Page tree
Skip to end of metadata
Go to start of metadata

Sie befinden sich in den globalen Grundeinstellungen und definieren hier die generelle Systemsicherheit Ihres TecArt-System. In diesem Bereich werden Einstellungen vorgenommen, die das gesamte TecArt-System auch an vielen anderen Stellen beeinflussen.

Die nachfolgenden Inhalte stellen Sie unter Administration >  SystemSicherheit ein.

Nach den vorgenommenen Änderungen ist unbedingt  Speichern zu drücken, da sonst Ihre Änderungen nicht übernommen werden. Über den Button  Wiederherstellen können Sie jederzeit Ihre globalen Grundeinstellungen des Systems wieder in den Auslieferungszustand zurückversetzen. 

Systemsperrung möglich

 

Einige Einstellungen können bei unüberlegtem Vorgehen zu einer Sperrung des gesamten Systems führen. Diese Einstellungen sind nur über Datenbankeingriffe unserer Administratoren wieder zu deaktivieren. Sie dienen aber der System- und damit Ihrer Datensicherheit.

1. Sicherheit

Im Abschnitt Sicherheit finden Sie die nachfolgenden Felder und Einstellungsmöglichkeiten.

FeldbezeichnungErläuterung

Internes Netz

Mit der Eingabe von IP-Adressen im IPv4- oder IPv6-Format können Sie Ihr System in sich abschließen. Über verschiedene Kombinationen von Angaben des externen Zugriffs über die folgenden Feldeinstellungen Zugriff von außen erlauben und Externes Passwort für Zugriff von außen erforderlich, sowie Angaben in der Gruppenverwaltung über das Feld  Zugriff von außen verbieten und dem  IP-Bereich der Benutzerverwaltung können erweiternde oder einschränkende Zugriffsrechte vorgenommen werden. Geben Sie an dieser Stelle nur dann IP-Adressen an, wenn sich diese nicht ändern und Sie den Zugriff über die eingetragenen Adressen gewährleisten können.

Dynamische IP-Adressen

 

Die Angabe von dynamischen IP-Adressen kann dazu führen, dass Sie sich aus dem System aussperren. Beachten Sie den Abschnitt risikoreiche Sicherheitskombinationen.

Um den generellen Zugriff über erlaubte IP-Adressen zu gewähren, sind hier die Adressen einzutragen über welche die Clients mit dem Server kommunizieren. Demzufolge können hier auch externe Netzadressen stehen, welche vom Router übermittelt werden und nicht die des Clients.

Die Standardeinstellung ist immer auf 192.168.0.* gesetzt. Bei der Verwendung mehrerer IP-Netze/IP-Adressen trennen Sie bitte jede Adressen mit einem Komma , . Mit Stern * definieren Sie Adressbereiche für IPv4 und mit Schrägstrich / für IPv6, wie dies allgemein üblich ist.

Beispiel: 2001:0db8:1234::/48, 192.168.12.*, 218.134.19.99

Timeout für Netzwerkverbindung in Sekunden

Das Feld beschreibt die ständige Kontrolle der Verbindung zwischen dem Client und dem Server. Diese wird in der hier angegebenen Sekundenanzahl überprüft. Ihr TecArt-System benötigt für eine korrekte Betriebsverbindung eine SessionID aus Ihrem aktuellen Browser zur Kommunikation mit dem Server. Diese SessionID wird bei Aktionen im TecArt-System und darüber hinaus bei Inaktivität des Benutzers über die im Feld Timeout eingestellte Sekundenzeit automatisch überprüft. Sollte die Datenverbindung zum Server eventuell einmal unterbrochen werden, wird auf der Client-Seite eine entsprechende Information eingeblendet. Stellt sich die Verbindung innerhalb einer Stunde automatisch wieder her, kann problemlos weiter gearbeitet werden. Sollte die Verbindung zum Server nicht innerhalb der eingestellten Zeitspanne wiederhergestellt sein, löscht sich aus Sicherheitsgründen die Session samt SessionID auf dem Server nach spätestens dieser Stunde. Der Benutzer muss sich dann neu einloggen.

