Workspace Enterprise-Sicherheitsanleitung

Einleitung

ONLYOFFICE bietet viele Möglichkeiten, um sicherzustellen, dass Ihr Portal ordnungsgemäß geschützt ist. In dieser Anleitung werden alle Funktionen und Tools vorgestellt, die das Sicherheitsniveau eines Portals, vertraulicher Daten sowie der Arbeit in der Cloud und in Desktop-Editoren verbessern können.

SSL-Zertifikat

Ein SSL-Zertifikat ist ein digitales Zertifikat, das die Identität einer Website authentifiziert und eine verschlüsselte Verbindung ermöglicht. Sie können über die Systemsteuerung ein SSL-Zertifikat generieren oder ein Zertifikat eines Drittanbieters hochladen.

Zertifikatsgenerierung

Der Let’s Encrypt-Dienst wird zum Bereitstellen von CA-signierten Zertifikaten verwendet.

Um ein neues Zertifikat zu generieren,

1. Öffnen Sie die Seite HTTPS im Bereich ALLGEMEINE EINSTELLUNGEN in der linken Seitenleiste.
2. Klicken Sie auf die Schaltfläche GENERIEREN UND ANWENDEN. Ein Popup-Fenster informiert Sie darüber, dass das Zertifikat und der private Schlüssel erfolgreich generiert wurden.

Systemsteuerung und Portal werden neu gestartet und sind während dieses Vorgangs nicht verfügbar. Dies kann bis zu 5 Minuten dauern. Sobald die Zertifikatinstallation abgeschlossen ist, ist Ihr Portal über HTTPS verfügbar.

Zertifikat-Upload

Um ein Drittanbieter-Zertifikat hochzuladen (z. B. Amazon oder GoDaddy),

1. Öffnen Sie die Seite HTTPS im Bereich ALLGEMEINE EINSTELLUNGEN in der linken Seitenleiste.
2. Klicken Sie auf das Plus neben dem Feld CRT-Zertifikat und wählen Sie Ihr .crt-Zertifikat aus, um es hochzuladen.
3. Klicken Sie auf das Plus neben dem Feld HTTPS-Schlüssel und wählen Sie Ihren privaten .key-Schlüssel aus, um ihn hochzuladen.
   Stellen Sie vor dem Hochladen sicher, dass der private Schlüssel nicht verschlüsselt ist. Wenn Sie eine passwortgeschützte .key-Datei haben, müssen Sie diese zuerst entschlüsseln.
4. Sobald die Dateien .crt und .key hochgeladen sind, klicken Sie unten auf der Seite auf die Schaltfläche ANWENDEN.

Anschließend werden Ihre Systemsteuerung und Ihr Portal neu gestartet und sind während dieses Vorgangs nicht verfügbar. Dieser Vorgang kann bis zu 5 Minuten dauern. Sobald die Zertifikatsinstallation abgeschlossen ist, ist Ihr Portal über HTTPS verfügbar. Der Domänenname, für den Ihr Zertifikat ausgestellt wurde, wird nun im Abschnitt Generiert für Domäne der HTTPS-Seite in der Systemsteuerung angezeigt.

Sobald Sie ein Zertifikat erstellt oder gekauft und hochgeladen haben, können Sie Ihre Sicherheitsstufe mit dem SSL Labs-Dienst oder einem anderen ähnlichen Dienst überprüfen. Ihre Sicherheitsstufe darf nicht niedriger als A sein.

Weitere Informationen zur Umstellung auf HTTPS finden Sie in diesem Artikel.

Automatische Sicherung

Die automatische Sicherung kann in der Systemsteuerung aktiviert werden. Es kann auch sinnvoll sein, von Zeit zu Zeit Kopien des Portals mithilfe von Drittanbieterdiensten zu erstellen.

Um die Automatische Sicherung zu aktivieren,

1. Wechseln Sie zur Backup-Seite im Bereich ALLGEMEINE EINSTELLUNGEN in der linken Seitenleiste und suchen Sie den Bereich Automatisches Backup.
2. Klicken Sie auf den Schalter Deaktiviert, um die Funktion zu aktivieren.
   
