Sie befinden sich in den globalen Grundeinstellungen und definieren hier die generelle Systemsicherheit Ihres TecArt CRM. In diesem Bereich werden Einstellungen vorgenommen, die das gesamte TecArt CRM auch an vielen anderen Stellen beeinflussen.
| Administrator |
Nach den vorgenommenen Änderungen ist unbedingt zu drücken, da sonst Ihre Änderungen nicht übernommen werden. Über den Button können Sie jederzeit Ihre globalen Grundeinstellungen des Systems wieder in den Auslieferungszustand zurückversetzen.
Sicherheit #
| Feldbezeichnung | Erläuterung |
|---|---|
| Internes Netz | Mit der Eingabe von IP-Adressen im IPv4- oder IPv6-Format können Sie Ihr System in sich abschließen. Über verschiedene Kombinationen von Angaben des externen Zugriffs über die folgenden Feldeinstellungen Zugriff von außen erlauben und Externes Passwort für Zugriff von außen erforderlich, sowie Angaben in der Gruppenverwaltung über das Feld Zugriff von außen verbieten und dem IP-Bereich der Benutzerverwaltung können erweiternde oder einschränkende Zugriffsrechte vorgenommen werden. Geben Sie an dieser Stelle nur dann IP-Adressen an, wenn sich diese nicht ändern und Sie den Zugriff über die eingetragenen Adressen gewährleisten können.
Um den generellen Zugriff über erlaubte IP-Adressen zu gewähren, sind hier die Adressen einzutragen über welche die Clients mit dem Server kommunizieren. Demzufolge können hier auch externe Netzadressen stehen, welche vom Router übermittelt werden und nicht die des Clients. Die Standardeinstellung ist immer auf 192.168.0.*, fe80::/64 gesetzt. Bei der Verwendung mehrerer IP-Netze/IP-Adressen trennen Sie bitte jede Adressen mit einem Komma , . Mit * definieren Sie Adressbereiche für IPv4 und mit Schrägstrich / für IPv6, wie dies allgemein üblich ist. Beispiel: 2001:0db8:1234::/48, 192.168.12.*, 218.134.19.99 |
| Timeout für Netzwerkverbindung in Sekunden | Das Feld beschreibt die ständige Kontrolle der Verbindung zwischen dem Client und dem Server. Diese wird in der hier angegebenen Sekundenanzahl überprüft. Ihr TecArt CRM benötigt für eine korrekte Betriebsverbindung eine SessionID aus Ihrem aktuellen Browser zur Kommunikation mit dem Server. Diese SessionID wird bei Aktionen im TecArt CRM und darüber hinaus bei Inaktivität des Benutzers über die im Feld Timeout eingestellte Sekundenzeit automatisch überprüft. Sollte die Datenverbindung zum Server eventuell einmal unterbrochen werden, wird auf der Client-Seite eine entsprechende Information eingeblendet. Stellt sich die Verbindung innerhalb einer Stunde automatisch wieder her, kann problemlos weiter gearbeitet werden. Sollte die Verbindung zum Server nicht innerhalb der eingestellten Zeitspanne wiederhergestellt sein, löscht sich aus Sicherheitsgründen die Session samt SessionID auf dem Server nach spätestens dieser Stunde. Der Benutzer muss sich dann neu einloggen. |
| Zugriff von außen erlauben | Um Zugriffe von außerhalb des eigenen Firmennetzwerkes auf das TecArt CRM zu erlauben, müssen Sie in diesem Feld Ja einstellen. In diesem Fall können Sie unabhängig der festgelegten IP-Adressen über das Internet oder einem separaten Firmennetzwerkbereich auf die Daten im TecArt CRM nach Ihrer Autorisierung zugreifen. Einschränkungen sind in diesem Fall durch Angaben in der Benutzer- und Gruppenverwaltung über das Feld Zugriff von außen verbieten und dem IP-Bereich der Benutzer möglich.
Die Einstellung muss auch dann auf Ja gestellt werden, wenn Sie zwar ein internes Netz betreiben, aber Nutzer über mobile Endgeräte außerhalb des Firmennetzes zugreifen sollen. |
| Reverse DNS Lookup | Diese Funktion aktiviert die Erfassung weiterführender Log-Daten der TecArt-Benutzer. Wollen Sie nur die übermittelte IP-Adresse des zugreifenden Rechners angezeigt bekommen, stellen Sie bitte Reverse DNS Lookup auf Nein. Wollen Sie auch den Hostname des Providers sehen, belassen Sie die Einstellung hier auf Ja. Es werden dann zusätzliche Informationen in den Aktivitäten angezeigt. |
| Bandbreitenbeschränkung (Upload) | Sie legen mit dieser Auswahl fest, auf wie viel Prozent die Bandbreite aller Benutzer für den Upload über den aktuell genutzten Internetzungang des Benutzers reduziert werden soll. Bei einer 50%-Auswahl bedeutet dies für einen Benutzer mit 6 Mbit/s höchsten die Nutzung von 3 Mbit/s aber auch gleichzeitig für den UMTS-Zugang von 1,44 Mbit/s die Reduzierung auf nur noch 0,72 Mbit/s.
