7.7. Betrieb von Clients auf dem Anmeldebildschirm¶
Dieses Kapitel ist nur relevant für Umgebungen, in denen die Professional Edition von IDERI note installiert ist. Wenn Ihre Umgebung in der Lizenzvariante Lite Edition oder Standard Edition läuft, können Sie dieses Kapitel vollständig überspringen.
7.7.1. Überblick¶
In der Standardkonfiguration von IDERI note läuft das IDERI note Clientprogramm auf dem Desktop des Benutzers und authentifiziert sich daher an seinem IDERI note Server im Sicherheitskontext des interaktiv eingeloggten Benutzers. Um den IDERI note Client zusätzlich auf dem Anmeldebildschirm eines Domänencomputers zu betreiben, müssen eine Reihe von nicht leicht zu nehmenden Hürden überwunden werden, die auch eine Anzahl von Herausforderungen und damit verbundenen Limitationen mit sich bringen. Zunächst einmal gestattet der Anmeldebildschirm natürlich nicht den Start einer Anwendung wie dem IDERI note Client ohne die Mithilfe eines Dienstes, der mit dem eingebauten Computerkonto SYSTEM (“LocalSystem”) laufen muss. Als Folge muss auch eine Anwendung, die von einem derartigen Dienst auf dem Anmeldebildschirm (auch als “Winlogon Desktop” bezeichnet) gestartet wird, im Konto SYSTEM laufen. Es gibt keine Möglichkeit, einen Prozess auf dem Anmeldebildschirm mit dem Account eines interaktiv angemeldeten Benutzers zu betreiben. Wird der IDERI note Client installiert mit der Option, auch auf dem Anmeldebildschirm zu laufen, dann übernimmt der Dienst inclsess die Aufgabe, eine Instanz des IDERI note Clients im Systemkonto auf jedem Anmeldebildschirm des Computersystems zu starten. Der Betrieb des IDERI note Clients auf dem Anmeldebildschirm im Systemkonto impliziert dabei, dass sich solch eine Clientinstanz nur mit dem Active Directory® Computerkonto beim IDERI note Server authentifizieren kann. Damit einhergeht, dass solche Clientinstanzen auf dem Anmeldebildschirm nur Nachrichten anzeigen können, die an das Active Directory® Computerkonto des Domänencomputers gerichtet sind. Daher müssen Nachrichten, die auf dem Anmeldebildschirm erscheinen sollen, mit dem Adressierungsmodus “Nachricht an Benutzer und an Computer schicken” oder dem Adressierungsmodus “Nachricht nur an Computer schicken” angelegt werden. Das ist auch der Grund, warum diese Produktfunktionalität nur im Lizenzierungsmodus “Professional” des IDERI note Servers zur Verfügung steht. Abbildung 7.22 zeigt ein Beispiel eines IDERI note Nachrichtenfensters mit dem IDERI note Ticker auf dem Anmeldebildschirm.
7.7.2. Nachrichtenoptionen für den Anmeldebildschirm¶
Die Unterstützung für die Anzeige von Nachrichen auf dem Anmeldebildschirm wird durch die beiden folgenden Nachrichtenoptionen erreicht: “Nachricht auf dem Anmeldebildschirm anzeigen” und “Nachricht nur auf dem Anmeldebildschirm anzeigen”.
Mit der ersten Option können Nachrichten angelegt werden, die sowohl auf dem Benutzerdesktop als auch auf dem Anmeldebildschirm erscheinen können. Mit der zweiten Option, “Nachricht nur auf dem Anmeldebildschirm anzeigen”, wird eine Nachricht exklusiv auf dem Anmeldebildschirm und nicht auf den Desktops individuell eingeloggter interaktiver Benutzer angezeigt.
