Best Practice EMM-Profil

Beispielhafte Konfiguration eines EMM-Profils

Neu

Korrektur der Angaben zu "Maximale Zeit zum Sperren"

Letzte Anpassung: 10.2021

Die hier gezeigten Einstellungen sind Beispiele, die einen möglichst umfassenden Schutz bieten. Eine Anpassung an lokale Anforderungen ist unbedingt vorzunehmen !

Eine Anleitung, wie Securepoint Mobile Security mit Android Enterpride-Konten verbunden werden kann findet sich hier.

Einleitung

Android Enterprise-Profile (EMM) verhalten sich grundlegend anders als herkömmliche Android Profile. Die Geräte-Registrierung wird direkt an ein Profil gebunden.
Es muss zuerst ein Profil angelegt (und konfiguriert) werden, bevor ein Gerät registriert werden kann.
Es ist nicht mehr möglich ein Profil einer Rolle, einem Benutzer oder einem Tag zuzuordnen.

In Android Enterprise-Profilen könnn zahlreiche sicherheitsrelevante Einstellungen vorgenommen werden, so z.B.

Kamara deaktivieren
Mikrofon deaktivieren
USB-Dateiübertragung deaktivieren
ausgehende Anrufe deaktivieren
Bluetooth deaktivieren
Kontaktfreigabe deaktivieren
Tethering deaktivieren
sms deaktivieren
Netzwerk nur mit VPN ermöglichen
uvm.

Android Enterprise Profile werden unmittelbar angewendet und müssen nicht veröffentlicht werden !

Android Enterprise Profil

Allgemein

Allgemeine Einstellungen

Anzeige der verwendeten Plattform, des Profil-Namens und der zugeordneten Geräte.

Soll ein Android EMM-Profil neu angelegt werden, muss als Plattform Android Enterprise ausgewählt werden.

Grundeinstellungen

Die hier gezeigten Einstellungen sind Beispiele, die einen möglichst umfassenden Schutz bieten. Eine Anpassung an lokale Anforderungen ist unbedingt vorzunehmen !

Beschriftung	Werte	Beschreibung
Maximale Zeit zum Sperren	120	Das Gerät soll nach 2 Min Inaktivität gesperrt werden. Nur Werte, die unter 600 Sekunden liegen werden umgesetzt. Eingabe in Sekunden.
Verschlüsselung	Mit Passwort aktiviert	Erfordert ein Kennwort vor dem Start des Gerätes, um die Verschlüsselung aufzuheben. Die Verschlüsselung erfolgt auf Dateisystemebene und verhindert das Auslesen von Daten, bei physischem Zugriff auf ein gesperrtes Gerät (ausgeschaltet bzw. noch nicht gebootet). Es verhindert nicht das lesen von Daten eines entsperrten Gerätes. Die Aktivierung dieser Option deaktivert außerdem die Möglichkeit für einen Neustart des Gerätes im "abgesichertem Modus". Zusätzlich wird als Displaysperre eine Pin oder ein Passwort mit der Option "Sicherer Start" verlangt. Dadurch muss die Pin oder das Passwort vor dem Start des Gerätes eingegeben werden. Dadurch können keine Anrufe, Nachrichten oder Benachrichtigungen (einschließlich Weckrufen) empfangen werden, bevor das Gerät entsperrt und gestartet ist.
Modi in denen das Gerät an bleibt	✕Ignorieren	Der Akkulade-Modus soll keine Auswirkung darauf haben, ob das Gerät eingeschaltet bleibt.
Device Owner lockscreen info
Aktiviere die Sperrbildschirm-Informationen		Im Sperrbildschirm soll eine Information angezeigt werden.
Device Owner lockscreen info	Eigentum ttt-point GmbH. Support: 04131 - 2401-0	Die Gerätebesitzerinformationen, die auf dem Sperrbildschirm angezeigt werden sollen. Die maximale Nachrichtenlänge beträgt 4096 Zeichen.
Speichern

Compliance

Es können Regeln definiert werden, wann das Telefon bzw das Arbeitsprofil gesperrt und wann es gelöscht (in Werkszustand zurückgesetzt) wird. Der Anwender wird aufgefordert, die ausgewählte Richtlinie auf dem Gerät zu aktivierten. Andernfalls wird das Gerät / Arbeitsprofil geblockt bzw. auf die Werkseinstellungen zurückgesetzt / gelöscht.

