Sicherheit: Verwalten der Sicherheitseinstellungen

Verwaltung > Sicherheit

Sicherheit :: Optionen

Mindestlänge des Kennworts:

Legen Sie für lokale Benutzerkonten Regeln bezüglich der Länge von Kennwörtern fest.

Komplexe Kennwörter erforderlich

Legen Sie für lokale Benutzerkonten Regeln bezüglich der Komplexität von Kennwörtern fest.

Standardgültigkeitsdauer für Kennwörter

Legen Sie für lokale Benutzerkonten Regeln fest, wie oft Kennwörter ablaufen.

Kennwortrücksetzung aktivieren

Dies ermöglicht es Benutzern mit E-Mail-Adressen, vergessene Kennwörter zurückzusetzen. Der in Kennwortrücksetzungs-E-Mails angegebene Link ist gültig, bis eines der folgenden Ereignisse eintritt:

  • 24 Stunden sind verstrichen.
  • Es wird auf den Link geklickt und das Kennwort wird erfolgreich zurückgesetzt.
  • Das System sendet einen weiteren Link an die E-Mail-Adresse.

Gespeicherte Anmeldungen aktivieren

Gestatten Sie der Zugriffskonsole, die Anmeldedaten eines Benutzers zu speichern, oder verweigern Sie es.

Sperren des Kontos nach

Legen Sie fest, wie oft ein falsches Kennwort eingegeben werden darf, bevor das Konto gesperrt wird.

Dauer der Kontosperrung

Legt fest, wie lange ein ausgesperrter Benutzer warten muss, bevor die erneute Anmeldung möglich ist. Alternativ können Sie erfordern, dass ein Administrator das Konto wieder freischalten muss.

Sitzung abbrechen, wenn Konto verwendet wird

Wenn ein Benutzer versucht, sich mit einem bereits verwendeten Konto anzumelden, wird bei aktiviertem Kästchen Sitzung beenden die vorhergehende Verbindung unterbrochen, um die neue Anmeldung zu erlauben.

Abmelden inaktiver Benutzer nach

Legen Sie fest, wie lange es dauert, bis ein inaktiver Benutzer abgemeldet wird, um die Lizenz für einen anderen Benutzer freizugeben.

Benutzer bei Inaktivitätaus Sitzung entfernen

Diese Option entfernt den Benutzer nach einer von Ihnen gewünschten Zeit der Inaktivität effektiv aus der Zugriffssitzung. Hierdurch können BeyondTrust-Kunden Konformitätsinitiativen mit Inaktivitätsanforderungen gerecht werden. Der Benutzer wird eine Minute, bevor er entfernt wird, hierüber benachrichtigt und kann die Zeitüberschreitung neu einstellen.

Ein Benutzer wird in einer Sitzung als aktiv angesehen, wenn Dateien entweder über die Registerkarte Datentransfer oder die Chat-Schnittstelle transferiert werden, oder wenn er die Maustaste betätigt oder auf der Registerkarte Sitzung eine Taste drückt. Mausbewegungen an sich gelten nicht als Aktivität. Sobald die Aktivität endet, wird der Inaktivitätszähler gestartet.

Mobiler BeyondTrust-Zugriffskonsole und BeyondTrust Privileged Web-Zugriffskonsole Verbindung gestatten

Gewährt Benutzern die Option, über die BeyondTrust-Zugriffskonsole für iOS und Android und die Privileged Web-Zugriffskonsole, eine browserbasierte Zugriffskonsole, auf Remote-Systeme zuzugreifen.

