Sicherheit: Verwalten der Sicherheitseinstellungen

Verwaltung

Sicherheit

Authentifizierung

Standardmäßige -Authentifizierungsmethode

Die standardmäßige Authentifizierungsmethode ist Benutzername und Passwort. Wenn die passwortlose Authentifizierung aktiviert ist, kann passwortloses FIDO2 als Standardauthentifizierungsmethode ausgewählt werden. Wenn die passwortlose Authentifizierung aktiviert ist, kann bei der Anmeldung eine der beiden Authentifizierungsmethoden ausgewählt werden.

Passwortlose FIDO2-Authentifizierung aktivieren

Mit dieser Funktion können sich Benutzer des lokalen Sicherheitsanbieters oder Anbieter-Benutzer registrieren und mit FIDO2-zertifizierten Authentifizierern anstatt sich mit einem Passwort anzumelden. FIDO2-Authentifizierergeräte müssen CTAP2 unterstützen und in der Lage sein, eine Benutzerverifizierung mittels Biometrik oder einer PIN durchzuführen.

Diese Funktion ist standardmäßig aktiviert. Deaktivieren Sie das Häkchen, um die Funktion zu deaktivieren. Wenn deaktiviert:

Der Abschnitt Passwortlose Authentifizierer unter Mein Konto > Sicherheit ist ausgeblendet.
Die Passwortlose FIDO2-Option ist in den Anmelde-Dropdowns nicht verfügbar.
Die Benutzer können sich nicht mit zuvor registrierten Authentifizierern anmelden.

Wenn Sie diese Funktion deaktivieren, werden zuvor registrierte Authentifizierungen nicht entfernt. Wenn es notwendig ist, diese zu entfernen, müssen sie gelöscht werden, bevor die Funktion deaktiviert wird.

Benutzer mit registrierter passwortloser Authentifizierung können sich weiterhin mit ihrem Benutzernamen und Passwort anmelden. Dies kann nützlich sein, wenn sie sich mit einem Gerät anmelden müssen, das die passwortlose Authentifizierung nicht unterstützt.

Diese Funktion kann nicht auf bestimmte Benutzer oder Benutzergruppen beschränkt werden.

Weitere Informationen und die Möglichkeit, Authentifizierer zu registrieren, finden Sie unter Passwortlose Authentifizierer.

Sperren des Kontos nach

Legen Sie fest, wie oft ein falsches Passwort eingegeben werden darf, bevor das Konto gesperrt wird.

Kontosperrdauer

Legt fest, wie lange ein ausgesperrter Benutzer warten muss, bevor die erneute Anmeldung möglich ist. Alternativ können Sie erfordern, dass ein Administrator das Konto wieder freischalten muss.

Kennwörter

Mindestlänge des Passworts

Legen Sie für lokale Benutzerkonten Regeln bezüglich der Länge von Kennwörtern fest.

Standardgültigkeitsdauer für Kennwörter

Legen Sie für lokale Benutzerkonten Regeln fest, wie oft Kennwörter ablaufen.

Komplexe Kennwörter erforderlich

Legen Sie für lokale Benutzerkonten Regeln bezüglich der Komplexität von Kennwörtern fest.

Passwortrücksetzung aktivieren

Dies ermöglicht es Benutzern mit E-Mail-Adressen, vergessene Kennwörter zurückzusetzen. Der in Passwortrücksetzungs-E-Mails angegebene Link ist gültig, bis eines der folgenden Ereignisse eintritt:

24 Stunden sind verstrichen.
Es wird auf den Link geklickt und das Passwort wird erfolgreich zurückgesetzt.
Das System sendet einen weiteren Link an die E-Mail-Adresse.

Konsole d. Support-Technikers

Sitzung abbrechen, wenn Konto verwendet wird

Wenn ein Benutzer versucht, sich mit einem bereits verwendeten Konto in der Konsole d. Support-Technikers anzumelden, wird bei aktiviertem Kästchen Sitzung beenden die vorhergehende Verbindung unterbrochen, um die neue Anmeldung zu erlauben.

Gespeicherte Anmeldungen aktivieren

Gestatten Sie der Konsole d. Support-Technikers, die Anmeldedaten eines Benutzers zu speichern, oder verweigern Sie es.

Abmelden des inaktiven Support-Technikers nach

Legen Sie fest, wie lange es dauert, bis ein inaktiver Benutzer von der Konsole d. Support-Technikers abgemeldet wird, um die Lizenz für einen anderen Benutzer freizugeben.

