Dieser Artikel beschreibt, wie Sie mithilfe von Richtlinien bestimmte Vorgaben in DRACOON definieren können, die für alle Nutzer verbindlich sind.
Es gibt aktuell vier Arten von Richtlinien in DRACOON:
- Richtlinie für Zustimmung zu Nutzungsbedingungen
- Richtlinie für Freigaben, die einen Kennwortschutz ab einer bestimmten Klassifikation des freigegebenen Elements erzwingt
- Kennwortrichtlinien
- Anmelderichtlinien (nur für die Anmeldung über ein lokales Benutzerkonto)
Wer darf Richtlinien festlegen?
Zum Festlegen von Richtlinien sind nur Benutzer mit der Rolle Konfigurationsmanager berechtigt.
Themen dieses Artikels
Richtlinien-Verwaltung öffnen
- Klicken Sie in der linken Seitenleiste auf Einstellungen und danach auf Richtlinien.
Sie müssen Konfigurationsmanger sein, um den Eintrag Richtlinien sehen zu können. - Die bestehenden Richtlinien werden angezeigt.
Richtlinie für Nutzungsbedingungen-Anzeige
Wenn Sie die Richtlinie "Nutzungsbedingungen anzeigen" aktivieren, werden einem Benutzer nach der allerersten Anmeldung die Nutzungsbedingungen angezeigt. Der Benutzer kann dann mit der Verwendung von DRACOON erst beginnen, wenn er den Nutzungsbedingungen durch Aktivieren eines Kontrollkästchens zugestimmt hat. Dies betrifft sowohl reguläre, interne Benutzer als auch etwaige Gastbenutzer.
In den Nutzungsbedingungen können Sie dem Benutzer z.B. rechtliche Hinweise zur Nutzung Ihres DRACOON anzeigen.
Den Text Ihrer Nutzungsbedingungen inkl. Formatierung können Sie im Branding festlegen.
Richtlinie für Nutzungsbedingungen-Anzeige aktivieren
Wenn Sie wünschen, dass jeder Benutzer bei der Erstanmeldung den Nutzungbediungen zustimmen muss:
- Klicken Sie in der linken Seitenleiste auf Einstellungen und danach auf Richtlinien.
- Aktivieren Sie den Schalter Nutzungsbedingungen anzeigen.
Richtlinie für Freigaben (klassifikationsabhängige Kennwortpflicht)
Standardmäßig kann bei der Freigabe eines Datenraums, Ordners oder einer Datei ein Benutzer jeweils selbst bestimmen, ob die Freigabe kennwortgeschützt sein soll (Ausnahme: Freigaben in verschlüsselten Datenräumen müssen immer kennwortgeschützt sein). Für zusätzliche Sicherheit und erhöhte Wahrung der Vertraulichkeit bei Freigaben können Sie in DRACOON eine systemweite Richtlinie definieren, die einen Kennwortschutz für alle Freigaben erzwingt, wenn Elemente mit einer bestimmten Mindest-Klassifikation freigegeben werden. Beispielsweise können Sie bestimmen, dass Freigaben von Datenräumen, Ordnern und Dateien immer mit einem Kennwort geschützt sein müssen, wenn das freigegebene Element die Klassifikation "Vertraulich" oder höher hat.
Richtlinie für klassifikationsabhängige Kennwortpflicht bei Freigaben aktivieren
Wenn Sie wünschen, dass bei der Freigabe ab einer bestimmten Klassifikation des freigegebenen Elements ein Kennwortschutz erforderlich ist:
- Klicken Sie in der linken Seitenleiste auf Einstellungen und danach auf Richtlinien.
- Klicken Sie auf das Optionsfeld Ab der Klassifikation und höher, und wählen Sie im Auswahlfeld rechts daneben die gewünschte Klassifikationsstufe aus, ab der für Freigaben stets ein Kennwort festgelegt werden muss:
- Die Änderung der Richtlinie wirkt sich nur auf zukünftige Freigaben aus. Bereits vorhandene Freigaben bleiben unberührt – außer, eine existierende Freigabe wird nachträglich bearbeitet, dann greift die Richtlinie.