3. Wählen Sie den gewünschten Speicher für die Sicherungsdateien aus (zur Auswahl stehen die Cloud-Speicherdienste Amazon AWS S3, Google, Rackspace und Selectel sowie andere WebDAV-Dienste, mit Ausnahme des Temporären-Speichers, der nur im Bereich Datensicherung verfügbar ist).
4. Geben Sie das Zeitintervall für die Sicherungserstellung an: Täglich, Wöchentlich oder Monatlich mit Angabe des benötigten Teils des Zeitraums.
5. Legen Sie die Maximale Anzahl der zu speichernden Sicherungskopien fest, indem Sie den gewünschten Wert (von 1 bis 30) aus der entsprechenden Dropdown-Liste auswählen.
6. Aktivieren Sie das Kontrollkästchen E-Mails in Sicherung einbeziehen, wenn Sie auch die E-Mails sichern möchten.
7. Klicken Sie auf die Schaltfläche SPEICHERN.

Sicherungen werden automatisch in der angegebenen Periodizität erstellt.

Weitere Informationen zu den Sicherungs- und Wiederherstellungsoptionen finden Sie in diesem Artikel.

Anpassung der Portal-Sicherheitseinstellungen

Vor dem Hinzufügen von Benutzern zum Portal müssen Portalzugriffsregeln eingerichtet werden. Dies ist über die Portalseite Portalzugriff möglich. Sie erreichen die Seite wie folgt: Einstellungen > Sicherheit > Portalzugriff.

Sie können den Portalzugriff einschränken, indem Sie die Passworteinstellungen festlegen: Anzahl der Passwortzeichen anpassen, Großbuchstaben erforderlich und Ziffern und Sonderzeichen in Benutzerpasswörtern.

Die Zwei-Faktor-Authentifizierung ist für die Portalanmeldung verfügbar. Sie kann über eine Anwendung – Authy oder Google Authenticator – konfiguriert werden; letzteres wird dringend empfohlen. Alternativ ist die Zwei-Faktor-Authentifizierung per SMS möglich. Hierzu benötigen Sie SMC, Clickatell oder Twillio (diese Optionen können Sie auf der Seite Drittanbieterdienste auf der Registerkarte Integration mit dem API-Schlüssel des jeweiligen Dienstes aktivieren).

Da einige Massenmail-Domänen bekannte Sicherheitsprobleme aufweisen, können Sie vertrauenswürdige E-Mail-Domänen für die Registrierung angeben. Aktivieren Sie dazu in den Einstellungen für vertrauenswürdige E-Mail-Domänen das Kontrollkästchen Benutzerdefinierte Domänen und geben Sie die Namen der vertrauenswürdigen Domänen in die angezeigten Felder ein.

Um eine Whitelist für die IP-Adressen vertrauenswürdiger Benutzer einzurichten, verwenden Sie die Funktion IP-Sicherheit.

ONLYOFFICE Workspace verfügt außerdem über die Funktion Sitzungsdauer. Aktivieren Sie diese Funktion, um die Sitzungsdauer für jeden Benutzer festzulegen, nach deren Ablauf die automatische Abmeldung erfolgt.

Weitere Informationen zur Steuerung des Portalzugriffs finden Sie in diesem Artikel.

LDAP zur Zugriffszentralisierung

Sie können Benutzeranmeldeinformationen von Ihrem LDAP-Server importieren. Dies geschieht über die Systemsteuerung im Bereich Portaleinstellungen auf der Seite LDAP.

Aktivieren Sie den Schalter LDAP-Authentifizierung aktivieren und geben Sie anschließend die folgenden Daten ein:

• Ihre Serverinformationen (URL-Adresse),
• Portnummer für den Zugriff auf den LDAP-Server,
• Pfad zum Verzeichnis mit den zu importierenden Benutzerdaten (Benutzer-DN),
• Benutzerfilter (falls Sie nur bestimmte Benutzer aus diesem Verzeichnis importieren möchten) und den Wert des Login-Attributs.
  

