1. Allgemeine Informationen¶
IDERI note ist ein Produkt, das die sichere Kommunikation zeitgesteuerter und priorisierter Textnachrichten in einem Windows®-Netzwerk von einzelnen Benutzern zu mehreren Empfängern ermöglicht. Dieses Produkt ist in erster Linie für Firmenumgebungen mit installiertem Active Directory® (AD) gedacht, kann aber auch in Arbeitsgruppenumgebungen oder Heimnetzwerken verwendet werden.
“Sicher” bedeutet in diesem Zusammenhang drei Dinge:
- Nur autorisierten Benutzern ist es gestattet, Nachrichten anzulegen oder zu verändern (Autorisierung).
- Empfänger auf der Clientseite wissen, wer eine Nachricht erstellt oder zuletzt verändert hat (Authentizität).
- Nur festgelegte Benutzer empfangen eine Nachricht (Autorisierung). Wenn Benutzer den Empfang einer Nachricht bestätigt haben, kann dies optional auf dem sicheren Server von IDERI note aufgezeichnet werden (Unleugbarkeit).
“Zeitgesteuert” bedeutet in diesem Zusammenhang, daß Nachrichten, die mit IDERI note erzeugt und versendet werden, einen Gültigkeitszeitraum in Form eines Start- und Endedatums haben. Eine Nachricht wird Benutzern nur während ihres Gültigkeitszeitraums angezeigt und kann zur Anzeige auf den Desktops der Benutzer für jeden beliebigen Zeitpunkt in der Zukunft bestimmt werden. Dieses Merkmal macht IDERI note ideal zur Bekanntmachung von temporären oder geplanten Ausfällen von IT-Infrastrukturelementen wie Servern, oder zur Verbreitung von Alarmnachrichten an Benutzer. Die IDERI note Client-Komponente empfängt die Nachrichteninformationen, die zur Anzeige in der Zukunft bestimmt sind, sobald sie sich mit dem IDERI note Server verbindet. Auf diese Weise werden Nachrichten sofort nach der Erzeugung auf den Client heruntergeladen und später den Benutzern selbst dann angezeigt, wenn der Rechner im Gültigkeitszeitraum offline (vom Netzwerk getrennt) ist.
“Priorisiert” bedeutet, dass Nachrichten zu einer von drei Kategorien von aufsteigender Wichtigkeit gehören: “Information”, “Warnung” und “Alarm”. Nachrichten höherer Priorität werden bei gleichem Gültigkeitszeitraum immer vor Nachrichten niedrigerer Priorität dargestellt. Optional können Alarme an Clients auch mit einem Push-Modell sofort gesendet werden, sofern die Clients entsprechend konfiguriert sind.
“Von einzelnen Benutzern zu mehreren Empfängern” bedeutet, dass nur privilegierte Benutzer Nachrichten erzeugen oder verändern können, die aber dann typischerweise an viele Empfänger im Netzwerk versendet werden. Das Regelwerk, das festlegt, wer Nachrichten anlegen, verändern oder empfangen darf, folgt der strikten Semantik der in Windows® integrierten Sicherheitsmechanismen. Auf diese Weise ist es sehr einfach, Nachrichten an bestimmte Gruppen oder einzelne Benutzer zu schicken, oder IDERI note so zu konfigurieren, dass nur Mitglieder einer bestimmten Gruppe Nachrichten anlegen oder verändern können, aber andere Benutzer dies nicht können. Diese nahtlose Integration in die Sicherheitsmechanismen von Windows® wird dadurch noch unterstrichen, dass alle Sicherheitseinstellungen der IDERI note Konfiguration über die in Windows® standardmäßig eingebauten Sicherheitsdialoge vorgenommen werden, die jedem Windows®-Systemadministrator bekannt sein sollten.
