-
Die Erfindung betrifft die zentrale Verwaltung tragbarer Endgeräte, insbesondere die zentrale Verwaltung mindestens eines technischen Merkmals, beispielsweise einer Seriennummer der in dem Gerät eingesetzten Hardware oder Software oder Teilen der Software, oder anderer technischer Einstellungen.
-
Die Informationstechnologie, IT, die beispielsweise in Unternehmen eingesetzt wird, basiert zunehmend auf Einrichtungen zur Datenverarbeitung, die verteilt genutzt werden. Ein Benutzer, beispielsweise ein Mitarbeiter eines Unternehmens, hat an seinem Arbeitsplatz einen Rechner, mit dem er über Netzwerke, wie beispielsweise Intranet oder Internet, auf zentrale Daten und Ressourcen zugreift. Häufig werden am Arbeitsplatz des Benutzers Zusatzgeräte, wie beispielsweise Speichermedien in Form von USB-Sticks oder ähnlichem, eingesetzt, welche nur bei Bedarf mit dem Arbeitsplatzrechner verbunden werden. Bei der Verwaltung dieser Zusatzgeräte begegnet man derzeit dem Problem, dass ein hierfür benötigter Zugriff auf ein derartiges Zusatzgerät, welcher von einem zentralen Rechner eines Administrators über das Netzwerk erfolgen müsste, nicht ohne Weiteres möglich ist. Somit ist es derzeit notwendig, entsprechende Verwaltungshandlungen, wie beispielsweise die Aktualisierung der Software des Zusatzgeräts am zentralen Rechner des Administrators, durch diesen vorzunehmen. Dies erfordert mindestens den Aufwand, die Zusatzgeräte hin und her zu transportieren, also vom Benutzer zum Administrator und wieder zurück. Bei weltweiten Unternehmen mit großen räumlichen Ausdehnungen ist dies gänzlich unpraktikabel.
-
Eine Aufgabe ist es demzufolge, die zentrale Verwaltung von derartigen tragbaren Endgeräten zu vereinfachen.
-
Die Aufgabe wird gelöst durch die Gegenstände der unabhängigen sowie der nebengeordneten Patentansprüche. Weiterbildungen und Ausgestaltungen sind jeweils Gegenstände der abhängigen Ansprüche.
-
In einer Ausführungsform weist ein Verfahren zur zentralen Verwaltung tragbarer Endgeräte folgende Schritte auf:
- – Einstecken eines tragbaren Endgeräts in einen entfernten Rechner mit Kommunikationsschnittstelle,
- – Starten einer auf dem Endgerät gespeicherten Verwaltungsclientapplikation,
- – Starten einer auf einem Computer gespeicherten Verwaltungsserverapplikation,
- – Aufbau einer Verbindung vom Endgerät über den entfernten Rechner über ein Kommunikationsnetzwerk zu dem Computer,
- – Verändern mindestens eines Bits in dem Speicher des Endgeräts durch den Computer.
-
Bei Einstecken des Endgeräts in den entfernten Rechner, beispielsweise den oben genannten Arbeitsplatzrechner eines Benutzers, wird eine auf dem Endgerät gespeicherte Verwaltungsclientapplikation gestartet. Diese stellt eine Verbindung mit einer auf dem Computer, beispielsweise dem zentralen Rechner eines Administrators, laufenden Verwaltungsserverapplikation her. Anschließend werden Einstellungen in dem Speicher des Endgeräts durch die Verwaltungsserverapplikation des Computers geändert. Das Endgerät kann wieder ausgesteckt werden.
-
Aufgrund der vom Endgerät zum Computer hergestellten Verbindung ist die Verwaltungsapplikation auf dem Computer in der Lage, zu erkennen, wann ein tragbares Endgerät an dem entfernten Rechner eingesteckt ist. Somit ist es auf einfache Art und Weise möglich, vom zentralen Computer aus Einstellungen am tragbaren Endgerät zum Zweck der Verwaltung desselben vorzunehmen.
-
Das tragbare Endgerät ist beispielsweise ein Speichermedium. Dies kann in Form einer tragbaren Festplatte oder in Form eines so genannten Memory Sticks realisiert sein. Das Kommunikationsnetzwerk ist beispielsweise ein Internet oder ein Intranet, die physikalische Datenübertragung erfolgt dabei drahtgebunden und/oder drahtlos. Eine jeweilige auf dem Endgerät gespeicherte Verwaltungsclientapplikation ist auf die Verwaltungsserverapplikation des Computers abgestimmt, sodass durch Zusammenwirken der beiden Applikationen die gewünschte Funktionalität erreicht wird. Verwaltet werden beispielsweise Passwörter, Seriennummern von Software und Hardware sowie sonstige benutzerspezifische oder verbindungsspezifische Einstellungen und Konfigurationen.