Zugriff von außen erlauben

Um Zugriffe von außerhalb des eigenen Firmennetzwerkes auf das TecArt-System zu erlauben, müssen Sie in diesem Feld Ja einstellen. In diesem Fall können Sie unabhängig der festgelegten IP-Adressen über das Internet oder einen separaten Firmennetzwerkbereich auf die Daten im TecArt-System nach Ihrer Autorisierung zugreifen. Einschränkungen sind in diesem Fall durch Angaben in der Benutzer- und Gruppenverwaltung über das Feld  Zugriff von außen verbieten und dem  IP-Bereich der Benutzer möglich.

Die Einstellung muss auch dann auf Ja gestellt werden, wenn Sie zwar ein internes Netz betreiben, aber Nutzer über mobile Endgeräte außerhalb des Firmennetzes zugreifen sollen.

Reverse DNS Lookup

Diese Funktion aktiviert die Erfassung weiterführender Log-Daten der TecArt-Benutzer. Wollen Sie nur die übermittelte IP-Adresse des zugreifenden Rechners angezeigt bekommen, stellen Sie bitte Reverse DNS Lookup auf Nein. Wollen Sie auch den Hostname des Providers sehen, belassen Sie die Einstellung hier auf Ja. Es werden dann zusätzliche Informationen in den Aktivitäten angezeigt.

Bandbreitenbeschränkung (Upload)

Sie legen mit dieser Auswahl fest, auf wie viel Prozent die Bandbreite aller Benutzer für den Upload über den aktuell genutzten Internetzungang reduziert werden soll. Bei einer 50%-Auswahl bedeutet dies für einen Benutzer mit 6 Mbit/s höchsten die Nutzung von 3 Mbit/s aber auch gleichzeitig für den UMTS-Zugang von 1,44 Mbit/s die Reduzierung auf nur noch 0,72 Mbit/s.

Auf der anderen Seite haben Sie jedoch die Möglichkeit benötigte Bandbreite für andere Anwendungen zu reservieren.

Authentifizierung

In diesen Optionen ist die Form des Login einstellbar.
  • HTML-Form ist die Anmeldung über einen Startbildschirm und die beste sowie einfachste Anmeldemaske für die Benutzer. Diese ist als Standard voreingestellt.
  • NTLM ist die Anmeldeform für eine Serveranmeldung (z. B. Windows Server 2010). Diese wählen Sie aus, wenn sich Benutzer via Single Sign-on über einen entsprechenden Server an das System anmelden sollen.

Externes Passwort für Zugriff von außen erforderlich

Hier aktivieren Sie eine einfache, aber sehr wirksame Sicherheitseinstellung Ihres Tecart-Systems. Stellen Sie das Feld auf Ja, so wird das im Feld Passwort extern in der Benutzerverwaltung eingetragene Passwort aktiviert. Die ggf. beim Benutzer hinterlegten IP-Adressen und die im Feld  Internes Netz eingetragenen IP-Adressen/IP-Netze werden überprüft. Greift der Benutzer von einer nicht autorisierten IP-Adresse zu, werden nach dem Zufallsprinzip vier Stellen des externen Passwortes abgefragt.

Das externe Passwort sollte somit immer mehr als 4 Stellen aufweisen. Wurde kein externes Passwort hinterlegt und diese Einstellung vorgenommen, ist kein Login möglich, genauso kann sich der Benutzer auch kein eigenes externes Passwort vergeben.

Minimale Passwortlänge

Hier legen Sie die Mindestanforderung der Zeichenlänge eines Passwortes fest. Die Passwörter dürfen diese Länge auch wesentlich überschreiten. Sie gilt sowohl für die normalen, wie auch die externen Passwörter.

Ausnahmen zu diesen Regelungen

 

Administratoren können beliebige Passwörter in der Benutzerinformationen eintragen, die von diesen Einstellungen ausgenommen sind.


Wörterbuchprüfung für Passwörter aktivieren

Einfache Passwörter (z.B. Sommer oder Winter) sind bei aktivierter Wörterbuchprüfung nicht mehr möglich. Die Passwörter müssen dann aus Buchstaben und Zahlen bestehen.

