Sind Deine USM Umgebungen auch schon sicher?

Newsletter|Tipps & Tricks|USU

Mit wenig Aufwand unterstützt Dich der Passwort Protected Mode dabei!

Warum ist es wichtig den Passwort Protected Mode zu aktivieren?

Es ist Dir sicherlich bekannt, dass es im USU Service Management viele nützliche Standard- und Testbenutzer gibt. Neben den vielen Testbenutzern gibt es auch solche, die notwendig sind, damit die Process-Engine überhaupt läuft oder das Generic Interface richtig funktionieren kann. Diese haben eine Gemeinsamkeit:
sehr schwache Passwörter, die vielen Leuten bekannt sind.
Dies bringt ein großes Risiko mit sich, da unbefugte Personen sich in Deiner Umgebung anmelden könnten.

Bereits im Release 5.2 Hotfix 8 wurde dieser ins Leben gerufen. Die folgende Erklärung wurde dazu geliefert:

Es wurde eine neue Sicherheitsfunktion eingeführt: Geschützter Modus.
Er kann durch eine Java-Eigenschaft (-DprotectedMode=true) aktiviert werden, typischerweise auf dem Produktionsanwendungsserver.

In diesem Modus:

  • Benutzer mit Anmeldenamen, die in ‚forbiddenusernames.txt‘ aufgeführt sind, oder mit Passwörtern, die in ‚forbiddenpasswords.txt‘ aufgelistet sind, können sich nicht anmelden
  • Benutzer, deren Passwörter mit MD5 gehasht sind, können sich nicht anmelden
  • Workflows, die in der Datei „forbiddenworkflows.txt“ aufgeführt sind, können nicht ausgeführt werden.

Die Dateien werden mit einigen vordefinierten Werten geliefert, können aber individuell erweitert; ergänzt oder modifiziert werden. Ebenso ist es möglich den Pfad zu diesen Dateien durch anpassen der Java-Eigenschaften zu ändern:

  • DforbiddenUsernames=<Pfad> 
  • DforbiddenPasswords=<Pfad> 
  • DforbiddenWorkflows=<Pfad> 

Ein neuer Metamodell-Check wird erstellt: UserCheck.

Sie prüft, ob verbotene Benutzernamen und Passwörter vorhanden sind und ob die Passwörter den korrekten Hash verwenden.

Diese Probleme werden gemeldet.

Die Dateien ‚forbiddenusernames.txt, ‚forbiddenpasswords.txt und forbiddenWorkflows.txt liefert USU bereits mit aus.

 

Wie läuft die Einrichtung ab?

Super einfach!

Dafür gehst Du in die jeweiligen Tomcat Einstellungen und trägst in die Java Options „-DprotectedMode=true“ ein. Im classes Verzeichnis des Tomcats liegen die Dateien bereits ab.

 

Gibt es vorher noch etwas zu beachten?

Die User TASKEXECUTOR01, TASKEXECUTOR02 und PROCESSINTERPRETER haben alle das Passwort Default-Passwort, welche im Auslieferungszustand gesetzt wird. Dieses muss zwingend zuvor in der jeweiligen USU Service Management-Umgebung in ein sicheres Passwort geändert werden, da sonst die Process-Engine nach der Einrichtung nicht mehr funktioniert. Bitte beachte auch, dass dieses Passwort mithilfe des eigenen Crypto-Tools erstellt werden muss und in der Datei Processengineconfiguration.json im Tomcat-CONF-Verzeichnis hinterlegt wird.

Alle weiteren User, die ein schwaches Passwort haben und sich ohne SSO anmelden können, sollten ebenfalls ein komplexeres Passwort erhalten.

Wir wünschen Dir ein sicheres USU Service Management System.

Vorheriger Beitrag
Wissensmanagement – was macht die Gentlemen Group denn da schon wieder? Und warum? 
Nächster Beitrag
GG Ticket2Teams Release 1.5

Schreiben Sie einen Kommentar

Your email address will not be published.