Beschriftung	Werte	Beschreibung
Einstellungsname	passwordPolicies	Die Kennwortrichtlinien müssen auf dem Telefon angewendet werden.
Blockieren
Blockieren nach x Tagen	1	Anzahl der Tage, an denen die Richtlinie nicht konform ist, bevor das Gerät oder das Arbeitsprofil blockiert wird. Um den Zugriff sofort zu blockieren, wird der Wert auf 0 gesetzt.
Löschen
Werkeinstellungs-Reset-Schutz erhalten		Wenn aktiviert, wird der Werkeinstellungs-Reset-Schutz im Profil erhalten. Bei Diebstahl oder Verlust muss man sich erst in das Google-Konto einloggen, bevor sich das Gerät auf Werkseinstellungen zurücksetzen lässt. Diese Einstellung funktioniert nicht mit Arbeitsprofilen.
Löschen nach x Tagen	7	Anzahl der Tage, bevor das Gerät oder das Arbeitsprofil gelöscht wird, wenn die Richtlinie (hier: Passwortrichtlinien) auf dem Gerät nicht umgesetzt wurde. Löschen muss größer als sein als Blockieren.

Anwendungen

Apps auf Geräten, die über EMM verwaltet werden, werden innerhalb der Profile konfiguriert !

Das Menü Apps hat auf diese Profile / Geräte keine Auswirkung!

Anwendung hinzufügen

Anwendung auswählen Auswahl der gewünschten Apps Für unser Beispiel: Nextcloud

Erscheint neben dem App-Logo entsprechender Hinweis, können bestimmte Werte an die App übergeben werden
Siehe Manage configuration template

Übernahme der App mit Auswählen

Beschriftung

Vorgeschlagener Wert

Beschreibung

Paketnamen

com.nextcloud.client

Der Paketname der App, die zuvor ausgewählt wurde

Installationstyp

Vorinstallation

Die App wird automatisch auf dem Gerät installiert

Vorinstallation	Die App wird automatisch installiert, kann aber vom Benutzer entfernt werden.
Installation erzwingen	Die App wird automatisch installiert und kann vom Benutzer nicht entfernt werden.
Blockieren	Die App ist blockiert und kann nicht installiert werden. Wenn die App im Rahmen einer früheren Richtlinie installiert wurde, wird sie deinstalliert.
Verfügbar	Die App ist zur Installation verfügbar.
Für die Einrichtung erforderlich	Die App wird automatisch installiert und kann vom Benutzer nicht entfernt werden und verhindert, dass das Setup bis zum Abschluss der Installation abgeschlossen wird.
Kiosk	Die App wird automatisch im Kiosk-Modus installiert: Sie wird als bevorzugte Home-Intention festgelegt und für den Lock-Task-Modus auf die weiße Liste gesetzt. Die Geräteeinrichtung wird erst nach der Installation der App abgeschlossen. Nach der Installation können Benutzer die App nicht mehr entfernen. Sie können diesen installType nur für eine Anwendung pro Richtlinie festlegen. Wenn dies in der Richtlinie vorhanden ist, wird die Statusleiste automatisch deaktiviert.

Standardberechtigungsrichtlinie

Prompt

Werden neue, nicht explizit gewährte oder verweigerte Berechtigungen benötigt, fragt das System nach einer Berechtigung.

Berechtigungen

Berechtigung hinzufügen

Einzelne Berechtigungen können anders als die zuvor konfigurierte Standardberechtigungsrichtlinie eingestellt werden und überschreiben deren Werte

Permission

/ Erweitern oder minimieren einer Berechtigung
Löschen der Berechtigung

Berechtigung

android.permission.
WRITE_EXTERNAL_STORAGE

Die App braucht zugriff auf den Speicher (gemeint ist Interner Speicher und eine zusätzliche SD-Karte)

Regel

Gewähren

Die Richtlinie zum Erteilen der Berechtigung.

Berechtigung

android.permission.INTERNET

Die App soll Zugriff auf vorhandene Internetverbindungen erhalten.

Regel

Gewähren

Die Richtlinie zum Erteilen der Berechtigung.