Strenge Wörterbuchprüfung

Haben Sie darüber hinaus diese Option aktiviert, sind auch o.g. Passworttypen nicht mehr möglich. In dem Fall müssen Passwörter dann aus Buchstaben, Zahlen und Sonderzeichen bestehen. Auch durch Sonderzeichen und Zahlen unterbrochene Wörter, welche im Wörterbuch enthalten sind, werden nicht akzeptiert.

Zeitverzögerung in Sekunden bei falscher Authentifizierung

Nach einer falschen Anmeldung gibt es eine einstellbare Zeitverzögerung zwischen einer und fünfzehn Sekunden, bis der Nutzer sein Passwort erneut eintragen kann. Diese Einstellung schützt Sie vor automatisierten Schadprogrammen, die in kürzester Zeit viele Passwörter probieren.

Anzahl Fehlversuche bis Sicherheitsfrage

Regulieren Sie die möglichen Fehlversuche für die Eingabe eines Passwortes bis zur Sicherheitsfrage. Hat der Benutzer eine Sicherheitsfrage hinterlegt, wird er zur Eingabe der Antwort aufgefordert. Ist keine Sicherheitsfrage hinterlegt, greifen die Einstellungen des Feldes  Benutzer sperren, wenn maximale Anzahl Fehlversuche erreicht direkt. Die Antwort auf die Sicherheitsfrage muss exakt mit der eingetragenen Antwort des Benutzers übereinstimmen.

Benutzer sperren, wenn maximale Anzahl Fehlversuche erreicht

Sie entscheiden mit der Auswahl Ja, ob ein Benutzer nach der hier definierten Anzahl der Fehlversuche bzw. nach Eingabe einer falschen Antwort auf die Sicherheitsabfrage automatisch gesperrt werden soll. Wählen Sie an dieser Stelle Nein kann der Benutzer beliebig oft die Eingabe des Passwortes wiederholen, muss jedoch nach jeder Falscheingabe das System erneut aufrufen.

Erneutes Absenden von Formularen unterbinden

Anwender neigen dazu Aktualisierungen oftmals mit der F5 durchzuführen. Dies kann aber dazu führen, dass ein gerade angelegter Kontakt über ein Formular nochmals abgesendet wird und damit ggf. ein Folgefehler der zur Anzeige kommt, welcher dann eventuell auf eine Dublette hinweist. Dies führt oftmals zur Verwirrung der Anwender. In anderen Fällen kann aber auch ein Objekt mehrfach angelegt werden. Durch die Einstellung auf Ja, wird das erneute Absenden des Formulares unterbunden.

Folgende Administratoren informieren, wenn maximale Anzahl Fehlversuche erreicht wurde

Dies regelt die Informationskette, welcher zuständige Administrator über die fehlerhaften Logins informiert werden soll. Mehrere zu informierende Administratoren wählen Sie bitte mit gedrückter STRG-Taste aus. Wird der Benutzer nicht gesperrt, kann dieser sich weiterhin versuchen einzuloggen. Die Benachrichtigung an den Administrator erfolgt dennoch.

1.1. Risikoreiche Sicherheitskombinationen

Nachfolgend haben wir Ihnen einige risikoreiche Einstellungen aufgelistet, welche bei Nichtbeachtung zur Sperrung von Benutzern und Administratoren sowie zur Sperrung aller Anwender für das System führen können. In diesem Fall können Sie sich nur kostenpflichtig mit unserem Support in Verbindung setzen. 

