ONLYOFFICE bietet viele Möglichkeiten, um sicherzustellen, dass Ihr Portal ordnungsgemäß geschützt ist. In dieser Anleitung werden alle Funktionen und Tools vorgestellt, die die Sicherheitsstufe eines Portals, sensibler Daten und die Arbeit in der Cloud und in Desktop-Editoren verbessern können.

Das SSL-Zertifikat ist ein digitales Zertifikat, das die Identität einer Website authentifiziert und eine verschlüsselte Verbindung ermöglicht. Über die Systemsteuerung können Sie ein SSL-Zertifikat generieren oder ein Zertifikat eines Drittanbieters hochladen.

Zertifikatserstellung

Der Dienst Let’s encrypt wird verwendet, um CA-signierte Zertifikate bereitzustellen. Um ein neues Zertifikat zu generieren:

1. Öffnen Sie die Seite HTTPS im Abschnitt COMMON SETTINGS (ALLGEMEINE EINSTELLUNGEN) in der linken Seitenleiste.
2. Klicken Sie auf die Schaltfläche GENERATE AND APPLY (GENERIEREN UND ANWENDEN). Ein Pop-Up-Meldungsfeld wird angezeigt, das Sie darüber informiert, dass das Zertifikat und der private Schlüssel erfolgreich generiert wurden.

Systemsteuerung und Portal werden neu gestartet und sind während dieses Vorgangs nicht verfügbar. Es kann bis zu 5 Minuten dauern. Sobald der Zertifikatsinstallationsprozess abgeschlossen ist, ist Ihr Portal über HTTPS verfügbar.

Zertifikat hochladen

Um ein Zertifikat eines Drittanbieters hochzuladen (z. B. Amazon oder GoDaddy):

1. Öffnen Sie die Seite HTTPS im Abschnitt COMMON SETTINGS (ALLGEMEINE EINSTELLUNGEN) in der linken Seitenleiste.
2. Klicken Sie neben dem Feld CRT certificate (CRT-Zertifikat) auf die Schaltfläche Plus und wählen Sie Ihr .crt-Zertifikat aus, um es hochzuladen.
3. Klicken Sie auf die Schaltfläche Plus neben dem Feld HTTPS key (HTTPS-Schlüssel) und wählen Sie Ihren privaten Schlüssel .key aus, um ihn hochzuladen.
   Stellen Sie vor dem Hochladen sicher, dass der private Schlüssel nicht verschlüsselt ist. Wenn Sie eine passwortgeschützte .key-Datei haben, müssen Sie sie zuerst entschlüsseln.
4. Nachdem die Dateien .crt und .key hochgeladen wurden, klicken Sie unten auf der Seite auf die Schaltfläche APPLY (ANWENDEN).

Danach werden Ihre Systemsteuerung und Ihr Portal neu gestartet und sind während dieses Vorgangs nicht verfügbar. Es kann bis zu 5 Minuten dauern. Sobald der Zertifikatsinstallationsprozess abgeschlossen ist, ist Ihr Portal über HTTPS verfügbar. Der Domainname, für den Ihr Zertifikat ausgestellt wurde, wird jetzt im Abschnitt Generated on domain (Auf der Domain generiert) der Seite HTTPS in der Systemsteuerung angezeigt.

Sobald Sie ein Zertifikat generiert oder eines gekauft und hochgeladen haben, können Sie Ihre Sicherheitsstufe mit dem SSL Labs-Dienst oder einem anderen ähnlichen Dienst überprüfen. Ihre Sicherheitsstufe darf nicht niedriger als A sein.

Um mehr über den Wechsel zu HTTPS zu erfahren, lesen Sie bitte diesen Artikel.

Die automatische Sicherung kann in der Systemsteuerung aktiviert werden. Es kann auch eine gute Entscheidung sein, von Zeit zu Zeit Kopien des Portals über Dienste von Drittanbietern anzufertigen.