Berechtigung

com.nextcloud.client.
permission.C2D_MASSAGE

Die App soll Push-Nachrichten über Firebase Cloud Messaging (ehemals Goocle Cloud Massage) erhalten können (Cloud to Device → C2D)

Regel

Gewähren

Die Richtlinie zum Erteilen der Berechtigung.

Hier sind ggf. weitere Berechtigungen zu gewähren oder zu verweigern.
Zu beachten: Im Feld »Genehmigung« erscheinen jeweils nur die Berechtigungen, die die jeweilige App fordert und in der Regel auch für einen einwandfreien Betrieb benötigt. Es empfiehlt sich hier unbedingt notwendige Berechtigungen vorab zu gewähren und alle weiteren Berechtigungen nur auf Nachfrage (Prompt) zuzulassen. Die Option »verweigern« sollte nur bei ausgewählten Berechtigungen verwendet werden, bei denen eindeutig ist, daß die gewünschte Funktion der App dadurch nicht beeinträchtigt wird.

Verwaltete Konfigurationsvorlage

Manage configuration template

Ruft eine Vorlage des App-Herstellers auf, in der je nach dem was der Hersteller vorgibt, verschiedene Parameter an die App übergeben werden können. Das können z.B. in E-Mailprogrammen feste Parameter und Variablen sein:

Beispiel für Gmail-App u.a.:
Email Address	$emailaddress$	Variable
Hostname or Host	m.google.com<vr> Beispiel für gmail-Accounts	Fester Parameter
Username	$emailaddress$	Variable (bei Gmail-Accounts entspricht der Username der E-Mailadresse.) Für andere Accounts kann hier die Variable $username$ verwendet werden.

Für eine korrekte Funktion muss die Schaltfläche Platzhalter-Variablen ersetzen (s.u.) aktiviert werden!

Die Werte werden aus den Benutzereinstellungen desjenigen Benutzers ausgelesen, dem das jeweilige Gerät zugeordnet ist

Variablenname in Profilen *	Beschreibung	Beispiel
$username$ alternative Namen: %device_user% %device_user_username%	Benutzername	mmueller
$emailaddress$ alternativer Name: %device_email%	E-Mail Adresse	mmueller@ttt-point.de
$firstname$ alternativer Name: %device_user_firstname%	Vorname	Markus
$lastname$ alternativer Name: %device_user_lastname%	Nachname	Mueller
$name$ alternativer Name: %device_user_name%	Vorname und Nachname	Markus Mueller
$variable1$ alternativer Name: %variable1%	benutzerdefinierter Wert	mmueller/ttt-point.local
$variable2$ alternativer Name: %variable2%	benutzerdefinierter Wert
$variable3$ alternativer Name: %variable3%	benutzerdefinierter Wert
$device_name$ alternativer Name: %device_name%	Nur für iOS: Der auf dem Telefon vergebene Name (siehe: Einstellungen → Allgemein → Info → Name) Diese Variable lässt sich auch in iOS-Profilen im Abschnitt Gemeinsam genutztes Gerät verwenden	Handy von Markus Müller
$device_alias$ alternativer Name: %device_alias%	Nur für iOS: Der im Portal vergebene Alias. Ist der Alias nicht vergeben, wird der device_name angezeigt. Diese Variable lässt sich auch in iOS-Profilen im Abschnitt Gemeinsam genutztes Gerät verwenden	Tablet Lager1
Festlegung der Werte in der Benutzerverwaltung im Portal unter: Allgemein Benutzer bzw. für den Geräte-Alias in der Gerätekachel Um Eingabefehler zu vermeiden sind aus Kompatibilitätsgründen verschiedene Variablennamen möglich. → Eine Unterscheidung zwischen Android und iOS ist nicht mehr erforderlich.

Die hier gezeigten Einstellungen sind Beispiele. Eine Anpassung an lokale Anforderungen ist unbedingt vorzunehmen !

