Wie kommt ein Service in unseren Servicekatalog?

28 05 2013

Prozess um einen neuen Service aufzunehmenAm Anfang steht immer eine Idee oder eine Anfrage. Normalerweise kommt sie von Kunden und manchmal auch von uns selber. Das A und O dabei ist aber in beiden Fällen die detaillierte Auflistung aller benötigten Funktionen eines Services. Es geht hier um die Kundensicht:

Was muss der Service können, damit welcher Prozess bei unseren Kunden wie unterstützt werden kann? Was wäre es dem Kunden wert diesen Service von uns beziehen zu können?

Ist der „outcome“ einmal geklärt, machen wir uns auf die Suche nach möglichen technischen Lösungen, die wir bei uns einsetzen könnten. Dies kann die Durchführung von einem oder mehreren „Proof of Concepts“ (PoC) zur Folge haben, muss aber nicht.
Was vor der finalen Entscheidung aber immer zwingend notwendig ist, ist die Definition eines vereinfachten Servicedesigns und der produktive Betrieb eines Prototypen mit reduziertem SLA.

Warum?
Erst nachdem wir die technische Machbarkeit auch in UNSEREM produktiven Umfeld gezeigt durchgespielt haben und ALLE möglichen Stakeholders (Beteiligte, deren Einsätze auf dem Spiel stehen) in den Prozess integriert haben, sind wir in der Lage folgende Frage zu beantworten:

Ist der „Business Value“ grösser oder zumindest im selben Rahmen  wie unsere Kosten – lohnt sich dieser Service für uns?

Nur ein „Ja“ hat auch die Einführung des Services zur Folge. Natürlich kann es Ausnahmen geben – aber prinzipiell können auch nicht monetäre Faktoren in den „Business Value“ gepackt werden:

  • Wie gross sind die möglichen Einsparungen?
  • Wie viel mehr Geld könnten wir zusätzlich zugesprochen bekommen wenn wir dem (politischen) Marktdruck nachgeben? Wie viel verlieren wir an Einfluss wenn nicht?



Zentrale IT-Beschaffung – warum?

22 04 2013

Viele unter uns, die für den Einkauf von IT-Dienstleistungen und IT-Produkte zuständig sind, stossen sich an der Idee, dass mit der zentralen IT-Beschaffung ein eigentlicher Konkurrent in den eigenen Reihen entstehen soll. Diese Reaktion ist natürlich und in vielen Fällen auch angebracht – so werden prinzipiell Doppelspurigkeiten verhindert.

Zwei Fragen müssen somit beantwortet werden:

Entsteht da eine Konkurrenz?

Wird den einzelnen Einkäufern die  Kompetenz  bedarfsgerechte Entscheidungen zu treffen aberkannt?

 

 

Folgende drei Fakten begründen die Motivation eine zentrale IT-Beschaffung aufzubauen:

  •  IT Beschaffung ist eine wesentliche Komponente in jedem IT-Service-Lifecycle. Einerseits müssen Beschaffungen getätigt werden, um einen Service überhaupt anbieten zu können und andererseits kann die Beschaffung sogar ein integraler Bestandteil des Services selbst sein – siehe Client Management. Nur wenn die einzelnen Beschaffungsprozesse mit den Serviceabläufen synchronisiert werden, ist eine kontinuierliche Serviceerbringung möglich.
  • IT Lieferprozesse sind das Kerngeschäft unserer Lieferanten – nur wenn unsere Beschaffungsbläufe optimal auf die Lieferprozesse unserer Lieferanten abgestimmt werden, können Reibungsverluste, die sich immer in hohen Kosten ausdrücken, minimiert werden. Ein zentrales Lieferantenmanagement ist dabei der Schlüssel zu einer effizienten Zusammenarbeit.
  • Als öffentlicher Auftraggeber werden unsere Einkäufe von unseren Geldgebern – den Steuerzahlern – genau beobachtet. Um keine rechtlichen Probleme – die letztlich unseren Betrieb gefährden könnten – zu bekommen, müssen unsere Abläufe ungleich transparenter und nachprüfbar korrekter gelebt werden als anderswo – namentlich in der Privatwirtschaft.

