CSSCurrent de:Policy

Aus Cryptshare Documentation
Wechseln zu:Navigation, Suche

Policyeinstellungen

Policyeinstellungen gehören zu den Kernfunktionen des Cryptshare Servers. Sie legen fest, wer das System nutzen kann und wie er es nutzen kann. Eine Policy-Regel besteht aus 3 Teilen:

  • Das Absendermuster legt fest, für welche Absender es gestattet/nicht gestattet ist, einen Transfer zu versenden.
  • Das Empfängermuster legt fest, für welche Empfänger es gestattet/nicht gestattet ist, einen Transfer zu erhalten.
  • Die individuellen Transfereinstellungen legen fest, welche Einschränkungen und Möglichkeiten bei einem Transfer zur Anwendung kommen, wenn die festgelegte Absender/Empfänger-Kombination zutrifft.

Grundlegende Funktionsweise

Schritt 1

Wird ein Transfer von einem Absender eingeleitet, so werden alle verfügbaren Policy-Regeln herangezogen und geprüft, ob der Absender auf mindestens eines der konfigurierten Muster zutrifft. Alle zutreffenden Regeln werden in den nächsten Schritt übernommen.

Für den Absender Max Mustermann wurden zwei zutreffende Regeln gefunden
09 Uber-Policyeinstellungen 01 DE.png 09 Uber-Policyeinstellungen 02 DE.png

Schritt 2

Die zutreffenden Regeln aus Schritt 1 werden herangezogen und alle Empfänger unter Verwendung des Empfängermusters überprüft. 09 Uber-Policyeinstellungen 03 DE.png

Ein Transfer wird auf diese Art entweder zugelassen oder abgelehnt, abhängig davon, ob die Regel eingestellt wurde Transfers zu gestatten oder nicht. Die Einstellungen der als zutreffend ermittelten Regel aus Schritt 2 werden auf den Transfer angewendet, sofern diese einen Transfer zulässt.

Was passiert, wenn mehrere Regeln zutreffen?
Es kann ebenfalls passieren, dass nach Schritt 1 und 2 noch mehrere Regeln zutreffen. In diesem Fall werden die Policy-Regeln zusammengeführt. Lesen Sie darüber mehr im Kapitel 'Policy Konfliktlösung'.

Administrieren von Policy-Regeln

Speichern Sie Ihre Einstellungen!
Alle Änderungen an Policy-Regeln werden nur angewendet und in die Datenbank gespeichert, wenn der Änderungen speichern-Button gedrückt wurde! 09 Uber-Policyeinstellungen 04 DE.png

Typen von Policy-Regeln

Es gibt zwei Typen von Policy-Regeln, LDAP-Regeln und Regeln, die auf regulären Ausdrücken basieren. Letztere werden am meisten genutzt und sind der Standard für neue Policy-Regeln.

Auf regulären Ausdrücken basierende Regeln

Policy-Regeln dieser Art können eingestellt werden, um auf folgende Muster zuzutreffen:

  • E-Mail Adressen: Beispielsweise Max.Mustermann@cryptshare.com, Anke.Musterfrau@cryptshare.com
  • E-Mail Domänen: Beispielsweise cryptshare.com, befine-solutions.com
  • Reguläre Ausdrücke: Beispielsweise .*?@cryptshare\.com

Jede Regel kann ein oder mehrere Muster des gleichen Typs beinhalten.

Beispiele

Durch Verwendung mehrerer verschiedener Muster kann der Zugriff für einen bestimmten Benutzer aus der Domäne A zugelassen werden, während gleichzeitig alle Benutzer aus der Domäne B zugelassen werden. Beispielsweise wird es Max.Mustermann@cryptshare.com und allen Benutzern aus befine-solutions.com gestattet, einen Transfer zu versenden.

Wird außerdem ein regulärer Ausdruck hinzugefügt, so kann die Regel noch präziser gestaltet werden. So können z.B. einzelne Empfänger aus einer Domäne ausgeschlossen werden. Beispielsweise schließt der Ausdruck ^(?!anke\.musterfrau@cryptshare\.com)(.*?@cryptshare\.com) Anke aus während alle anderen Benutzer aus der Domäne cryptshare.com zugelassen sind.