Um die automatische Sicherung zu aktivieren:

1. Wechseln Sie zur Backup-Seite im Abschnitt COMMON SETTINGS (ALLGEMEINE EINSTELLUNGEN) in der linken Seitenleiste und suchen Sie den Abschnitt Automatic backup (Automatische Sicherung).
2. Klicken Sie auf den Schalter Disabled (Deaktiviert), um die Funktion zu aktivieren,
   
3. Wählen Sie den erforderlichen Speicher für die Sicherungsdateien aus (die verfügbaren Optionen sind Amazon AWS S3, Google, Rackspace und Selectel Cloud-Speicherdienste oder andere WebDAV-Dienste, mit Ausnahme des temporären Speichers, die nur im Abschnitt Data Backup (Datensicherung) verfügbar ist).
4. Geben Sie das Zeitintervall an, in dem Backups erstellt werden sollen: Every day (Täglich), Every week (Jede Woche) oder Every month (Jeden Monat) mit Angabe des erforderlichen Teils der Zeitraum.
5. Stellen Sie The maximal number of backup copies to be stored (Die maximale Anzahl der zu speichernden Sicherungskopien) ein, indem Sie den erforderlichen Wert (von 1 bis 30) aus der entsprechenden Drop-Down-Liste auswählen.
6. Aktivieren Sie das Kontrollkästchen Include Mail in backup (E-Mails in die Sicherung einbeziehen), wenn Sie auch die E-Mail-Daten sichern möchten.
7. Klicken Sie auf die Schaltfläche SAVE (SPEICHERN).

Backups werden automatisch mit der angegebenen Häufigkeit erstellt.

Um mehr über die Sicherungs- und Wiederherstellungsoptionen zu erfahren, lesen Sie bitte diesen Artikel.

Portalzugriffsregeln müssen eingerichtet werden, bevor Benutzer zum Portal hinzugefügt werden. Dies kann über die Seite Portal Access (Portalzugang) des Portals erfolgen. Sie erreichen die Seite wie folgt: Settings (Einstellungen) > Security (Sicherheit) > Portal access (Portalzugang).

Sie können den Zugang zum Portal einschränken, indem Sie die Passworteinstellungen festlegen: Adjusting number of password characters (Anzahl der Kennwortzeichen anpassen), Requiring inclusion of capital letters (Erfordert die Einbeziehung von Großbuchstaben) und Digits and special characters (Ziffern und Sonderzeichen) in den Passwörtern der Benutzer.

Für die Portalanmeldung steht die Zwei-Faktor-Authentifizierung zur Verfügung. Es kann so eingestellt werden, dass eine Anwendung verwendet wird - Authy oder Google Authenticator, die zweite wird dringend empfohlen. Der andere Weg ist die 2FA per SMS. Um es zu verwenden, müssen Sie SMC, Clickatell oder Twillio verwenden (Sie können auf der Seite Dienste von Drittanbietern der Registerkarte Integration mithilfe des API-Schlüssels des entsprechenden Dienstes aktiviert werden).

Da einige der Massen-Mail-Domains bekannte Sicherheitsprobleme aufweisen, können Sie die vertrauenswürdigen E-Mail-Domains angeben, die für die Registrierung verwendet werden können. Um diese Funktion zu aktivieren, müssen Sie in den Einstellungen sicherer Mail-Domains das Kontrollkästchen Benutzerdefinierte Domains aktivieren und Namen für vertrauenswürdige Domains in die angezeigten Felder eingeben.

Verwenden Sie die Funktion IP-Sicherheit, um eine Whitelist für die IPs vertrauenswürdiger Benutzer einzurichten.

Das ONLYOFFICE Workspace verfügt auch über die Funktion Gültigkeitsdauer der Sitzung. Wenn Sie es aktivieren, können Sie die Sitzungsdauer für jeden Benutzer festlegen, nach der die automatische Abmeldung durchgeführt wird.

Um mehr darüber zu erfahren, wie Sie den Portalzugriff steuern, lesen Sie bitte diesen Artikel.

Sie können Benutzeranmeldeinformationen von Ihrem LDAP-Server importieren. Dies kann über die Systemsteuerung im Abschnitt Portaleinstellungen auf der Seite LDAP erfolgen.

