- Startseite
- DocSpace
- Konfiguration
- DocSpace-Sicherheitsanleitung
DocSpace-Sicherheitsanleitung
Einleitung
ONLYOFFICE bietet eine breite Palette an Sicherheitstools, um Ihre Daten zu schützen und eine sichere Online-Zusammenarbeit zu gewährleisten. Diese Anleitung beschreibt alle Funktionen, mit denen Sie die Sicherheit Ihres DocSpace erhöhen können.
Darüber hinaus können Sie einige gängige Sicherheitstechnologien, Prinzipien und bestimmte Dienste erkunden, um die maximale Sicherheit Ihres Servers zu gewährleisten.
Allgemeine DocSpace-Sicherheit
Einige DocSpace-Funktionen gelten als Industriestandards für Datensicherheit: HTTPS, Backup, eigener SMTP-Server, LDAP.
Sicheres HTTPS-Protokoll
ONLYOFFICE ermöglicht Ihnen die Verschlüsselung Ihres Datenverkehrs mit dem HTTPS-Protokoll. Sie können ganz einfach ein CA-signiertes Zertifikat auf letsencrypt.org erstellen und Ihren DocSpace mit einem einzigen Befehl auf HTTPS umstellen oder Ihre eigenen Zertifikate anwenden.
Lesen Sie die entsprechenden Anweisungen für Docker, Linux, Windows.
Regelmäßige Backups
Sie können Ihre Daten sowohl manuell als auch automatisch sichern, um Datenverlust zu vermeiden. Die Funktionen zum Sichern/Wiederherstellen finden Sie in den DocSpace-Einstellungen.
Weitere Informationen zu den Sicherungs- und Wiederherstellungsoptionen finden Sie in diesem Artikel.
Eigener SMTP-Server
In ONLYOFFICE DocSpace ist der Standardserver für Benutzerbenachrichtigungen der ONLYOFFICE SMTP-Server. Für höhere Sicherheit empfehlen wir die Verwendung eines eigenen SMTP-Servers, damit Ihre Nachrichten nicht über Dienste von Drittanbietern laufen.
Weitere Informationen zum Einrichten des SMTP-Servers finden Sie in diesem Artikel.
LDAP zur Zugriffszentralisierung
Sie können die benötigten Benutzer und Gruppen einfach von Ihrem LDAP-Server (z. B. OpenLDAP Server oder Microsoft Active Directory) in Ihren DocSpace importieren. Die neu erstellten Benutzer müssen sich keine neuen Passwörter und Logins merken, da sie sich mit ihren auf Ihrem LDAP-Server gespeicherten Zugangsdaten bei DocSpace anmelden.
Weitere Einzelheiten finden Sie in diesem Artikel.
Sicherer Zugriff
Im Abschnitt Sicherheit der DocSpace-Einstellungen können Sie den Zugriff auf Ihren DocSpace steuern und die Aktivitäten aller Benutzer überwachen.
Passwortstärke
Sichere Passwörter können dazu beitragen, unbefugten Zugriff auf Ihre Daten zu verhindern. In DocSpace können Sie Anforderungen an die Passwortlänge festlegen und den im Passwort zu verwendenden Zeichensatz bestimmen: Großbuchstaben, Ziffern, Sonderzeichen.
Erfahren Sie mehr über Einstellungen zur Kennwortstärke.
Zwei-Faktor-Authentifizierung
Die Zwei-Faktor-Authentifizierung sorgt für einen sichereren DocSpace-Zugriff. Bei aktivierter Zwei-Faktor-Authentifizierung kann ein Benutzer auf die DocSpace-Daten zugreifen, indem er seine E-Mail-Adresse und sein Passwort eingibt oder sich über ein Social-Media-Konto anmeldet und einen von der Authentifizierungs-App generierten Code eingibt.
Weitere Informationen zur Verwendung der Zwei-Faktor-Authentifizierung finden Sie im folgenden Artikel.
Andere Zugriffseinstellungen
- Geben Sie die vertrauenswürdigen E-Mail-Domänen an, die für die Benutzer-Selbstregistrierung in Ihrem DocSpace verwendet werden können. Weitere Informationen finden Sie hier.