Was bedeutet dies nun für uns? – Bei der zentralen IT-Beschaffung geht es weniger um das WAS sondern um das WIE. Nur die motivierte Zusammenarbeit mit den dezentralen Einkäufern, bringt die ETH in eine stärkere Position um mit Lieferanten hart und fair zu verhandeln. Die zentrale IT-Beschaffung hat dabei ausdrücklich den Zweck die dezentralen Einkäufer zu unterstützen und ihnen mit einfachen Schnittstellen die Beschaffungsprozesse zu vereinfachen.

In diesem Sinne:

Entsteht da eine Konkurrenz?
Nein – im Gegenteil – die zentrale IT Beschaffung stärkt die Verhandlungsposition für alle „IT-Beschaffer“.

Wird den dezentralen Einkäufern die Kompetenz bedarfsgerechte Entscheidungen zu treffen aberkannt?
Nein – ihnen wird die Möglichkeit gegeben sich vermehrt auf die Bedarfsanalyse und Beratung zu konzentrieren, was die Entscheidungsgüte deutlich erhöhen kann.




Ansichtssache..

22 04 2013

Wenn ich rückblickend beurteilen müsste, was für meine Funktion als Portfolio Manger die grösste Herausforderung darstellt, ist es klar die Kommunikation. Ich verbringe sehr viel Zeit damit, Missverständnisse zu klären. Missverständnisse entstehen bei uns vor allem, wenn verschiedene Fachspezialisten zusammen ein Problem lösen müssen. In unserem Fall ist der übliche Stolperstein jedoch die Kluft zwischen uns Technikern und unseren Kunden. Wie wollen wir verstehen, was unsere Kunden brauchen, wenn wir nicht verstehen, was sie tun und in welchem Umfeld sie sich bewegen?

Beispiele:

  • Sprache: Wir sind in der Deutschschweiz, aber unsere Kunden sind international tätig und haben sich auf Englisch als Standard geeinigt…
  • Kosten: Unsere Kosten entsprechen praktisch nie den Kosten, die wir den Kunden in Rechnung stellen, und sie müssen es aus verschiedenen Gründen auch nicht. Trotzdem wird von unserem Management erwartet, dass beide Kostenfaktoren transparent ausweisbar sind…
  • Business Value: Wie können unsere Kunden den Nutzen einer IT-Dienstleistung monetär beurteilen, wenn sie Ihre Produkte selber nicht verkaufen müssen?

Im Portfolio Management geht es also vor allem auch darum, die verschiedenen Sprachen, die in unserem Umfeld benutzt werden, zu verstehen und die Kommunikation zwischen den Kunden der Leitung und dem Betrieb zu unterstützen.

Fabio Consani




Dreamteam: Truecrypt, Keepass und – Live Mesh

30 07 2009

Wer kennt es nicht das Problem der Passwörter. Letztlich ist es aber wie man es auch dreht und wendet unmöglich die Problematik zu umgehen – es sei denn man hat sehr viel Geld und/oder eine PKI mit ausgerollter Smartcard-Infrastruktur. Aber auch dann – es bleiben immer noch einige Duzend Passwörter übrig, die nicht abgedeckt sind.

Nun ja – nicht alle sind gleich wichtig. – Sicher nicht? Im Minimum kostet ein geknacktes Passwort IMMER viel Zeit und Ärger.

Da ich der Ansicht bin, dass Sicherheitstechnologien nur sicher sind, wenn sie transparent sind, möchte ich diesmal meine Lösung des Passwortproblems vorstellen.

MEIN Rezept ist folgendes:

Ich speichere meine Passwörter in einer durch eine Passphrase und die Checksumme einer Datei geschützten kleinen Datenbank, verstecke diese in einer versteckten Partition eines durch eine Passphrase und die Checksumme einer Datei gekrypteten Volumes und lege dieses in einen persönlichen Cloudstore, der automatisch mit all meinen Maschinen synchronisiert wird. Die Files für die Checksumme liegen natürlich woanders..

…na? alles klar?

Okay – nochmal langsam – diesmal wirklich in Rezeptform

Zutaten:

  • 1Tasse KeePass (quelloffen)
  • 1TL TrueCrypt (quelloffen)
  • und je nach Geschmack eine Prise Live Mesh
    (Im Moment ist der Service noch Beta. Er ist aber gratis und böse – da von Microsoft. Leider verhindert der andere Böse – Google im Moment das einfache Speichern und Synchronisieren verschlüsselter Inhalte)

KeePass ist eine kleine Software, die es ermöglicht Accounts geordnet abzulegen und Passwörter neben dem Speichern gleich auch noch zu generieren. Die Software ist so einfach, dass es Spass macht Passwörter mit 20-50 beliebigen Zeichen incl. Sonderzeichen per Knopfdruck zu erstellen. – Achtung nicht alle Applikationen lieben das.

