Expander Sicherheit

Wenn Sie SMC zum ersten Mal starten, erstellt SMC automatisch den Systemschlüssel (mit dem privaten und dem öffentlichen Schlüssel) im Windows-Schlüsselspeicher auf dem Server. Für die Arbeit mit mehreren Computern, die verschiedene Einsatzarten unterstützen, und zum Schutz sensibler Daten können Sie denselben Systemschlüssel (privaten Schlüssel) verwenden. Verwenden Sie dazu den Expander Sicherheit für Server- und FEP-Bereitstellungen.

Bei Server- und FEP-Bereitstellungen wird die Erweiterung Sicherheit in SMC angezeigt, wenn Sie den Ordner Systeme in der SMC-Struktur auswählen.

Expander Sicherheit auf Server SMC

Auf dem SMC-Server können Sie mit dem Expander Sicherheit Folgendes tun:

  • Windows-Schlüsseldatei (die das Schlüsselpaar aus privatem und den öffentlichem Schlüssel enthält) exportieren und importieren.
  • Systemschlüssel schützen, indem Sie ihn mit einem Passwort sichern.

Details des Expanders Sicherheit

Element

Beschreibung

Schlüssel importieren

Wählen Sie diese Option, um dieselbe Schlüsseldatei (.key) zu importieren, die auf der Festplatte des Servers, FEP oder eines anderen Systems verfügbar ist, von dem Sie vertrauliche Daten sichern und wiederherstellen möchten. Wenn Sie beispielsweise eine Projektsicherung von System A auf System B wiederherstellen, müssen Sie denselben Schlüssel von System A auf System B importieren, damit Sie dieselben Anmeldeinformationen verwenden können, die für System A festgelegt wurden. Sie müssen den Schlüssel importieren, bevor Sie das Projekt starten.

Schlüssel exportieren

Nur auf dem SMC-Server.
Wenn darauf geklickt wird, werden zusätzliche Felder aktiviert. Damit können Sie den Systemschlüssel als Datei an einen Speicherort auf dem Server exportieren.
Sie können die exportierte Datei verwenden, um sie auf den FEP oder einen anderen Rechner zu importieren, auf dem Sie sichere und sensible Daten wiederherstellen möchten.

Name der Key-Datei

Geben Sie den Namen der Schlüsseldatei ein, z.B. Server1KeyFile.
Der Name darf keine Leerzeichen und Sonderzeichen (/,\,?,<, >,*,|,") enthalten.

Schlüsselpfad

Suchen Sie den Speicherort, an dem die Schlüsseldatei auf dem Server gespeichert werden soll.

Passwort

Geben Sie das Passwort der Schlüsseldatei gemäss der lokalen Windows-Passwortrichtlinie ein und bestätigen Sie.
Hinweis: Sie müssen beim Importieren des Schlüssels dasselbe Passwort angeben.

Im Abschnitt Sicherheitsrichtlinie werden die Richtlinien für das Passwort und die Kontosperrung angezeigt, und Sie können die folgenden Aktionen durchführen:

  • Die Werte der Passwort- und Kontosperrungsrichtlinien ändern und die neuen Werte speichern.
  • Zu den vorhandenen Werten der Passwort- und Kontosperrungsrichtlinie zurückkehren. Sie können dies tun, indem Sie die Schaltfläche Windows-Richtlinie abrufen verwenden.

Sicherheitsrichtlinie

Element

Beschreibung

Maximales Passwortalter

Zeitraum (in Tagen), für den ein Passwort verwendet werden kann, bevor das System Sie auffordert, es zu ändern.
Wenn das maximale Passwortalter erreicht ist, müssen Sie bei der nächsten Anmeldung das Systempasswort ändern.
Wenn Sie z.B. 30 Tage als Höchstalter für das Passwort angeben, müssen Sie das Passwort nach 30 Tagen ändern.