- Die Richtlinie hat keine Auswirkungen auf Freigaben in verschlüsselten Datenräumen, da diese ohnehin stets kennwortgeschützt sein müssen.
- Die Richtlinie gilt nur für Freigaben, nicht für Dateianfragen.
Kennwortrichtlinien
In bestimmten Szenarien kommen in DRACOON Kennwörter zum Einsatz, z.B. Anmeldekennwörter (beim Login bei DRACOON als lokaler Benutzer), Kennwörter für Freigaben und Dateianfragen sowie Entschlüsselungskennwörter zur Verwendung verschlüsselter Datenräume. Dabei legen die Benutzer selbst ihre Kennwörter fest.
Über Kennwortrichtlinien können Sie vorgeben, wie komplex die jeweiligen Kennwörter der Benutzer gestaltet sein müssen. Je komplexer und vor allem länger ein Kennwort ist, desto schwerer kann es erraten oder bei der Eingabe erspäht werden.
Sie können in DRACOON für Anmeldekennwörter (beim Login bei DRACOON als lokaler Benutzer), Freigaben-/Dateianfragenkennwörter sowie Entschlüsselungs-/Notfallkennwörter jeweils eigene Kennwortrichtlinien festlegen, je nach Sicherheitsbedarf.
Die folgenden Kennwortrichtlinien stehen in DRACOON zur Verfügung:
Mindestanzahl an Zeichen
Legt fest, wie lang ein Kennwort mindestens sein muss (aus wie vielen Zeichen es mindestens bestehen muss).
Mögliche Einstellung: 1 – 1024 Zeichen
Empfohlene Einstellung: mindestens 12 Zeichen
Die Kennwortlänge ist der wichtigste Faktor bei der Kennwortsicherheit, daher sollten kurze Kennwörter nur im Bedarfsfall erlaubt werden.
Mindestens ein Großbuchstabe erforderlich
Legt fest, dass im Kennwort mindestens einer der folgenden Großbuchstaben erhalten sein muss:
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
Große Umlaute (Ä Ö Ü) sind zwar in Kennwörtern erlaubt, werden jedoch nicht als Großbuchstaben erkannt. Ist diese Richtlinie aktiv, muss also ein Großbuchstabe von A – Z im Kennwort enthalten sein – ein großer Umlaut genügt nicht.
Mindestens ein Kleinbuchstabe erforderlich
Legt fest, dass im Kennwort mindestens einer der folgenden Kleinbuchstaben erhalten sein muss:
a b c d e f g h i j k l m n o p q r s t u v w x y z
Kleine Umlaute (ä ö ü) sind zwar in Kennwörtern erlaubt, werden jedoch nicht als Kleinbuchstaben erkannt. Ist diese Richtlinie aktiv, muss also ein Kleinbuchstabe von a – z im Kennwort enthalten sein – ein kleiner Umlaut genügt nicht.
Mindestens ein Sonderzeichen erforderlich
Legt fest, dass im Kennwort mindestens eines der folgenden Sonderzeichen erhalten sein muss:
! " # $ % ( ) * + , - . / : ; = ? @ [ \ ] ^ _ { | } ~
Die folgenden Sonderzeichen sind in Kennwörtern nicht erlaubt:
& € ' < >
Mindestens eine Ziffer erforderlich
Legt fest, dass im Kennwort mindestens eine der folgenden Ziffern erhalten sein muss:
0 1 2 3 4 5 6 7 8 9
Tastaturmuster ablehnen
Legt fest, dass häufig eingegebene Muster vier nebeneinanderliegender Tasten (wie z.B. 1234 oder qwert) im Kennwort nicht enthalten sein dürfen; die Groß-/Kleinschreibung ist dabei unerheblich.
Benutzerinformationen ablehnen
Legt fest, dass Teile der Benutzerkennung im Kennwort nicht enthalten sein dürfen (z.B. Vorname, Nachname, Loginname oder E-Mail-Adresse des jeweiligen Benutzers).