7.7.3. Leistungsaspekte und Überlegungen zur Sicherheit¶
Bei der Betrachtung der Funktionalität in IDERI note für den Anmeldebildschirm von Windows ist die Erkenntnis wichtig, dass es den einen Anmeldebildschirm überhaupt nicht gibt. Inhärenter Bestandteil der Architektur von Windows NT ist vielmehr eine Aufteilung von Desktops mit unterschiedlichen Berechtigungen innerhalb von einzelnen Terminalsitzungen. Demzufolge gibt es innerhalb jeder Terminalsitzung einen Anmeldebildschirm und damit einen Desktop mit dem Namen “Winlogon”. Der Dienst inclsess startet daher den IDERI note Client in jeder Terminalsitzung auf deren Winlogon-Desktop, sobald das Computersystem die Terminalsitzung anlegt. Das bedeutet aber auch, dass für jede Terminalsitzung auf einem Terminalserver eine zusätzliche Clientinstanz mit ihrer eigenen Verbindung zum IDERI note Server entsteht. Einige Versionen von Windows bereiten auch bereits Terminalsitzungen vor, mit denen sich der nächste interaktive Benutzer dann verbinden kann. Da aber Benutzer eines typischen Terminalservers mit dem Anmeldebildschirm nur während des Anmeldevorgangs und bei dem Start eines Programms mit erweiterten Rechten in Kontakt kommen, ist das Produktmerkmal “Betrieb des IDERI note Clients auf dem Anmeldebildschirm” ohnehin nur von geringem Vorteil. Beachten Sie ausserdem, dass manche Versionen des RDP Clients den Anmeldebildschirm des entfernten Rechners bereits vor der Authentifizierung eines Benutzers anzeigen. Damit werden dann Nachrichten an den Anmeldebildschirm des RDP-fähigen Computers übers Netzwerk für Dritte ohne Authentifizierung offengelegt. Aber selbst wenn der Zugang zu einem Computer über das RDP-Protokoll für einen Moment ausser acht gelassen wird, bedeutet der Betrieb des IDERI note Clients auf dem Anmeldebildschirm, dass an einem derartigen Rechner vorbeigehende Personen, oder ganz generell jeder physikalische Beobachter des Rechners Nachrichten, die an den Anmeldebildschirm gerichtet sind, sehen kann. Letzten Endes ist dies ja die besondere Natur dieses Produktmerkmals, Nachrichten anzuzeigen, auch wenn gar kein Benutzer angemeldet ist. Sie sollten daher sorgfältig prüfen, auf welchen Clientcomputern Sie dieses Produktmerkmal einsetzen. Die Aktivierung dieser Funktionalität auf einem reinen Terminalserver macht im Grunde genommen daher wenig Sinn, da die Benutzer nur geringen Zugang zu dieser Funktionalität haben, während gleichzeitig auf dem Terminalserver durch die zusätzlichen Clientinstanzen, und auf dem IDERI note Server, zu dem sich die Clientinstanzen auf den Anmeldebildschirmen letztlich verbinden, durch die zusätzlichen Clientverbindungen, ohne Not Last entsteht. Dies ist auch der Grund, warum diese Funktionalität nicht standardmäßig für eine IDERI note Client- und Serverinstallation aktiviert ist.
7.7.4. Clientseitige Aktivierung der Funktionalität für den Anmeldebildschirm¶
Die Aktivierung der Funktionalität für den Anmeldebildschirm geschieht durch Installation des IDERI note Clients mit dem MSI-Eigenschaftswert STARTWINLOGONCLIENTS mit einem Wert ungleich 0. Alternativ, im Fall einer interaktiven Installation der IDERI note Client MSI Datei, muss dafür das Kästchen mit der Beschriftung “Run client on the logon screen” auf der mit “Logon Screen Client Start Options” beschrifteten Assistenseite der Installation angekreuzt werden.
7.7.5. Serverseitige Aktivierung der Funktionalität für den Anmeldebildschirm¶
Nach der Installation des IDERI note Servers mit Standardeinstellungen ist der IDERI note Server so konfiguriert, dass er die Verbindungsaufnahme von Clients, die auf einem Anmeldebildschirm laufen, gar nicht zulässt. Selbst wenn also Clients so konfiguriert sind, dass für sie der Start einer inotecln.exe Clientinstanz auf dem Anmeldebildschirm durchgeführt wird durch den Dienst inclsess, können in diesem Zustand des Servers sich keine Clients auf dem Anmeldebildschirm erfolgreich mit ihm verbinden, bevor nicht der Server diese Verbindungen von Anmeldebildschirmen zulässt. Das Zulassen von Clientverbindungen vom Anmeldebildschirm erfolgt durch das Systemsteuerungsapplet des IDERI note Servers auf der Seite, die mit “Zugriff vom Anmeldebildschirm” beschriftet ist und dem Kästchen mit der Bezeichnung “Verbindung von Clients auf dem Anmeldebildschirm zulassen”.
