Download Sicherheitsvorgaben (Security Target)
Transcript
Sicherheitsvorgaben zum EVG 14.09.2009 Passwort durch ein persönliches zu ersetzen. Der Standard Server prüft das vom BeraterAdministrator selbst gewählte Passwort auf hinreichende Qualität. Das Passwort muss eine Mindestlänge von acht Zeichen haben, jeweils mindestens einen Großbuchstaben, einen Kleinbuchstaben und eine Ziffer enthalten und unterschiedlich vom vorherigen Passwort sein. Erst wenn der Berater-Administrator das Passwort geändert hat, erhält er Zugriff auf die Funktionen des Benutzermanagers. Beim nächsten Starten des Benutzermanagers kann sich der Berater-Administrator nur noch mit den geänderten Zugangsdaten anmelden. Alle Operationen, die der EVG zu oben genannten Administrator-Aktionen durchführt, werden im Audit-Protokoll der Serverkomponente festgehalten. 2.12.2 Funktionen für den Berater-Administrator Der Berater-Administrator kann im Benutzermanager neue Benutzer anlegen. Dazu muss er lediglich den Benutzernamen des Beraters definieren. Benutzernamen müssen eindeutig sein, d.h. das Anlegen von Benutzern mit gleichem Benutzernamen ist unzulässig. Das zu dem Benutzernamen gehörige initiale Passwort wird vom System generiert. Das generierte Passwort ist achtstellig und eine zufällige Kombination aus Großbuchstaben, Kleinbuchstaben und Ziffern, wobei jeweils mindestens ein Großbuchstabe, ein Kleinbuchstabe und eine Ziffer enthalten sein muss. Das Passwort wird dem BeraterAdministrator im Benutzermanager angezeigt. Die Authentifizierungsmerkmale (Benutzername und Passwort) muss der BeraterAdministrator nun dem Benutzer vertraulich zukommen lassen. Geeignet ist hier eine persönliche Übermittlung, per verschlüsselter E-Mail oder per Post. Der BeraterAdministrator wird im Netviewer Standard ServerTS Administratorhandbuch auf diese Notwendigkeit hingewiesen. Wenn sich der Berater mit seinem Benutzernamen und seinem initialen Passwort zum ersten Mal beim Beraterprogramm anmeldet, muss er das neu erstellte Konto zunächst aktivieren. Dazu muss er im Beraterprogramm das initiale Passwort durch ein persönliches Passwort ersetzen. Das Beraterprogramm prüft das gewählte Passwort auf ausreichende Qualität. Das Passwort muss eine Mindestlänge von acht Zeichen haben, jeweils mindestens einen Großbuchstaben, einen Kleinbuchstaben und eine Ziffer enthalten und unterschiedlich vom vorherigen Passwort sein. Erst nach der Aktivierung erhält der Berater Zugriff auf das Beraterprogramm. Eine unzulässige Nutzung eines Kontos mittels des initialen Passwortes ist damit ausgeschlossen. Der Berater kann sein Passwort jederzeit ändern, wenn er über das aktuelle Passwort verfügt. Auch bei einer späteren Änderung wird das Passwort auf die oben genannten Qualitätskriterien hin überprüft. Der Berater-Administrator kann das personalisierte Passwort eines Beraters jederzeit auf ein neu generiertes initiales Passwort zurücksetzen, wodurch der Berater wieder ST_Netviewer_one2oneTS_v1.8.pdf Seite 34 von 132