Benutzer	Vorgeschlagener Wert	Beschreibung
Platzhalter-Variablen ersetzen	(Default)	Bei Aktivierung wird der Inhalt der Variablen $username$ und $emailaddress$ aus den Benutzereinstellungen desjenigen Benutzers ausgelesen, dem das jeweilige Gerät zugeordnet ist. Es wird eine Klickbox eingeblendet, in der alle Benutzer ausgewählt werden müssen, auf die diese Funktion angewendet werden soll. Es wird für jeden Nutzer ein automatisch generiertes Profil angelegt, es lässt sich aber nur die Profilvorlage bearbeiten. Wird die Schaltfläche wieder deaktiviert, werden die generierten Benutzer-Profile zu bearbeitbaren Profilen.
Automatische App-Updates	Immer	Die auf einem Gerät erzwungene Richtlinie zur automatischen Aktualisierung von Apps in Abhängigkeit der Netzwerkverbindung: Auch bei Geräten, die selten oder nie in ein WLAN zurückkehren, sollen die Apps aktualisiert werden. Das Datenvolumen wirkt sich bei üblichen Volumentarifen in der Regel kaum aus.
Standardberechtigungsrichtlinie	Prompt	Neue bzw. nicht konfigurierte Berechtigungen werden durch Abfrage genehmigt oder verweigert.
Deaktivieren Sie die Installation von Apps		Bei Aktivierung sind keinerlei Installationen oder Updates möglich. Auch nicht über das Portal!
Deaktivieren Sie die Deinstallation von Apps		Es sollen keine Apps durch den Benutzer deinstalliert werden können.
App-Überprüfung erzwingen		Aktiviert Google Play Protect. Damit wird überprüft, daß die App sich im ursprünglichen Zustand befindet und im Vergleich zu der Version im App-Store nicht manipuliert wurde.
Play-Store-Modus	Whitelist	Nur Apps, die unter Anwendungen in der Richtlinie enthalten sind, sind verfügbar. Jede App, die nicht in der Richtlinie enthalten ist, wird automatisch vom Gerät deinstalliert.

Speichern

Netzwerke

Benutzer	Default-Einstellung	Beschreibung
VPN immer aktiv
Aktiviere "VPN immer aktiv"		Baut immer ein VPN auf. ermöglicht weitere Einstellungen
Paketname	de.securepoint.ms.agent	Der Paketname der VPN-App.
Sperre aktiviert		Es wird jede Netzwerkverbindung verhindert, auch wenn das VPN nicht verbunden sein sollte.
Offene Netzwerkkonfiguration
Netzwerkkonfigurationen	+ Konfiguration hinzufügen	Zugangsprofile für WiFi-Netzwerke konfigurieren
Netzwerk
Name	ttt-point Zentrale	Der Name der Konfiguration
Typ	WiFi	Der Konfigurationstyp ist vorgegeben Wifi
SSID	ttt-point-zentrale-WLAN	Die SSID des Netzwerks
Sicherheit	WPA-PSK	Hohe Sicherheitsstufe
Passwort	••••••••••	"Auch wenn es trivial klingt: WLAN.MeineFirma.123 oder Standort.Hausnummer sind keine sicheren Kennwörter! Ebenfalls zählen 1234 und abcd oder qwertz nicht zu wirklich sicheren Kennwörtern!"
Versteckte SSID		Legt fest ob die SSID versteckt ist.
Automatisch verbinden		Das Gerät soll sich automatisch mit dem Netzwerk verbinden.

Statusmeldung

Benutzer	Default-Einstellung	Beschreibung
Aktivieren Sie die Statusmeldung		Nachdem Sie dies aktiviert haben, können Sie die Konfiguration der Statusberichte festlegen
Hardware Status		Gibt an, ob die Hardware-Statusmeldung aktiviert ist.
Anwendungsberichte		Gibt an, ob App-Berichte aktiviert sind.
Softwareinfo		Gibt an, ob die Software-Info-Berichterstattung aktiviert ist.
Speicherinfo		Gibt an, ob die Speicherberichterstattung aktiviert ist.
Anzeigen Informationen		Gibt an, ob die Anzeige von Berichten aktiviert ist.
Netzwerk Information		Gibt an, ob die Netzwerkinfomeldung aktiviert ist.
Geräteeinstellungen		Gibt an, ob die Berichterstellung für Geräteeinstellungen aktiviert ist.
Energieverwaltungsereignisse		Gibt an, ob die Energieverwaltungsereignisberichterstattung aktiviert ist.

