammelkonten Neu
In Fertigung, Laboren, Klinik und anderen Umgebungen mit hohem Anwender-Durchsatz arbeiten legitim mehrere Personen unter demselben Windows-Konto — ein Sammelkonto. Das hält den Betrieb am Laufen, bricht aber die Zuordnung innerhalb von Office: Jede Änderung, jeder Kommentar und jede aufgezeichnete Anpassung landet unter demselben geteilten Anwender. CP V2 schließt diese Lücke: Bei Anmeldung oder Entsperren hängt der Credential Provider die eindeutige NFC-Karten-ID in Klammern an den Office-Author-Namen.
username (EA35CF34)Ab diesem Moment trägt jede Änderung, jeder Kommentar, jede Track-Change und jede Metadaten-Anpassung in Word, Excel oder PowerPoint genau die Karten-ID, die an der Workstation verwendet wurde — und dieselbe Karten-ID steht im Windows-Ereignisprotokoll. Audit-Teams korrelieren beides, und eine Handlung in einem Office-Dokument wird einer konkreten Person zuordenbar, auch wenn das Windows-Konto darunter geteilt ist.
- Compliance-bereit. Unterstützt Identity-Tracking nach ISO/IEC 27001 (A.9 Access Control) und NIS2-Zuordnungspflichten für essenzielle/wichtige Einrichtungen.
- Audit-sicher. Jede Handlung in Office-Dokumenten verweist auf ein eindeutiges Karten-Token; dasselbe Token erscheint im Windows-Ereignisprotokoll — durchgängige Korrelation.
- Null Aufwand für Anwender. Das Author-Profil wird bei Anmeldung und Entsperren automatisch aktualisiert. Operatoren machen nichts anders.
- Gebaut für Shared-PC-Umgebungen. Hält den Betrieb effizient, ohne Zuordnung auf Sammelkonten zu opfern.
Voraussetzungen: MIFARE- oder DESFIRE-NFC-Karten (via LinkNFCCard mit der
Identität verknüpft), CodeB-Systemtray läuft an der Workstation, CP V2 mit aktuellem Update.
Author-Tagging für USB, Zertifikate, TOTP und OIDC ist auf der Roadmap.