Synchronisierungsmodus für Zwischenablage

Synchronisierungsmodus für Zwischenablage legt fest, wie Benutzer die Zwischenablagen innerhalb einer Bildschirmfreigabesitzung synchronisieren dürfen. Verfügbare Einstellungen:

  • Nicht erlaubt – Der Benutzer darf auf die Zwischenablage des Remote-Computers nicht zugreifen und diese nicht ändern.
  • Berechtigt, die Zwischenablage des Benutzers manuell an den Kunden zu senden – Der Benutzer kann auf eine Schaltfläche klicken, um den Inhalt der lokalen Zwischenablage an die Zwischenablage des Remote-Computers zu senden.
  • Berechtigt, die Zwischenablage manuell in eine Richtung zu senden – Der Benutzer kann auf eine Schaltfläche klicken, um den Inhalt der lokalen Zwischenablage zur Zwischenablage des Remote-Computers zu senden, oder den Inhalt der Remote-Zwischenablage an seine lokale Zwischenablage zu senden.
  • Änderungen der Zwischenablage automatisch in beide Richtungen senden – Der Inhalt der lokalen und Remote-Zwischenablage bleibt automatisch gleich.

Sie MÜSSEN die Software auf der Statusseite neu starten, damit diese Einstellung wirksam wird.

SSL-Zertifikatprüfung

Sie können auch eine SSL-Zertifikatsprüfung anfordern, um BeyondTrust-Software (einschließlich Zugriffskonsolen, Endpunkt-Clients und Jump Clients) zu zwingen, zu überprüfen, ob die Zertifizierungskette vertrauenswürdig ist, das Zertifikat nicht abgelaufen ist und der Zertifikatname dem Hostnamen des BeyondTrust-Geräts entspricht. Kann die Zertifizierungskette nicht ordnungsgemäß überprüft werden, wird die Verbindung nicht zugelassen.

Wenn die Zertifikatprüfung deaktiviert wurde und dann wieder aktiviert wird, werden alle Konsolen und Clients automatisch bei der nächsten Verbindung aktualisiert. Bitte beachten Sie, dass die LDAP Connection Agents nicht automatisch aktualisiert werden, sondern erneut installiert werden müssen, damit diese Einstellung in Kraft tritt.

Ist die SSL-Zertifikatprüfung aktiviert, werden zusätzlich zur integrierten Sicherheit in BeyondTrust Sicherheitsprüfungen durchgeführt, um die SSL-Zertifizierungskette zu überprüfen, die für die sichere Kommunikation verwendet wird. Es wird dringend empfohlen, die SSL-Prüfung zu aktivieren. Ist die Zertifikatprüfung deaktiviert, wird auf Ihrer Verwaltungsschnittstelle eine Warnmeldung angezeigt. Sie können diese Meldung 30 Tage lang ausblenden.

Zur Aktivierung des SSL-Zertifikats müssen Sie das SSL-Zertifikat BeyondTrust zur Verfügung stellen, damit das Zertifikat in die BeyondTrust-Software eingebettet werden kann.

Weitere Informationen siehe SSL-Zertifikate und BeyondTrust Privileged Remote Access.

Aufbewahrungszeitraum für Protokollinformationen (in Tagen)

Legen Sie in Aufbewahrungszeitraum für Protokollinformationen (in Tagen) fest, wie lange Anmeldeinformationen im BeyondTrust-Gerät gespeichert bleiben sollen. Diese Information umfasst auch die Berichtdaten und Aufnahmen der Sitzung. Die maximale Dauer, für die Sitzungsberichtsdaten und Aufzeichnungen auf einem BeyondTrust-Gerät beibehalten werden, beträgt 90 Tage. Dies ist die Standardeinstellung bei einer Neuinstallation. Es ist möglich, dass Sitzungsaufzeichnungen für einige Sitzungen innerhalb des Beibehaltungszeitraums nicht verfügbar sind. Dies kann durch eingeschränkten Speicherplatz oder die Einstellung Aufbewahrungszeitraum für Protokollinformationen (in Tagen) bedingt sein.

Das BeyondTrust-Gerät führt täglich ein Wartungsskript aus, das einen Speicherplatzverbrauch von nicht mehr als 90 % sicherstellt. Wird dieser Wert überschritten, beginnt das Skript mit der Löschung von Sitzungsaufzeichnungen basierend auf einer Formel, bis der Verbrauch unter 90 % fällt. Wenn die Einstellung Aufbewahrungszeitraum für Protokollinformationen kürzlich geändert wurde, kann es bis zu 24 Stunden dauern, bis die neue Einstellung wirksam wird.