Zusätzlich kann die Verbindungsaufnahme von Clients auf dem Anmeldebildschirm noch feinjustiert werden, indem der Zugriff von Active Directory® Computerkonten oder -gruppen erlaubt oder verweigert wird mit dem Zugriffssteuerungsdialog, der erscheint, wenn man auf dieser Seite des Systemsteuerungsapplets die Schaltfläche mit der Aufschrift “Zugriffsberechtigung” betätigt. Standardmäßig ist hier der Zugriff für “Authentifizierte Benutzer” gestattet. Wird also die Verbindung von Clients auf Anmeldebildschirmen durch Ankreuzen des Kästchens “Verbindung von Clients auf dem Anmeldebildschirm zulassen” aktiviert, wird die Verbindungsaufnahme zum IDERI note Server für alle Clients, die auf Anmeldebildschirmen laufen, zugelassen. Beabsichtigt man also, diese Funktionalität nur auf einer ausgewählten Menge von Domänencomputern zu aktivieren, so sollte mit diesem Zugriffssteuerungsdialog die Berechtigung zur Verbindungsaufnahme von Anmeldebildschirmen für diese Menge an Domänencomputern feinjustiert werden. Dieser Zugriffssteuerungsdialog kann auch vom IDERI note Administrator aus aufgerufen werden. Beachten Sie, dass die Aktivierung der Funktionalität für den Betrieb von Clients auf dem Anmeldebildschirm bei dazu befähigten Clientcomputern einen Neustart des Dienstes inclsess erfordert.
Achtung
Serverseitige Aktivierung der Funktionalität für den Anmeldebildschirm erfordert einen Neustart der Clients
Wird das Kästchen “Verbindung von Clients auf dem Anmeldebildschirm zulassen” im Systemsteuerungsapplet des IDERI note Servers auf der Seite “Zugriff vom Anmeldebildschirm” aktiviert, erfordert dies einen Neustart des IDERI note Dienstes (inotesvc), wie bei den meisten anderen Einstellungen in diesem Systemsteuerungsapplet auch. Anders als bei den anderen Einstellungen erfordert aber die Aktivierung dieser Funktionalität darüberhinaus auch einen Neustart aller für den Betrieb berechtigten und konfigurierten Clientcomputern oder einen Neustart des Dienstes inclsess auf diesen Computern.
7.7.6. Ausführen von Nachrichtenlinks auf dem Anmeldebildschirm¶
Das Starten von beliebigen Programmen auf dem Anmeldebildschirm, wie es mit den Links von IDERI note Nachrichten möglich wäre, ist ganz generell eine sehr schlechte Idee, da dies einen Angriffspfad eröffnet für jeden Benutzer, der vor solch einem Computer sitzt. Der mit solch einer Konfiguration mögliche Angriff ist eine Variante der bekannten “Shatter Attack”, für die Installationen von Windows XP und Windows Server 2003 bedingt durch die Systemarchitektur anfällig waren, wenn interaktive Dienste auf dem Benutzerdesktop liefen, und die letzten Endes zu der mit Windows Vista und seinen Nachfolgern eingeführten “Session Zero Isolation” in der Systemarchitektur führten.
Aus diesen Gründen erlaubt der IDERI note Client bei Ausführung auf dem Anmeldebildschirm aus Sicherheitsgründen keinen Start von Nachrichtenlinks. Für zukünftige Versionen des IDERI note Clients könnte jedoch - abhängig von der Rückmeldung von Kunden - eine einfache Anzeige für Bilddateien wie etwa JPEG oder PNG enthalten sein, die immun gegen eine Shatter Attack auf dem Anmeldebildschirm ist.