Page tree
Skip to end of metadata
Go to start of metadata

Sie befinden sich in den globalen Grundeinstellungen und definieren hier die generelle Systemsicherheit Ihres TecArt CRM. In diesem Bereich werden Einstellungen vorgenommen, die das gesamte TecArt CRM auch an vielen anderen Stellen beeinflussen.

Die nachfolgenden Inhalte werden unter Administration > Einstellungen > System administriert.

Nach den vorgenommenen Änderungen ist unbedingt  Speichern zu drücken, da sonst Ihre Änderungen nicht übernommen werden. Über den Button  Wiederherstellen können Sie jederzeit Ihre globalen Grundeinstellungen des Systems wieder in den Auslieferungszustand zurückversetzen. 

Systemsperrung möglich

Einige Einstellungen können bei unüberlegtem Vorgehen zu einer Sperrung des gesamten Systems führen. Diese Einstellungen sind nur über Datenbankeingriffe unserer Administratoren wieder zu deaktivieren. Sie dienen aber der System- und damit Ihrer Datensicherheit.

TecArtModulMenüFür wen?

Administration

Einstellungen

System

ADMINISTRATOR

1. Sicherheit

FeldbezeichnungErläuterung

Internes Netz

Mit der Eingabe von IP-Adressen im IPv4- oder IPv6-Format können Sie Ihr System in sich abschließen. Über verschiedene Kombinationen von Angaben des externen Zugriffs über die folgenden Feldeinstellungen Zugriff von außen erlauben und Externes Passwort für Zugriff von außen erforderlich , sowie Angaben in der Gruppenverwaltung über das Feld Zugriff von außen verbieten und dem IP-Bereich der Benutzerverwaltung können erweiternde oder einschränkende Zugriffsrechte vorgenommen werden. Geben Sie an dieser Stelle nur dann IP-Adressen an, wenn sich diese nicht ändern und Sie den Zugriff über die eingetragenen Adressen gewährleisten können.

Dynamische IP-Adressen

Die Angabe von dynamischen IP-Adressen kann dazu führen, dass Sie sich aus dem System aussperren. Beachten Sie den Abschnitt risikoreiche Sicherheitskombinationen.

Um den generellen Zugriff über erlaubte IP-Adressen zu gewähren, sind hier die Adressen einzutragen über welche die Clients mit dem Server kommunizieren. Demzufolge können hier auch externe Netzadressen stehen, welche vom Router übermittelt werden und nicht die des Clients.

Die Standardeinstellung ist immer auf 192.168.0.*, fe80::/64 gesetzt. Bei der Verwendung mehrerer IP-Netze/IP-Adressen trennen Sie bitte jede Adressen mit einem Komma , . Mit Stern * * definieren Sie Adressbereiche für IPv4 und mit Schrägstrich / für IPv6, wie dies allgemein üblich ist.

Beispiel: 2001:0db8:1234::/48, 192.168.12.*, 218.134.19.99

Timeout für Netzwerkverbindung in Sekunden

Das Feld beschreibt die ständige Kontrolle der Verbindung zwischen dem Client und dem Server. Diese wird in der hier angegebenen Sekundenanzahl überprüft. Ihr TecArt CRM benötigt für eine korrekte Betriebsverbindung eine SessionID aus Ihrem aktuellen Browser zur Kommunikation mit dem Server. Diese SessionID wird bei Aktionen im TecArt CRM und darüber hinaus bei Inaktivität des Benutzers über die im Feld Timeout eingestellte Sekundenzeit automatisch überprüft. Sollte die Datenverbindung zum Server eventuell einmal unterbrochen werden, wird auf der Client-Seite eine entsprechende Information eingeblendet. Stellt sich die Verbindung innerhalb einer Stunde automatisch wieder her, kann problemlos weiter gearbeitet werden. Sollte die Verbindung zum Server nicht innerhalb der eingestellten Zeitspanne wiederhergestellt sein, löscht sich aus Sicherheitsgründen die Session samt SessionID auf dem Server nach spätestens dieser Stunde. Der Benutzer muss sich dann neu einloggen.

Zugriff von außen erlauben

Um Zugriffe von außerhalb des eigenen Firmennetzwerkes auf das TecArt CRM zu erlauben, müssen Sie in diesem Feld Ja einstellen. In diesem Fall können Sie unabhängig der festgelegten IP-Adressen über das Internet oder einem separaten Firmennetzwerkbereich auf die Daten im TecArt CRM nach Ihrer Autorisierung zugreifen. Einschränkungen sind in diesem Fall durch Angaben in der Benutzer- und Gruppenverwaltung über das Feld Zugriff von außen verbieten und dem IP-Bereich der Benutzer möglich.