Einschränkungen

Einschränkungen innerhalb eines Enterprise-Pofils

Benutzer

Eingabe

Beschreibung

Support-Meldungen

Kurze Supportnachricht

Deaktiviert durch die IT-Abteilung der ttt-Point AG

Eine Meldung, die dem Benutzer auf dem Einstellungsbildschirm angezeigt wird, wenn die Funktionalität vom Administrator deaktiviert wurde. Die maximale Nachrichtenlänge beträgt 4096 Zeichen.

Kurze Supportnachricht. Wechsel zur langen Supportnachricht mit Weitere Informationen

Lange Supportnachricht

Deaktiviert durch die IT-Abteilung der ttt-Point AG aufgrund von allgemeinen Sicherheitsvorkehrungen. Bei Rückfragen wenden Sie sich bitte an den Support unter: 04131-2401-0

Eine Nachricht, die dem Benutzer angezeigt wird. Die maximale Nachrichtenlänge beträgt 4096 Zeichen. Abb. s.o.

Zulässige Eingabemethoden

Falls vorhanden, sind nur die Eingabemethoden zulässig, die von Paketen in dieser Liste bereitgestellt werden. Wenn dieses Feld vorhanden ist, die Liste jedoch leer ist, sind nur Systemeingabemethoden zulässig.

Ortungsmodus

Hohe Genauigkeit

Nicht spezifiziert	Der aktuelle Gerätewert wird nicht geändert. Der Benutzer kann den Wert ändern, es sei denn, der Benutzer kann nicht auf Geräteeinstellungen zugreifen.
Hohe Genauigkeit	Alle Standorterkennungsmethoden sind aktiviert, einschließlich GPS, Netzwerke und andere Sensoren.
Nur Sensoren	Nur GPS und andere Sensoren sind aktiviert.
Batterieschonung	Nur die Standortinformation des Netzwerk-Anbieters ist aktiviert.
Off	Die Standorterkennung ist deaktiviert.

Deaktivieren Sie die Bildschirmaufnahme

Um Datenschutz zu gewährleisten, sollen keine Screenshots angefertigt werden können. Dazu gehört auch das Blockieren von Screensharing-Anwendungen und ähnlichen Anwendungen (z.B. Google Assistant), die die Screenshot-Funktionen des Systems nutzen.

Kamera deaktivieren

Per Default soll die Kamera deaktiviert sein.

Deaktivieren Sie den Werksreset

Das Zurücksetzen auf Werkseinstellungen soll deaktiviert sein.

Deaktivieren Sie die Bereitstellung physischer Medien

Das Bereitstellen externer physischer Medien durch den Benutzer soll deaktiviert sein.

Deaktivieren Sie das Ändern von Konten

Das Hinzufügen oder Entfernen von Konten soll deaktiviert sein.
Wird dieser Punkt nicht aktiviert, kann der Benutzer ein weiteres Google-Konto erstellen, sich damit im Playstore anmelden und beliebige Software installieren.

Deaktivieren Sie den abgesicherten Modus

Im "abgesicherten Modus" werden Apps von Drittanbietern deaktiviert. Dadurch sind ungewollte Einstellungen möglich! (Streng genommen ist diese Einstellung nicht notwendig, weil sie bereits durch die Einstellung Verschlüsselung: Mit Passwort aktivieren im Reiter Grundeinstellungen erzwungen wird.)

Deaktivieren Sie die Bluetooth-Kontaktfreigabe

Per Bluetooth sollen keine Kontaktdaten das Gerät verlassen.

Deaktivieren Sie die Bluetooth-Konfiguration

Die Bluetooth-Konfiguration soll deaktiviert sein.

Deaktivieren Sie die Cell Broadcast-Konfiguration

Die Konfiguration von Cell Broadcast soll deaktiviert sein.

Deaktivieren Sie die Mobilfunknetzkonfiguration

Die Konfiguration von Mobilfunknetzen soll deaktiviert sein.

Deaktivieren Sie die Tethering-Konfiguration

Die Konfiguration von Tethering und portablen Hotspots soll deaktiviert sein.

Deaktivieren Sie die VPN-Konfiguration

Die Konfiguration von VPN soll deaktiviert sein.