Der Gruppenimport erfolgt auf die gleiche Weise wie der Benutzerimport von Ihrem LDAP-Server.

Sie können die LDAP-Serverdaten auch mit dem ONLYOFFICE-Portal synchronisieren, um sie in Benutzerprofilen korrekt anzuzeigen.

Weitere Informationen zum Importieren von Benutzern und Gruppen über den LDAP-Server finden Sie in diesem Artikel.

Nutzung eines privaten SMTP-Servers

Im ONLYOFFICE Workspace ist der ONLYOFFICE SMTP-Server der Standardserver für Benutzerbenachrichtigungen (z. B. über Portal- oder Community-Updates, Dokumentzugriffsberechtigungen oder Projektänderungen). Für mehr Sicherheit empfehlen wir die Verwendung eines eigenen SMTP-Servers, damit Ihre Nachrichten nicht über Drittanbieterdienste laufen.

Befolgen Sie dazu die folgenden Anweisungen:

1. Öffnen Sie das Modul Einstellungen und öffnen Sie dann im Abschnitt Integration die Seite SMTP-Einstellungen.
2. Geben Sie die SMTP-Serverdomäne und den Port an.
3. Geben Sie die Anmeldedaten an.
4. Geben Sie den Absendernamen und die E-Mail-Adresse der Empfänger an.
5. OPTIONAL. Aktivieren Sie zur Erhöhung der Sicherheit das Kontrollkästchen SSL aktivieren, sofern Ihr Server dies unterstützt.
   

Versuchen Sie nach dem Einrichten der SMTP-Servereinstellungen, eine Test-E-Mail zu senden, indem Sie auf die Schaltfläche Test-E-Mail senden klicken. Wenn die E-Mail erfolgreich zugestellt wurde, klicken Sie auf die Schaltfläche Speichern.

Weitere Informationen zur Einrichtung des SMTP-Servers finden Sie in diesem Artikel.

Überwachung von Benutzeranmeldungen und anderen Aktionen

Mit dem ONLYOFFICE Workspace können Sie Benutzeraktionen und Anmeldungen einfach verfolgen. Sie können die Liste der Benutzeraktionen und Anmeldungen über die Systemsteuerung einsehen.

Die Anmeldeinformationen werden auf der Seite Anmeldeverlauf gespeichert:

Um die detaillierten Statistiken für das letzte Halbjahr anzuzeigen, klicken Sie auf die Schaltfläche Bericht herunterladen und öffnen. Der Bericht wird in einer XLSX-Tabelle (LoginHistory_ReportStartDate-EndDate.xlsx) geöffnet.

Der Anmeldeverlaufsbericht enthält folgende Details: IP-Adresse des Benutzers, Browser und Plattform, die zum Zeitpunkt des registrierten Ereignisses verwendet wurden, Datum und Uhrzeit des Ereignisses, Name des Benutzers, der versucht hat, sich an-/abzumelden, Portal-Seite, auf der die Aktion ausgeführt wurde, spezifische Aktion (z. B. Anmeldung fehlgeschlagen. Zugehöriges Social-Media-Konto nicht gefunden).

Der Aktionsverlauf wird auf der Seite Audit-Trail gespeichert:

Um die detaillierten Statistiken für das letzte Halbjahr anzuzeigen, klicken Sie auf die Schaltfläche Bericht herunterladen und öffnen. Der Bericht wird in einer XLSX-Tabelle (AuditTrail_ReportStartDate-EndDate.xlsx) geöffnet.

Der Audit-Trail-Bericht enthält folgende Details: IP-Adresse des Benutzers, Browser und Plattform, die zum Zeitpunkt des registrierten Ereignisses verwendet wurden, Datum und Uhrzeit des Ereignisses, Name des Benutzers, der die Aktion ausgeführt hat, Portalseite, auf der die Aktion ausgeführt wurde, allgemeiner Aktionstyp (z. B. Herunterladen, Anhängen, Zugriff aktualisieren), spezifische Aktion (z. B. Projects [Product development and promotion]. Tasks [Distribute coupons]. Status Updated: Closed ), Produkt und Modul, auf das sich die geänderte Entität bezieht.