Die Einstellung muss auch dann auf Ja gestellt werden, wenn Sie zwar ein internes Netz betreiben, aber Nutzer über mobile Endgeräte außerhalb des Firmennetzes zugreifen sollen.

Reverse DNS Lookup

Diese Funktion aktiviert die Erfassung weiterführender Log-Daten der TecArt-Benutzer. Wollen Sie nur die übermittelte IP-Adresse des zugreifenden Rechners angezeigt bekommen, stellen Sie bitte Reverse DNS Lookup auf Nein. Wollen Sie auch den Hostname des Providers sehen, belassen Sie die Einstellung hier auf Ja. Es werden dann zusätzliche Informationen in den Aktivitäten angezeigt.

Bandbreitenbeschränkung (Upload)

Sie legen mit dieser Auswahl fest, auf wie viel Prozent die Bandbreite aller Benutzer für den Upload über den aktuell genutzten Internetzungang des Benutzers reduziert werden soll. Bei einer 50%-Auswahl bedeutet dies für einen Benutzer mit 6 Mbit/s höchsten die Nutzung von 3 Mbit/s aber auch gleichzeitig für den UMTS-Zugang von 1,44 Mbit/s die Reduzierung auf nur noch 0,72 Mbit/s.

Auf der anderen Seite haben Sie jedoch die Möglichkeit benötigte Bandbreite für andere Anwendungen zu reservieren.

Authentifizierung

In diesen Optionen ist die Form des Login einstellbar.
  • HTML-Form ist die Anmeldung über einen Startbildschirm und die beste sowie einfachste Anmeldemaske für die Benutzer. Diese ist als Standard voreingestellt.
  • NTLM ist die Anmeldeform für eine Serveranmeldung. Diese wählen Sie aus, wenn sich Benutzer via Single Sign-on über einen entsprechenden Server an das System anmelden sollen.

Setzen Sie ein Active Directory in Ihrem Unternehmen ein, empfehlen wir Ihnen die Erweiterung auf diese Authentifizierungsmethode.

Externes Passwort für Zugriff von außen erforderlich

Hier aktivieren Sie eine einfache, aber sehr wirksame Sicherheitseinstellung für eine 2-Faktor-Authentifizierung Ihres TecArt CRM. Stellen Sie das Feld auf Ja, so wird das im Feld Passwort extern in der Benutzerverwaltung eingetragene Passwort aktiviert. Die ggf. beim Benutzer hinterlegten IP-Adressen und die im Feld Internes Netz eingetragenen IP-Adressen/IP-Netze werden überprüft. Greift der Benutzer von einer nicht autorisierten IP-Adresse zu, werden nach dem Zufallsprinzip vier Stellen des externen Passwortes abgefragt.

Das externe Passwort sollte somit immer mehr als 4 Stellen aufweisen. Wurde kein externes Passwort hinterlegt und diese Einstellung vorgenommen, ist kein Login möglich, genauso kann sich der Benutzer auch kein eigenes externes Passwort vergeben.

Minimale Passwortlänge

Hier legen Sie die Mindestanforderung der Zeichenlänge eines Passwortes fest. Die Passwörter dürfen diese Länge auch wesentlich überschreiten. Sie gilt sowohl für die normalen, wie auch die externen Passwörter.

Ausnahmen zu diesen Regelungen

Administratoren können beliebige Passwörter in der Benutzerinformationen eintragen, die von diesen Einstellungen ausgenommen sind.


Wörterbuchprüfung für Passwörter aktivieren

Einfache Passwörter (z.B. Sommer oder Winter) sind bei aktivierter Wörterbuchprüfung nicht mehr möglich. Die Passwörter müssen dann aus Buchstaben und Zahlen bestehen.

Strenge Wörterbuchprüfung

Haben Sie darüber hinaus diese Option aktiviert, sind auch o.g. Passworttypen nicht mehr möglich. In dem Fall müssen Passwörter dann aus Buchstaben, Zahlen und Sonderzeichen bestehen. Auch durch Sonderzeichen und Zahlen unterbrochene Wörter, welche im Wörterbuch enthalten sind, werden nicht akzeptiert. Siehe Hinweise für die Vergabe sicherer Passwörter

Zeitverzögerung in Sekunden bei falscher Authentifizierung

Nach einer falschen Anmeldung gibt es eine einstellbare Zeitverzögerung zwischen einer und fünfzehn Sekunden, bis der Nutzer sein Passwort erneut eintragen kann. Diese Einstellung schützt Sie vor automatisierten Schadprogrammen, die in kürzester Zeit viele Passwörter probieren.