Warnung und Abmeldebenachrichtigung bei Zeitüberschreitung wegen Inaktivität aktivieren

Legen Sie fest, ob ein Benutzer eine Eingabeaufforderung erhalten soll, bevor er aufgrund von Inaktivität abgemeldet wird. Die erste Benachrichtigung findet 30 Sekunden vor der Abmeldung statt, die zweite nach der Abmeldung.

Support-Techniker bei Inaktivität aus Sitzung entfernen

Diese Option entfernt den Benutzer nach einer von Ihnen gewünschten Zeit der Inaktivität effektiv aus der Zugriffssitzung. Hierdurch können BeyondTrust-Kunden Konformitätsinitiativen mit Inaktivitätsanforderungen gerecht werden. Der Benutzer wird eine Minute, bevor er entfernt wird, hierüber benachrichtigt und kann die Zeitüberschreitung neu einstellen.

Ein Benutzer wird in einer Sitzung als aktiv angesehen, wenn Dateien entweder über die Registerkarte Datentransfer oder die Chat-Schnittstelle transferiert werden, oder wenn er die Maustaste betätigt oder auf der Registerkarte Sitzung eine Taste drückt. Mausbewegungen an sich gelten nicht als Aktivität. Sobald die Aktivität endet, wird der Inaktivitätszähler gestartet.

Verbindung über mobile Konsole d. Support-Technikers und Web-Konsole des Support-Technikers mit Connect gestatten

Gewährt Benutzern die Option, über die Konsole d. Support-Technikers -App für iOS und Android und die Web-Konsole des Support-Technikers, eine browserbasierte Konsole d. Support-Technikers auf Remote-Systeme zuzugreifen.

Anzeigen der Miniaturansicht in der Konsole d. Support-Technikers

Wird ein Kunde mithilfe mehrerer Bildschirme unterstützt, kann der Benutzer mit dieser Option Miniaturansichten aller verfügbaren Bildschirme anzeigen. Diese Miniaturansichten werden nicht während Sitzungsaufnahmen aufgenommen. Deaktivieren Sie dieses Kästchen, um Rechtecke anstatt Miniaturansichten anzuzeigen.

Zulassen, dass der Support-Techniker einen Remote-Screenshot aufnimmt

Sie können Benutzern erlauben, Bildschirmaufnahmen des Remote-Desktops von der Konsole d. Support-Technikers zu machen.

Steuerung des Kunden-Client-Fensters durch Support-Techniker zulassen

Wird diese Einstellung aktiviert, kann der Support-Techniker im Kunden-Client-Fenster als Benutzer agieren und so zum Beispiel im Chat-Bereich tippen, Dateien versenden und mit Links und Schaltflächen interagieren. Wird diese Einstellung deaktiviert, sind die Möglichkeiten des Support-Technikers im Kunden-Client-Fenster auf Verschieben und Minimieren beschränkt.

Wenn Sie eine Heraufsetzung von der Konsole des Support-Technikers anfordern, erlauben Sie, dass Anmeldedaten eingegeben werden.

Wird eine Sitzung für Administratorrechte heraufgesetzt, erlauben Sie den Benutzern die manuelle Eingabe von Anmeldedaten, die Einfügung aus einem Passwort-Vault oder die Bereitstellung über eine virtuelle Smart-Card. So können Benutzer autorisierte geschützte Anmeldedaten verwenden, um den Kontext der Kunden-Client heraufzusetzen. Nach dem Heraufsetzen wird die Kunden-Client im Kontext des lokalen Systems ausgeführt.

Neustart mit zwischengespeicherten Anmeldedaten zulassen

Bei einer Support-Sitzung mit Administratorrechten auf einem Remote-Windows-Computer kann ein Support-Techniker mit dieser Option den Remote-Rechner ohne Mithilfe des Kunden durch Eingabe der Anmeldedaten vor dem Neustart neu starten. Diese Anmeldedaten können für die Dauer der Support-Sitzung gespeichert werden, wodurch die Anmeldung am Rechner automatisch erfolgt, wenn der Computer mehrmals neu gestartet wird.

