Sicherheit: Verwalten der Sicherheitseinstellungen

Verwaltung

Sicherheit

Kennwörter

Mindestlänge des Passworts

Legen Sie für lokale Benutzerkonten Regeln bezüglich der Länge von Kennwörtern fest.

Komplexe Kennwörter erforderlich

Legen Sie für lokale Benutzerkonten Regeln bezüglich der Komplexität von Kennwörtern fest.

Standardgültigkeitsdauer für Kennwörter

Legen Sie für lokale Benutzerkonten Regeln fest, wie oft Kennwörter ablaufen.

Passwortrücksetzung aktivieren

Dies ermöglicht es Benutzern mit E-Mail-Adressen, vergessene Kennwörter zurückzusetzen. Der in Passwortrücksetzungs-E-Mails angegebene Link ist gültig, bis eines der folgenden Ereignisse eintritt:

24 Stunden sind verstrichen.
Es wird auf den Link geklickt und das Passwort wird erfolgreich zurückgesetzt.
Das System sendet einen weiteren Link an die E-Mail-Adresse.

Sperren des Kontos nach

Legen Sie fest, wie oft ein falsches Passwort eingegeben werden darf, bevor das Konto gesperrt wird.

Kontosperrdauer

Legt fest, wie lange ein ausgesperrter Benutzer warten muss, bevor die erneute Anmeldung möglich ist. Alternativ können Sie erfordern, dass ein Administrator das Konto wieder freischalten muss.

Zugriffskonsole

Sitzung abbrechen, wenn Konto verwendet wird

Wenn ein Benutzer versucht, sich mit einem bereits verwendeten Konto in der access console anzumelden, wird bei aktiviertem Kästchen Sitzung beenden die vorhergehende Verbindung unterbrochen, um die neue Anmeldung zu erlauben.

Gespeicherte Anmeldungen aktivieren

Gestatten Sie der access console, die Anmeldedaten eines Benutzers zu speichern, oder verweigern Sie es.

Abmelden inaktiver Benutzer nach

Legen Sie fest, wie lange es dauert, bis ein inaktiver Benutzer von der access console abgemeldet wird, um die Lizenz für einen anderen Benutzer freizugeben.

Warnung und Abmeldebenachrichtigung bei Zeitüberschreitung wegen Inaktivität aktivieren

Mit dieser Option können Sie einem inaktiven Benutzer 30 Sekunden vor der Abmeldung eine Benachrichtigung anzeigen. Der Benutzer wird nach erfolgter Abmeldung erneut benachrichtigt.

Benutzer bei Inaktivität aus Sitzung entfernen

Diese Option entfernt den Benutzer nach einer von Ihnen gewünschten Zeit der Inaktivität effektiv aus der Zugriffssitzung. Hierdurch können BeyondTrust-Kunden Konformitätsinitiativen mit Inaktivitätsanforderungen gerecht werden. Der Benutzer wird eine Minute, bevor er entfernt wird, hierüber benachrichtigt und kann die Zeitüberschreitung neu einstellen.

Ein Benutzer wird in einer Sitzung als aktiv angesehen, wenn Dateien entweder über die Registerkarte Datentransfer oder die Chat-Schnittstelle transferiert werden, oder wenn er die Maustaste betätigt oder auf der Registerkarte Sitzung eine Taste drückt. Mausbewegungen an sich gelten nicht als Aktivität. Sobald die Aktivität endet, wird der Inaktivitätszähler gestartet.

Standardmäßige Access Console-Authentifizierungsmethode

Legen Sie die Standard-Authentifizierungsmethode fest. Die hier festgelegte Authentifizierungsmethode wird automatisch auf der Anmeldeseite ausgewählt, wenn sich der Benutzer nach dem Ändern der Einstellung erneut in der access console anmeldet. Benutzer können bei Bedarf eine andere Methode auswählen.

Sie können die Einstellung jederzeit ändern. Sie müssen sich jedoch aus der access console ab- und dann wieder anmelden, um die Änderung anzeigen zu können.

Verbindung über mobile Access Console und Privileged Web Access Console mit Connect gestatten

Gewährt Benutzern die Option, über die BeyondTrust access console-App für iOS und Android und die privileged web access console, eine browserbasierte access console auf Remote-Systeme zuzugreifen.

Synchronisierungsmodus für Zwischenablage

Synchronisierungsmodus für Zwischenablage legt fest, wie Benutzer die Zwischenablagen innerhalb einer Bildschirmfreigabesitzung synchronisieren dürfen. Verfügbare Einstellungen:

Automatisch: Der Endpunkt und die Zwischenablage des Benutzers werden automatisch synchronisiert, wenn sich eines von beiden ändert.
Manuelle Installation: Der Benutzer muss auf eines der Zwischenablage-Symbole in der access console klicken, um entweder Inhalte zu versenden oder aus der Zwischenablage des Endpunktes abzurufen.