Anzahl Fehlversuche bis Sicherheitsfrage

Regulieren Sie die möglichen Fehlversuche für die Eingabe eines Passwortes bis zur Abfrage der Sicherheitsfragen. Hat der Benutzer Sicherheitsfragen hinterlegt, wird er zur Eingabe von zwei Antworten aufgefordert. Sind keine Sicherheitsfragen hinterlegt, greifen die Einstellungen des Feldes Benutzer sperren, wenn maximale Anzahl Fehlversuche erreicht direkt. Die Antworten auf die Sicherheitsfragen müssen exakt mit den eingetragenen Antworten des Benutzers übereinstimmen.

Benutzer sperren, wenn maximale Anzahl Fehlversuche erreicht

Sie entscheiden mit der Auswahl Ja, ob ein Benutzer nach der hier definierten Anzahl der Fehlversuche bzw. nach der Anzahl der Fehlversuche auf die Sicherheitsabfragen automatisch gesperrt werden soll. Wählen Sie an dieser Stelle Nein kann der Benutzer beliebig oft die Eingabe des Passwortes wiederholen, muss jedoch nach jeder Falscheingabe das System erneut aufrufen.

Passwort zurücksetzen deaktivieren

Die Funktion zum Deaktivieren der Passwort-Zurücksetzen-Funktion blendet bei Nein die Funktion auf dem Anmeldebildschirm ein und bei Ja aus.

Wurde die Funktion generell deaktiviert, werden auch initial keine Sicherheitsfragen beim ersten Login abgefragt.

Anzahl der Falschantworten der Sicherheitsfragen

Soll das Passwort zurückgesetzt werden, hat der Benutzer hierfür die angegebene Anzahl an Fehlversuchen. Wird dabei Nie eingestellt, kann er das Passwort zurücksetzen unbegrenzt probieren.

Die Empfehlung ist hier, die Anzahl zu begrenzen und in Kombination danach aus Sicherheitsgründen auch den Benutzer sperren, wenn maximale Anzahl Fehlversuche erreicht wurde.

Hat der Benutzer sein Passwort bis zur Anzahl Fehlversuche bis Sicherheitsfrage eingegeben und die Sicherheitsfrage auch falsch eingetragen, so gilt dies bereits als erster Fehlversuch. Wird nun die Funktion zum Passwort zurücksetzen gewählt, ist die Anzahl der Fehlversuche bereits um 1 verringert.

Sicherheitsfragen als Pflichteingabe

Wird diese Funktion deaktiviert, werden Benutzer nur beim ersten Login in das TecArt CRM aufgefordert die Fragen zu beantworten. Werden danach die Antworten über die persönlichen Einstellungen wieder gelöscht, erfolgt auch bei einem erneuten Login keine erneute Pflichteingabe.

Erneutes Absenden von Formularen unterbinden

Anwender neigen dazu Aktualisierungen oftmals mit der F5 durchzuführen. Dies kann aber dazu führen, dass ein gerade angelegter Kontakt über ein Formular nochmals abgesendet wird und damit ggf. ein Folgefehler zur Anzeige kommt, welcher dann eventuell auf eine Dublette hinweist. Dies führt oftmals zur Verwirrung der Anwender. In anderen Fällen kann aber auch ein Objekt mehrfach angelegt werden. Durch die Einstellung auf Ja, wird das erneute Absenden des Formulars unterbunden.

Folgende Administratoren informieren, wenn maximale Anzahl Fehlversuche erreicht wurde

Dies regelt die Informationskette, welcher zuständige Administrator über die fehlerhaften Logins informiert werden soll. Mehrere zu informierende Administratoren wählen Sie bitte mit gedrückter Strg -Taste aus. Wird der Benutzer nicht gesperrt, kann dieser sich weiterhin versuchen einzuloggen. Die Benachrichtigung an den Administrator erfolgt dennoch.

1.1. Risikoreiche Sicherheitskombinationen

Nachfolgend haben wir Ihnen einige risikoreiche Einstellungen aufgelistet, welche bei Nichtbeachtung zur Sperrung von Benutzern und Administratoren sowie zur Sperrung aller Anwender für das System führen können. In diesem Fall können Sie sich nur kostenpflichtig mit unserem Support in Verbindung setzen. 