Auf der anderen Seite haben Sie jedoch die Möglichkeit benötigte Bandbreite für andere Anwendungen zu reservieren. |
| Authentifizierung | In diesen Optionen ist die Form des Login einstellbar.
Setzen Sie ein Active Directory in Ihrem Unternehmen ein, empfehlen wir Ihnen die Erweiterung auf diese Authentifizierungsmethode. |
| Externes Passwort für Zugriff von außen erforderlich | Hier aktivieren Sie eine einfache, aber sehr wirksame Sicherheitseinstellung für eine 2-Faktor-Authentifizierung Ihres TecArt CRM. Stellen Sie das Feld auf Ja, so wird das im Feld Passwort extern in der Benutzerverwaltung eingetragene Passwort aktiviert. Die ggf. beim Benutzer hinterlegten IP-Adressen und die im Feld Internes Netz eingetragenen IP-Adressen/IP-Netze werden überprüft. Greift der Benutzer von einer nicht autorisierten IP-Adresse zu, werden nach dem Zufallsprinzip vier Stellen des externen Passwortes abgefragt.
Das externe Passwort sollte somit immer mehr als 4 Stellen aufweisen. Wurde kein externes Passwort hinterlegt und diese Einstellung vorgenommen, ist kein Login möglich, genauso kann sich der Benutzer auch kein eigenes externes Passwort vergeben. |
| Minimale Passwortlänge | Hier legen Sie die Mindestanforderung der Zeichenlänge eines Passwortes fest. Die Passwörter dürfen diese Länge auch wesentlich überschreiten. Sie gilt sowohl für die normalen, wie auch die externen Passwörter. |
| Wörterbuchprüfung für Passwörter aktivieren | Einfache Passwörter (z.B. Sommer oder Winter) sind bei aktivierter Wörterbuchprüfung nicht mehr möglich. Die Passwörter müssen dann aus Buchstaben und Zahlen bestehen. |
| Strenge Wörterbuchprüfung | Haben Sie darüber hinaus diese Option aktiviert, sind auch o.g. Passworttypen nicht mehr möglich. In dem Fall müssen Passwörter dann aus Buchstaben, Zahlen und Sonderzeichen bestehen. Auch durch Sonderzeichen und Zahlen unterbrochene Wörter, welche im Wörterbuch enthalten sind, werden nicht akzeptiert. Siehe Hinweise für die Vergabe sicherer Passwörter. |
| Zeitverzögerung in Sekunden bei falscher Authentifizierung | Nach einer falschen Anmeldung gibt es eine einstellbare Zeitverzögerung zwischen einer und fünfzehn Sekunden, bis der Nutzer sein Passwort erneut eintragen kann. Diese Einstellung schützt Sie vor automatisierten Schadprogrammen, die in kürzester Zeit viele Passwörter probieren. |
| Anzahl Fehlversuche bis Sicherheitsfrage | Regulieren Sie die möglichen Fehlversuche für die Eingabe eines Passwortes bis zur Abfrage der Sicherheitsfragen. Hat der Benutzer Sicherheitsfragen hinterlegt, wird er zur Eingabe von zwei Antworten aufgefordert. Sind keine Sicherheitsfragen hinterlegt, greifen die Einstellungen des Feldes Benutzer sperren, wenn maximale Anzahl Fehlversuche erreicht direkt. Die Antworten auf die Sicherheitsfragen müssen exakt mit den eingetragenen Antworten des Benutzers übereinstimmen. |
| Benutzer sperren, wenn maximale Anzahl Fehlversuche erreicht | Sie entscheiden mit der Auswahl Ja, ob ein Benutzer nach der hier definierten Anzahl der Fehlversuche bzw. nach der Anzahl der Fehlversuche auf die Sicherheitsabfragen automatisch gesperrt werden soll. Wählen Sie an dieser Stelle Nein, kann der Benutzer beliebig oft die Eingabe des Passwortes wiederholen, muss jedoch nach jeder Falscheingabe das System erneut aufrufen. |
| Passwort zurücksetzen deaktivieren |
Die Funktion zum Deaktivieren der Passwort-Zurücksetzen-Funktion blendet bei Nein die Funktion auf dem Anmeldebildschirm ein und bei Ja aus.