-
In einer Weiterbildung erfolgt beim Aufbau der Verbindung vom Endgerät zu dem Computer ein Anmelden des Endgeräts beim Computer. Dieses Anmelden umfasst eine Authentisierung des Endgeräts unter Verwendung seiner Hardware-Identität oder – Adresse und erfolgt beispielsweise im Rahmen eines Log-in-Vorgangs.
-
Damit wird sichergestellt, dass Änderungen an dem Endgerät nur vorgenommen werden, wenn es sich in Besitz des berechtigten Benutzers befindet.
-
In einer Weiterbildung erfolgt beim Abbau der Verbindung vom Endgerät zum Computer ein Abmelden des Geräts beim Computer.
-
Dieses Abmelden entspricht einem so genannten Log-out-Vorgang. Es korrespondiert mit dem oben beschriebenen Log-in-Vorgang.
-
In einer weiteren Ausführungsform weist das Verfahren folgende ergänzende Schritte auf:
- – Starten einer auf dem Endgerät gespeicherten Virtualisierungsclientapplikation,
- – Starten einer auf dem Computer gespeicherten Virtualisierungsserverapplikation.
-
Zusätzlich zu der Verwaltungsclientapplikation wird unter Verwendung der Rechenkapazität des entfernten Rechners die Virtualisierungsclientapplikation des Endgeräts gestartet. Das zu dieser Applikation passende Gegenstück, die Virtualisierungsserverapplikation, läuft auf dem Computer. Somit wird alternativ zur jeweiligen Verwaltungsapplikation die Verbindung zwischen Endgerät und Computer durch die Virtualisierungsapplikationen aufgebaut und nach Beenden der administrativen Handlungen auf dem Endgerät wieder abgebaut.
-
Auch diese alternative Vorgehensweise ermöglicht eine einfache zentrale Verwaltung tragbarer Endgeräte von dem Computer aus.
-
In einer Weiterbildung umfasst das Verfahren die zusätzlichen Schritte:
- – Deaktivieren des Schreibschutzes des Speichers des Endgeräts,
- – Aktivieren des Schreibschutzes des Endgeräts.
-
Ist der Speicherbereich, in dem Verwaltungshandlungen vorgenommen werden sollen mit einem Schreibschutz gesichert, so wird dieser vor dem Ändern von Daten in dem Speicher deaktiviert und anschließend wieder aktiviert.
-
In einer Ausführungsform umfasst ein tragbares Endgerät zum Betreiben mit einer Anordnung zur zentralen Verwaltung tragbarer Endgeräte eine Schnittstelle zum Austausch von Daten mit einem entfernten Rechner und einen Speicher. Der Speicher weist eine Verwaltungsclientapplikation mit Selbststartfunktionalität und einen Datenbereich auf.
-
Die Verwaltungsclientapplikation wird unter Verwendung der Rechenleistung des entfernten Rechners automatisch gestartet. Das Endgerät ist über die Schnittstelle mit dem entfernten Rechner verbunden. In Zusammenwirken mit der Anordnung zur zentralen Verwaltung tragbarer Endgeräte wird wie oben beschrieben mindestens eine Änderung im Speicher des Endgeräts vorgenommen.
-
Die Verwaltungsclientapplikation ermöglicht also im Zusammenwirken mit der Anordnung die zentrale Verwaltung des Endgeräts durch den Computer.
-
Die Selbststartfunktionalität wird auch als Autostart bezeichnet. Die Schnittstelle zum Austausch von Daten mit dem entfernten Rechner ist beispielsweise eine Universial Serial Bus, USB, -Schnittstelle.
-
In einer Weiterbildung weist der Speicher eine Schreibschutzmöglichkeit und eine Virtualisierungsclientapplikation auf.
-
In einer weiteren Ausführungsform ist die Virtualisierungsclientapplikation als Zero-Client ausgestaltet.