- Mit den IP-Sicherheitseinstellungen können Sie den Zugriff auf Ihren DocSpace basierend auf den IP-Adressen einschränken, indem Sie den Zugriff auf den DocSpace nur von vertrauenswürdigen Netzwerken aus zulassen. Weitere Informationen finden Sie hier.
- Schützen Sie Ihren DocSpace vor Brute-Force-Angriffen, indem Sie die Anzahl erfolgloser Anmeldeversuche des Benutzers festlegen. Weitere Informationen finden Sie hier.
- Verwenden Sie die Funktion „Sitzungsdauer“, um ein Zeitlimit festzulegen, innerhalb dessen die DocSpace-Benutzer ihre DocSpace-Anmeldeinformationen erneut eingeben müssen, um auf den DocSpace zugreifen zu können. Weitere Informationen finden Sie hier.
- Sie können sich auch manuell von allen aktiven Sitzungen auf jedem Gerät abmelden, indem Sie die entsprechende Funktion in Ihrem Profil verwenden. Weitere Informationen finden Sie hier.
Login- und Aktionsüberwachung
Verfolgen Sie die letzten Benutzeranmeldeaktivitäten, einschließlich erfolgreicher und fehlgeschlagener Anmeldungen, ganz einfach im Bereich Anmeldeverlauf der Einstellungen. Im Bereich Audit-Trail können Sie die Liste der letzten Änderungen (Erstellen, Ändern, Löschen usw.) durchsuchen, die Benutzer an den Dateien und Ordnern in Ihrem DocSpace vorgenommen haben. Weitere Informationen finden Sie hier.
Sichere Speicherung
Passwort für externe Links
Wenn Sie externe Links zu öffentlichen, benutzerdefinierten oder Formularräumen erstellen, können Sie diese mit einem Kennwort schützen. Für den über einen Link freigegebenen öffentlichen oder benutzerdefinierten Raum können Sie außerdem die Option „Kopieren, Herunterladen und Drucken von Dateiinhalten einschränken“ aktivieren, um den Download von Dateien und Ordnern zu verhindern. Zusätzliche Links können zeitlich begrenzt werden.
Erfahren Sie mehr über externe Links.
Virtuelle Datenräume für sensible Daten
Virtuelle Datenräume bieten erweiterte Dateisicherheit für die Speicherung und Weitergabe vertraulicher Geschäftsinformationen. Die folgenden Sicherheitsfunktionen für die Arbeit mit Daten stehen in einem virtuellen Datenraum zur Verfügung: Festlegen der Lebensdauer von Dateien, Verbot des Kopierens und Herunterladens von Dateien sowie Setzen von Wasserzeichen.
- Dateilebensdauer: Legen Sie die Dateilebensdauer fest, um die Dateien in diesem Raum nach einem festgelegten Zeitraum automatisch zu löschen.
- Kopieren und Herunterladen einschränken: Aktivieren Sie diese Einstellung, um Downloads und das Kopieren von Inhalten für Benutzer mit der Rolle „Viewer“ zu deaktivieren.
- Wasserzeichen zu Dokumenten hinzufügen – Schützen Sie alle Dokumente in diesem Raum mit Wasserzeichen.
Erfahren Sie mehr über virtuelle Datenräume.
Verschlüsselung
Mit der von DocSpace bereitgestellten Funktion Daten im Ruhezustand verschlüsseln können Sie die Sicherheit vertraulicher Daten in Ihrem DocSpace gewährleisten.
Die Verschlüsselung basiert auf dem Verschlüsselungstyp „Encrypt-then-MAC“ (AES-256-CBC + HMAC-SHA256) des gesamten Datenbestands. Sie entspricht dem internationalen Datenverschlüsselungsstandard AES-256.
Erfahren Sie mehr über die Funktion Daten im Ruhezustand verschlüsseln.
Berechtigungsverwaltung
Sie können verschiedene Berechtigungsstufen zuweisen, die festlegen, welche Aktionen mit Dateien dem Benutzer in einem Raum zur Verfügung stehen. Beispielsweise können Betrachter nur Dokumente anzeigen, Bearbeiter alle Bearbeitungsvorgänge an vorhandenen Dateien durchführen und Inhaltsersteller neue Dateien und Ordner erstellen und hochladen. Weitere Informationen finden Sie hier.
