Als Administrator können Sie den Remotezugriff mit den folgenden spezifischen Optionen verwalten:
  • IP-Sperren

    Sie können von IP-Adressen initiierte Client-Verbindungsanfragen entsperren, wenn diese IP-Adressen anhand der Richtlinienkonfiguration Ihrer Organisation automatisch gesperrt wurden. Zum Beispiel können IP-Adressen nach mehreren fehlgeschlagenen Authentifizierungsversuchen ausgesperrt werden.

  • IP-Whitelist

    Sie können eine Regel hinzufügen, um IP-Adressen in die IP-Whitelist (Positivliste) aufzunehmen (für Fälle, in denen der Datenverkehr von bestimmten IP-Adressen als vertrauenswürdig gilt).

  • IP-Wechsel

    Legen Sie einen zulässigen IP-Bereich für den Zugriff fest, um die von einem Proxy oder einer Firewall erlaubten Bereiche zu berücksichtigen.

IP-Sperren

Wenn eine IP-Adresse gesperrt wird, ist sie an einem bestimmten Standort über alle Organisationen hinweg gesperrt.

Wichtig: Wenn eine IP-Adresse entsperrt wird, ist sie für alle Organisationen entsperrt.
Es gibt zwei Hauptverhaltensweisen für dieses Steuerelement:
  • Als Admin-Benutzer können Sie eine IP-Adresse nach der anderen freischalten. (Standardverhalten)
  • Wenn die Standortrichtlinie dies zulässt, wird die Schaltfläche Alle IP-Adressen freischalten angezeigt. Dieses Steuerelement schaltet ALLE IP-Adressen für alle Orgs auf einmal frei. (Ihr Systemadministrator wendet diese Richtlinie an).
Abbildung 1. Gesperrte IP-Adressen (mit verfügbarer Option „Alle freischalten“ dargestellt)

Ausgelöste Benachrichtigungen

Wenn die IP-Adresse gesperrt ist, erhalten SysAdmin-Benutzer, deren Eigenschaft zur Benachrichtigung auf Ein+Admin eingestellt ist, eine E-Mail-Benachrichtigung, dass die Sperrung erfolgt ist.

Wenn nur eine Nicht-System-Organisation konfiguriert ist, erhalten Admin-Benutzer in der Organisation, deren Notification-Eigenschaft auf „On+Admin“ (Ein+Admin) festgelegt ist, ebenfalls E-Mail-Benachrichtigungen.

Nur Systemadministratoren können eine IP-Sperrrichtlinie festlegen. (Weitere Informationen finden Sie im Abschnitt IP-Sperrrichtlinie der Seite Systemrichtlinie für Remote-Zugriff). IP-Sperren sind standardmäßig aktiviert und so eingestellt, dass IP-Adressen nach 15 Fehlversuchen in einem Zeitraum von 5 Minuten gesperrt werden.

Wenn Sie eine IP-Adresse entsperren, bleibt der Benutzer, der die IP-Sperre ausgelöst hat, weiterhin gesperrt und inaktiv. Sie können den Kontostatus des Benutzers im Benutzerprofil ändern.

IP-Adressen auf der Whitelist

Auf die Whitelist gesetzte IP-Adressen haben vertrauenswürdigen Zugriff, ohne dass die Schutzmaßnahmen der IP-Sperrrichtlinien greifen. Dies kann in folgenden Szenarien nützlich sein:
  • Interne Clients greifen über eine gemeinsame Firewall auf MOVEit Transfer zu.
  • Clients greifen über eine ordnungsgemäß verwaltete und vertrauenswürdige Drittanbieteranwendung auf MOVEit zu.
Abbildung 2. Whitelist-Eintrag für eine IP-Adresse

IP-Wechsel

Um IP-Hijacking zu verhindern, erlaubt MOVEit Transfer normalerweise nicht, dass die von einer Sitzung verwendete IP-Adresse im Verlauf dieser Sitzung geändert wird. Einige Firewalls und Proxyserver verwenden jedoch Pools von IP-Adressen, um sie Benutzern, die auf das Internet zugreifen, zuzuweisen, und können manchmal einem Benutzer, selbst in einer einzelnen Sitzung, verschiedene IP-Adressen zuweisen. Um diesen Benutzern vollen Zugriff auf den Server zu ermöglichen, können Administratoren mithilfe der Funktion IP-Wechsel einen zulässigen Bereich festlegen, in dem sich eine Sitzungs-IP ändern darf.

Standardmäßig ist die Option „IP Switching“ (IP-Wechsel) auf None (Keine) eingestellt, was einer Subnetzmaske von 255.255.255.255 oder /32 entspricht. Dadurch wird jeder IP-Adressenwechsel verhindert. Weitere verfügbare Werte sind:

  • Klasse C (255.255.255.0 oder /24): Die Sitzungs-IP-Adresse darf sich im Klasse-C-Adressteil ändern. Beispiel: Wenn die ursprüngliche Sitzungs-IP-Adresse 1.1.1.1 ist, ist der Wechsel zu 1.1.1.2 zulässig, der Wechsel zu 1.1.2.2 jedoch nicht.
  • Klasse B (255.255.0.0 oder /16): Die Sitzungs-IP-Adresse darf sich im Klasse-B-Adressteil ändern. Beispiel: Wenn die ursprüngliche Sitzungs-IP-Adresse 1.1.1.1 ist, ist der Wechsel zu 1.1.2.2 zulässig, der Wechsel zu 1.2.2.2 jedoch nicht.
  • Klasse A (255.0.0.0 oder /8): Die Sitzungs-IP-Adresse darf sich im Klasse-A-Adressteil ändern. Beispiel: Wenn die ursprüngliche Sitzungs-IP-Adresse 1.1.1.1 ist, ist der Wechsel zu 1.2.2.2 zulässig, der Wechsel zu 2.2.2.2 jedoch nicht.
  • Alle (0.0.0.0 oder /0): Lässt alle IP-Adressenwechsel zu.