EinstellungskombinationenAuswirkungenHinweise
  • Die Angaben bei Internes Netz stehen auf 192.168.0.*
  • Zugriff von außen erlauben steht auf Nein
(warning) Das System ist für alle Benutzer gesperrt.(lightbulb) Eine Entsperrung ist nur durch den Support möglich.
  • Die Angaben bei Internes Netz stehen auf eine variable IP-Adresse Ihres Netzanbieters (z.B. 217.135.11.112)
  • Zugriff von außen erlauben steht auf Nein
(warning) Das System ist nur solange erreichbar, wie diese IP-Adresse gilt. Mit der Zuweisung einer neuen IP-Adresse über den Netzanbieter ist das System für alle Benutzer gesperrt.(lightbulb) Eine Entsperrung ist nur durch den Support möglich.
  • Die Angaben bei Internes Netz stehen auf eine feste IP-Adresse Ihres Netzanbieters (z.B. 217.135.11.112)
  • Zugriff von außen erlauben steht auf Ja
  • Externes Passwort für Zugriff von außen erforderlich steht auf Ja
(warning) Wird von einer anderen IP-Adresse zugegriffen, wird das externe Passwort gefordert. Voraussetzung ist ein hinterlegtes externes Passwort.(minus) Ist kein externes Passwort hinterlegt, ist der Zugriff nur über die angegebene feste IP-Adresse möglich.
  • Die Angaben bei Internes Netz stehen auf eine feste IP-Adresse Ihres Netzanbieters oder eine interne IP-Adresse
  • Zugriff von außen erlauben steht auf Ja
  • Zugriff von Außen verbieten wurde bei einem Benutzer oder einer Gruppe gesetzt
(warning) Wird von einer anderen IP-Adresse zugegriffen, wird der Zugang verweigert. Es gelten nur die hinterlegten IP-Adressen beim Benutzer oder für das globale System(plus) Der Administrator kann die Einstellungen für den Benutzer verändern

1.2. Hinweise für die Vergabe sicherer Passwörter

In den nachfolgenden Beispielen gehen wir von einer minimalen Passwortlänge von sechs Zeichen aus.

EinstellungEingabe und Passwortsicherheit
  • Wörterbuchüberprüfung für Passwörter aktivieren steht auf Nein
  • Strenge Wörterbuchprüfung wird ignoriert
  • Sommer (erlaubt, aber sehr einfach (smile))
  • Müller (erlaubt, aber sehr einfach (smile))
  • Sommer2013 (erlaubt, aber einfach (smile))
  •  ?Som#mer13 (erlaubt, aber einfach (smile))
  • Wörterbuchüberprüfung für Passwörter aktivieren steht auf Ja
  • Strenge Wörterbuchprüfung steht auf Nein
  • Sommer (nicht erlaubt (sad))
  • Müller (nicht erlaubt (sad))
  • Sommer2013 (erlaubt, aber einfach (smile))
  •  ?Som#mer13 (erlaubt, aber einfach (smile))
  • Wörterbuchüberprüfung für Passwörter aktivieren steht auf Ja
  • Strenge Wörterbuchprüfung steht auf Ja
  • Sommer (nicht erlaubt (sad))
  • Müller (nicht erlaubt (sad))
  • Sommer2013 (nicht erlaubt (sad))
  •  ?Som#mer13 (nicht erlaubt (sad))
  •  ?So#er13 (erlaubt, gute Qualität (big grin))
  •  ?So#er13 (erlaubt, gute Qualität (big grin))
  •  ?So#er12~13 (erlaubt, sehr gute Qualität (big grin)(star))

2. Zwei-Faktor-Authentifizierung

Die 2-Faktor-Authentifizierung ist Lizenzpflichtig und steht steht nur in den Systemen mit entsprechender Freischaltung zur Verfügung. Darüber hinaus benötigen Sie einen externen Anbieter für das Versenden der SMS. Sie können über die Gruppenauswahl festlegen, für welche Gruppen der Zugang über die Authentifizierung erfolgen muss. Mehrere Gruppen können Sie mit gedrückter STRG-Taste auswählen. Weitere Voraussetzung ist eine im Feld Mobiltelefon in der Benutzerverwaltung hinterlegte Mobilfunknummer oder SMS vorlesende Festnetznummer. Nach dem klassischen Login mittels Benutzernamen und Passwort oder einem automatischen Login, wird ein SMS-Code generiert und an die hinterlegte Nummer gesendet. Der Benutzer hat nun innerhalb 5 Minuten Zeit dieses Code in das vorgesehene Feld einzutragen.