“Sicher” bedeutet in diesem Zusammenhang aber auch eine Vielzahl anderer Dinge. Wie die folgende Liste verdeutlicht, kommen in IDERI note die neuesten Sicherheitsmerkmale zur Anwendung, die auf der Windows®-Plattform verfügbar und von Bedeutung sind:
- Verwendung von Kerberos als Authentifizierungsprotokoll der Wahl. NTLM wird nur in Umgebungen verwendet, wo Kerberos nicht verfügbar ist und deswegen ein automatischer Wechsel zu NTLM durchgeführt wird (unter Verwendung des eingebauten Sicherheits-Pseudoprotokolls “Negotiate”). Mit Kerberos werden Clients nicht nur gegenüber Servern als legitime Clients authentifiziert, sondern auch Server gegenüber Clients (so dass sich Clients nicht mit einem illegitimen Server verbinden).
- Jedwede Netzwerkkommunikation ist signiert und mit Integritätsmerkmalen versehen (“signed and sealed”), so dass die Nachrichten von einem Lauscher im Netzwerk nicht entziffert oder manipuliert werden können, zumindest nicht mit heutiger Technologie.
- Der IDERI note Server läuft standardmäßig mit niedrigsten Privilegstufen. Auf Windows® XP oder späteren Betriebssystemversionen bedeutet das, dass der Dienst inotesvc als “Netzwerkdienst” läuft (“Netzwerkdienst” ist ein unprivilegiertes, nichtadministratives Konto, das sich gegenüber entfernten Rechnern als Computerkonto im AD authentifiziert).
Neben den Sicherheitsmerkmalen glänzt IDERI note mit einer besonders einfachen Installation und Lizensierung der einzelnen Produktteile. Alle Komponenten von IDERI note sind als MSI-Setups verfügbar, die entweder manuell aufgerufen werden können oder auf einfache Weise mit AD-Gruppenrichtlinien oder Softwaremanagementlösungen im Netzwerk verteilt werden können. Zusätzlich ist für die MSI-Datei der IDERI note Clientkomponenten ein Assistent vorhanden, mit dem ein Administrator komfortabel eine Transform-Datei erzeugen kann um so eine angepasste Installation vornehmen zu können. Darüberhinaus können alle maschinenweiten Einstellungen für die IDERI note Clientkomponenten mit voll gemanagten AD-Gruppenrichtlinien vorgenommen werden. Spezielle ADM-Dateien für diesen Zweck sind neben dem Assistenten zur Erzeugung der Transform-Dateien in den IDERI note Administrationswerkzeugen enthalten. Jedwede Lizensierung erfolgt über mit dem Namen des Lizenznehmers gepaarte Lizenzschlüssel, die ausschliesslich auf dem sicheren Server gespeichert sind, auf dem der IDERI note Dienst läuft. Preise für zusätzliche Clientlizenzen können der Webseite von IDERI entnommen werden bzw. bei IDERI erfragt werden. Auch zeitlich begrenzte Lizenzen für eine bestimmte Anzahl von Lizenzen können bei IDERI angefordert werden.
Darüberhinaus ist IDERI note ein multilinguales Softwarepaket. Alle administrativen Benutzeroberflächen sind standardmäßig in Deutsch und Englisch verfügbar. Die Benutzeroberfläche der Clientkomponenten ist standardmäßig in Englisch, Deutsch, Französisch, Spanisch, Portugiesisch, Russisch, Polnisch, Slowenisch und Kroatisch verfügbar
Nur um die nahtlose technische Integration von IDERI note in eine AD-Umgebung zu verdeutlichen, sei an dieser Stelle erwähnt, dass ein IDERI note Server optional auch als “Service Connection Point” im AD registriert werden kann. Ein Service Connection Point gestattet es einem Client, Dienste im AD über eine sichere AD-Abfrage zu finden. Einem IDERI note Client erlaubt dieser Mechanismus, den Namen des Servers, mit dem er sich verbinden soll über eine Abfrage im AD zu ermitteln, anstatt einen hartkodierten Servernamen zu benutzen, der nur schwer änderbar ist, wenn der Client erst einmal installiert ist.