Sie MÜSSEN die Software auf der Statusseite neu starten, damit diese Einstellung wirksam wird.

Administratoren können den Zugriff auf die Zwischenablage durch Benutzer verhindern und Benutzern das Senden von Daten zum Endpunkt erlauben oder den Zugriff in beiden Richtungen erlauben (Senden und Empfangen von Daten). Über diese Einstellungen wird bestimmt, welche Zwischenablagesymbole dem Benutzer in der access console angezeigt werden, wenn der Modus Manuell ausgewält ist, und wie die Synchronisierung im Modus Automatisch funktioniert.

Detaillierte Zugriffsoptionen für die Zwischenablage können für Sitzungsrichtlinien und Gruppenrichtlinien eingerichtet sowie bestimmten Benutzern gewährt werden. Bitte beachten Sie zu jedem speziellen Fall die nachstehenden Links:

Benutzer: Benutzerberechtigungen für einen Benutzer oder Administrator hinzufügen: Benutzer und Sicherheit > Benutzer > Hinzufügen > Sitzungsberechtigungen > Bildschirmfreigabe
Sitzungsrichtlinien: Sitzungsberechtigungen und Aufforderungsregeln festlegen: Benutzer und Sicherheit > Sitzungsrichtlinien > Hinzufügen > Berechtigung > Bildschirmfreigabe
Gruppenrichtlinien: Benutzerberechtigungen auf Benutzergruppen anwenden: Benutzer und Sicherheit > Gruppenrichtlinien > Hinzufügen > Sitzungsberechtigungen [definiert]

Sie MÜSSEN die Software auf der Statusseite neu starten, damit diese Einstellung wirksam wird.

Suche nach externen Jump-Items zulassen

Dies ermöglicht die Jump-Item-Suche in Password Safe, wenn Privileged Remote Access über eine Password Safe-Integration und einen vollständig konfigurierten Endpunkt-Anmeldedaten-Manager verfügt.

Sie MÜSSEN die Software auf der Statusseite neu starten, damit diese Einstellung wirksam wird.

Jumpoint für externe Jump-Item-Sitzungen

Dieses Feld ist nur verfügbar, wenn Suche nach externen Jump-Items zulassen markiert ist. Wählen Sie den Jumpoint für externe Jump-Sessions aus der Dropdown-Liste der verfügbaren Jumpoints aus. Alle Sitzungen, die von externen Jump-Items aus gestartet werden, laufen über den hier ausgewählten Jumpoint.

Externer Jump-Item Gruppenname

Dieses Feld ist nur verfügbar, wenn Suche nach externen Jump-Items zulassen markiert ist. Geben Sie Ihren Namen für die externe Jump-Gruppe ein. Dieser Name wird bei der Anzeige von Jump-Gruppen in der Zugriffskonsole oder der Webzugriffskonsole angezeigt. Der Standardname, Externe Jump-Items, kann verwendet werden.

Sie MÜSSEN die Software auf der Statusseite neu starten, damit diese Einstellung wirksam wird.

Sonstiges

Aufbewahrungszeitraum für Protokollinformationen (in Tagen)

Legen Sie in Aufbewahrungszeitraum für Protokollinformationen (in Tagen) fest, wie lange Anmeldeinformationen im B Series Appliance gespeichert bleiben sollen. Diese Information umfasst auch die Berichtdaten und Aufnahmen der Sitzung. Die maximale Dauer, für die Sitzungsberichtsdaten und Aufzeichnungen auf einem B Series Appliance beibehalten werden, beträgt 90 Tage. Dies ist die Standardeinstellung bei einer Neuinstallation. Es ist möglich, dass Sitzungsaufzeichnungen für einige Sitzungen innerhalb des Beibehaltungszeitraums nicht verfügbar sind. Dies kann durch eingeschränkten Speicherplatz oder die Einstellung Aufbewahrungszeitraum für Protokollinformationen (in Tagen) bedingt sein.

Das B Series Appliance führt täglich ein Wartungsskript aus, das einen Speicherplatzverbrauch von nicht mehr als 90 % sicherstellt. Wird dieser Wert überschritten, beginnt das Skript mit der Löschung von Sitzungsaufzeichnungen basierend auf einer Formel, bis der Verbrauch unter 90 % fällt. Wenn die Einstellung Aufbewahrungszeitraum für Protokollinformationen kürzlich geändert wurde, kann es bis zu 24 Stunden dauern, bis die neue Einstellung wirksam wird.

Wenn Daten oder Aufzeichnungen über das konfigurierte Limit hinaus aufbewahrt werden müssen, empfiehlt BeyondTrust die Nutzung der Berichts-API.