EinstellungskombinationenAuswirkungenHinweise
  • Die Angaben bei Internes Netz stehen auf 192.168.0.*
  • Zugriff von außen erlauben steht auf Nein
(warning) Das System ist für alle Benutzer gesperrt.(lightbulb) Eine Entsperrung ist nur durch den Support möglich.
  • Die Angaben bei Internes Netz stehen auf einer variablen IP-Adresse Ihres Netzanbieters (z.B. 217.135.11.112)
  • Zugriff von außen erlauben steht auf Nein
(warning) Das System ist nur solange erreichbar, wie diese IP-Adresse gilt. Mit der Zuweisung einer neuen IP-Adresse über den Netzanbieter ist das System für alle Benutzer gesperrt.(lightbulb) Eine Entsperrung ist nur durch den Support möglich.
  • Die Angaben bei Internes Netz stehen auf eine feste IP-Adresse Ihres Netzanbieters (z.B. 217.135.11.112)
  • Zugriff von außen erlauben steht auf Ja
  • Externes Passwort für Zugriff von außen erforderlich steht auf Ja
(warning) Wird von einer anderen IP-Adresse zugegriffen, wird das externe Passwort gefordert. Voraussetzung ist ein hinterlegtes externes Passwort.(minus) Ist kein externes Passwort hinterlegt, ist der Zugriff nur über die angegebene feste IP-Adresse möglich.
  • Die Angaben bei Internes Netz stehen auf eine feste IP-Adresse Ihres Netzanbieters oder eine interne IP-Adresse
  • Zugriff von außen erlauben steht auf Ja
  • Zugriff von außen verbieten wurde bei einem Benutzer oder einer Gruppe gesetzt
(warning) Wird von einer anderen IP-Adresse zugegriffen, wird der Zugang verweigert. Es gelten nur die hinterlegten IP-Adressen beim Benutzer oder für das globale System(plus) Der Administrator kann die Einstellungen für den Benutzer verändern

1.2. Hinweise für die Vergabe sicherer Passwörter

In den nachfolgenden Beispielen gehen wir von einer minimalen Passwortlänge von sechs Zeichen aus.

EinstellungEingabe und Passwortsicherheit
  • Wörterbuchprüfung für Passwörter aktivieren steht auf Nein
  • Strenge Wörterbuchprüfung steht auf Nein
  • Sommer (erlaubt, aber sehr einfach) (wink)
  • Müller (erlaubt, aber sehr einfach) (wink)
  • Sommer2022 (erlaubt, aber einfach) (wink)
  •  ?Som#mer22 (erlaubt, aber einfach) (wink)
  • Wörterbuchprüfung für Passwörter aktivieren steht auf Ja
  • Strenge Wörterbuchprüfung steht auf Nein
  • Sommer (nicht erlaubt) (sad)
  • Müller (nicht erlaubt) (sad)
  • Sommer2022 (erlaubt, aber einfach) (wink)
  •  ?Som#mer22 (erlaubt, aber einfach) (wink)
  • Wörterbuchprüfung für Passwörter aktivieren steht auf Ja
  • Strenge Wörterbuchprüfung steht auf Ja
  • Sommer (nicht erlaubt) (sad)
  • Müller (nicht erlaubt) (sad)
  • Sommer2022 (nicht erlaubt) (sad)
  •  ?Som#mer22 (nicht erlaubt) (sad)
  •  ?So#er22 (erlaubt, gute Qualität (big grin))
  •  ?So#er22 (erlaubt, gute Qualität (big grin))
  •  ?So#er22~23 (erlaubt, sehr gute Qualität (big grin)(star))

2. Zwei-Faktor-Authentifizierung

ERWEITERUNG

Wurde die 2-Faktor-Authentifizierung als Add-on installiert, steht Ihnen in diesen Systemen ein weiterer Abschnitt für Einstellungen zur Verfügung.

Sie können über die Gruppenauswahl festlegen, für welche Gruppen der Zugang über die Authentifizierung erfolgen muss. Mehrere Gruppen können Sie mit gedrückter Strg -Taste auswählen. Weitere Voraussetzung ist eine im Feld Mobiltelefon in der Benutzerverwaltung hinterlegte Mobilfunknummer oder SMS vorlesende Festnetznummer. Nach dem klassischen Login mittels Benutzernamen und Passwort oder einem automatischen Login, wird ein SMS-Code generiert und an die im Feld Mobiltelefon hinterlegte Nummer gesendet. Der Benutzer hat nun innerhalb 5 Minuten Zeit diesen Code in das vorgesehene Feld einzutragen.

Über die Option Nicht im internen Netz anwenden können Sie die Funktion auf externe Zugriffe von IP-Adressen eingrenzen, welche nicht im Feld
Internes Netz im Abschnitt Sicherheit eingetragen wurden.