Zum Inhalt springen
IT-Sicherheit

YubiKey Auto-Lock: Windows sperrt automatisch beim Abziehen

Ein kurz verlassener, entsperrter Arbeitsplatz ist ein offenes Tor – und niemand denkt zuverlässig an Win + L. Unser kostenloses Windows-Tool sperrt den PC automatisch, sobald der YubiKey abgezogen wird. Zentral per GPO und Intune ausrollbar.

03. July 2026 · Aktualisiert 03. July 2026

Ein kurz verlassener, entsperrter Arbeitsplatz ist ein offenes Tor – und im Alltag denkt niemand zuverlässig an Win + L. Unser kostenloses Windows-Tool macht das Sperren zum Nebeneffekt einer Bewegung, die ohnehin passiert: Wer aufsteht und seinen YubiKey mitnimmt, sperrt den Rechner automatisch – ganz ohne Disziplin, Hotkeys oder Nutzertraining.

Das Wichtigste in Kürze

  • Zieht der Nutzer den YubiKey ab, sperrt der PC automatisch – kein Win + L nötig.
  • 7 wählbare Aktionen: Sperren (Standard), Abmelden, Neustart, Herunterfahren, Energie sparen, Ruhezustand oder nur überwachen.
  • Einstellbare Verzögerung (0–60 s) mit automatischem Abbruch beim Wiedereinstecken – kein Fehlalarm.
  • Zentral per Gruppenrichtlinie (ADMX/ADML) und Microsoft Intune ausrollbar; adminManaged sperrt die Konfiguration.
  • Kostenlos, für Windows 10/11 (x64 & ARM64), .NET 10, ohne Cloud-Zwang.

Das Risiko: der ungesperrte Arbeitsplatz

Der YubiKey liegt ohnehin am Schlüsselbund. Genau das macht ihn zum idealen Auslöser für eine automatische Sperre – zwei Dinge sprechen dafür:

  • 1 Handgriff: Wer aufsteht und den Key mitnimmt, sperrt automatisch – ohne an irgendetwas denken zu müssen.

  • 0 Schulung: Kein Umgewöhnen, keine Hotkeys, kein Nutzertraining. Der Schutz läuft unsichtbar im Hintergrund.

So funktioniert es: Stecken. Ziehen. Geschützt.

Der Agent läuft leise im System-Tray und beobachtet ausschließlich den YubiKey-Status – kein Netzwerk, keine Cloud, keine Nutzerinteraktion.

  • YubiKey steckt: Beim Start zählt der Agent alle eingesteckten YubiKeys und überwacht Einstecken und Abziehen in Echtzeit.

  • Letzter Key wird gezogen: Per Referenzzählung wird eine Aktion erst vorbereitet, wenn alle Keys entfernt sind – Multi-Key-Nutzer sind sauber abgedeckt.

  • Aktion wird ausgelöst: Nach der eingestellten Verzögerung (0–60 s) folgt die konfigurierte Aktion – standardmäßig Sperren.

Schutz vor Fehlauslösung: Wird der Key innerhalb der Verzögerung wieder eingesteckt, bricht die Aktion automatisch ab. Kurz den falschen Key erwischt? Kein Problem.

7 Aktionen bei Entfernung

Eine zentrale Einstellung (removalOption) bestimmt, was beim Abziehen passiert:

  • Sperren (Standard): Sperrt die Sitzung – wie Win + L.

  • Abmelden: Meldet den Benutzer vollständig ab.

  • Neustart: Fährt Windows neu hoch.

  • Herunterfahren: Schaltet den Rechner aus.

  • Energie sparen: Wechselt in den Standby.

  • Ruhezustand: Speichert die Sitzung und schaltet ab.

  • Nur überwachen: Protokolliert das Abziehen, ohne zu handeln.

Vorteile im Überblick

  • Zero-Touch-Sperre: Automatisch beim Abziehen – kein Win + L, keine Disziplin, keine vergessenen Sitzungen.

  • Multi-Key-fähig: Referenzzählung – eine Aktion erst, wenn wirklich alle YubiKeys entfernt sind.

  • Schutz vor Fehlauslösung: Einstellbare Verzögerung von 0–60 s mit automatischem Abbruch beim Wiedereinstecken.

  • Zentral verwaltbar: Gruppenrichtlinie (ADMX/ADML) und Microsoft Intune (OMA-URI) – Ihr Kanal, Ihre Wahl.

  • Manipulationssicher: Modus adminManaged sperrt das Tray-Menü – Nutzer können den Agent nicht ändern oder beenden.

  • Silent Deployment: Unsichtbarer Tray, kein Startup-Popup, ausrollbar via PSADT und Intune Win32.