Es ist auch möglich, die Speicherdauer für sowohl den Anmeldeverlauf als auch den Prüfpfad auf den entsprechenden Seiten.

Root-Zugriff deaktivieren

Um Datenlecks zu vermeiden, ist es besser, die Anmeldung als Root zu untersagen, da der Root-Benutzer vollen Zugriff auf alle Daten des Systems hat. Dies kann über das Server-Terminal erfolgen, indem die Root-Anmeldeberechtigung auf Nein gesetzt wird.

Schließen aller unnötigen Ports

Sie sollten nur die Ports offen halten, die Sie für die Funktion des Portals benötigen, da zusätzliche offene Ports zu Datenlecks führen können. Die Liste der für die Funktion von ONLYOFFICE Workspace erforderlichen Ports finden Sie hier.

Parameter zum Speichern von Dateiversionen anpassen

Aus Datenschutzgründen können Sie die Dateiversionierung im Bereich Einstellungen des Dokumentenmoduls anpassen, falls einige Benutzer eine schlechte Internetverbindung haben. Sie können alle Zwischenversionen beibehalten und automatisch Kopien der aktualisierten Dateien erstellen oder die vorhandenen Dateien nach der Anwendung der Änderungen aktualisieren. Weitere Informationen finden Sie hier.

Einrichten von Dokumentberechtigungen und Portalzugriffsrechten

Geben Sie den Zugriff auf Dokumente nur autorisierten Mitgliedern bestimmter Arbeitsgruppen. Sie können die Zugriffsebene anpassen, indem Sie neben dem gewünschten Dokument auf die Schaltfläche Teilen klicken. Im geöffneten Fenster können Sie Benutzer hinzufügen und deren Zugriffsebene festlegen, einschließlich:

• Schreibgeschützt,
• Ausfüllen von Formularen,
• Benutzerdefinierter Filter,
• Kommentare,
• Review,
• Voller Zugriff.

Entwickler können die Berechtigungsstufen für Dokumente auch separat und detaillierter einrichten: Zugriff auf den Dokumentverlauf, das Kopieren von Inhalten, den Download von Dokumenten usw. verbieten. Weitere Informationen zu den Konfigurationsparametern für den Dokumentzugriff finden Sie hier.

Außerdem können Sie die Portalzugriffsrechte festlegen. Sie können den Zugriff auf bestimmte Module für verschiedene Benutzer und Gruppen über das Modul Einstellungen einschränken. Öffnen Sie dazu die Seite Zugriffsrechte im Bereich Sicherheit. Dort können Sie Administratoren anpassen und deren Zugriffsrechte ändern. Weiter unten auf dieser Seite können Sie außerdem den Zugriff auf bestimmte Module gewähren oder verweigern.

Private Räume für sicheres Arbeiten mit Dokumenten

In ONLYOFFICE kann jeder Nutzer private Räume nutzen, um einen sicheren Arbeitsbereich für die Arbeit mit Dokumenten zu erstellen. Der Private Raum ist ein Bereich in Dokumente. Die Office-Dateien im Format .docx, .xlsx und .pptx in einem privaten Raum werden mit dem Verschlüsselungsalgorithmus AES-256 verschlüsselt.

Um mit privaten Räumen zu arbeiten,

1. aktivieren Sie die Funktion im Systemsteuerung,
2. laden Sie den Desktop-Editor herunter und verbinden Sie ihn auf der Anwendungs-Hauptseite mit der Cloud.

Sie können in Ihrem privaten Raum im Portal arbeiten, indem Sie den entsprechenden Bereich im Modul Dokumente verwenden. Sie können Dokumente aus Ihrem privaten Raum wie gewohnt im Portal freigeben.

Schutz durch Datenverschlüsselung

ONLYOFFICE verfügt über eine Datenverschlüsselungsfunktion, die in der Serverversion über die Systemsteuerung verwaltet werden kann.