TrueCrypt ist für mich DIE Verschlüsselungssoftware schlechthin! Es können Dateien erstellt werden, die im Filesystem abgelegt wie ein Laufwerk gemountet werden können. Nebenbei verschlüsselt Truecrypt übrigens auch ganze Laufwerke, USB-Sticks und sogar die Systempartition des laufenden Systems.

Live Mesh – Beta ist ein Service der Live-Familie von Microsoft. In diesem Zusammenhang wäre noch das SkyDrive zu erwähnen (30GB-Gratisstorage).. LiveMesh ermöglicht das Synchronisieren lokaler Ordner mit einem von MS zur Verfügung gestellten gratis Webspace (5GB). D.h. auf meinen Windowsrechnern installiere ich immer einmal den Client und mein Webstorage ist immer aktuell synchronisiert bereit. Für meine Macs hat Microsoft versprochen, dass es auch bald einen Client geben wird…

Vorgehen

Nach der Installation von KeePass und Truecrypt erstellt man als Erstes eine KeePass Datenbank mit den zu schützenden Passwörtern. Diese DB wird mit einer Passphrase und einer Datei geschützt. Achtung dies Datei muss natürlich auf allen Rechnern die die Passwörter benötigen vorhanden sein. Die Datei könnte sich natürlich auch auf einem USB-Stick am Schlüsselbund befinden..

Danach erstellen wir ein verstecktes und verschlüsseltes Truecrypt-Volume. Es ist natürlich auch OK wenn es nur ein verschlüsseltes Volume wird. Wenn man aber so ängstlich ist wie ich – und vor allem bei Grenzübertritten nicht ALLE Geheimnisse preisgeben will, kann man auch ein versteckte Volume inderhalb des verschlüsselten Volumes anlegen. – Nach dem Erstellen muss das Volume gemountet werden und die KeePass-DB hineinverschoen werden. Das TrueCrypt-Volume kann übrigens wie die KeePass-DB wiederum zusätzlich zu der Passphrase noch mit einer Datei verschlüsselt werden – Achtung diese Datei muss natürlich….. siehe oben.

Jetzt kann man sich noch den persönlichen Webstore bei Live Mesh holen und das Truecrypt-File das zum Beispiel: apple-keynote.qt heissen könnte darauf ablegen.

Resultat

Ich kenne nur noch etwa 2 Login Passwörter und 2 Passphrases (in der Art “d1esesPassw0rtschuetztme1neGehe1mn1sse”. Alle Passwörter die ich sonst noch so benutze sind mir seit mehreren Monaten gänzlich unbekannt :-D.

Wenn ich einen Rechner aufstarte, mounte ich mein Truecrypt Volume und öffne die KeePassDB. – Dank einiger raffinierter Features wie “Auto Type” kann ich mit gutem Gewissen und vor allem komfortabel Accountdaten eingeben.

Seit ich so arbeite, wechsle ich die Passwörter regelmässig: Nicht kennen und nicht kennen macht jetzt nämlich keinen Unterschied mehr – und tut somit auch nicht weh…

Epilog

Dies ist für mich ein Beispiel für “next generation security” (bzw. “this generation security”..)– nicht EINE Supertechnik löst das Problem, sondern die geschickte Kombination von mehreren einfachen kleinen aktuellen Tools – so arbeiten auch Hacker, hat mir jemand mal gesagt 😉 ..

Truecrypt und Keepass können auch “portable” installiert werden – d.h. sie können auch an den Schlüsselbund… – so kann auch verhindert werden, dass es zu viele Spuren auf dem Client gibt – und man braucht vor allem nicht Admin auf der Kiste zu sein!

Anstatt Live Mesh – ich nenne es auch virtueller USB-Stick – kann natürlich auch ein bare metal USB-Speicher oder auch ein Netzlaufwerk verwendet werden. Ich mag an LiveMesh die perfekte Verfügbarkeit (ich habe immer n+1 Kopien der Daten, wobei n für die Anzahl Maschinen mit installiertem Client steht).




