Skip to main content

Sicherheitsrichtlinien konfigurieren

Archived

2 Aufgaben

5 Min.

Visible to: All users
Mittel Pega Platform 8.6 Sicherheit Deutsch
This content is now archived and is no longer updated. Progress is not calculated. Pega Cloud instances are disabled, and badges are no longer awarded. Hier klicken to continue your progress in the latest version.

Szenario

GoGoRoad hat mit einer großen Anzahl an fehlgeschlagenen Anmeldeversuchen zu kämpfen. Das Management vermutet, dass es sich bei den Versuchen um böswillige Angriffe eines Internet-Bots handelt. Das Management hat Sie gebeten, eine neue Sicherheitsanforderung umzusetzen. Nach dem ersten fehlgeschlagenen Anmeldeversuch kann der Benutzer ohne weitere Überprüfung keine zusätzlichen Versuche unternehmen. Er muss nach jedem Versuch einen zunehmend längeren Zeitraum warten, bevor er einen weiteren Versuch unternehmen kann. Der erste fehlgeschlagene Versuch wird um fünf Sekunden verzögert.

Nach dem ersten fehlgeschlagenen Anmeldeversuch wird ein CAPTCHA auf der Anmeldeseite angezeigt, mit dem überprüft wird, ob es sich bei dem Benutzer um einen Menschen oder einen automatisierten Bot handelt. Nach zwei fehlgeschlagenen Versuchen kommt eine Sperre zum Tragen, wodurch weitere Anmeldeversuche in Fünf-Sekunden-Intervallen verzögert werden.

In der folgenden Tabelle finden Sie die Anmeldedaten, die Sie zur Durchführung der Challenge benötigen.

Rolle Benutzername Passwort
Application Developer author@gogoroad pega123!
Hinweis: Ihre Übungsumgebung unterstützt möglicherweise den Abschluss mehrerer Challenges. Es kann daher vorkommen, dass die im Challenge-Walkthrough gezeigte Konfiguration nicht genau mit Ihrer Umgebung übereinstimmt.

Challenge-Schritte

Genaue Übungsschritte

1 CAPTCHA einrichten

  1. Klicken Sie im Header von Dev Studio auf Configure > Org & Security > Authentication > Security Policies. Dadurch öffnet sich die Startseite mit den Sicherheitsrichtlinien.
  2. Wählen Sie im Abschnitt Frequently required policies die Checkbox Enable frequently required policies (except for PRAuth-based authentication services)  aus, um die häufig benötigten Sicherheitsrichtlinien zu aktivieren.
    Hinweis: Die Option Enable frequently required policies ist standardmäßig auf der Pega-Plattform aktiviert, wird aber deaktiviert, um diese spezielle Challenge zu ermöglichen.
  3. Wählen Sie im Abschnitt CAPTCHA policies im Feld Enable CAPTCHA Reverse Turing test module die Option Enabled aus und aktivieren Sie so das CAPTCHA-Feature.
  4. Wählen Sie in der Liste Enable presentation of CAPTCHA upon initial login die Option Disabled aus und stellen so sicher, dass der CAPTCHA nur nach dem ersten Fehlversuch angezeigt wird.
  5. Geben Sie im Feld Probability that CAPTCHA will be presented upon authentication failure (%) den Wert 100 ein, um sicherzustellen, dass der CAPTCHA immer bei einem Fehlversuch angezeigt wird.
    CAPTCHA-policies-challenge-enabled

2 Sperre einrichten

  1. Wählen Sie im Abschnitt Lockout policies im Feld Enable authentication lockout penalty die Option Enabled aus, um die Sperre zu aktivieren.
  2. Geben Sie im Feld Failed login attempts before employing authentication lockout penalty den Wert 2 ein, wodurch die Sperre nach zwei Fehlversuchen gültig wird.
  3. Geben Sie im Feld Initial authentication lockout penalty in seconds den Wert 5 ein und setzen Sie so die Erstsperre auf fünf Sekunden.
    Hinweis: Nachfolgende Sperrzeiten erhöhen sich in Fünf-Sekunden-Intervallen.
    lockout-policies-challenge-enabled
  4. Klicken Sie auf Submit, um Aktualisierungen der Sicherheitsrichtlinie zu übernehmen.
    Security Policy Challenge - Submit configuration
    Tipp: Werden Sicherheitsrichtlinien in eine Pega-Plattform-Instanz übernommen, müssen Sie eventuell die Datenseite löschen, die diese Einstellungen lädt. Navigieren Sie in Dev Studio zur Datenseite Declare_AuthPolicies und klicken Sie auf Load Management > Clear data page, um die Datenseite zu leeren.

Arbeit überprüfen

  1. Melden Sie sich von der Anwendung ab. Es wird der Pega-Anmeldebildschirm angezeigt.
  2. Geben Sie am Anmeldebildschirm author@gogoroad im Feld User name ein.
  3. Geben Sie im Feld Password ein ungültiges Passwort ein.
  4. Klicken Sie auf Log in, um eine Fehlermeldung und ein CAPTCHA-Feld aufzurufen.
    Security Policy Challenge Test - Login Screen with Captcha
  5. Starten Sie einen neuen Versuch mit ungültigen Anmeldedaten.
  6. Geben Sie einen CAPTCHA-Wert ein und klicken Sie danach auf Log in.
  7. Starten Sie einen dritten ungültigen Anmeldeversuch und vergewissern Sie sich, dass die Schaltfläche Log in fünf Sekunden nicht verfügbar ist.
    Hinweis: Nach Ihrem dritten Anmeldeversuch zeigt das System möglicherweise eine Error Authentication failed  Meldung an. Aktualisieren Sie Ihr Browser-Fenster, um zur Anmeldeseite zurückzukehren.
    Security Policy Challenge Test - Login Screen without Login button
  8. Starten Sie einen vierten ungültigen Anmeldeversuch und vergewissern Sie sich, dass die Schaltfläche Log in zehn Sekunden nicht verfügbar ist.
  9. Melden Sie sich bei der Anwendung mit den richtigen Daten an und vergewissern sich, dass Sie auf die Anwendung zugreifen können.
Hinweis: Nach der erfolgreichen Anmeldung erhalten Sie eine Aufforderung zum Ändern Ihres Kennworts.
Tipp: Um während der Anwendungsentwicklung Benutzersperren zu verhindern, müssen Sie möglicherweise Sicherheitsrichtlinien deaktivieren, bis Ihre Anwendung in Produktion ist. Um die Einstellungen aufzuheben, kehren Sie zur Startseite Security Policies zurück.


In der folgenden Mission verfügbar:

We'd prefer it if you saw us at our best.

Pega Academy has detected you are using a browser which may prevent you from experiencing the site as intended. To improve your experience, please update your browser.

Close Deprecation Notice