-
Der Zero-Client ist dabei der clientseitige Teil einer Desktopvirtualisierungslösung, bei der im Gegensatz zu so genannten Fat- beziehungsweise Thin-Client-Lösungen die komplette Software, also Betriebssystem, Anwendungen und auch der in Software nachgebildete Arbeitsplatz eines Benutzers, der so genannte Desktop, auf einem entfernt stehenden Server, in diesem Fall dem Computer, läuft. Die an seinem Arbeitsplatz vorhandenen Geräte werden von einem Benutzer deshalb hauptsächlich zur Ein- und Ausgabe von Daten genutzt. Der Virtualisierungsclient verwendet ein vorbestimmtes Protokoll, beispielsweise das Remote-Desktop-Protocol, RDP, um mit der entsprechenden Anwendung auf dem Computer zu kommunizieren. Bei der Desktopvirtualisierung werden im Wesentlichen komprimierte Bilddaten zwischen Client und Server ausgetauscht.
-
In einer Ausführungsform weist ein Computer zum Betreiben mit einer Anordnung zur zentralen Verwaltung tragbarer Endgeräte einen Prozessor, eine mit dem Prozessor gekoppelte Schnittstelle zum Austausch von Daten und eine auf dem Prozessor ablauffähige Verwaltungsserverapplikation auf. Die Verwaltungsserverapplikation ist zum Zugriff auf einen Speicher des tragbaren Endgeräts über dessen Verwaltungsclientapplikation ausgelegt.
-
Die Verwaltungsserverapplikation des Computers ermöglicht unter Verwendung des Prozessors und der Schnittstelle einen Zugriff vom Computer auf den Datenbereich im Speicher des Endgeräts über dessen Verwaltungsclientapplikation. Dies vereinfacht die zentrale Verwaltung derart ausgestatteter tragbarer Endgeräte. Umständliches und zeitaufwändiges Hin- und Hertragen von Endgeräten zwischen Benutzer und Administrator erübrigt sich.
-
In einer Weiterbildung weist der Computer eine auf dem Prozessor ablauffähige Virtualisierungsserverapplikation sowie mindestens eine von der Virtualisierungsserverapplikation aktivierbare virtuelle Maschine auf. Die virtuelle Maschine ist zum Zusammenwirken mit der Virtualisierungsclientapplikation des Endgeräts eingerichtet.
-
Alternativ oder zusätzlich zum Verbindungsaufbau durch die Verwaltungsapplikationen auf Client- und Serverseite kann die Verbindung zwischen Computer und Endgerät auch über die Virtualisierungsapplikationen auf Server- und Clientseite aufgebaut werden. Die Virtualisierung entspricht, passend zur Endgeräteseite, der oben beschriebenen Desktopvirtualisierung. Die Virtualisierungsserverapplikation wird auch als so genannter Hypervisor bezeichnet. Für jede Virtualisierungsclientapplikation startet der Hypervisor eine zugeordnete virtuelle Maschine. Der Hypervisor nimmt zusätzlich Aufgaben zur Verwaltung und zum Management mehrerer Virtualisierungsclientapplikationen auf unterschiedlichen Endgeräten und dazu gehöriger jeweiliger virtueller Maschinen wahr. Die Verwaltungsserverapplikation kann als Teil der Virtualisierungsserverapplikation implementiert sein.
-
In einer Ausführungsform weist eine Anordnung zur zentralen Verwaltung tragbarer Endgeräte mindestens ein tragbares Endgerät wie oben beschrieben, mindestens einen entfernten Rechner, der mit dem mindestens einen Endgerät gekoppelt ist, einen Computer wie oben beschrieben und ein Kommunikationsnetzwerk zum Austausch von Daten zwischen dem Computer und dem mindestens einen tragbaren Endgerät über den mindestens einen entfernten Rechner auf.
-
In einer Weiterbildung umfasst die Anordnung einen Vermittlercomputer, der mit dem Kommunikationsnetzwerk verbunden ist. Der Vermittlercomputer ist dazu eingerichtet, eine Verbindung von dem Endgerät über den entfernten Rechner und das Kommunikationsnetzwerk zu dem Computer herzustellen.