Häufig verwendete Kennwörter ablehnen
Legt fest, dass das Kennwort keine häufig verwendeten Wörter enthalten darf. Diese Richtlinie hat derzeit auf der DRACOON Cloud keine Auswirkung, auch wenn sie in den Einstellungen aktiviert wird.
Kennwortrichtlinien festlegen
- Klicken Sie in der linken Seitenleiste auf Einstellungen und danach auf Richtlinien.
- Aktivieren Sie die Kontrollkästchen derjenigen Kennwortrichtlinien, die aktiv sein sollen, bzw. deaktivieren Sie die Kontrollkästchen der Kennwortrichtlinien, die nicht aktiv sein sollen.
Wenn Sie die minimale Kennwortlänge ändern wollen, geben Sie die Anzahl der erforderlichen Zeichen im Kennwort im Feld Mindestanzahl an Zeichen ein.
- Sie können für Anmeldekennwörter, Freigaben-/Dateianfragenkennwörter und Entschlüsselungskennwörter unterschiedliche Richtlinien festlegen.
- Die Richtlinien für Entschlüsselungskennwörter gelten sowohl für die persönlichen Entschlüsselungskennwörter der einzelnen Benutzer als auch für das systemweite Notfallkennwort und Raum-Notfallkennwörter (mit deren Hilfe Dateien entschlüsselt werden können, wenn Benutzer ihr Entschlüsselungskennwort vergessen haben).
- Die definierten Richtlinien gelten für alle DRACOON-Clients, also z.B. für die DRACOON Web App genauso wie für DRACOON für Outlook oder DRACOON für iOS.
- Richtlinien für Anmeldekennwörter gelten nur für die lokale Anmeldung bei DRACOON (über DRACOON-Benutzernamen). Wird Active Directory oder OpenID Connect zur Benutzerauthentifizierung verwendet, greifen die DRACOON-Richtlinien für Anmeldekennwörter nicht.
- Wenn Sie eine Kennwortrichtlinie ändern (z.B. durch Klick auf das dazugehörige Kontrollkästchen), wird die Änderung sofort aktiv und gilt für alle zukünftigen Kennwörter.
- Geänderte Kennwortrichtlinien wirken sich derzeit nicht auf bereits existierende Kennwörter aus – diese sind weiterhin gültig, auch wenn sie nicht mehr den geänderten Kennwortrichtlinien entsprechen. Eine Möglichkeit, geänderte Kennwortrichtlinien auch auf bereits bestehende Anmeldekennwörter anzuwenden, ist für die nahe Zukunft geplant.
Informationen für Benutzer über aktive Kennwortrichtlinien
Damit Benutzer beim Festlegen von Kennwörtern wissen, welche und wie viele Zeichen das Kennwort enthalten muss, wird bei der Eingabe eines neuen Kennworts eine Sprechblase mit den aktiven Kennwortrichtlinien angezeigt. Diejenigen Kennwortanforderungen, die das eingegebene Kennwort bereits erfüllt, werden in Grün mit einem Häkchen gekennzeichnet.
Neues Anmeldekennwort für alle Benutzer erzwingen
Sie können jederzeit erzwingen, dass alle Benutzer (die über ein lokales DRACOON-Benutzerkonto angemeldet sind), sofort ein neues Anmeldekennwort festlegen müssen. Dies ist z.B. dann sinnvoll, wenn Sie die Kennwortrichtlinien für Anmeldekennwörter verschärft haben und sicherstellen möchten, dass alle Anmeldekennwörter den neuen Richtlinien entsprechen, oder wenn Sie davon Kenntnis erhalten haben, dass existierende Anmeldekennwörter in die falschen Hände geraten sein könnten.
So erzwingen Sie, dass alle Benutzer, die ein lokales DRACOON-Benutzerkonto verwenden, sofort bei DRACOON ausgeloggt werden und aufgefordert werden, ein neues Anmeldekennwort festzulegen:
- Klicken Sie in der linken Seitenleiste auf Einstellungen und danach auf Richtlinien.
- Klicken Sie auf die Schaltfläche Neues Anmeldekennwort erzwingen.
- Bestätigen Sie die Warnmeldung.