  • Auditierbar: Schreibt Einstecken, Abziehen und ausgeführte Aktionen ins Windows-Ereignisprotokoll.

  • Native x64 & ARM64: .NET 10, framework-dependent – die Runtime bleibt über Windows Update patchbar.

  • Ressourcenschonend: Schlanker Tray-Agent, Single-Instance, kein Dienst-Overhead, kein Netzwerk.

Für IT-Admins: zentral ausrollen und verriegeln

Das Tool ist von Grund auf für den verwalteten Betrieb gebaut – still, zentral und nachvollziehbar:

  • Gruppenrichtlinie (ADMX/ADML): Fertige ADMX/ADML (de-DE) für SYSVOL, mit fünf Policies – Aktion, Verzögerung, Tray verbergen, Startmeldung und zentral verwaltet.

  • Microsoft Intune: Konfiguration via OMA-URI-Profil oder ADMX-Ingestion, Verteilung als Win32-App inklusive Detection- und Uninstall-Skript.

  • Manipulationsschutz: adminManaged=1 sperrt Konfiguration, Autostart-Toggle und Beenden im Tray.

  • Windows-Ereignisprotokoll: Jede Aktion wird protokolliert – sauber auditierbar, und ohne Adminrechte degradiert das Tool kontrolliert.

Konfiguration auf einen Blick

Alle Einstellungen liegen als Registry-Werte unter HKLM\SOFTWARE\Schmittel IT GmbH\YubiSIT Pull N Go – setzbar lokal, per GPO oder Intune:

  • removalOption – Aktion beim Abziehen. Werte: lock, logout, restart, shutdown, sleep, hibernate, disabled. Standard: lock.

  • actionDelaySeconds – Verzögerung und Fehlauslöse-Schutz. Werte: 0–60 (Sekunden). Standard: 3.

  • hideTrayIcon – Tray-Symbol verbergen (Silent). Werte: 0 / 1. Standard: 0.

  • showStartupBalloon – Startmeldung anzeigen. Werte: 0 / 1. Standard: 0.

  • adminManaged – Konfiguration zentral sperren. Werte: 0 / 1. Standard: 0.

Technische Daten

  • Plattform: Windows 10 / 11

  • Architektur: x64 & ARM64 (nativ)

  • Runtime: .NET 10 Desktop, framework-dependent

  • Aktueller Stand: Version 2.1

  • Ausrollen: PSADT · Microsoft Intune

  • Protokoll: Windows Event Log

  • Betrieb: Offline / kein Cloud-Zwang

Speziell für YubiKey optimiert

Die Erkennung nutzt das offizielle Yubico-SDK und ist damit exakt auf YubiKeys abgestimmt – zuverlässig und ohne Fehlerkennung. Sicherheitsschlüssel anderer Hersteller (z. B. Feitian, Nitrokey, Token2) lösen derzeit keine Aktion aus. Sie setzen auf gemischte Hardware oder brauchen generische FIDO2-/Smartcard-Unterstützung? Sprechen Sie uns an – eine herstellerneutrale Variante (PCSC/HID) ist technisch machbar.

Endpunkt-Sicherheit ist unser Tagesgeschäft

Dieses Tool ist ein kleiner, kostenloser Baustein. Den Rest – sicheres Ausrollen, Verwalten und Betreiben Ihrer Windows-Landschaft – übernehmen wir gerne komplett. Mit unserem Managed Client kümmern wir uns um Rollout, Absicherung, Updates und Support Ihrer Geräte.

Interesse an sicherer Endpunkt-Verwaltung?

Sie wollen Endpunkt-Sicherheit lieber in ruhige Hände geben – oder brauchen eine herstellerneutrale Variante des Tools? Wir sind für Sie da.

Beratung anfragen
FAQ

Häufige Fragen

Die Aktion wird erst nach der eingestellten Verzögerung (standardmäßig 3 Sekunden, einstellbar 0–60 s) ausgeführt. Stecken Sie den Key vorher wieder ein, wird sie automatisch abgebrochen.
Ja. Der Agent zählt alle eingesteckten Keys über eine Referenzzählung. Eine Aktion wird erst ausgelöst, wenn der letzte Key entfernt wurde.
Im normalen Modus können sie die Aktion selbst wählen. Mit adminManaged=1 (per GPO oder Intune) sperrt die IT Konfiguration, Autostart und Beenden vollständig.
Windows 10 oder 11 (x64 oder ARM64) und die Microsoft .NET 10 Desktop Runtime. Die Runtime bleibt so unabhängig über Windows/Microsoft Update patchbar.
Aktuell nicht – die Erkennung ist über das Yubico-SDK auf YubiKeys ausgelegt. Eine herstellerneutrale Variante (PCSC/HID) ist auf Anfrage möglich.