Schalten Sie den Schalter LDAP-Authentifizierung aktivieren ein und geben Sie dann die folgenden Daten ein:

• Ihre Serverinformationen als URL-Adresse,
• Portnummer, die für den Zugriff auf den LDAP-Server verwendet wird,
• den Pfad zum Verzeichnis mit Benutzerdaten (Benutzer-DN), die Sie importieren möchten,
• den Benutzerfilter, wenn Sie nur bestimmte Benutzer aus diesem Verzeichnis importieren müssen, und den Wert des Anmeldeattributs.
  

Das Importieren von Gruppen erfolgt auf die gleiche Weise wie das Importieren von Benutzern von Ihrem LDAP-Server.

Sie können die LDAP-Serverdaten auch mit dem ONLYOFFICE-Portal synchronisieren, um sie in Benutzerprofilen korrekt sichtbar zu machen.

Um mehr über das Importieren von Benutzern und Gruppen mit LDAP-Server zu erfahren, lesen Sie bitte diesen Artikel.

Im ONLYOFFICE Workspace ist der Standardserver für Benutzerbenachrichtigungen (z. B. über Portal- oder Community-Updates, Dokumentzugriffsgewährung oder Projektänderungen) der ONLYOFFICE-SMTP-Server. Für eine höhere Sicherheit empfehlen wir, einen eigenen SMTP-Server zu verwenden, damit Ihre Nachrichten keine Dienste von Drittanbietern durchlaufen.

Befolgen Sie dazu die nachstehenden Anweisungen:

1. Öffnen Sie das Modul Einstellungen und dann im Abschnitt Integration die Seite SMTP-Einstellungen.
2. Geben Sie die Domäne und den Port des SMTP-Servers an.
3. Geben Sie die Anmeldedaten an.
4. Geben Sie den Absendernamen für Empfänger und die Absender-E-Mail-Adresse für Empfänger an.
5. OPTIONAL. Wenn Ihr Server dies unterstützt, aktivieren Sie für eine bessere Sicherheit das Kontrollkästchen SSL aktivieren.
   

Versuchen Sie nach dem Einrichten der SMTP-Servereinstellungen, eine Test-E-Mail zu senden, indem Sie auf die Schaltfläche Test-E-Mail senden klicken. Wenn der Brief erfolgreich zugestellt wurde, klicken Sie auf die Schaltfläche Speichern.

Um mehr über die Einrichtung des SMTP-Servers zu erfahren, lesen Sie bitte diesen Artikel.

Mit dem ONLYOFFICE Workspace können Sie Benutzeraktionen und Anmeldungen einfach nachverfolgen. Sie können die Liste der Benutzeraktionen und -anmeldungen über die Systemsteuerung anzeigen.

Die Anmeldeinformationen werden auf der Seite Anmeldehistorie gespeichert:

Um die detaillierten Statistiken für das letzte Halbjahr anzuzeigen, klicken Sie auf die Schaltfläche Bericht herunterladen und öffnen. Der Bericht wird in einer .xlsx-Tabelle geöffnet (LoginHistory_ReportStartDate-EndDate.xlsx).

Der Anmeldehistoriebericht enthält die folgenden Details: Benutzer-IP-Adresse, Browser und Plattform, die verwendet wurden, als das registrierte Ereignis auftrat, Datum und Uhrzeit des Ereignisses, Name des Benutzers, der versucht hat, sich anzumelden/abzumelden, Portal-Seite, auf der die Aktion ausgeführt wurde, spezifisch Aktion (z. B. Anmeldung fehlgeschlagen. Verbundenes Konto des sozialen Netzwerks ist nicht gefunden.).

Die Aktionshistorie wird auf der Seite Audit-Trail aufbewahrt:

Um die detaillierten Statistiken für das letzte Halbjahr anzuzeigen, klicken Sie auf die Schaltfläche Bericht herunterladen und öffnen. Der Bericht wird in einer .xlsx-Tabelle geöffnet (AuditTrail_ReportStartDate-EndDate.xlsx).