Deaktivieren Sie die Wi-Fi-Konfiguration

Die Konfiguration von WLAN-Zugangspunkten soll deaktiviert sein.

Deaktivieren Sie das Zurücksetzen der Netzwerkeinstellungen

Gibt an, ob das Zurücksetzen der Netzwerkeinstellungen deaktiviert ist.

Datei per NFC versenden deaktivieren

Die Verwendung von NFC zum Übertragen von Daten aus Apps soll deaktiviert sein.

Deaktivieren Sie die USB-Datenübertragung

Die Übertragung von Dateien über USB soll deaktiviert sein.

Debugging-Funktionen zulassen

Der Benutzer darf Debugging-Funktionen aktivieren.

Hinweise zum ersten Benutzer überspringen

Flag, um Hinweise zur ersten Verwendung zu überspringen. Der Unternehmensadministrator kann die Systemempfehlung für Apps aktivieren, um das Benutzer-Tutorial und andere einführende Hinweise beim ersten Start zu überspringen.

Deaktivieren Sie die Keyguard-Funktionen

✕Kamera ✕Vertrauensagenten ignorieren ✕Remote-Eingang

Deaktivierte Keyguard-Anpassungen (Funktionen, die dem Benuzter nicht mehr zur Verfügung stehen, bevor das Gerät entsperrt wurde):

Passwort

Passwortrichtlinien

Passwortrichtlinien können für Arbeitsprofile und komplett verwaltete Geräte verwendet werden.

Benutzer

Werte

Beschreibung

Umfang

Der Bereich, für den die Kennwortanforderung gilt.

Gerät

Die Richtlinie gilt nur für vollständig verwaltete Geräte

Workprofile

Die Richtlinie gilt nur für Arbeitsprofile

Beide

Die Richtlinie gilt sowohl für vollständig verwaltet Geräte, als auch für Geräte mit Arbeitsprofil

Passcode-Qualität

Numerisch (Komplex)

Die erforderliche Passwortqualität.

Nicht spezifiziert	Es gibt keine Passwortanforderungen.
Biometric	Das Gerät muss mindestens mit einer biometrischen Niedersicherheits-Erkennungstechnologie gesichert sein. Dazu gehören Technologien, die die Identität einer Person erkennen können, die in etwa einer dreistelligen PIN entsprechen (Falscherkennung ist weniger als 1 zu 1.000).
Irgendetwas	Ein Passwort ist erforderlich, aber es gibt keine Einschränkungen, was das Passwort enthalten muss.
Numerisch	Das Passwort darf nur aus Ziffern bestehen.
Numerisch (Komplex)	Das Passwort darf nur aus Ziffern bestehen, die keine sich wiederholenden (4444) oder geordneten (1234, 4321, 2468) Sequenzen enthalten.
Alphabetisch	Das Passwort darf nur aus alphabetischen Zeichen (oder Symbolen) bestehen.
Alphanumerisch	Das Passwort muss sowohl aus Ziffern als auch aus alphabetischen Zeichen (oder Symbolen) bestehen.
Komplex	Das Passwort muss mindestens einen Buchstaben, eine Ziffer und ein spezielles Symbol enthalten. Andere Passwortbeschränkungen, wie z.B. passwordMinimumLetters, werden erzwungen.
Mindestlänge	Ein Wert von 0 bedeutet, dass es keine Einschränkung gibt. Nur erforderlich, wenn passwordQuality NUMERIC, NUMERIC_COMPLEX, ALPHABETIC, ALPHANUMERIC oder COMPLEX ist.
Mindestanzahl der Buchstaben	Nur erforderlich, wenn passwordQuality KOMPLEX ist.
Minimum lowercase letters	Minimale Anzahl von Kleinbuchstaben, die im Passwort erforderlich sind. Nur erforderlich, wenn passwordQuality KOMPLEX ist.
Minimum uppercase letters	Mindestanzahl der im Passwort erforderlichen Großbuchstaben. Nur erforderlich, wenn passwordQuality KOMPLEX ist.
Minimum non letter characters	Mindestanzahl von Nicht-Buchstabenzeichen (numerische Ziffern oder Symbole), die im Passwort erforderlich sind. Nur erforderlich, wenn passwordQuality KOMPLEX ist.
Minimum numeric characters	Minimale Anzahl von Ziffern, die im Passwort erforderlich sind. Nur erforderlich, wenn passwordQuality KOMPLEX ist.
Minimum symbols	Minimale Anzahl von Symbolen, die im Passwort erforderlich sind. Nur erforderlich, wenn passwordQuality KOMPLEX ist.