Die Verschlüsselung ermöglicht die Konvertierung von Daten für eine vertrauliche und sichere Speicherung. Die ONLYOFFICE-Verschlüsselung basiert auf der Verschlüsselung „Encrypt-then-MAC“ (AES-256-CBC + HMAC-SHA256) des gesamten Datenbestands. Sie entspricht dem internationalen Datenverschlüsselungsstandard AES-256.

Um das Portal für die Verschlüsselung vorzubereiten, müssen Sie Folgendes tun:

1. Melden Sie sich in Ihrem Portal an und klicken Sie auf der Startseite auf das Symbol Systemsteuerung.
   Alternativ können Sie in den Einstellungen des Portals den Link Systemsteuerung im linken Bereich auswählen.
2. Wechseln Sie zum Bereich Sicherung und Daten sichern.
3. Deaktivieren Sie die Funktion Automatische Datensicherung.
4. Wählen Sie die Option Lokaler Speicher für sowohl Speicher für statische Daten verbinden als auch Speicher als CDN verbinden.
5. Stellen Sie sicher, dass auf Ihrer Festplatte genügend Speicherplatz vorhanden ist.

Nachdem die Vorbereitungen abgeschlossen sind, können Sie mit dem nächsten Schritt fortfahren.

Um den Speicher zu verschlüsseln, gehen Sie wie folgt vor:

1. Wechseln Sie in der Systemsteuerung zum Bereich Speicher.
2. Aktivieren Sie das Kontrollkästchen Benutzer benachrichtigen, dass das Portal nicht verfügbar sein wird, um alle aktiven Benutzer per E-Mail zu benachrichtigen, wenn der Verschlüsselungsvorgang beginnt.
   Nach erfolgreichem Abschluss des Verschlüsselungsvorgangs erhalten alle aktiven Benutzer ebenfalls E-Mail-Benachrichtigungen. Tritt während des Verschlüsselungsvorgangs ein Fehler auf, erhalten alle Administratoren (unabhängig von der Option „Benutzer benachrichtigen“) eine E-Mail-Benachrichtigung über den fehlgeschlagenen Verschlüsselungsvorgang.
3. Klicken Sie auf die Schaltfläche Speicher verschlüsseln und anschließend auf OK, um den Verschlüsselungsprozess zu starten.
   Bei aktivierter Verschlüsselung enthält eine neu erstellte Sicherungskopie des Datenarchivs die entschlüsselten Dateien. Beim Wiederherstellen dieser Kopie werden die Dateien auf der Festplatte wieder verschlüsselt.

Die Dauer des Vorgangs hängt vom Datenvolumen ab. Während der Verschlüsselung sind alle Portale nicht erreichbar. Sobald die Verschlüsselung abgeschlossen ist, stehen die Portaldaten wieder zur Verfügung.

Um den Speicher zu entschlüsseln, gehen Sie wie folgt vor:

1. Wechseln Sie in der Systemsteuerung zum Bereich Speicher.
2. Aktivieren Sie das Kontrollkästchen Benutzer benachrichtigen, dass das Portal nicht verfügbar sein wird, um alle aktiven Benutzer per E-Mail zu benachrichtigen, wenn der Entschlüsselungsprozess beginnt.
   Nach erfolgreichem Abschluss des Entschlüsselungsprozesses erhalten alle aktiven Benutzer ebenfalls E-Mail-Benachrichtigungen. Tritt während des Entschlüsselungsprozesses ein Fehler auf, erhalten alle Administratoren (unabhängig von der Option Benutzer benachrichtigen) eine E-Mail-Benachrichtigung über den fehlgeschlagenen Entschlüsselungsprozess.
3. Klicken Sie auf die Schaltfläche Speicher entschlüsseln und anschließend auf OK, um den Entschlüsselungsprozess zu starten.

Die Dauer des Vorgangs hängt vom Datenvolumen ab. Während der Verschlüsselung sind alle Portale nicht erreichbar. Sobald die Verschlüsselung abgeschlossen ist, stehen die Portaldaten wieder zur Verfügung.