Der Audit-Trail-Bericht enthält die folgenden Details: IP-Adresse des Benutzers, Browser und Plattform, die verwendet wurden, als das registrierte Ereignis auftrat, Datum und Uhrzeit des Ereignisses, Name des Benutzers, der die Operation durchgeführt hat, Portal-Seite, auf der die Aktion ausgeführt wurde, allgemeiner Typ der Aktion (z. B. Herunterladen, Anhängen, Aktualisierung des Zugriffs), spezifische Aktion (z. B. Projekte [Produktentwicklung und -förderung]. Aufgaben [Gutscheine verteilen]. Status aktualisiert: Geschlossen), Produkt und Modul, auf die sich die geänderte Entität bezieht.

Es ist auch möglich, die Speicherdauer sowohl für die Anmeldehistorie als auch für den Audit-Trail auf den entsprechenden Seiten festzulegen.

Um Datenlecks zu vermeiden, ist es besser, die Anmeldung als Root zu verbieten, da der Root-Benutzer vollen Zugriff auf alle Daten des Systems hat. Dies kann über das Terminal des Servers erfolgen, indem die Root-Anmeldeberechtigung auf No (Nein) gesetzt wird.

Sie sollten nur die Ports offen halten, die Sie für das Funktionieren des Portals benötigen, da zusätzliche offene Ports die Ursache für Datenlecks sein können. Die Liste der notwendigen Ports für das Funktionieren von ONLYOFFICE Workspace ist hier.

Wenn einige Benutzer eine schlechte Internetverbindung haben, können Sie aus Datenschutzgründen die Dateiversionierung im Abschnitt Einstellungen des Moduls Dokumente anpassen. Es ist möglich, alle Zwischenversionen beizubehalten und automatisch Kopien der aktualisierten Dateien zu erstellen oder einfach die vorhandenen Dateien nach dem Anwenden von Änderungen zu aktualisieren. Weitere Informationen finden Sie hier.

Sie sollten Dokumente nur autorisierten Mitgliedern bestimmter Arbeitsgruppen zugänglich machen. Sie können die Zugriffsebene anpassen, indem Sie neben dem gewünschten Dokument auf die Schaltfläche Freigeben klicken. Im geöffneten Fenster können Sie Benutzer hinzufügen und ihre Zugriffsebene festlegen, einschließlich:

• Schreibgeschützt,
• Ausfüllen von Formularen,
• Benutzerdefinierter Filter,
• Kommentare,
• Review,
• Voller Zugriff.

Entwickler können die Dokumentberechtigungsebenen auch separat und detaillierter einrichten: Zugriff auf Dokumentverlauf verbieten, Inhalt kopieren, Dokument herunterladen usw. Weitere Informationen zu Zugriffsparametern für Konfigurationsdokumente finden Sie hier.

Es ist auch möglich, die Zugriffsrechte für das Portal festzulegen. Sie können den Zugriff auf bestimmte Module für verschiedene Benutzer und Gruppen einschränken, indem Sie das Modul Einstellungen verwenden. Sie müssen die Seite Zugriffsrechte im Abschnitt Sicherheit öffnen. Dort können Sie Administratoren anpassen und deren Zugriffsrechte ändern. Außerdem können Sie den Zugriff auf bestimmte Module weiter unten auf dieser Seite gewähren oder verweigern.

In ONLYOFFICE kann jeder Benutzer private Räume nutzen, um einen sicheren Arbeitsbereich für die Arbeit mit Dokumenten zu schaffen. Der Privatraum ist ein Abschnitt in Dokumente. Die .docx-, .xlsx- und .pptx-Office-Dateien in einem privaten Raum werden mit dem Verschlüsselungsalgorithmus AES-256 verschlüsselt.

Um mit privaten Räumen zu arbeiten:

1. Aktivieren Sie die Funktion in der Systemsteuerung,
2. Laden Sie den Desktop-Editor herunter und verbinden Sie ihn auf der Hauptseite der Anwendung mit der Cloud.

Sie können in Ihrem privaten Raum auf dem Portal arbeiten, indem Sie den entsprechenden Abschnitt im Modul Dokumente verwenden. Sie können Dokumente aus Ihrem privaten Raum auf die gleiche Weise freigeben, wie Sie normalerweise Dokumente im Portal freigeben.