Synchronisierungsmodus für Zwischenablage

Synchronisierungsmodus für Zwischenablage legt fest, wie Benutzer die Zwischenablagen innerhalb einer Bildschirmfreigabesitzung synchronisieren dürfen. Verfügbare Einstellungen:

Automatisch: Die Zwischenablagen von Kunde und Support-Techniker werden automatisch synchronisiert, wenn sich in einem von beiden etwas ändert.
Manuelle Installation: Der Support-Techniker muss auf eines der Zwischenablage-Symbole in der Konsole d. Support-Technikers klicken, um entweder Inhalte zu versenden oder aus der Zwischenablage des Endpunktes abzurufen.

Sie MÜSSEN die Software auf der Statusseite neu starten, damit diese Einstellung wirksam wird.

Administratoren können den Zugriff auf die Zwischenablage durch Support-Techniker verhindern und Support-Technikern das Senden von Daten zum Endpunkt erlauben oder den Zugriff in beiden Richtungen erlauben (Senden und Empfangen von Daten). Über diese Einstellungen wird bestimmt, welche Zwischenablagesymbole dem Support-Techniker in der Konsole d. Support-Technikers angezeigt werden, wenn der Modul Manuell ausgewält ist, und wie die Synchronisierung im Modus Automatisch funktioniert.

Detaillierte Zugriffsoptionen für die Zwischenablage können für Sitzungsrichtlinien und Gruppenrichtlinien eingerichtet sowie bestimmten Support-Technikern gewährt werden. Bitte beachten Sie zu jedem speziellen Fall die nachstehenden Links:

Benutzer: Benutzerberechtigungen für einen Support-Techniker oder Admin hinzufügen: Benutzer und Sicherheit > Benutzer > Hinzufügen > Berechtigungen für überwachte und unüberwachte Sitzungen > Bildschirmfreigabe
Sitzungsrichtlinien: Sitzungsberechtigungen und Aufforderungsregeln festlegen: Benutzer und Sicherheit > Sitzungsrichtlinien > Hinzufügen > Berechtigung > Bildschirmfreigabe
Gruppenrichtlinien: Benutzerberechtigungen auf Benutzergruppen anwenden: Benutzer und Sicherheit > Gruppenrichtlinien > Hinzufügen > Berechtigungen für überwachte und unüberwachte Sitzungen

Suche nach externen Jump-Items zulassen

Dies ermöglicht die Jump-Item-Suche in Remote Support über einen vollständig konfigurierten Endpunkt-Anmeldedaten-Manager (ECM).

Sie müssen die Software neu starten, damit diese Einstellung wirksam wird. Wenn Sie diese Einstellung aktivieren oder deaktivieren, werden Sie auf der Status-Seite in /login aufgefordert, jetzt neu zu starten oder später neu zu starten.

Jumpoint für externe Jump-Item-Sitzungen

Dieses Feld ist nur verfügbar, wenn die Option Suche nach externen Jump-Items zulassen markiert ist. Alle Sitzungen, die von externen Jump-Items aus gestartet werden, laufen über den hier ausgewählten Jumpoint. Wenn mehrere Jumpoints auf Endpunkten in segmentierten Netzwerken bereitgestellt werden, kann der verwendete Jumpoint durch Abgleich mit der Netzwerk-ID eines externen Jump-Items automatisch ausgewählt werden. Ein Jumpoint muss im Netzwerk positioniert sein, um eine Verbindung zu potenziell jedem der von ECM zurückgegebenen externen Jump-Items herzustellen.

Wählen Sie den Jumpoint, der für externe Jump-Item-Sitzungen verwendet werden soll, aus der Dropdown-Liste der verfügbaren Jumpoints aus, oder belassen Sie die Standardauswahl Automatisch ausgewählt durch externe Jump Item-Netzwerk-ID, damit Remote Support bestimmen kann, welcher Jumpoint die Sitzung handhabt.

Die Externe Jump-Item-Netzwerk-ID ist ein Attribut, das Sie für den Jumpoint unter Jump > Jumpoint in /login festlegen müssen. Es entspricht dem Attribut Workgroup auf verwalteten Systemen in Password Safe. Sein Wert wird mit der Eigenschaft Netzwerk-ID für externe Jump-Items abgeglichen, die vom ECM zurückgegeben werden, um den Jumpoint für eine Sitzung zu bestimmen.