Bedenken Sie, dass alle Benutzer nach dieser Aktion sofort aus laufenden DRACOON-Sitzungen ausgeloggt werden und ein neues Anmeldekennwort festlegen müssen, ehe Sie sich wieder bei DRACOON einloggen können. Da dies zu Verunsicherung und Frust (z.B. durch abgebrochene laufende Uploads) bei Benutzern führen kann, sollten Sie diese Aktion am besten geplant außerhalb Ihrer üblichen Geschäftszeiten auslösen und Ihre Benutzer durch eine Infomail o.ä. im Vorfeld auf die notwendige Maßnahme hinweisen – außer es besteht sofortiger Handlungsbedarf, z.B. aufgrund kompromittierter Kennwörter.
Anmelderichtlinien
In DRACOON stehen 4 Richtlinien für die Anmeldung (den Login) lokaler Benutzer zur Verfügung, die Sie festlegen können.
Anmelderichtlinien gelten nur für die lokale Anmeldung bei DRACOON (über DRACOON-Benutzernamen). Wird Active Directory oder OpenID Connect zur Benutzerauthentifizierung verwendet, greifen die DRACOON-Anmelderichtlinien nicht.
Neues Anmeldekennwort regelmäßig erzwingen nach x Tagen
Wenn aktiviert, müssen alle Benutzer regelmäßig ein neues Anmeldekennwort festlegen. Die Anzahl der Tage, nach deren Verstreichen ein bestehendes Kennwort geändert werden muss, kann angegeben werden. Dieser Zeitraum beginnt erst, wenn Sie diese Richtlinie aktivieren; bereits bestehende Kennwörter können nach dem Aktivieren der Richtlinie also in jedem Fall zunächst die angegebene Anzahl an Tagen weiterverwendet werden, ehe sie erstmals geändert werden müssen.
Bitte bedenken Sie, ehe diese Richtlinie aktivieren: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt nicht mehr, dass Benutzer regelmäßig ihr Kennwort ändern sollten – vielmehr sei es in erster Linie wichtig, lange und komplexe Kennwörter zu verwenden.
Die regelmäßige erzwungene Änderung des Kennworts führt dazu, dass Benutzer ihre Kennwörter eher einfach gestalten, um sie nicht zu vergessen – was ihre Sicherheit reduziert.
Anzahl früherer Anmeldekennwörter, die nicht wiederverwendet werden können
Wenn aktiviert, können Benutzer, die ein neues Anmeldekennwort festlegen, bereits zuvor in DRACOON benutzte Anmeldekennwörter nicht erneut verwenden, sondern müssen ein gänzlich neues Kennwort wählen. Die Anzahl der bisherigen Kennwörter, die nicht erneut verwendet werden können soll, kann eingegeben werden.
Anzahl fehlgeschlagener Anmeldeversuche, bis der Benutzer gesperrt wird
Wenn aktiviert, wird der Benutzer für eine gewisse Zeit (standardmäßig 5 Minuten) gesperrt, wenn er sein Anmeldekennwort mehrfach falsch eingegeben hat. Die Anzahl der möglichen Eingabeversuche bis zur Sperrung kann festgelegt werden.
Mit dieser Einstellung kann verhindert werden, dass automatisiert (z.B. über ein Skript) pausenlos Loginversuche durchgeführt werden, um einen Zugang zu knacken (bis irgendwann das richtige Kennwort erraten wird).
Benutzer sperren für x Minuten
Anzahl an Minuten, die ein Benutzer gesperrt wird, wenn er sein Anmeldekennwort x-mal falsch eingegeben hat.
Standardwert: 5 Minuten
Wenn Sie diese Richtlinie aktivieren, wird automatisch auch die Richtlinie "Anzahl fehlgeschlagener Anmeldeversuche, bis der Benutzer gesperrt wird" aktiviert.
Während der Sperrung kann sich der Benutzer nicht bei DRACOON anmelden und muss für einen erneuten Anmeldeversuch warten, bis die Sperrdauer verstrichen ist. Daher sollte die eingestellte Sperrung nicht länger als 10 Minuten betragen.
Kommentare
0 Kommentare
Zu diesem Beitrag können keine Kommentare hinterlassen werden.