Vorab ausgetauschter Schlüssel zur Kommunikation zwischen Geräten

Diese Funktion ist nur für Kunden verfügbar, die ein BeyondTrust Appliance B Series an ihrem Standort betreiben. BeyondTrust Cloud-Kunden haben keinen Zugriff auf diese Funktion.

Geben Sie ein Passwort in das Feld Geräteübergreifender, vorab geteilter Kommunikationsschlüssel ein, um eine vertrauenswürdige Verbindung zwischen zwei B Series Applianceen herzustellen. Für zwei oder mehr B Series Appliancee müssen die Schlüssel übereinstimmen, damit sie für Funktionen wie Failover oder Clustering konfiguriert werden können. Der Schlüssel muss mindestens 6 Zeichen lang sein und mindestens einen Großbuchstaben, einen Kleinbuchstaben, eine Zahl und ein Sonderzeichen enthalten.

Netzwerkbeschränkungen

Sie können bestimmen, welche IP-Netzwerke auf /login, /api und die BeyondTrust access console auf Ihrem B Series Appliance zugreifen können. Wenn Sie die Netzwerkeinschränkungen aktivieren, können Sie auch erzwingen, dass die access console nur über bestimmte Netzwerke genutzt werden kann.

Admin-Schnittstelle (/login) und API-Schnittstelle (/api)

Netzwerkbeschränkungen immer anwenden: Anhand dieser Option können Sie entweder eine Berechtigungsliste ausschließlich mit zulässigen Netzwerken oder eine Ablehnungsliste mit Netzwerken erstellen, denen der Zugriff verweigert wird. Anhand dieser Option können Sie festlegen, welche Beschränkungen (wenn überhaupt) für Desktop-, mobile und Webzugriffskonsole gelten sollen.
Netzwerkbeschränkungen niemals anwenden: Wird diese Option aktiviert, finden keine Beschränkungen Anwendung, und es sind keine weiteren Optionen verfügbar, um Beschränkungen für Desktop-, mobile und Webkonsole festzulegen.

Desktop- und mobile Zugriffskonsole

Netzwerkbeschränkungen immer anwenden: Wird diese Option aktiviert, werden die Netzwerkbeschränkungen der Verwaltungsschnittstelle übernommen.
Netzwerkbeschränkungen niemals anwenden: Bei Auswahl dieser Option werden auf Desktop- und mobilen Konsolen keine Beschränkungen angewendet, Sie haben jedoch die Option, Beschränkungen für die Web-access console festzulegen.
Netzwerkbeschränkungen nur bei erster Authentifizierung des Benutzers anwenden: Hiermit werden die oben ausgewählten Beschränkungen angewendet, aber nur beim ersten Anmelden des Benutzers.

Webkonsole (/console)

Netzwerkbeschränkungen immer anwenden: Bei Auswahl dieser Option übernimmt die Web-access console die in der Verwaltungsschnittstelle eingegebenen Beschränkungen.
Netzwerkbeschränkungen niemals anwenden: Bei Auswahl dieser Option werden auf die Web-access console selbst dann keine Beschränkungen angewendet, wenn bei anderen Zugriffskonsolen-Methoden Beschränkungen gelten.

Weitere Informationen finden Sie im Privileged Web Access Console-Handbuch.

Port-Einschränkungen für die Verwaltungs-Webschnittstelle

Diese Funktion ist nur für Kunden verfügbar, die ein BeyondTrust Appliance B Series an ihrem Standort betreiben. BeyondTrust Cloud-Kunden haben keinen Zugriff auf diese Funktion.

Legen Sie die Ports fest, über die der Zugriff auf Ihre /login-Schnittstelle möglich sein soll.

Proxy-Konfiguration

Konfigurieren Sie einen Proxy-Server so, dass der Datenfluss auf Informationen vom B Series Appliance kontrolliert wird. Dies gilt für ausgehende Ereignisse und API-Anrufe.

Proxy-Protokoll

Konfigurieren Sie HTTP- oder HTTPS-Proxy-Typen für vom B Series Appliance ausgehende Verbindungen.

Proxy-Konfiguration aktivieren

Aktivieren Sie das Kontrollkästchen, um die ausgehende Proxy-Konfiguration zu aktivieren.

Proxy-Host

Gehen Sie die IP-Adresse oder den Hostnamen Ihres Proxy-Servers an.

Proxy-Port

Geben Sie den von Ihrem Proxy-Server verwendeten Port an. Der Standard-Port ist 1080.

Benutzername und Passwort des Proxys

Wenn für den Proxy-Server eine Authentifizierung erforderlich ist, geben Sie einen Benutzernamen und ein Passwort ein.

Testen

Klicken Sie auf Testen, um sicherzugehen, dass die Einstellungen ordnungsgemäß vorgenommen worden sind. Das aktuelle Testergebnis wird im Bereich Letztes Testergebnis angezeigt. Fehlermeldungen zeigen an, wo die Einstellungen korrigiert werden müssen.