Standardwert = 180 Tag
Gültiger Bereich = 1 bis 365
Wenn die Werte ausserhalb des gültigen Bereichs liegen, werden die Standardwerte angezeigt.

Mindestlänge für Passwörter

Mindestanzahl von Zeichen, die für ein Passwort erforderlich sind.
Gültiger Bereich = 4 bis 128 Zeichen
Wenn die Werte ausserhalb des gültigen Bereichs liegen, werden die Standardwerte angezeigt.
Standardwert = 12 Zeichen

Schwellenwert für Kontosperrung

Anzahl fehlgeschlagener Anmeldeversuche, nach denen das Benutzerkonto gesperrt wird.
Ein gesperrtes Konto kann erst wieder verwendet werden, wenn es zurückgesetzt wurde oder wenn die unter Dauer der Kontosperrung angegebene Anzahl von Minuten abgelaufen ist. Weitere Informationen finden Sie unter Arbeitsbereich Benutzerverwaltung > Anmelde-/Abmeldeeinstellungen in Benutzerverwaltung.
Wenn Sie beispielsweise den Schwellenwert für die Kontosperrung auf 5 festlegen, wird Ihr Konto automatisch gesperrt, wenn Sie fünfmal falsche Anmeldeinformationen angeben.
Gültiger Bereich = 1 bis 999
Standardwert = 5
Wenn die Werte ausserhalb des gültigen Bereichs liegen, werden die Standardwerte angezeigt.

Zähler für Kontosperrungen zurücksetzen nach

Die Anzahl der Minuten, die nach einer fehlgeschlagenen Anmeldung vergehen müssen, bevor der Zähler für Anmeldeversuche auf 0 zurückgesetzt wird.
Wenn der Schwellenwert für die Kontosperrung auf eine Zahl grösser als Null festgelegt ist, muss die Rücksetzzeit kleiner oder gleich dem Wert der Dauer der Kontosperrung sein.

Gültiger Bereich = 1 bis 99.999 Minuten
Standardwert = 30 Minuten
Wenn die Werte ausserhalb des gültigen Bereichs liegen, werden die Standardwerte angezeigt.

Dauer der Kontosperrung

Dauer (in Minuten), die ein gesperrtes Konto gesperrt bleibt, bevor es automatisch entsperrt wird.
Wenn Sie beispielsweise 30 Minuten als Dauer der Kontosperrung angeben, dann bleibt Ihr Konto für 30 Minuten gesperrt.

Gültiger Bereich = 1 bis 99.999 Minuten
Standardwert = 30 Minuten
Wenn die Werte ausserhalb des gültigen Bereichs liegen, werden die Standardwerte angezeigt.

Erinnerung für den Ablauf des Passworts

Dauer (in Tagen), die Sie darauf hingewiesen werden, dass Ihre Passwörter bald ablaufen.
Wenn Sie beispielsweise 15 Tage angeben, wird 15 Tage vor dem Ablaufdatum Ihrer Passwörter eine diesbezügliche Erinnerungsmeldung angezeigt.

Standardwert = 14 Tage
Gültiger Bereich = 14 bis 30 Tage
Wenn die Werte ausserhalb des gültigen Bereichs liegen, werden die Standardwerte angezeigt.

Konfigurationstyp

Typenname

Beschreibung

Windows

Sicherheitsrichtlinien mit Werten gemäss der Windows-Registrierung

Standard

Sicherheitsrichtlinien ohne entsprechende Windows-Werte. Diese Richtlinien haben entweder negative Werte, Null-Werte oder k.A. als Wert. Solchen Richtlinien sind Standardwerte zugewiesen.

Manuell

Vom Benutzer definierte Sicherheitsrichtlinien.
Wenn Sie die Windows-Richtlinienwerte manuell überschreiben, gibt es einen Unterschied im Verhalten zwischen den Kontosperrungsrichtlinien von Windows und Desigo CC.