Windows 7 RC – Erfahrungen nach einem halben Jahr produktivem Einsatz

23 07 2009

Anbei einige zugegebenermaßen sehr subjektive Erfahrungswerte:

Positiv
  • Sicherheit, Sicherheit, Sicherheit (ASLR, UAC, DEP, NAP usw.)
  • Stabilität (ausser IE)
  • Geschwindigkeit – insbesondere auch auf nicht so leistungsfähigen Rechnern
  • Kompatibilität mit Treibern
  • Wenig SchnickSchnack ausser Aereo
Probleme
  • Virtual Clone Drive läuft nicht
  • VMWare-Sphere Client läuft nicht
  • Remote Desktop Client for Mac 2 – unterbricht die Verbindung bei Tastatureingabe (nur mit PowerPC Mac –> mit Intel Mac OK)
  • Remote Desktop Client for Mac –> keine Möglichkeit ein Backslash (\) zu schreiben (ausser Copy Paste…) – gilt für alle Windows OS
Negativ
  • Kosten (sobald man es kaufen kann..)
  • Relativ lange effektive Bootzeiten
    (Der Rechner scheint früher bereit zu sein als er es wirklich ist)
  • IE8 – Zertifikatimplementierung (man kann ein faules Zertifikat auch wenn man will nicht überprüfen bevor man die Seite lädt)



Mails signieren – warum und wie?

5 05 2009

Immer wieder stelle ich fest, dass sich Kunden nicht bewusst sind wie unsicher Mails übermittelt werden. Sie werden nämlich generell “clear text” verschickt und auch auf den diversen involvierten Servern und PC’s auch so gespeichert. Mit anderen Worten: Alle die auf die Mails stossen – absichtlich oder auch unabsichtlich, können diese auch lesen. 
Dies spielt in den weitaus meisten Fällen auch keine Rolle, denn in den Mails werden meistens keine wirklich heiklen Daten übermittelt. – Aber eben MEISTENS… Hand aufs Herz: Haben Sie noch nie – mit fahlem Beigeschmack natürlich – Credentials (Usernamen und Passwörter) per Mail übermittelt? – Ich schon und ich nerve mich jedesmal wenn ich es tun muss.

Was wäre wenn…
                                      …wenn meine Mailpartner mir einen Schlüssel geben würden, mit dem ich die Daten im Fall der Fälle für sie verschlüsseln könnte? – Am besten ohne Plugins, Kosten usw usw…

Nun diese Lösung gibt es: Fangen Sie an Ihre Mails mit einem persönlichen Zertifikat zu signieren! Sie erreichen damit unter anderem zwei Dinge:

  1. Wenn ich Ihre signierte Mail bekomme, habe ich eine gewisse Gewähr, dass Sie die Mail in der Form in der ich sie lese persönlich geschrieben haben.
  2. Ich habe einen öffentlichen Schlüssel (public key) von Ihnen bekommen, den ich dazu verwenden kann eine Mail genau für Sie zu verschlüsseln. Mit anderen Worten nur der Besitzer des privaten Schlüssels (private key) ist in der Lage die von mir verschlüsselte Mail zu lesen.

Nun ja – wie geht das?

Als erstes müssen Sie sich ein persönliches Zertifikat besorgen – am besten eines, dem alle Betriebssysteme und Mailprogramme sowieso vertrauen, weil dem zugrundeliegenden Stammzertifikat (root certificate) per default vertraut wird (Thawte, Verisign et. al. bieten solche sogar gratis an). Sie können aber auch ein anderes Zertifikat (PGP, CACERT usw – natürlich auch gratis) nehmen – allerdings ist dann die Echtheits-Überprüfung für einen Laien ein bisschen schwieriger.

Sobald Sie eines haben, müssen Sie das Zertifikat auf Ihrem Rechner oder in Ihrem Mailprogramm installieren. Jetzt können Sie aktivieren, dass automatisch alle Mails signiert werden. (Achtung: Achten Sie darauf, dass die signierten Nachrichten in Klartext übermittelt werden sonst kann es je nach Empfängerprogramm sein, dass die Mail nicht gelesen werden kann.)

