Dieser Abschnitt bietet Ihnen einen Überblick über die verfügbaren Sicherheitsrichtlinienattribute, aus denen Sie Sicherheitsrichtlinien zusammenstellen können. Die Sicherheitsrichtlinienattribute steuern das Systemverhalten bei Kennwortregeln, Kennwortänderungen und Anmelderestriktionen. Die Vorgehensweise wie Sie Sicherheitsrichtlinien ändern, finden Sie unter Sicherheitsrichtlinien definieren und Benutzern zuordnen.
Die benutzerspezifischen Sicherheitsrichtlinien lösen die benutzerübergreifend wirkenden Profilparameter ab. Sobald Sie einem Benutzerstammsatz eine Sicherheitsrichtlinie zuordnen, bestimmt diese das Systemverhalten. Die Profilparameterwerte gelten nur noch für die Benutzerstammsätze, denen Sie keine Sicherheitsrichtlinie zuordnen.
Sicherheitsrichtlinienattribut |
Zulässige Werte |
Ersetzt Profilparameter |
Beschreibung |
---|---|---|---|
SECPOL_MIN_PWD_LENGTH |
Zulässige Werte: 3 - 40 Falls Profilparameter login/password_downwards_compatibility den Wert 5 hat, ist der zulässige Wertebereich 3 - 8. |
login/min_password_lng |
Bestimmt die Mindestlänge eines Kennworts. Das Attribut wirkt sowohl bei der Vergabe neuer Kennwörter als auch bei der Kennwortänderung oder beim Zurücksetzen bestehender Kennwörter. |
SECPOL_MIN_PWD_DIGITS |
Zulässige Werte: 0 - 40 Falls Profilparameter login/password_downwards_compatibility den Wert 5 hat, ist der zulässige Wertebereich 0 - 8. |
login/min_password_digits |
Bestimmt die Mindestanzahl an Ziffern (0-9), die in einem Kennwort enthalten sein müssen. Das Attribut wirkt sowohl bei der Vergabe neuer Kennwörter als auch bei der Kennwortänderung oder beim Zurücksetzen bestehender Kennwörter. |
SECPOL_MIN_PWD_LETTERS |
Zulässige Werte: 0 - 40 Falls Profilparameter login/password_downwards_compatibility den Wert 5 hat, ist der zulässige Wertebereich 0 - 8. |
login/min_password_letters |
Bestimmt die Mindestanzahl an ASCII-Buchstaben (A-Z und a-z), die in einem Kennwort enthalten sein müssen. Das Attribut wirkt sowohl bei der Vergabe neuer Kennwörter als auch bei der Kennwortänderung oder beim Zurücksetzen bestehender Kennwörter. |
SECPOL_MIN_PWD_LOWERCASE |
Zulässige Werte: 0 - 40 Falls Profilparameter login/password_downwards_compatibility den Wert 5 hat, ist der zulässige Wertebereich 0 - 8. |
login/min_password_lowercase |
Bestimmt die Mindestanzahl an ASCII-Kleinbuchstaben (a - z), die in einem Kennwort enthalten sein müssen. Das Attribut wirkt sowohl bei der Vergabe neuer Kennwörter als auch bei der Kennwortänderung oder beim Zurücksetzen bestehender Kennwörter. |
SECPOL_MIN_PWD_UPPERCASE |
Zulässige Werte: 0 - 40 Falls Profilparameter login/password_downwards_compatibility den Wert 5 hat, ist der zulässige Wertebereich 0 - 8. |
login/min_password_uppercase |
Bestimmt die Mindestanzahl an ASCII-Großbuchstaben (A-Z), die in einem Kennwort enthalten sein müssen. Das Attribut wirkt sowohl bei der Vergabe neuer Kennwörter als auch bei der Kennwortänderung oder beim Zurücksetzen bestehender Kennwörter. |
SECPOL_MIN_PWD_SPECIALS |
Zulässige Werte: 0 - 40 Falls Profilparameter login/password_downwards_compatibility den Wert 5 hat, ist der zulässige Wertebereich 0 - 8. |
login/min_password_specials |
Bestimmt die Mindestanzahl an Sonderzeichen, die in einem Kennwort enthalten sein müssen. Als Sonderzeichen werden alle Zeichen betrachtet, die weder Ziffern (0-9) noch ASCII-Buchstaben (A-Z oder a-z) sind. Hierzu gehören nationale Sonderzeichen und Unicode-Zeichen, sofern es sich um ein Unicode-System handelt, ebenso wie die ASCII-Zeichen !"@ $%&/()=?'`*+~#-_.,;:{[]}\<>| Das Attribut wirkt sowohl bei der Vergabe neuer Kennwörter als auch bei der Kennwortänderung oder beim Zurücksetzen bestehender Kennwörter. |
SECPOL_PWD_RULES_USE_BLACKLIST |
Legt fest, ob das System das Kennwort bei der Anmeldung mit einer Negativliste verbotener Kennwörter abgleicht. Wenn der Administrator ein verbotenes Kennwort vergibt, gibt das System nur eine Warnung aus, über die sich der Administrator hinwegsetzen kann. |
Sicherheitsrichtlinienattribut |
Zulässige Werte |
Ersetzt Profilparameter |
Beschreibung |
---|---|---|---|
SECPOL_PWDCHG_FOR_POLICY_COMPL |
0: Keine Prüfung 1: Prüfung, ob Änderung erforderlich ist |
login/password_compliance_to_current_policy |