Externer Jump-Item Gruppenname

Dieses Feld ist nur verfügbar, wenn die Option Suche nach externen Jump-Items zulassen markiert ist. Geben Sie optional einen Namen für die externe Jump-Gruppe ein oder belassen Sie die Standardoption Externe Jump-Items. Dieser Name wird als Name der Jump-Gruppe angezeigt, wenn Jump-Items in der Konsole d. Support-Technikers oder der Web-Konsole des Support-Technikers angezeigt werden. Klicken Sie auf Speichern, wenn Sie den Standardgruppennamen geändert haben.

Spezielle Aktionsbefehle „Ausführen als“ in Sitzungsberichten protokollieren

Deaktivieren Sie diese Option, um die Protokollierung und Meldung aller Ausführen als-Befehle zu beenden. Da der gesamte Befehl protokolliert wird, werden Anmeldedaten, die als Befehlsparameter weitergegeben werden, protokolliert.

Sitzungsschlüssel

Sitzungsschlüssellänge

Die Sitzungsschlüssellänge kann auf eine beliebige Zahl zwischen 7 und 20 festgelegt werden.

Sitzungsschlüssel zur einmaligen Verwendung

Ist Sitzungsschlüssel zur einmaligen Verwendung aktiviert, kann ein Sitzungsschlüssel nicht mehr als einmal zur Erstellung einer Support-Sitzung verwendet werden.

Max. Sitzungsschlüssel-Zeitüberschreitung

Max. Sitzungsschlüssel-Zeitüberschreitung legt die maximale Zeit fest, die ein Sitzungsschlüssel gültig sein kann. Ein Benutzer kann in der Konsole d. Support-Technikers die Lebenszeit jedes generierten Sitzungsschlüssels festlegen, die nicht länger als der auf dieser Seite definierte Zeitraum sein kann. Verwendet der Kunde den Sitzungsschlüssel nicht innerhalb des zulässigen Zeitraums, verfällt der Schlüssel, und der Benutzer muss einen neuen Sitzungsschlüssel ausgeben, um eine Sitzung durchzuführen.

Öffentliches Portal

Öffentliche Website zwingen, HTTPS zu verwenden

Die Option Öffentliche Website zwingen, SSL zu verwenden (https) bietet zusätzliche Sicherheit. Durch die Verwendung von HTTPS wird die Internetverbindung mit Ihrem öffentlichen Support-Portal gezwungen, SSL-Verschlüsselung zu verwenden, sodass eine zusätzliche Sicherheitsstufe implementiert wird, um zu vermeiden, dass nicht autorisierte Benutzer auf Konten zugreifen können.

Blockieren von externen Ressourcen, Inline-Skripten undInline-Styles auf der öffentlichen Website

Hindern Sie Ihre öffentliche Website am Laden externer Ressourcen, Ausführen von Inline-Skripten oder der Anzeige von Inline-Styles. Diese Option wird durch Versenden des HTTP-Headers „Content-Security-Policy (CSP)“ mit dem Wert default-src 'self' aktiviert.

Der CSP-Header teilt dem Browser mit, Ressourcen wie Bilder, Schriftarten, Stylesheets, Skripte, Frames und andere Unterressourcen, die sich extern zur eigenen Domäne befinden, zu ignorieren. Außerdem werden Inline-Skripte und Styles ignoriert, unabhängig davon, ob sie im Head oder Body der Seite eingebettet sind. Dies wirkt sich auch auf Inline-Skripte und-Styles aus, die zur Laufzeit dynamisch über JavaScript hinzugefügt werden.

Jegliche Ressourcen, die Sie nutzen möchten, müssen unter Öffentliche Portale > Dateispeicher auf das B Series Appliance hochgeladen werden. Aktivieren Sie diese Option nicht, wenn Sie die Vorlage Ihrer öffentlichen Website zur Verwendung von Inline-Skripten, Styles oder anderen Ressourcen angepasst haben, die sich außerhalb Ihrer BeyondTrust-Website befinden.

Vereinfachten Sitzungsstart aktivieren

Versuchen, Sitzungen mit ClickOnce oder Java zu starten. Ist diese Option deaktiviert, muss der Kunden-Client manuell heruntergeladen und ausgeführt werden.

Indexierung öffentlicher Websites deaktivieren

Aktivieren Sie Indizierung öffentlicher Websites deaktivieren, um Suchmaschinen an der Indizierung von Seiten zu hindern, die von Ihrem B Series Appliance gehostet werden.