Wurde die Funktion generell deaktiviert, werden auch initial keine Sicherheitsfragen beim ersten Login abgefragt. |
| Anzahl der Falschantworten der Sicherheitsfragen | Soll das Passwort zurückgesetzt werden, hat der Benutzer hierfür die angegebene Anzahl an Fehlversuchen. Wird dabei Nie eingestellt, kann er das Passwort zurücksetzen unbegrenzt probieren.
Die Empfehlung ist hier, die Anzahl zu begrenzen und in Kombination danach aus Sicherheitsgründen auch den Benutzer sperren, wenn maximale Anzahl Fehlversuche erreicht wurde. Hat der Benutzer sein Passwort bis zur Anzahl Fehlversuche bis Sicherheitsfrage eingegeben und die Sicherheitsfrage auch falsch eingetragen, so gilt dies bereits als erster Fehlversuch. Wird nun die Funktion zum Passwort zurücksetzen gewählt, ist die Anzahl der Fehlversuche bereits um 1 verringert. |
| Sicherheitsfragen als Pflichteingabe | Wird diese Funktion deaktiviert, werden Benutzer nur beim ersten Login in das TecArt CRM aufgefordert die Fragen zu beantworten. Werden danach die Antworten über die persönlichen Einstellungen wieder gelöscht, erfolgt auch bei einem erneuten Login keine erneute Pflichteingabe. |
| Erneutes Absenden von Formularen unterbinden | Anwender neigen dazu Aktualisierungen oftmals mit der F5 durchzuführen. Dies kann aber dazu führen, dass ein gerade angelegter Kontakt über ein Formular nochmals abgesendet wird und damit ggf. ein Folgefehler zur Anzeige kommt, welcher dann eventuell auf eine Dublette hinweist. Dies führt oftmals zur Verwirrung der Anwender. In anderen Fällen kann aber auch ein Objekt mehrfach angelegt werden. Durch die Einstellung auf Ja, wird das erneute Absenden des Formulars unterbunden. |
| Folgende Administratoren informieren, wenn maximale Anzahl Fehlversuche erreicht wurde | Dies regelt die Informationskette, welcher zuständige Administrator über die fehlerhaften Logins informiert werden soll. Mehrere zu informierende Administratoren wählen Sie bitte mit gedrückter Strg-Taste aus. Wird der Benutzer nicht gesperrt, kann dieser sich weiterhin versuchen einzuloggen. Die Benachrichtigung an den Administrator erfolgt dennoch. |
Risikoreiche Sicherheitskombinationen #
| Einstellungskombinationen | Auswirkungen | Hinweise |
|---|---|---|
|
Das System ist für alle Benutzer gesperrt. | |
|
Das System ist nur solange erreichbar, wie diese IP-Adresse gilt. Mit der Zuweisung einer neuen IP-Adresse über den Netzanbieter ist das System für alle Benutzer gesperrt. | |
|
Wird von einer anderen IP-Adresse zugegriffen, wird das externe Passwort gefordert. Voraussetzung ist ein hinterlegtes externes Passwort. | |
|
Wird von einer anderen IP-Adresse zugegriffen, wird der Zugang verweigert. Es gelten nur die hinterlegten IP-Adressen beim Benutzer oder für das globale System |
Hinweise für die Vergabe sicherer Passwörter #
In den nachfolgenden Beispielen gehen wir von einer minimalen Passwortlänge von sechs Zeichen aus.
| Einstellung | Eingabe und Passwortsicherheit |
|---|---|
|
|
|
|
|
|
Zwei-Faktor-Authentifizierung #
Erweiterung
Wurde die 2-Faktor-Authentifizierung als Add-on installiert, steht Ihnen in diesen Systemen ein weiterer Abschnitt für Einstellungen zur Verfügung.
Sie können über die Gruppenauswahl festlegen, für welche Gruppen der Zugang über die Authentifizierung erfolgen muss. Mehrere Gruppen können Sie mit gedrückter Strg-Taste auswählen. Weitere Voraussetzung ist eine im Feld Mobiltelefon in der Benutzerverwaltung hinterlegte Mobilfunknummer oder SMS vorlesende Festnetznummer. Nach dem klassischen Login mittels Benutzernamen und Passwort oder einem automatischen Login, wird ein SMS-Code generiert und an die im Feld Mobiltelefon hinterlegte Nummer gesendet. Der Benutzer hat nun innerhalb 5 Minuten Zeit diesen Code in das vorgesehene Feld einzutragen.
Über die Option Nicht im internen Netz anwenden können Sie die Funktion auf externe Zugriffe von IP-Adressen eingrenzen, welche nicht im FeldInternes Netz im Abschnitt Sicherheit eingetragen wurden.