Wenn Daten oder Aufzeichnungen über das konfigurierte Limit hinaus aufbewahrt werden müssen, empfiehlt BeyondTrust die Nutzung der Berichts-API.

Vorab ausgetauschter Schlüssel zur Kommunikation zwischen Geräten

Geben Sie ein Kennwort in das Feld Geräteübergreifender, vorab geteilter Kommunikationsschlüssel ein, um eine vertrauenswürdige Verbindung zwischen zwei Geräten herzustellen. Für zwei oder mehr Geräte müssen die Schlüssel übereinstimmen, damit sie für Funktionen wie Failover oder Clustering konfiguriert werden können. Der Schlüssel muss mindestens 6 Zeichen lang sein und mindestens einen Großbuchstaben, einen Kleinbuchstaben, eine Zahl und ein Sonderzeichen enthalten.

Sicherheit :: Netzwerkbeschränkungen

Sie können bestimmen, welche IP-Netzwerke auf /login, /api und die BeyondTrust-Zugriffskonsole auf Ihrem BeyondTrust-Gerät zugreifen können. Wenn Sie die Netzwerkeinschränkungen aktivieren, können Sie auch erzwingen, dass die Zugriffskonsole nur über bestimmte Netzwerke genutzt werden kann.

Admin-Schnittstelle (/login) und API-Schnittstelle (/api)

  • Netzwerkbeschränkungen immer anwenden: Anhand dieser Option können Sie entweder eine Whitelist ausschließlich mit zulässigen Netzwerken oder eine schwarze Liste mit Netzwerken erstellen, denen der Zugriff verweigert wird. Anhand dieser Option können Sie festlegen, welche Beschränkungen (wenn überhaupt) für Desktop-, mobile und Webzugriffskonsole gelten sollen.
  • Netzwerkbeschränkungen niemals anwenden: Wird diese Option aktiviert, finden keine Beschränkungen Anwendung, und es sind keine weiteren Optionen verfügbar, um Beschränkungen für Desktop-, mobile und Webkonsole festzulegen.

Desktop- und mobile Zugriffskonsole

  • Netzwerkbeschränkungen immer anwenden: Wird diese Option aktiviert, werden die Netzwerkbeschränkungen der Verwaltungsschnittstelle übernommen. Diese Beschränkungen werden zudem für die Webzugriffskonsolenschnittstelle (/console) übernommen.
  • Netzwerkbeschränkungen niemals anwenden: Bei Auswahl dieser Option werden auf Desktop- und mobile Konsole keine Beschränkungen angewendet, Sie haben jedoch die Option, Beschränkungen für die Webzugriffskonsole festzulegen.
  • Netzwerkbeschränkungen nur bei erster Authentifizierung des Benutzers anwenden: Hiermit werden die oben ausgewählten Beschränkungen angewendet, aber nur beim ersten Anmelden des Benutzers. Bei Auswahl dieser Option übernimmt die Konsole die in der Verwaltungsschnittstelle angewendeten Beschränkungen.

Webkonsole (/console)

  • Netzwerkbeschränkungen immer anwenden: Bei Auswahl dieser Option übernimmt die Webzugriffskonsole die in der Verwaltungsschnittstelle eingegebenen Beschränkungen.
  • Netzwerkbeschränkungen niemals anwenden: Bei Auswahl dieser Option werden auf die Webzugriffskonsole selbst dann keine Beschränkungen angewendet, wenn bei anderen Zugriffskonsolen-Methoden Beschränkungen gelten.

Weitere Informationen finden Sie unter Leitfaden zur Privileged Web Access-Konsole.

Sicherheit :: Port-Einschränkungen für die Verwaltungs-Webschnittstelle

Legen Sie die Ports fest, über die der Zugriff auf Ihre /login-Schnittstelle möglich sein soll.