Download Sicherheitsvorgaben (Security Target)

Transcript
Sicherheitsvorgaben zum EVG
14.09.2009
Passwort durch ein persönliches zu ersetzen. Der Standard Server prüft das vom BeraterAdministrator selbst gewählte Passwort auf hinreichende Qualität. Das Passwort muss
eine Mindestlänge von acht Zeichen haben, jeweils mindestens einen Großbuchstaben,
einen Kleinbuchstaben und eine Ziffer enthalten und unterschiedlich vom vorherigen
Passwort sein. Erst wenn der Berater-Administrator das Passwort geändert hat, erhält er
Zugriff auf die Funktionen des Benutzermanagers. Beim nächsten Starten des
Benutzermanagers kann sich der Berater-Administrator nur noch mit den geänderten
Zugangsdaten anmelden.
Alle Operationen, die der EVG zu oben genannten Administrator-Aktionen durchführt,
werden im Audit-Protokoll der Serverkomponente festgehalten.
2.12.2
Funktionen für den Berater-Administrator
Der Berater-Administrator kann im Benutzermanager neue Benutzer anlegen. Dazu muss
er lediglich den Benutzernamen des Beraters definieren. Benutzernamen müssen
eindeutig sein, d.h. das Anlegen von Benutzern mit gleichem Benutzernamen ist
unzulässig.
Das zu dem Benutzernamen gehörige initiale Passwort wird vom System generiert. Das
generierte Passwort ist achtstellig und eine zufällige Kombination aus Großbuchstaben,
Kleinbuchstaben und Ziffern, wobei jeweils mindestens ein Großbuchstabe, ein
Kleinbuchstabe und eine Ziffer enthalten sein muss. Das Passwort wird dem BeraterAdministrator im Benutzermanager angezeigt.
Die Authentifizierungsmerkmale (Benutzername und Passwort) muss der BeraterAdministrator nun dem Benutzer vertraulich zukommen lassen. Geeignet ist hier eine
persönliche Übermittlung, per verschlüsselter E-Mail oder per Post. Der BeraterAdministrator wird im Netviewer Standard ServerTS Administratorhandbuch auf diese
Notwendigkeit hingewiesen.
Wenn sich der Berater mit seinem Benutzernamen und seinem initialen Passwort zum
ersten Mal beim Beraterprogramm anmeldet, muss er das neu erstellte Konto zunächst
aktivieren. Dazu muss er im Beraterprogramm das initiale Passwort durch ein
persönliches Passwort ersetzen. Das Beraterprogramm prüft das gewählte Passwort auf
ausreichende Qualität. Das Passwort muss eine Mindestlänge von acht Zeichen haben,
jeweils mindestens einen Großbuchstaben, einen Kleinbuchstaben und eine Ziffer
enthalten und unterschiedlich vom vorherigen Passwort sein. Erst nach der Aktivierung
erhält der Berater Zugriff auf das Beraterprogramm. Eine unzulässige Nutzung eines
Kontos mittels des initialen Passwortes ist damit ausgeschlossen.
Der Berater kann sein Passwort jederzeit ändern, wenn er über das aktuelle Passwort
verfügt. Auch bei einer späteren Änderung wird das Passwort auf die oben genannten
Qualitätskriterien hin überprüft.
Der Berater-Administrator kann das personalisierte Passwort eines Beraters jederzeit auf
ein neu generiertes initiales Passwort zurücksetzen, wodurch der Berater wieder
ST_Netviewer_one2oneTS_v1.8.pdf
Seite 34 von 132