Länge des Passwortverlaufs

0

Die Länge des Kennwortverlaufs. Nach dem Einstellen dieses Felds kann der Benutzer kein neues Kennwort eingeben, das mit dem Kennwort im Verlauf identisch ist. Ein Wert von 0 bedeutet, dass keine Einschränkung vorliegt.

Maximale Anzahl fehlgeschlagener Versuche

10

Anzahl der zulässigen Eingabeversuche, bevor alle Daten auf dem Gerät gelöscht werden

Ablaufzeitlimit

0s

Zeitraum für die Eingabe eines Kennwortes in Sekunden mit bis zu neun Nachkommastellen (sic!), die mit "s" abgeschlossen wird. Beispiel: 3.5s

Sicherheit

Bei Aktivierung wird die Securepoint Mobile Security-App im Reiter Anwendungen hinzu gefügt bzw. entfernt und kann hier konfiguriert werden.
Dies ist erforderlich, um die Sicherheitseinstellungen zu konfigurieren.

Es werden zahlreiche Einstellungen konfiguriert, die die Sicherheit bei Web-Anwendungen steuern.

Konfiguration mit Klick auf Sicherheit aktivieren

Aktion

Default

Beschreibung

Region

Deutschland/EU

Geographische Zuordnung des VPN-Endpunktes

Protokoll

TCP

Das Protokoll, das für den VPN Tunnel verwendet wird.

Portfilter-Typ

Auswahl

Netzwerkverkehr filtern aufgrund von Netzwerkports:
✕Communication ✕VPN

Port-Collection	Port	Protokoll	Anwendung
✕ Administrative Tools	21	TCP	ftp
	3389	TCP	ms-rdp
	23	TCP	telnet
	5900	TCP	vnc
	22	TCP	ssh
	5938	TCP/UDP	teamviewer
✕ Communication	3478-3481	UDP	Skype
	49152-65535	UDP
	49152-65535	TCP
	5222	TCP	Google Push-Notifications
	5223	UDP
	5228	TCP
✕ VOIP	5060	UDP	SIP/RTP
✕ VOIP	7070-7089	UDP	SIP/RTP
✕ VPN	1194	TCP	OpenVPN
	1194	UDP	OpenVPN
	500	UDP	IPSec
	4500	UDP & ESP	IPSec
	1701	UDP	L2TP
✕ Mail	25	TCP	smtp
	587	TCP	smtp
	465	TCP	smtps
	110	TCP	pop3
	995	TCP	pop3
	143	TCP	imap
	993	TCP	imap

SSL Interception

Standard

SSL-Datenverkehr von Webseiten, die in der Content-Filter-Whitelist aufgeführt sind, werden nicht abgefangen, andere Seiten werden mittels SSL-Interception überprüft.

Content-Filter-Whitelist

✕ Fernwartung

Klick-Box: Webseiten, die auf einer Whitelist eingetragen werden sollen. Mögliche Einträge: Contentfilter

Content-Filter-Blacklist

Default-Werte

✕Hacking ✕Proxy

✕Threat Intelligence Feed

Klick-Box: Webseiten, die auf einer Blacklist eingetragen werden sollen.

Deaktivieren für SSIDs

ttt-point-zentrale-WLAN

Eingabe von WLAN-SSIDs, für die die Sicherheitsfunktionen deaktiviert werden sollen.

Erlaube das unterbrechen von Always-On-VPN

Dem Benutzer soll es nicht erlaubt sein, das VPN vorübergehend zu deaktivieren.

Appkonfiguration

Andere VPN Profile erlauben

Das Hinzufügen von anderen VPN Profilen, zusätzlich zu dem Security-Profil soll nicht erlaubt sein.

Speichern

Die hier gezeigten Einstellungen sind Beispiele, die einen möglichst umfassenden Schutz bieten. Eine Anpassung an lokale Anforderungen ist unbedingt vorzunehmen !