-
Der Vermittlercomputer wird auch als Gateway oder Broker bezeichnet. Der Vermittlercomputer bildet beispielsweise einen Teil einer entmilitarisierten Zone, demilitarized zone, DMZ, des Kommunikationsnetzes. Mittels der entmilitarisierten Zone werden die in diesem Bereich verfügbaren Computer unter Verwendung einer oder mehrerer Firewalls gegenüber anderen Netzen abgeschirmt. Dadurch kann der Zugriff auf öffentlich erreichbare Dienste, wie beispielsweise WWW oder E-Mail gestattet und gleichzeitig ein internes Netz, Intranet, LAN vor unberechtigten Zugriffen geschützt werden. Sinnvollerweise befindet sich der Computer in der entmilitarisierten Zone des Kommunikationsnetzwerks. Die Verbindung zwischen Endgerät und Computer wird dann über den Vermittlercomputer aufgebaut.
-
Die Erfindung wird nachfolgend an einem Ausführungsbeispiel anhand der Figur näher erläutert.
-
1 zeigt eine beispielhafte Ausführungsform einer Anordnung zur Verwaltung tragbarer Endgeräte nach dem vorgeschlagenen Prinzip.
-
1 zeigt eine beispielhafte Ausführungsform einer Anordnung zur Verwaltung tragbarer Endgeräte nach dem vorgeschlagenen Prinzip. Die Anordnung umfasst ein tragbares Endgerät 10, einen Computer 20, einen entfernten Rechner 30 und ein Kommunikationsnetzwerk 40.
-
Das tragbare Endgerät 10 umfasst eine Schnittstelle 11 zum Austausch von Daten, eine Verwaltungsclientapplikation 12, einen Datenbereich 13 und eine Virtualisierungsclientapplikation 14. Die Verwaltungsclientapplikation 12, der Datenbereich 13 und die Virtualisierungsclientapplikation 14 befinden sich dabei in einem Speicher 15 des Endgeräts 10. Die Schnittstelle 11 ist beispielsweise als USB-Schnittstelle ausgestaltet.
-
Der Computer 20 weist einen Prozessor 21, eine Schnittstelle 32 zum Austausch 22 von Daten, eine Verwaltungsserverapplikation 23 und eine Virtualisierungsserverapplikation 24 auf. Des Weiteren ist mindestens eine virtuelle Maschine 25 vorgesehen. Die Verwaltungsserverapplikation 23, die Virtualisierungsserverapplikation 24 und die virtuelle Maschine 25 sind zur Ausführung auf dem Prozessor 21 des Computers 20 ausgelegt und dazu eingerichtet, auf den Speicher 15 des Endgeräts 10 und dessen Datenbereich 13 zuzugreifen.
-
Alternativ kann die virtuelle Maschine 25, welche eine Instanz eines virtuellen Desktops eines Benutzers realisiert, auf einem weiteren, mit dem Computer 20 verbundenen Rechner ablaufen.
-
Der entfernte Rechner 30 weist einerseits eine Schnittstelle zum Austausch von Daten mit der Schnittstelle 11 des Endgeräts 10 auf. Andererseits weist er eine Schnittstelle 31 zum Austausch von Daten mit dem Kommunikationsnetzwerk 40 auf. Der entfernte Rechner 30 ist dazu eingerichtet, die auf dem Endgerät 10 gespeicherten Applikationen 12 und 14 auszuführen.
-
Das Kommunikationsnetzwerk 40 ist beispielsweise als Local Area Network, LAN, oder als Wide Area Network, WAN, oder als eine Kombination aus beiden realisiert. Der entfernte Rechner 30 ist über seine Schnittstelle 31, der Computer 20 ist über seine Schnittstelle 22 mit dem Kommunikationsnetzwerk 40 verbunden. Das Kommunikationsnetzwerk 40 repräsentiert also beispielsweise das Netzwerk eines Unternehmens. Im Wesentlichen werden hier Internetprotokolle, wie IP, TCP und UDP zum Austausch von Daten eingesetzt.
-
Falls erforderlich, umfasst das Kommunikationsnetzwerk 40 einen Vermittlercomputer 50. Dieser bildet den Eingang zu einer entmilitarisierten Zone des Kommunikationsnetzes 40, in der sich beispielsweise der Computer 20 aus Sicherheitsgründen befindet. Um interne Zugriffe auf das Netzwerk von externen trennen zu können, erfolgt ein Zugriff auf den Computer 20 vorzugsweise über den Vermittlercomputer 50.