Sonstiges

Aufbewahrungszeitraum für Protokollinformationen (in Tagen)

Legen Sie in Aufbewahrungszeitraum für Protokollinformationen (in Tagen) fest, wie lange Anmeldeinformationen im B Series Appliance gespeichert bleiben sollen. Diese Information umfasst auch die Berichtdaten und Aufnahmen der Sitzung. Die maximale Dauer, für die Sitzungsberichtsdaten und Aufzeichnungen auf einem B Series Appliance beibehalten werden, beträgt 90 Tage. Dies ist die Standardeinstellung bei einer Neuinstallation. Es ist möglich, dass Sitzungsaufzeichnungen für einige Sitzungen innerhalb des Beibehaltungszeitraums nicht verfügbar sind. Dies kann durch eingeschränkten Speicherplatz oder die Einstellung Aufbewahrungszeitraum für Protokollinformationen (in Tagen) bedingt sein.

Das BeyondTrust Appliance B Series führt täglich ein Wartungsskript aus, das einen Speicherplatzverbrauch von nicht mehr als 90 % sicherstellt. Wird dieser Wert überschritten, beginnt das Skript mit der Löschung von Sitzungsaufzeichnungen basierend auf einer Formel, bis der Verbrauch unter 90 % fällt. Wenn die Einstellung Aufbewahrungszeitraum für Protokollinformationen kürzlich geändert wurde, kann es bis zu 24 Stunden dauern, bis die neue Einstellung wirksam wird.

Wenn Daten oder Aufzeichnungen über das konfigurierte Limit hinaus aufbewahrt werden müssen, empfiehlt BeyondTrust die Nutzung des Integrations-Client oder der Berichts-API.

Vorab ausgetauschter Schlüssel zur Kommunikation zwischen Geräten

Diese Funktion ist nur für Kunden verfügbar, die ein BeyondTrust Appliance B Series an ihrem Standort betreiben. BeyondTrust Cloud-Kunden haben keinen Zugriff auf diese Funktion.

Geben Sie ein Passwort in das Feld Geräteübergreifender, vorab geteilter Kommunikationsschlüssel ein, um eine vertrauenswürdige Verbindung zwischen zwei B Series Applianceen herzustellen. Für zwei oder mehr B Series Appliancee müssen die Schlüssel übereinstimmen, damit sie für Funktionen wie Failover oder Clustering konfiguriert werden können. Der Schlüssel muss mindestens 6 Zeichen lang sein und mindestens einen Großbuchstaben, einen Kleinbuchstaben, eine Zahl und ein Sonderzeichen enthalten.

Tage für die Aufbewahrung von Jump-Item-Protokollierungsinformationen

Wählen Sie, wie lange Jump-Item-Berichtsdaten von dem Gerät aus zugänglich sein sollen. Da Daten nur einmal pro Tag gelöscht werden, kann der Zugriff unter Umständen bis zu 24 Stunden nach dem ausgewählten Wert möglich sein.

Wiederherstellung des Chatverlaufs aktivieren

Aktivieren Sie dieses Kontrollkästchen, damit das Chatfenster die Chatnachrichten wiederherstellt, wenn eine Sitzung unterbrochen und dann wiederaufgenommen wird.

Remote-Support-Client-Verifizierung während Heraufsetzungsversuchen erfordern

Sie müssen während der Heraufsetzung die Verifizierung des Remote-Support-Clients bereitstellen.

SSL-Zertifikatprüfung

Sie können auch eine SSL-Zertifikatsprüfung anfordern, um BeyondTrust-Software (einschließlich Konsole d. Support-Technikers, Kunden-Clients, Präsentations-Clients und Jump-Clients) zu zwingen, zu überprüfen, ob die Zertifizierungskette vertrauenswürdig ist, das Zertifikat nicht abgelaufen ist und der Zertifikatname dem Hostnamen des B Series Appliance entspricht. Kann die Zertifizierungskette nicht ordnungsgemäß überprüft werden, wird die Verbindung nicht zugelassen.

Wenn die Zertifikatprüfung deaktiviert wurde und dann wieder aktiviert wird, werden alle Konsolen und Clients automatisch bei der nächsten Verbindung aktualisiert. Bitte beachten Sie, dass die LDAP Connection Agents nicht automatisch aktualisiert werden, sondern erneut installiert werden müssen, damit diese Einstellung in Kraft tritt.