ONLYOFFICE verfügt über eine Funktion zur Datenverschlüsselung, die über die Systemsteuerung in der Serverversion verwaltet werden kann.

Die Verschlüsselung ermöglicht die Konvertierung von Daten für eine vertrauliche und sichere Speicherung. Die ONLYOFFICE-Verschlüsselung basiert auf einem Encrypt-then-MAC-Verschlüsselungstyp (AES-256-CBC + HMAC-SHA256) des gesamten Datenkörpers. Es entspricht dem internationalen Datenverschlüsselungsstandard AES-256.

Um das Portal für die Verschlüsselung vorzubereiten:

1. Melden Sie sich bei Ihrem Portal an und klicken Sie auf der Startseite auf das Symbol Systemsteuerung
   Alternativ können Sie zum Portal Einstellungen gehen und den Link Systemsteuerung auf der linken Seite auswählen.
2. Wechseln Sie zum Abschnitt Backup und sichern Sie die Daten.
3. Deaktivieren Sie die Funktion Automatische Datensicherung.
4. Wählen Sie die Option Lokaler Speicher für Speicher für statistische Daten verwenden und Speicher als CDN verbinden.
5. Stellen Sie sicher, dass genügend Speicherplatz auf Ihrer Festplatte vorhanden ist.

Nachdem die Vorbereitungen abgeschlossen sind, können Sie mit dem nächsten Schritt fortfahren.

Um den Speicher zu verschlüsseln, müssen Sie:

1. in der Systemsteuerung zum Abschnitt Speicher wechseln.
2. das Kontrollkästchen Benachrichtigen Sie die Anwender, dass das Portal nicht verfügbar sein wird aktivieren, um alle aktiven Benutzer per E-Mail zu benachrichtigen, wenn der Verschlüsselungsprozess beginnt.
   Nach erfolgreichem Abschluss des Verschlüsselungsprozesses erhalten alle aktiven Benutzer auch E-Mail-Benachrichtigungen. Wenn während des Verschlüsselungsvorgangs ein Fehler auftritt, erhalten alle Administratoren (unabhängig von der Option Benutzer benachrichtigen) E-Mail-Benachrichtigungen über den fehlgeschlagenen Verschlüsselungsvorgang.
3. auf die Schaltfläche Speicher verschlüsseln und dann OK klicken, um den Verschlüsselungsvorgang zu starten.
   Wenn die Verschlüsselung aktiviert ist, enthält eine neu erstellte Sicherungskopie des Datenarchivs entschlüsselte Dateien. Wenn eine solche Kopie wiederhergestellt wird, werden die Dateien auf der Festplatte erneut verschlüsselt.

Die Dauer des Vorgangs hängt von der Datenmenge ab. Alle Portale sind während des Verschlüsselungsvorgangs nicht verfügbar. Sobald die Verschlüsselung beendet ist, stehen die Portaldaten für die Arbeit zur Verfügung.

Um den Speicher zu entschlüsseln, müssen Sie:

1. in der Systemsteuerung zum Abschnitt Speicher wechseln.
2. das Kontrollkästchen Benachrichtigen Sie die Anwender, dass das Portal nicht verfügbar sein wird aktivieren, um alle aktiven Benutzer per E-Mail zu benachrichtigen, wenn der Entschlüsselungsprozess beginnt.
   Nach erfolgreichem Abschluss des Entschlüsselungsprozesses erhalten alle aktiven Benutzer auch E-Mail-Benachrichtigungen. Wenn während des Entschlüsselungsvorgangs ein Fehler auftritt, erhalten alle Administratoren (unabhängig von der Option Benutzer benachrichtigen) E-Mail-Benachrichtigungen über den fehlgeschlagenen Entschlüsselungsvorgang.
3. auf die Schaltfläche Speicher entschlüsseln und dann OK klicken, um den Entschlüsselungsprozess zu starten.

Die Dauer des Vorgangs hängt von der Datenmenge ab. Alle Portale sind während des Entschlüsselungsvorgangs nicht verfügbar. Sobald die Entschlüsselung beendet ist, stehen die Portaldaten für die Arbeit zur Verfügung.