Steuert, ob das System bei einer Anmeldung mit Kennwort prüft, ob das verwendete Kennwort den aktuellen Kennwortregeln genügt und ob das System den Benutzer zur Änderung des Kennworts auffordert. Benutzer vom Typ SERVICE und SYSTEM sind prinzipiell von der Kennwortänderungspflicht ausgenommen und daher nicht von dieser Regelung betroffen. |
SECPOL_MIN_PWDCHG_DIFFERENCE |
Zulässige Werte: 1 - 40 Falls Profilparameter login/password_downwards_compatibility den Wert 5 hat, ist der zulässige Wertebereich 1 - 8. |
login/min_password_diff |
Definiert die Mindestanzahl Zeichen, die im neuen Kennwort im Vergleich zum alten anders sein müssen. |
SECPOL_PWDCHG_REGULAR_INTERVAL |
Zulässige Werte: 0 - 1000 (Angabe in Tagen) |
login/password_expiration_time |
Legt fest, ob und nach wie vielen Tagen seit der letzten Kennwortänderung das System die Benutzer auffordert, ihr (nicht initiales) Kennwort erneut zu ändern. Benutzer vom Typ SERVICE und SYSTEM sind von dieser Regelung nicht betroffen. |
SECPOL_PWDCHG_FOR_SSO |
0: System ignoriert Kennwortänderungspflicht (abwärtskompatibel) 1: Benutzer entscheidet sich für Ändern oder Löschen (Standardeinstellung) 2: Benutzer muss das Kennwort ändern 3: Kennwort wird automatisch gelöscht |
login/password_change_for_SSO |
Überprüft bei Anmeldung mit Single Sign-On, ob der Benutzer sein Kennwort ändern muss. |
SECPOL_PWDCHG_HISTORY_SIZE |
Zulässige Werte: 1 - 100 |
login/password_history_size |
Gibt die Anzahl der vom Benutzer, nicht vom Administrator gewählten Kennwörter an, die das System ablegt und die der Benutzer nicht wieder verwenden darf. Verhindert, dass Benutzer die Pflicht zur regelmäßigen Kennwortänderung faktisch außer Kraft setzen. |
SECPOL_MIN_PWDCHG_WAITTIME |
Zulässige Werte: 1 - 1000 (Angabe in Tagen) |
login/password_change_waittime |
Gibt die Anzahl Tage an, die ein Benutzer bis zur nächsten Kennwortänderung warten muss. Erzwungene Kennwortänderungen und Kennwortänderungen durch den Administrator sind davon nicht betroffen und sofort möglich. |
Sicherheitsrichtlinienattribut |
Zulässige Werte |
Ersetzt Profilparameter |
Beschreibung |
---|---|---|---|
SECPOL_DISABLE_PASSWORD_LOGON |
0: Kennwortanmeldung ist zulässig (sofern möglich) 1: Kennwortanmeldung ist nicht möglich |
|
Verhindert, dass sich ein Benutzer mit Kennwort am System anmelden kann. |
SECPOL_MAX_PWD_IDLE_PRODUCTIVE |
Zulässige Werte: 0 - 24000 (Angabe in Tagen) 0: Produktivkennwörter sind unbegrenzt lange gültig. |
login/password_max_idle_productive |
Legt die maximale Zeitspanne zwischen dem Zeitpunkt der letzten Änderung des Produktivkennworts und der nächsten Anmeldung mit diesem Kennwort fest. Ein Produktivkennwort ist ein vom Benutzer gesetztes Kennwort. Der Benutzer darf es frühestens nach einer vorgebbaren Frist erneut ändern. Nach Ablauf dieser Frist gibt das System die Meldung "Kennwort wurde längere Zeit nicht verwendet und daher deaktiviert" aus und lehnt die Anmeldung ab. |
SECPOL_MAX_PWD_IDLE_INITIAL |
0 - 24000 (Angabe in Tagen) 0: Initialkennwörter sind unbegrenzt lange gültig. |
login/password_max_idle_initial |
Legt die maximale Zeitspanne zwischen dem Zeitpunkt der Kennwort(rück)setzung und der nächsten Anmeldung mit dem Initialkennwort fest. Beim Einrichten eines neuen Benutzerkontos oder beim Ändern des Kennworts eines bestehenden Benutzerkontos vergibt der Benutzeradministrator ein Initialkennwort. Bei der nächsten interaktiven Anmeldung muss der Benutzer dieses Initialkennwort ändern, um sicherzustellen, dass das Kennwort nur dem Benutzer bekannt ist. Nach Ablauf der für die Änderung definierten Frist gibt das System die Meldung "Das Initialkennwort ist abgelaufen" aus und lehnt die Anmeldung ab. |
SECPOL_MAX_PWD_FAILED_ATTEMPTS |
Zulässige Werte: 1 - 99 |
login/fails_to_user_lock |
Legt die Anzahl fehlgeschlagener Kennwortanmeldeversuche fest, bevor das System eine Kennwortsperre setzt und weitere Kennwortanmeldeversuche abblockt. |
SECPOL_PWD_LOCK_EXPIRATION |
0: Administrator muss Kennwortsperre explizit aufheben 1: Kennwortsperre gilt maximal 24 Stunden (automatische Entsperrung) |
login/failed_user_auto_unlock |
Legt fest, ob das System Benutzersperren aufgrund erfolgloser Anmeldeversuche automatisch wieder aufhebt. |
SECPOL_DISABLE_TICKET_LOGON |
0: Anmelde- und Zusicherungstickets sind zulässig 1: System lehnt Anmeldetickets ab, Zusicherungstickets nicht 2: System lehnt Anmelde- und Zusicherungstickets ab |
Keiner |
Verhindert, dass sich ein Benutzer mit Anmelde- oder Zusicherungsticket am System anmeldet. |