40.9 Sicherheit
40.9.1 Übersicht ¶
Im Bereich Sicherheit legen Sie programmweit gültige Sicherheitsregeln fest: Mindest-Verschlüsselungsstandards für Server-Verbindungen, Markierung heruntergeladener Dateien, Schutz vor ZIP-Bomben-Angriffen sowie eine Liste von Dateitypen, die niemals gespeichert oder gedruckt werden dürfen.
40.9.2 Transportverschlüsselung ¶
| Option |
Beschreibung |
| TLS 1.2 oder höher erzwingen |
Verbindungen zu Mail-Servern und SQL-Servern dürfen nur mit TLS 1.2 oder höher erfolgen. Ältere TLS-Versionen werden abgelehnt |
Hinweis: Diese Option betrifft alle Verbindungen - eingehende E-Mail-Konten, ausgehende SMTP-Konten, Microsoft 365, Datenbank-Verbindungen, Download-URLs der Aufgabe Herunterladen.
Empfehlung: Aktiviert lassen. Ältere TLS-Versionen sind als unsicher eingestuft. Nur deaktivieren, wenn ein altes internes System zwingend genutzt werden muss und keine Alternative besteht.
40.9.3 Gespeicherte Dateien ¶
| Option |
Beschreibung |
| Mark of the Web anwenden |
Heruntergeladene und gespeicherte Dateien werden mit einer „Mark of the Web”-Markierung versehen, sodass Windows beim Öffnen einen Sicherheitshinweis zeigt |
Anwendungsfall: Anhänge aus E-Mails landen in einem Archiv-Ordner. Die Mark-of-the-Web (MoTW) sorgt dafür, dass Office-Dokumente in der Geschützten Ansicht öffnen - was Makros und automatische Verbindungen beim ersten Öffnen blockiert.
40.9.4 ZIP-Extraktion ¶
Schutz vor sogenannten „ZIP-Bomben”-Angriffen - bösartig konstruierten ZIP-Archiven, die nach dem Entpacken extrem groß werden und Festplatten-Speicher zum Überlaufen bringen können.
| Feld |
Beschreibung |
| Maximale entpackte Größe (MB) |
Schwellwert in Megabytes; wird das ZIP größer, bricht das Programm das Entpacken ab (Bereich 1-1.048.576 MB) |
| Maximale Anzahl Dateien |
Schwellwert für die Anzahl von Dateien im ZIP (Bereich 1-10.000.000) |
Empfehlung: Standardwerte beibehalten. Sie sind hoch genug für reale Lieferanten-ZIPs, aber niedrig genug, um Angriffe zu erkennen.
40.9.5 Globale Dateitypen-Sperren ¶
Zwei Listen, die programmweit gelten:
| Feld |
Beschreibung |
| Niemals speichern |
Dateierweiterungen, die in keiner Aufgabe gespeichert werden dürfen, semikolongetrennt (z.B. exe;dll;iso) |
| Niemals drucken |
Dateierweiterungen, die in keiner Aufgabe gedruckt werden dürfen (z.B. exe;zip;iso) |
Anwendungsfall: Auf Verarbeitungs-Servern soll niemals eine ausführbare Datei (.exe, .scr, .dll) ins Dateisystem geschrieben werden - auch wenn ein Profil das versehentlich konfigurieren würde. Mit der globalen Sperre verhindern Sie Datenfluss von potenziell gefährlichen Datei-Typen.
Hinweis: Die Sperre wirkt zusätzlich zu den Anlagenfiltern der einzelnen Aufgaben. Selbst wenn ein Profil eine Datei mit einer gesperrten Erweiterung speichern wollte, blockiert die globale Liste den Vorgang.
40.9.6 Tipp ¶
- Die globalen Sperren sind eine letzte Verteidigungslinie. Verlassen Sie sich primär auf gut konfigurierte Anlagenfilter pro Aufgabe - die Sperren fangen nur die Lücken auf