Policy-Regel basierend auf regulären Ausdrücken
09 Uber-Policyeinstellungen 05 DE.png

LDAP Regeln

Um in der Lage zu sein, diese Art von Regel anzulegen, ist es zuerst erforderlich, den LDAP Server einzurichten. Sobald dies erledigt wurde, kann eine LDAP-Regel angelegt werden. Hierfür muss der Policy-Regel-Assistent verwendet werden, da Standard-Regeln immer auf regulären Ausdrücken basieren. Sobald die Regel zusammen mit allen anderen aufgelistet ist, kann diese auch im Schnellbearbeitungsmodus geändert werden.

Anstatt reguläre Ausdrücke zu verwenden, wird in diesem Regeltyp auf Benutzer und Gruppen aus dem LDAP-Verzeichnis zugegriffen. In den LDAP-Einstellungen kann festgelegt werden, in welchen Attributen des LDAP-Verzeichnisses Cryptshare nach E-Mail-Adressen für den Vergleich suchen soll.

Hinweis zur Verwendung eines Microsoft Active Directories
Bei der Verwendung eines Microsoft Active Directories werden inaktive Nutzer von der Policy-Regel ausgenommen und können somit nicht verwendet werden.
LDAP-basierte Policy-Regeln
09 Uber-Policyeinstellungen 16 DE.png

Regeln mit Netzwerkmustern

Das Absendermuster kann optional durch netzwerkbasierte Muster weiter eingegrenzt werden. Durch Angabe eines Netzwerkmusters in CIDR-Notation trifft die Policy-Regel nur zu, wenn sowohl die E-Mail- als auch die IP-Adresse des Absenders den jeweiligen Mustern entsprechen. Abhängig von der Art der Regel (erlauben oder verweigern) können so Absender aus bestimmten IP-Adressbereichen mit bestimmten Einstellungen zugelassen oder abgelehnt werden. Sie können sowohl IPv4- als auch IPv6-Muster gleichzeitig auswählen.

09 Uber-Policyeinstellungen 07 DE.png

Standardregelsatz

Ein Standardregelsatz besteht aus 2 separaten Policy-Regeln. Die Kombination aus diesen beiden Regeln stellt 3 Dinge sicher:

  1. Interne Benutzer können jedem beliebigen Empfänger Transfers zusenden, auch externen Nutzern.
  2. Externe Nutzer können jedem Empfänger innerhalb der registrierten Domänen Transfers zusenden.
  3. Kein externer Nutzer kann das System für den Versand an einen anderen externen Nutzer missbrauchen.
Absender-Regel
09 Uber-Policyeinstellungen 08 DE.png


Die Regel gestattet es lediglich bestimmten Absendern (cryptshare.com und befine-solutions.com), Transfers an beliebige Empfänger (.*) zu versenden.
Empfänger-Regel
09 Uber-Policyeinstellungen 09 DE.png


Die Regel gestattet es jedem (.*), Transfers an Benutzer der Domäne 'cryptshare.com' oder 'befine-solutions.com' zu senden.

Policy-Regeln anlegen

Cryptshare bietet vier Alternativen zum Anlegen von Policy-Regeln an.

(1) Ableiten aus der Lizenz
09 Uber-Policyeinstellungen 10 DE.png

Ein Klick auf diesen Button legt - unter Verwendung der in der Lizenz verwendeten E-Mail Adressen und Domänen - einen Standardregelsatz an. Haben Sie beispielsweise die Domäne 'meinedomain.com' lizenziert, so werden zwei Regeln angelegt:

  • .* --> meinedomain.com
  • meinedomain.com --> .*
Dies bedeutet, dass jeder beliebige Absender Transfers an meinedomain.com senden kann und dass alle Benutzer aus dieser Domäne an jeden beliebigen Empfänger senden können.
(2) Standard-Regel
09 Uber-Policyeinstellungen 11 DE.png

Eine Standard-Regel fügt der Liste der Policy-Regeln lediglich ein neues, auf regulären Ausdrücken basierendes Element hinzu. Wie bei allen anderen, neu angelegten Policy-Regeln werden auch hier die Standardeinstellungen des Servers verwendet.