Wenn Sie nun eine signierte Mail bekommen, können Sie je nach Mailprogramm bei der Antwort einfach zusätzlich auf das Verschlüsselungsicon klicken und die Mail wird beim abschicken verschlüsselt und kann nur noch von Ihnen und Ihrem Empfänger eingesehen werden.

Anleitung (Beispiel für Windows mit Outlook):

Holen Sie sich ein Zertifikat (Beispiel: https://www.thawte.com/)

image

Wenn Sie mit Windows Vista oder höher arbeiten, verwenden Sie Firefox (Neu ist ein Zertifikate-Plugin für den Internet Explorer nicht mehr verfügbar, weshalb Firefox verwendet werden muss)

Erzeugen Sie einen Account und melden Sie sich an

image image

Beantragen Sie ein Zertifikat

image image usw

Danach müssen Sie auf die E-Mail warten, die bestätigt, dass Ihr Zertifikat bereitgestellt wurde. Sie können den Status Ihres Antrags aber auch direkt auf der Webseite überprüfen.

Wenn das Zertifikat ausgeliefert wurde (issued), können Sie es mit “fetch” installieren.

Achtung Vista und Windows 7 User: FireFox 3 muss im Windows XP – Kompatibilitäts Modus ausgeführt werden

image

Wenn das Zertifikat im Firefox installiert wurde, kann es wieder in einem für Windows Vista lesbaren Format (PKCS12) exportiert (gesichert) werden. Dazu muss es aus dem Zertifikatespeicher von Firefox geholt werden (Einstellungen – Erweitert – Verschlüsselung – Zertifikate anzeigen – Ihre Zertifikate).
Um den privaten Schlüssel, der mit exportiert wird zu schützen muss dafür ein Passwort angegeben werden. Dieses wird benötigt, um das Zertifikat in den Windows Zertifikatespeicher zu importieren.

Das Zeritfikat wird nun als .p12 Datei gespeichert. Leider kann Windows damit u.U. nicht viel damit anfangen, bzw. PGP will den Schlüssel bei sich importieren, wenn PGP installiert ist. Das Ganze kann aber einfach umgangen werden, indem die Extension auf .pfx geändert wird. Ein Doppelklick auf die Datei und Windows installiert das Zertifikat automatisch am richtigen Ort.

Mails signieren mit Outlook

Wenn ein für die Mailsignierung geeignetes persönliches Zertifikat installiert wurde, kann das automatische Signieren aller Mails einfach aktiviert werden (Extras – Vertrauenseinstellungszenter – E-Mail Sicherheit)

image

In den Einstellungen kann das Zertifikat ausgewählt werden, und fortan werden Mails signiert.




Webauthentisierung mit Microsoft Webservern oder “Wieso muss ich mich am Sharepoint immer mehrmals anmelden?”

23 01 2009

Wenn ein Zielwebserver unter Windows läuft, werden normalerweise 2 verschiedene Authentisierungsmethoden möglich: Clear Text und NTLM (Windows integrated). – Es gibt noch mehr Möglichkeiten, aber die lassen wir der Einfachheit halber im Moment weg.

Was sind nun aber die Folgen für die Endbenutzer? – In diesem Blogeintrag möchte ich dies kurz erklären und zeigen, wie man sich die Arbeit mit den Webseiten vereinfachen kann.

1. Clear Text (Basic Authentication)

Diese Authentisierung bedeutet, dass der Client ein Passwort direkt in Klartext, eben “clear text”, an den Webserver überträgt. Dies ist mit Abstand die am weitesten verbreitete Methode, weil sie alle Betriebssysteme und Browser von Anfang an beherrschen.

Um das Passwort zu schützen wird (hoffentlich) immer zwingend eine Verschlüsselung der gesamten Client-Server Kommunikation konfiguriert. Für den Endbenutzer ist das erkennbar an der Adresse der aufgerufenen Seite, die mit https beginnt. Stichworte dazu sind SSL-Verschlüsselung, Zertifikate und E-Banking.

Die Methode gilt als sicher, da vom Client bis zum Server, der das Zertifikat installiert hat, eine ungewollte Entschlüsselung praktisch nicht möglich ist.