Fill out this field
Fill out this field
Bitte geben Sie eine gültige E-Mail-Adresse ein.

Avatar-Foto
Dietrich

Neueste Beiträge

  • 1. September 2023 GMT
    Mobiles Arbeiten at its best

    Wenn Job und Abenteuer Hand in Hand gehen Die Idee des mobilen Arbeitens ist bei uns in der GentlemenGroup fest verankert. Für uns geht es nicht bloß darum, Aufgaben in Zügen, Flughäfen oder in hippen Lounges zu erledigen, um die Zeit effizient zu nutzen. Nein, das mobile Arbeiten öffnet die Tür zu einer Welt voller Möglichkeiten. Nehmen wir Robert und Maike aus unserer USU Galaxy als Beispiel. Die beiden haben sich zu einer „Workation Week“ an einem wunderschönen See verabredet, um gemeinsam an ihren Projekten zu tüfteln. In ihren eigenen Wohnmobilen haben sie die Freiheit, an den unterschiedlichsten Orten zu arbeiten, und das dank 5G-Konnektivität und Solarmodulen äußerst effizient. Das Beste daran? Das Feedback ihrer Kunden war durchweg positiv. Robert und Maike haben bewiesen, dass man auch in entspannter Umgebung super produktiv sein kann, vielleicht sogar gerade in einer solchen! Mobiles Arbeiten bei uns bedeutet nicht nur, Aufgaben zu erledigen, sondern auch, Abenteuer zu erleben und die Freiheit zu genießen. 🌍💼

  • 31. August 2023 GMT
    19. September 2023 – Ivanti Identity Director (3 Tage)

    Bei der Digitalisierung von Mitarbeiter-Prozessen spielt Automatisierung eine entscheidende Rolle. „Ivanti Identity Director“ ist dabei die ideale Lösung, um alle Schritte eines Prozesses zentral zu managen und als Schnittstelle zwischen Organisationseinheiten und digitalen Zugriffsrechten zu dienen. jetzt anmelden. Ebenso gewährleistet der Ivanti Identity Director eine umfangreiche und richtlinienkonforme Nachweisbarkeit von veränderten Rechten und Rollen. Ivanti dazu: „Die Cloud und das mobile Computing haben die Art und Weise verändert, wie die IT Services für das Unternehmen bereitstellt. Die Verwaltung komplexer Zugriffsregeln gestaltet sich für die IT schwierig, wenn es für sie keinen automatisierten Weg für das Identitätsmanagement gibt. Ivanti Identity Director bietet einen attributbasierten Ansatz für Identität und Zugriff mit automatisiertem Provisioning, Selfservice und automatisierten Workflows. Jeder erhält basierend auf seiner Identität Zugriff auf der richtigen Ebene, so dass die Produktivität eines jeden Mitarbeiters und zugleich die Sicherheit des Unternehmens gewährleistet ist.“ Mehr Information gibt es hier. Andrea freut sich auf Dich

  • 31. August 2023 GMT
    20. September 2023 – USU Knowledge Management: Redaktionsschulung

    Wissen ist Macht! Das weiß auch der Collector – einer der mächtigsten und cleversten Ahnen des Marvel Universums. Neben seinen Kenntnissen zu den Infinity Steinen, hat er auch so ordentlich etwas auf dem Kasten. Nicht umsonst haust er im Knowhere – dem abgetrennten Kopf eines Celestials. Das ist nun wirklich einzigartig! Hier und jetzt anmelden. Bekanntlich möchte man ja immer genau das besitzen, was man nicht kennt – demnach hat der Collector über die Äonen eine riesige Sammlung erbeutet & erkauft. Auch ein so smartes Wesen braucht ein strukturiertes System, um das ganze Wissen abzulegen. Zum Glück nutzt der Collector das UKM dazu – man möchte ja nicht, dass der Zeitstein einen ausversehen ins 18e Jahrhundert zurück schießt, oder? Mehr Informationen gibt es hier. Freu Dich auf Franziska

Kategorien

Menü