Unter Verwendung des Schnellbearbeitungsmodus können dieser Regel anschließend alle gewünschten E-Mail Adressen, Domänen und reguläre Ausdrücke hinzugefügt werden.
(3) Angepasste Regel
09 Uber-Policyeinstellungen 12 DE.png

Die Nutzung des Policyassistenten erlaubt es, angepasste Policy-Regeln in einem geführten Konfigurationsvorgang anzulegen.

Alle Standardeinstellungen können nach Wunsch verändert werden. Wird der Assistent mit dem Übernehmen-Button verlassen, so wird die Regel zur Liste der bestehenden Regeln hinzugefügt. Für alle noch nicht bearbeiteten Einstellungsdialoge des Assistenten werden dann die Standardwerte aus den Server-Einstellungen übernommen.
(4) CSV-Import
09 Uber-Policyeinstellungen 13 DE.png

Die Verwendung der Funktion "Policy-Regeln importieren" erlaubt den Import einer CSV-Datei, die Policy-Definitionen enthält, um einerseits neue Policy-Regeln anzulegen und andererseits bestehende Policy-Regeln anzupassen.

Wird für eine Einstellung kein Wert angegeben, wird der Standardwert aus den Server-Einstellungen übernommen.

Policy-Einstellungen

Allgemeine Hinweise

Standardeinstellungen für Policyregeln
09 Uber-Policyeinstellungen 14 DE.png
Wenn Sie geänderte Servereinstellungen auf bestehende Policy-Regeln anwenden möchten, so kann dies über die Reset-Funktion im Policy-Bereich getan werden.

Policy-Regel - Ablehnen oder Erlauben

Eine Policy-Regel kann konfiguriert werden, einen Transfer abzulehnen anstatt ihn zuzulassen.

09 Uber-Policyeinstellungen 15 DE.png

Erlauben

Wird eine Regel auf Erlauben eingestellt, so sind alle E-Mail-Adressen, die auf das darin definierte Muster zutreffen, für einen Transfer zugelassen.

Verweigern

Verweigern-Regeln übersteuern
Unabhängig davon, wie die restliche Policy-Konfiguration aussieht, werden alle E-Mail-Adressen, die auf ein Muster in dieser Regel zutreffen, abgelehnt.

Transfereinstellungen

Jede Policy-Regel kann so eingestellt werden, dass eigene Einstellungen für die maximale Liegezeit sowie maximale Transfergröße verwendet werden. Die Einstellungen in dieser Regel übersteuern die allgemeinen Servereinstellungen.

Einstellungen zum Nachrichteninhalt

Jede Policy-Regel kann so eingestellt werden, dass eigene Einstellungen für eine Vielzahl an Einstellungsmöglichkeiten für Nachrichteninhalte verwendet werden. Die Einstellungen in dieser Regel übersteuern die allgemeinen Servereinstellungen.

Sicherheitseinstellungen

Jede Policy-Regel kann so eingestellt werden, dass eigene Einstellungen für die Downloadsicherheit verwendet werden. Die Einstellungen in dieser Regel übersteuern die allgemeinen Servereinstellungen.

Mailservereinstellungen

Jede Policy-Regel kann so eingestellt werden, dass eigene Einstellungen für den Mailserver verwendet werden. Die Einstellungen in dieser Regel übersteuern die allgemeinen Servereinstellungen.

Logeinstellungen

Jede Policy-Regel kann so eingestellt werden, dass eigene Einstellungen für die Loginhalte verwendet werden. Die Einstellungen in dieser Regel übersteuern die allgemeinen Servereinstellungen.

Vorverarbeitungseinstellungen

Jede Policy-Regel kann so eingestellt werden, dass eigene Einstellungen für die Vorverarbeitung verwendet werden. Die Einstellungen in dieser Regel übersteuern die allgemeinen Servereinstellungen.