Einige Dinge sind aber trotzdem zu beachten:

  • Ist das benutzte Zertifikat gültig? – Das erledigt im Normalfall der Browser, der die Gültigkeit direkt überprüfen kann. – Falls nicht, riskiert man, dass ein anderer Server mit einem kommuniziert als man gewollt hat.
  • Ist mein Computer “sauber”? Sofern der Computer nicht optimal gepatcht ist, oder gleichzeitig Browserfenster mit fraglichem Inhalt irgendwelche Skripts ausführen, ist prinzipiell eine Kontrolle auch der verschlüsselten Verbindung durch Dritte möglich. Dies vor allem weil es leider von der Eingabe im Browser bis zum Kernel, der die Kommunikation bis zum Webserver sicher verschlüsselt,  ein weiter Weg ist.
  • Der Webserver darf nicht kompromittiert sein, da beim Webserver letztlich die Anmeldung entschlüsselt wird und bis zur Authentisierung am LDAPs bzw. Active Directory (d.ethz.ch), auch Code eingreifen könnte. Die Kommunikation zwischen Webserver und LDAPs bzw. Active Directory ist wiederum sicher, da verschlüsselt.
  • Wenn die Passwörter gespeichert werden, sind sie prinzipiell auf dem System verfügbar (!)

Folgen:

  • Diese Methode funktioniert immer und es muss bei der Angabe des Benutzernamens in der Regel keine Domäne mitgegeben werden. Es muss aber immer mindestens einmal authentisiert werden.
  • Jedes Mal wenn eine andere Applikation ins Spiel kommt die direkten Zugriff auf die Daten des Servers möchte (Word, Windows Explorer, MSOffice usw.) wird ein neuerliches Authentisieren nötig. –> Dies ist vor allem bei der Arbeit mit Sharepoint (Teamsites, Portale) lästig.

2. NTLM (Windows integrated)

Wie der Name “Windows integrated” schon vermuten lässt, basiert diese Methode auf Windows. Inzwischen kann man aber den eigentlich proprietären Standard als nahezu offen bezeichnen. Er wird heute auch von Browsern wie Firefox, Mozilla, Safari usw. beherrscht. (Übrigens auch von Samba usw.)

Diese Authentisierung beinhaltet verschiedene Mechanismen, um zu gewährleisten, dass ein Passwort nicht abgefangen werden kann. D.h. auch wenn Der Verkehr nicht per SSL verschlüsselt wird, kann das Passwort nicht ausgelesen bzw. weiterverwendet  werden. (In diesem Fall ist aber die ganze übrige übermittelte Information ungeschützt – d.h. es ist keine Lösung für e-Banking und andere kritische Informationsübermittlungen..)

Zusätzlich zur NTLM-Authentisierung kann auch noch der ganze restliche Verkehr per SSL-Zertifikat verschlüsselt werden. Dies ist der Standard bei unseren Sharepoint Team-Sites.

Folgen:

  • Es muss zwingend die Domäne mitgegeben werden: d\username
  • Wenn Internetexplorer (IE) eingesetzt wird, und die Userin sich am Computer der an unserer Domäne angemeldet ist per D-Domänenaccount angemeldet hat, kann der Browser so eingestellt werden, dass keine weitere Authentisierung mehr notwendig ist. (siehe unten)
  • Wenn das Passwortcaching auf Systemebene ausgeschaltet wurde (Admin fragen) werden prinzipiell keine Passwörter gespeichert (ausser man gibt dem Browser oder sonstiger Software den Auftrag dazu – nicht zu empfehlen bei Notebooks die auch ausserhalb der ETH-Domäne verwendet werden..)

3. Clear Text (Basic Authentication) und NTLM (Windows integrated) gleichzeitig

Das heisst: Die Vorteile beider Methoden werden kombiniert. Diese Methode wird bei uns auf Wunsch eingesetzt.

Folgen:

  • Diese Methode funktioniert immer und es muss bei der Angabe des Benutzernamens in der Regel keine Domäne mitgegeben werden Achtung nur bei Nicht IE-Browsern!!
  • Wenn Internetexplorer eingesetzt wird, und die Userin sich am Computer der an unserer Domäne angemeldet ist per D-Domänenaccount angemeldet hat, kann der Browser so eingestellt werden, dass keine weitere Authentisierung mehr notwendig ist. (siehe unten)
  • Achtung: Wenn IE eingesetzt wird, will IE die “sicherste” Methode zum Default und und die Domäne wird wieder notwendig, falls nicht obige Option eingesetzt wird.

