Systemadministrator-Remote-Zugriffsregeln

Die Remote-Zugriffsrichtlinie definiert die Liste der IP-Adressen und/oder Hostnamen, von denen aus Systemadministratoren auf diese Organisation zugreifen dürfen.

Standardmäßig kann sich der Systemadministrator nur über die lokale Konsole anmelden.

Abbildung 1. System- und Remote-Zugriffsregeln verwalten (Verweigerungsregel mit Platzhalter dargestellt)

Die Liste der Remote-Zugriffsregeln für Systemadministratoren unterscheidet sich von anderen Organisationsadministratoren. Es gibt keinen Abschnitt für Endbenutzer und keinen für Webposts, da diese nicht in der Systemorganisation erzeugt werden können. Das Steuerelement SysAdmin Remote Access Rules (Systemadministrator-Remote-Zugriffsregeln), über das sich IP-Adressen oder Systemadministratoren verbinden können.

Das Verfahren zum Einrichten der Remote-Zugriffsregeln für Systemadministratoren ist das gleiche wie für Organisationsadministratoren. Weitere Informationen und Beispiele finden Sie auf der Seite „Remote-Zugriffsrichtline“.

Trusted Hosts (Vertrauenswürdige Hosts)

Die Berechtigungsliste mit vertrauenswürdigen Hosts für die Systemadministratororganisation kann nur durch Systemadministratoren festgelegt werden.

Sie können hier einen Hostnamen oder eine IP-Adresse festlegen, mit denen der Systemadministrator sich von einem Host mit diesem Hostnamen bzw. dieser IP-Adresse bei MOVEit Transfer anmelden kann.

Abbildung 2. Vertrauenswürdige Hosts verwalten

Wenn ein Zugriff über einen vertrauenswürdigen Host erforderlich ist, werden Sie für die meisten Zwecke diesen Zugriff für eine bestimmte Organisation bereitstellen. Die Einstellungen zu vertrauenswürdigen Hosts, die derzeit für Systemadministratoren verfügbar sind, gelten nur für die Systemorganisation. Die Definition eines vertrauenswürdigen Hosts für eine Organisation erfolgt durch Verwendung der Optionen, die unter Sicherheitsrichtlinien – Remote-Zugriff aufgeführt werden.

Im Normalbetrieb umgehen Clients, die über eine der lokalen Schnittstellen auf MOVEit Transfer zugreifen, die normalen IP-Sperren- und Sitzungs-IP-Konsistenzüberprüfungen. Dadurch können Dienste wie der MOVEit Transfer-FTP-Server und der MOVEit Transfer-SSH-Server ordnungsgemäß arbeiten und die IP-Adresse des Clients für Anzeige- und Protokollierungszwecke darstellen. Die Berechtigungsliste mit vertrauenswürdigen Hosts ermöglicht Systemadministratoren das Festlegen von bestimmten Hosts als vertrauenswürdig, wobei ihnen die gleichen Berechtigungen wie lokalen Schnittstellen zugesprochen werden. Diese Funktion wird am häufigsten verwendet, wenn die MOVEit Transfer-API in einer separaten Webanwendung verwendet wird, um Single Sign-On-Zugriff auf MOVEit Transfer zu ermöglichen. Die API-Sitzung kann dadurch an den Client-Browser und wieder zurück übertragen werden, und die API kann außerdem die IP-Adresse des Clients für Anzeige- und Protokollierungszwecke darstellen.

Anmerkung: Hosts, die der Berechtigungsliste mit vertrauenswürdigen Hosts hinzugefügt werden, umgehen viele der in MOVEit Transfer integrierten standardmäßigen Sicherheitsschutzmaßnahmen zur Vermeidung eines nicht autorisierten Zugriffs (wobei Clients, die eine Verbindung über diese Hosts herstellen, diese Sicherheitsschutzmaßnahmen nicht umgehen können). FÜGEN SIE NIEMALS DIESER LISTE EINEN HOST HINZU, WENN ZWEIFEL BESTEHEN! Aus Sicherheitsgründen ist die Maske All IPs (Alle IPs) *.*.*.* als Eintrag für einen vertrauenswürdigen Host nicht zulässig.

Richtlinie zur IP-Sperre

Mit den Einstellungen der IP-Sperrrichtlinie kann ein SysAdmin MOVEit Transfer die automatische Sperrung einer IP-Adresse aktivieren, die von Clients verwendet wird, die sich nicht anmelden (Authentifizierung). Diese Kontrolle hilft Ihnen, sich gegen "Brute-Force"-Techniken zu schützen, mit denen Benutzernamen abgegriffen und versucht wird, den Passwortzugang zu umgehen.

Anmerkung: IP-Sperren sind standardmäßig aktiviert und so eingestellt, dass IP-Adressen nach 15 Fehlversuchen in einem Zeitraum von 5 Minuten gesperrt werden.
Abbildung 3. Bearbeiten von IP-Sperrungsrichtlinien Kontrollen

Legen Sie fest, wie viele Versuche innerhalb eines kurzen Zeitraums erforderlich sind, um eine IP-Adresse zu sperren. Es ist auch eine Option zum Ablauf der Sperre verfügbar, die gesperrte IP-Adressen nach einer konfigurierten Zeitspanne automatisch freigibt.

UI-Name der Steuerung

Einstellungen zum Blockieren ("Aussperren") von IP-Adressen

IP-Sperre aktivieren Das Steuerelement IP-Sperrung aktivieren (Optionsfeld) schaltet die Sperrrichtlinienfunktion ein und bietet feinere Kontrollen, die Sie konfigurieren können. Sie können ein Limit für fehlgeschlagene Anmeldeversuche innerhalb eines konfigurierten Zeitlimits (Versuche in Minuten) festlegen oder ein zeitlich unbegrenztes Limit anwenden (Versuche - kein Zeitfenster).

Sperren Sie IPs nach. Begrenzen Sie die Anzahl der fehlgeschlagenen Anmeldeversuche auf diese Anzahl.

  • Versuche in n Minuten. Der in diesem Feld angegebene Wert (n), ist ein Zeitfenster in Minuten, in dem fehlgeschlagene Anmeldeversuche gezählt werden, bevor die IP gesperrt wird.
  • n Versuche. (kein Zeitrahmen). Erzwingen Sie eine einfache Begrenzung der Fehlversuche (n), die von einer bestimmten IP-Adresse ausgehen, bevor nachfolgende Versuche gesperrt werden.
Erlauben Sie Org-Administratoren, alle IP-Adressen freizuschalten Wenn Sie diese Kontrolle aktivieren, haben Admin-Benutzer die Möglichkeit, den Zugang für IP-Adressen, die gegen die Richtlinien verstoßen, wieder freizugeben (EINSTELLUNGEN - Sicherheitsrichtlinien - Fernzugriff [IP-Sperren]).
Anmerkung: Clients, die von einer der lokalen (und nicht der Remote) Schnittstellen aus auf MOVEit Transfer zugreifen, umgehen die normale IP-Sperre und die Konsistenzprüfung der Sitzungs-IP. Dadurch können Dienste wie der MOVEit Transfer FTP-Server und der MOVEit Transfer SSH-Server ordnungsgemäß arbeiten.
Tipp: Die Optionen unter Sicherheitsrichtlinien - Remote-Zugriff können Org-Administratoren den Zugriff auf bestimmte Hosts (vertrauenswürdige Hosts) zulassen und ihnen die gleichen Rechte wie lokalen Schnittstellen gewähren.