Sicheres Arbeiten mit Dokumenten
Wenden Sie bei der gemeinsamen Bearbeitung von Dokumenten eine Reihe von Sicherheitsfunktionen an, um den Zugriff oder die Bearbeitungsrechte anderer Benutzer einzuschränken und unerwünschte Änderungen an Daten zu verhindern.
Dokumentversionen
Zeigen Sie den Versionsverlauf an, um genau zu wissen, welche Änderungen vorgenommen wurden. Stellen Sie bei Bedarf eine der vorherigen Versionen des Dokuments wieder her. Weitere Informationen finden Sie hier.
Dokumentkennwortschutz
Schützen Sie Dokumente mit Passwörtern, um sicherzustellen, dass niemand auf Ihre Dateien zugreifen kann, ohne ein Passwort von Ihnen zu erhalten. Weitere Informationen finden Sie hier.
Arbeitsmappen, Blätter und Bereiche schützen
Beim Arbeiten mit Tabellenkalkulationen können Sie die gesamte Arbeitsmappe, bestimmte Blätter oder Zellbereiche schützen sowie Formeln oder Objekte ausblenden. Weitere Informationen finden Sie hier.
JWT-Schutz
Um Dokumente vor unbefugtem Zugriff zu schützen, verwenden ONLYOFFICE-Editoren das JSON Web Token (JWT). Das Token wird bei der Initialisierung des Dokumenteneditors und beim Befehlsaustausch zwischen internen ONLYOFFICE Docs-Diensten in der Konfiguration hinzugefügt. Der geheime Schlüssel wird verwendet, um das JSON Web Token zu signieren und das Token bei der Anfrage an ONLYOFFICE Docs zu validieren.
Grundlegende Sicherheitsprinzipien
Sie können auch einige allgemeine Grundsätze der Serversicherheit sowie Dienste und Tools von Drittanbietern nutzen, die nicht mit den ONLYOFFICE-Produkten in Zusammenhang stehen. Nachfolgend finden Sie einige gängige Beispiele und Tipps, die hilfreich sein können.
Root-Zugriff deaktivieren
Um Datenlecks zu vermeiden, ist es besser, die Anmeldung als Root zu untersagen, da der Root-Benutzer vollen Zugriff auf alle Daten des Systems hat. Dies kann über das Server-Terminal erfolgen, indem die Root-Anmeldeberechtigung auf Nein gesetzt wird.
Schließen aller unnötigen Ports
Sie sollten nur die Ports offen lassen, die Sie für die Funktion des Portals benötigen, da zusätzliche offene Ports die Ursache für Datenlecks sein können. Verwenden Sie das Dienstprogramm netstat, um alle offenen Ports und die zugehörige Software anzuzeigen.
Einrichten einer Firewall
Eine Firewall lässt eingehenden und ausgehenden Netzwerkverkehr basierend auf vordefinierten Regeln zu oder blockiert ihn. Unter Linux ist die Firewall Teil des Kernels (netfilter), Sie müssen jedoch ein Dienstprogramm zur Verwaltung installieren, z. B. UFW für Debian oder firewalld für RHEL.
Befolgen des Prinzips der geringsten Privilegien
Weisen Sie nur die Berechtigungen zu, die zum Ausführen bestimmter Aufgaben unbedingt erforderlich sind, und verhindern Sie so, dass Benutzer auf sensible Bereiche zugreifen, die sie nicht benötigen.
Verwenden von SSH für die Remote-OS-Verwaltung
Verwenden Sie bei der Remote-Verwaltung des Servers das sichere SSH-Protokoll. Obwohl dieses Protokoll zuverlässig ist, können Sie den Schutz zusätzlich erhöhen, indem Sie SSH-Schlüssel anstelle eines Kennworts verwenden.
Verwenden von Fail2ban zum Sichern Ihres Logins
Fail2ban schützt Ihren Server vor Brute-Force-Angriffen. Es überwacht Protokolldateien und blockiert Verbindungen, wenn zu viele fehlgeschlagene Anmeldeversuche auftreten.
Aktivieren von SELinux oder App Armor
Aktivieren Sie Sicherheitsmodule, die Ihren Server vor falsch konfigurierten oder kompromittierten Programmen schützen. Auf RHEL-basierten Systemen wird SELinux verwendet. Auf Debian-basierten Systemen können Sie AppArmor verwenden.