Ist die SSL-Zertifikatprüfung aktiviert, werden zusätzlich zur integrierten Sicherheit in BeyondTrust Sicherheitsprüfungen durchgeführt, um die SSL-Zertifizierungskette zu überprüfen, die für die sichere Kommunikation verwendet wird. Es wird dringend empfohlen, die SSL-Prüfung zu aktivieren. Ist die Zertifikatprüfung deaktiviert, wird auf Ihrer Verwaltungsschnittstelle eine Warnmeldung angezeigt. Sie können diese Meldung 30 Tage lang ausblenden.

Zur Aktivierung des SSL-Zertifikats müssen Sie das SSL-Zertifikat BeyondTrust zur Verfügung stellen, damit das Zertifikat in die BeyondTrust-Software eingebettet werden kann.

Weitere Informationen finden Sie in SSL-Zertifikate und BeyondTrust Remote Support.

Netzwerkbeschränkungen

Sie können bestimmen, welche IP-Netzwerke auf /login, /api und die Konsole d. Support-Technikers auf Ihr BeyondTrust Appliance B Series zugreifen können. Wenn Sie die Netzwerkeinschränkungen aktivieren, können Sie auch erzwingen, dass die Konsole d. Support-Technikers nur über bestimmte Netzwerke genutzt werden kann.

Definieren Sie Netzwerkregeln für die folgenden Schnittstellen:

Admin-Schnittstelle (/login) und API-Schnittstelle (/api)

Netzwerkbeschränkungen immer anwenden: Anhand dieser Option können Sie entweder eine Berechtigungsliste ausschließlich mit zulässigen Netzwerken oder eine Ablehnungsliste mit Netzwerken erstellen, denen der Zugriff verweigert wird. Anhand dieser Option können Sie festlegen, welche Beschränkungen (wenn überhaupt) für Desktop-, mobile und Webzugriffskonsole gelten sollen.
Netzwerkbeschränkungen niemals anwenden: Wird diese Option aktiviert, finden keine Beschränkungen Anwendung, und es sind keine weiteren Optionen verfügbar, um Beschränkungen für Desktop-, mobile und Webkonsole festzulegen.

Desktop- und mobile Konsole d. Support-Technikers

Netzwerkbeschränkungen immer anwenden: Wird diese Option aktiviert, werden die Netzwerkbeschränkungen der Verwaltungsschnittstelle übernommen.
Netzwerkbeschränkungen niemals anwenden: Bei Auswahl dieser Option werden auf Desktop- und mobilen Konsolen keine Beschränkungen angewendet, Sie haben jedoch die Option, Beschränkungen für die Web-Konsole d. Support-Technikers festzulegen.
Netzwerkbeschränkungen nur bei erster Authentifizierung des Benutzers anwenden: Hiermit werden die oben ausgewählten Beschränkungen angewendet, aber nur beim ersten Anmelden des Benutzers.

Webkonsole (/console)

Netzwerkbeschränkungen immer anwenden: Bei Auswahl dieser Option übernimmt die Web-Konsole d. Support-Technikers die in der Verwaltungsschnittstelle eingegebenen Beschränkungen.
Netzwerkbeschränkungen niemals anwenden: Bei Auswahl dieser Option werden auf die Web-Konsole d. Support-Technikers selbst dann keine Beschränkungen angewendet, wenn bei anderen Zugriffskonsolen-Methoden Beschränkungen gelten.

Weitere Informationen finden Sie im Web-Konsole des Support-Technikers-Handbuch.

Definieren Sie Ihre Netzwerkbeschränkungen:

Geben Sie die Netzwerkadresspräfixe (einen pro Zeile) ein. Die Netzmaske ist optional und kann entweder in Dezimalschreibweise mit Punkt oder als Ganzzahlbitmaske angegeben werden. Wird die Netzmaske weggelassen, so wird von einer einzelnen IP-Adresse ausgegangen.

Erlauben-Liste: Nur die spezifizierten Netzwerke erlauben
Ablehnen-Liste: Verweigern Sie die angegebenen Netzwerke.

Port-Einschränkungen für die Verwaltungs-Webschnittstelle

Diese Funktion ist nur für Kunden verfügbar, die ein BeyondTrust Appliance B Series an ihrem Standort betreiben. BeyondTrust Cloud-Kunden haben keinen Zugriff auf diese Funktion.

Legen Sie die Ports fest, über die der Zugriff auf Ihre /login-Schnittstelle möglich sein soll.