4. Wie kann ich meinen IE so konfigurieren, dass ich mich nicht mehr einloggen muss?

Achtung! Das Gute an dieser Methode ist der Fakt, dass gar KEINE Passwörter mehr über den Browser verschickt werden. Das beim ersten Einloggen erhaltene Kerberos-Ticket wird einfach weiterverwendet. Deshalb muss auch beim Öffnen von Dateien NICHT mehr validiert werden!!

Achtung – Falls der Computer kompromittiert ist, ist auch diese Methode unsicher, da das Kerberosticket sowieso beliebig weiterverwendet werden kann. (!)

  1. Die Site muss erkennbar werden für meinen Internet Explorer:
    Hinzufügen der vertrauenswürdigen Site:Gehen Sie zu “Extras – Internetoptionen – Sicherheit” und wählen Sie “Vertrauenswürdige Sites”:

    image

    Klicken Sie Sites und fügen Sie die gewünschte Seite hinzu. (für den Fall dass Sie eine nicht https-Site hinzufügen wollen, deselektieren Sie die entsprechende “Checkbox”.

    image 

  2. Sicherstellen, dass die Sicherheitseinstellungen für die “Vertrauenswürdige Sites” stimmen:image 

    Benutzerauthentifizierung – Automatische Anmeldung für Intranetzone, falls es sich um eine ETH-Site handelt.

  3. Alle registrierten ETH-Seiten, die per NTLM authentisieren, können ohne weitere Eingabe des Usernamens und des Passwortes angesurft werden. Auch beim Starten von Programmen wird davon ausgegangen, dass alle Dateien auf einer vertrauenswürdigen Site per se auch vertrauenswürdig sind.



Migrieren bestehender OneNote Notizbücher nach Sharepoint

16 01 2009

Um ein bestehendes OneNote-Notizbuch neu auf einer Sharepointsite verfügbar zu machen, sind prinzipiell zwei Schritte nötig:

  1. Öffnen des neuen Speicherorts mit Windows Explorer (als WebDav-Folder)
  2. Anpassen des Speicherorts in OneNote

Unten eine kleine Dokumentation des Vorgehens:

1. Einbinden des WebDav-Netzlaufwerks in Windows Explorer

image

Rechtsklick auf das zu synchronisierende Notizbuch und “Eigenschaften” auswählen

image

Speicherort ändern

image

Unter Tools “Netzlaufwerk verbinden” wählen

image

“Verbindung mit einer Website….” wählen

image 

Weiter..

image 

Weiter..

image

Sharepointadresse der Ziel-Dokumentenbibliothek angeben

image

Einen Namen für die neu erstellte Verbindung angeben

 image

Fertig stellen

Alle Fenster bis auf OneNote schliessen

2. Neuen Speicherort des Notizbuches festlegen

image

Rechtsklick auf das zu synchronisierende Notizbuch und “Eigenschaften” auswählen

image

Speicherort ändern

image

links “Computer” auswählen

image

Unter den Netzwerkpfaden erscheint die neue Verbindung (New Location) –> auswählen

image

Name für das Notizbuch eingeben –> “Auswählen”




Ein Denkarium: OneNote und Sharepoint

13 01 2009

Als mobiler Mensch, der sich professionell mit Information auseinandersetzt, möchte ich eigentlich immer Notizen machen können und diese auch immer und überall zur Verfügung haben. Dafür benutze ich im Moment hauptsächlich folgende Kombination:

Compaq 2710p (Tablet PC)
Windows Vista 64-bit
Microsoft OneNote 2007
Windows Sharepoint bei den Informatikdiensten

Konfiguration OneNote:

Neues Notizbuch erstellen:

image

Speicherort festlegen:

image

image

Fertig!

Von nun an kann das Notizbuch von überall und gemäss den konfigurierten Berechtigungen benutzt werden. Dabei gibt es immer eine lokale offline-Kopie, die bei bestehender Verbindung synchronisiert werden kann.

Tipp: Handgeschriebene Texte müssen nicht immer nach ASCII übersetzt werden, wenn man selber der Hauptkonsument der Informationen ist.




Hallo und herzlich willkommen!

13 01 2009

Erst wenn der letzte Programmierer eingesperrt und die letzte Idee patentiert ist, werden wir merken, dass Anwälte nicht programmieren können.