-
Das tragbare Endgerät 10 wird mit seiner Schnittstelle 11 in den entfernten Rechner 30 eingesteckt. Die Verwaltungsclientapplikation 12 des Endgeräts 10 wird automatisch auf dem entfernten Rechner ausgeführt. Auf dem Computer 20 wird die Verwaltungsserverapplikation 23 gestartet. Diese hört bereits auf Verbindungsanfragen durch die Verwaltungsclientapplikation 12 des Endgeräts 10. Eine Verbindung zwischen Verwaltungsserverapplikation 23 des Computers 20 und Verwaltungsclientapplikation 12 des Endgeräts 10 wird über den entfernten Rechner 30 und das Kommunikationsnetzwerk 40 aufgebaut. Das Endgerät 10 meldet sich beim Computer 20 an. Dies erfolgt beispielsweise durch Authentisierung unter Verwendung der Hardware-Identität oder -Adresse des Endgeräts 10 oder mit Hilfe eines Einloggens durch den Benutzer. Hierfür wird der Benutzer aufgefordert, seine Kennung und sein Passwort einzugeben.
-
Anschließend wird der Schreibschutz des Speichers 15 des Endgeräts 10 durch die Verwaltungsclientapplikation 12 deaktiviert. Die Verwaltungsserverapplikation 23 des Computers 20 kann nun auf den Speicher 15 des Endgeräts 10 zugreifen, beispielsweise Versionen oder Seriennummern überprüfen und/oder Änderungen an der Software oder den Daten im Datenbereich 13 vornehmen. Dabei können auch die Verwaltungsclientapplikation 12 und/oder die Virtualisierungsclientapplikation aktualisiert werden. Sobald die Aktualisierung abgeschlossen ist und alle verwaltungstechnischen Änderungen auf dem Endgerät 10 beendet sind, wird der Schreibschutz des Speichers 15 des Endgeräts 10 wieder aktiviert.
-
Die Verbindung zwischen Verwaltungsserverapplikation 23 des Computers 20 und Verwaltungsclientapplikation 12 des Endgeräts 10 wird abgebaut. Gleichzeitig erfolgt ein Abmelden des Endgeräts 10 beim Computer 20. Die Verwaltungsclientapplikation 12 wird beendet. Das Endgerät 10 kann nun aus dem entfernten Rechner 30 wieder ausgesteckt werden.
-
Vorteilhafterweise ermöglicht die gezeigte Anordnung unter Anwendung des Verfahrens eine Vereinfachung der zentralen Verwaltung tragbarer Endgeräte 10.
-
In einer alternativen Ausführungsform wird nach dem Starten der Verwaltungsclientapplikation 12 auf dem entfernten Rechner 30 zusätzlich die Virtualisierungsclientapplikation 14 zur Ausführung gebracht. Diese realisiert einen virtuellen Desktop auf dem entfernten Rechner 30 unter Verwendung von Ressourcen auf Seiten des Computers 20, nämlich der Virtualisierungsserverapplikation 24 sowie mindestens einer virtuellen Maschine 25. Alternativ zum Aufbau der Verbindung zwischen den Verwaltungsclient- und Verwaltungsserverapplikationen 12, 23 kann eine Verbindung zwischen Computer 20 und Endgerät 10 mittels der Virtualisierungsserver- und Virtualisierungsclientapplikationen 24, 14 aufgebaut werden. Das Anmelden des Endgeräts 10 beim Computer 20 erfolgt dabei in ähnlicher Art und Weise wie oben beschrieben mittels der Virtualisierungsclient- und Virtualisierungsserverapplikationen 14, 24. Der entfernte Rechner 30 fungiert in diesem Fall lediglich als Eingabe/Ausgabemedium, Rechenleistung wird in diesem Fall nicht benötigt.
-
Befindet sich der Computer 20 in einer entmilitarisierten Zone des Kommunikationsnetzes 40, so wird die Verbindung zwischen Endgerät 10 und Computer 20 in einem zweistufigen Verfahren über den Vermittlercomputer 50 aufgebaut.
-
Bezugszeichenliste
-
- 10
- tragbares Endgerät
- 11
- Schnittstelle
- 12
- Verwaltungsclientapplikation
- 13
- Datenbereich
- 14
- Virtualisierungsclientapplikation
- 15
- Speicher
- 20
- Computer
- 21
- Prozessor
- 22
- Schnittstelle
- 23
- Verwaltungsserverapplikation
- 24
- Virtualisierungsserverapplikation
- 25
- virtuelle Maschine
- 30
- entfernter Rechner
- 31, 32
- Schnittstelle
- 40
- Kommunikationsnetz
- 50
- Vermittlercomputer