Proxy-Konfiguration

Konfigurieren Sie einen Proxy-Server so, dass der Datenfluss auf Informationen vom B Series Appliance kontrolliert wird. Dies gilt für ausgehende Ereignisse und API-Anrufe.

Proxy-Protokoll

Konfigurieren Sie HTTP- oder HTTPS-Proxy-Typen für vom B Series Appliance ausgehende Verbindungen.

Proxy-Konfiguration aktivieren

Aktivieren Sie das Kontrollkästchen, um die ausgehende Proxy-Konfiguration zu aktivieren.

Proxy-Host

Gehen Sie die IP-Adresse oder den Hostnamen Ihres Proxy-Servers an.

Proxy-Port

Geben Sie den von Ihrem Proxy-Server verwendeten Port an. Der Standard-Port ist 1080.

Benutzername und Passwort des Proxys

Wenn für den Proxy-Server eine Authentifizierung erforderlich ist, geben Sie einen Benutzernamen und ein Passwort ein.

Testen

Klicken Sie auf Testen, um sicherzugehen, dass die Einstellungen ordnungsgemäß vorgenommen worden sind. Das aktuelle Testergebnis wird im Bereich Letztes Testergebnis angezeigt. Fehlermeldungen zeigen an, wo die Einstellungen korrigiert werden müssen.

ICAP-Konfiguration

Sie können Dateiübertragungen so konfigurieren, dass sie über die Secure Remote Access Appliance laufen und von einem ICAP-Server (Internet Content Adaptation Protocol) gescannt werden. Erkennt der ICAP-Server eine schädliche Datei, wird diese nicht weitergeleitet.

In den folgenden Szenarien können keine Dateiübertragungen an einen ICAP-Server gesendet werden: Protokolltunnel jump-basierte Dateiübertragungen, Zwischenablage-Dateiübertragungen innerhalb von RDP-Sitzungen und externe Tool-Dateiübertragungen innerhalb von RDP- oder Shell Jump-Sitzungen. Selbst wenn ICAP aktiviert ist, werden diese Übertragungen nicht gescannt.

Die Aktivierung von ICAP oder die Änderung der ICAP-URL erfordert einen Neustart des Geräts, um sicherzustellen, dass die Clients wieder verbunden und richtig konfiguriert sind. In einer Atlas-Umgebung ist eine Synchronisierung erforderlich.

Die Verwendung von ICAP verringert die Leistung von Dateiübertragungen aufgrund der zusätzlichen Schritte und Prüfungen. Wenn der ICAP-Server ausgefallen ist, schlägt die Dateiübertragung fehl.

Eine unsachgemäße ICAP-Konfiguration verhindert, dass Jumpoints korrekt funktionieren.

ICAP-Einstellungen

Geben Sie die ICAP-Server-URL ein. Diese wird von Ihrem ICAP-Server-Anbieter bereitgestellt. Der Standard-Port ist 1344. Wenn Sie einen anderen Port verwenden, muss er zusammen mit der URL in diesem Format angegeben werden: icap://example.com:0000 oder icaps://example.com:0000.

Wenn das Protokoll icaps:// lautet, markieren Sie CA-Zertifikat verwenden. Klicken Sie dann auf Ein Zertifikat wählen und laden Sie das Zertifikat hoch.

Wenn Sie ein selbstsigniertes ICAPS-Zertifikat verwenden und kein Zertifikat einer Zertifizierungsstelle zu dessen Prüfung hochladen, schlagen alle Übertragungen von Sitzungsdateien fehl.

Bei abgelaufenen oder ungültigen Zertifikaten schlagen die Übertragungen von Sitzungsdateien ungeachtet dessen fehl, ob ein Zertifikat einer Zertifizierungsstelle hochgeladen wird.

Speichern Sie die ICAP-Einstellungen vor dem Testen.

ICAP-Testverbindung

Nachdem Sie die ICAP-Einstellungen eingegeben und gespeichert haben, klicken Sie auf TEST MIT EINER DATEI und wählen eine Datei zum Hochladen aus. Es gibt drei mögliche Ergebnisse:

Ein Verbindungsfehler. Ein Fehlerhinweis und ICAP-Protokolle werden angezeigt (falls vorhanden).
Eine bösartige Datei wird entdeckt. Ein Warnhinweise und Antwortdetails werden angezeigt. Es wird nicht angezeigt, um welche Art von bösartigem Inhalt es sich genau handelt.
Es werden keine Probleme festgestellt. Die Antwortdetails werden angezeigt.