Sie können sicherstellen, dass das Passwort die von Windows geforderten Komplexitätsanforderungen erfüllt, indem Sie das Kontrollkästchen Passwort muss Komplexitätsanforderungen erfüllen aktivieren. Weitere Informationen zu Passwort- und Kontorichtlinien finden Sie in der Microsoft-Hilfe.

Wenn Sie das Kontrollkästchen Passwort muss Komplexitätsanforderungen erfüllen aktivieren, werden die folgenden Felder zur Passwortkomplexität angezeigt. Das Passwort muss jeweils eines der folgenden Elemente enthalten:

  • Mindestanzahl an Sonderzeichen ($,#,…) – . Eines der folgenden Sonderzeichen ~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/
  • Mindestanzahl an Ziffern (0-9) – 1 Ziffer im Bereich von 0 bis 9
  • Mindestanzahl Grossbuchstaben (A-Z) – 1 Grossbuchstabe
  • Mindestanzahl Kleinbuchstaben (a-z) – 1 Kleinbuchstabe

Zusätzlich zu diesen Feldern muss das Passwort die Anzahl der in der Sicherheitsrichtlinie Mindestlänge des Passworts angegebenen Zeichen haben, wenn das Kontrollkästchen Passwort muss Komplexitätsanforderungen erfüllen aktiviert ist.

Hinweis:
Bei Client- und FEP-Installationen werden die auf dem Server definierten Passwort- und Kontosperrrichtlinien berücksichtigt.
Bei verteilten Systemen werden für globale Benutzer die auf dem Mastersystem definierten Passwort- und Kontosperrungsrichtlinien berücksichtigt.

Expander Sicherheit auf FEP SMC

Beim Starten von SMC auf FEP wird ein Systemschlüssel nicht automatisch erstellt. Dies wird durch die rote Anzeige von Schlüssel importieren angezeigt. Wenn der FEP mit einem Server verbunden ist, müssen Sie das auf dem Server verfügbare Schlüsselpaar in den Windows-Schlüsselspeicher des FEP importieren. Derselbe Schlüssel wird auf dem FEP benötigt, damit er die Passwörter entschlüsseln kann, die er zur Authentifizierung der Subsystemgeräte verwenden muss. So kann ein Netzwerk einem Treiber auf einem anderen Rechner neu zugewiesen werden, ohne dass das Passwort neu konfiguriert werden muss.

Verwenden Sie hierfür den Expander Sicherheit. Sie müssen dieselbe Windows-Schlüsseldatei importieren, indem Sie das richtige Passwort angeben, damit die Schlüsseldatei entschlüsselt und der Schlüssel in den Windows-Schlüsselspeicher importiert wird. Um denselben Schlüssel zu importieren, der auf dem Server erstellt wurde, müssen Sie ihn auf der Festplatte des FEP verfügbar machen.

Nach dem Import erhält der Pmon-Benutzer Lesezugriff auf den Schlüssel. Standardmässig haben die Benutzer SYSTEM und Administrator vollen Zugriff auf die Windows-Schlüsseldatei.
Wenn Sie den Pmon-Benutzer ändern, z.B. als Domänenbenutzer, erteilt SMC automatisch eine Leseberechtigung für den Systemschlüssel.

Der Schlüssel verbleibt im Windows-Schlüsselspeicher, auch wenn Sie Desigo CC deinstallieren. Sie müssen den Schlüssel daher während eines Upgrades von Desigo CC nicht exportieren und erneut importieren.

Dieser Schlüssel wird verwendet, um vertrauliche Daten in allen von Desigo CC unterstützten Bereitstellungen (einschliesslich unabhängige Systeme, Server mit Remote FEP, Remote Clients) sowie vertrauliche Daten auf verteilten Systemen zu sichern.

Neben dem Import des Windows-Schlüssels können Sie auch die Passwort- und Kontosperrungsrichtlinien im Abschnitt Sicherheitsrichtlinie des Expanders Sicherheit anzeigen und ändern.