FileMaker 16 Säkerhet: Bästa praxis för att konfigurera säkerhetstillval
Säkerhetsöversikt för FileMaker
Om denna guide
I den här guiden beskrivs de säkerhetsfunktioner som finns tillgängliga i FileMaker-plattformen. Här finns även beskrivningar av de steg du kan ta som lösningsutvecklare, serveradministratör eller IT-professionell för att tillämpa dessa säkerhetsfunktioner i dina FileMaker-lösningar.
Det kan finnas ytterligare steg du behöver ta beroende på dina krav på säkerhetsefterlevnad och certifiering. Det är ditt ansvar att förstå dessa krav fullt ut.
De senaste säkerhetsuppdateringarna för FileMaker finns i FileMaker Knowledge Base.
Obs!När Admin Console nämns i denna guide gäller det både FileMaker Server Admin Console och FileMaker Cloud Admin Console såvida det inte handlar om en särskild produkt.
Säkerhetsfunktioner i FileMaker
Med hjälp av funktionerna i FileMaker-plattformen kan du kontrollera dataåtkomst, användning och utveckling i en FileMaker-fil. Nyckelfunktionerna är bland annat:
- Autentisering med konton: FileMaker krypterar identifieringsuppgifter som lagras i lösningar så de är skyddade. Användare kan även autentisera via Active Directory, Open Directory eller OAuth-identitetsleverantörer.
- Åtkomstkontroll med behörighetsuppsättningar: Du definierar behörigheter som avgör åtkomstnivåerna för din lösning. Du kan definiera så många behörighetsuppsättningar som du behöver.
- Datakryptering på hårddisken och via anslutning: Du kan kryptera data som är lagrade i en FileMaker-lösning. Du kan även kräva SSL-kryptering (Secure Socket Layer) av data mellan FileMaker Server eller FileMaker Cloud och FileMaker Pro, FileMaker Go, FileMaker WebDirect samt ODBC- och JDBC-klientprogram.
- Serverövervakning och -administration:Med Admin Console kan du övervaka åtkomst till lösningen, koppla bort inaktiva användare och skapa säkerhetskopior av dina lösningar.
FileMaker-plattformen använder en enhetlig säkerhetsmodell där den säkerhet du etablerar för en lösning träder i kraft för alla klienter.
Säkerhetsinställningar som definieras i en lösning med FileMaker Pro tillämpas bara för den information och det schema (layouter, tabeller, fält, relationer och scripts) som lagras i den lösningen.
Säkerhetsinställningar som konfigureras i FileMaker Server och FileMaker Cloud är driftsättningsspecifika och tillämpas för alla lösningar som den servern är värd för.
Systemkrav
Säkerhet för lösningsutvecklare
Översikt
Gör de lösningar du designar i FileMaker Pro säkrare genom att använda FileMaker Pro-funktioner. Du kan till exempel autentisera användare, begränsa åtkomst till lösningen, kryptera data och förbättra funktionaliteten på säkra sätt.
Autentisera användare
Om autentisering
För FileMaker-lösningarna krävs det att användarna autentiseras med ett kontonamn och lösenord. Varje konto får åtkomstbehörighet utifrån tillhörande behörighetsuppsättningar. Mer information finns i Definiera behörighetsuppsättningar.
Skapa ett unikt konto för varje användare. Det gör det möjligt att spåra vem som skapar eller ändrar enskilda poster eller utför andra åtgärder i din lösning. Spåra den här informationen genom att använda inställningarna för automatisk inmatning i fält eller med funktionen Get (Kontonamn) i beräkningar och scripts. Mer information finns i Använd funktioner, scripts och scripttriggers för att öka säkerheten.
Obs! Delade konton är en säkerhetsrisk så använd enskilda konton istället. Om du måste använda delade konton ska du begränsa åtkomsten för de behörighetsuppsättningar som delade konton använder. Ändra lösenord ofta, speciellt när specifika användare inte längre behöver åtkomst.
FileMaker-lösningar kan autentisera konton internt, externt eller med en OAuth-identitetsleverantör.
- Med intern autentisering (via FileMaker Pro) lagras kontonamnet och lösenordet i lösningen. All säkerhet för en lösning ställs in i FileMaker Pro utan serverprogramvara. Det innebär att det är det snabbaste och enklaste alternativet för att hantera konton.
- Med extern autentisering (via Open Directory eller Active Directory) eller med autentisering via OAuth-identitetsleverantör lagrar FileMaker Pro bara användar- och gruppnamn och interagerar med en extern server eller OAuth-identitetsleverantör för att autentisera en användares konto och lösenord. FileMaker Server måste vara värd till lösningen och måste konfigureras så att det tillåter extern autentisering eller enskilda OAuth-identitetsleverantörer. Mer information finns i Ställa in extern autentisering och Ställa in autentisering via OAuth-identitetsleverantör.
Om standardkonton
Varje lösning innehåller till en början två konton: Admin och Gäst.
-
Adminkontot ger åtkomst till allt i lösningen. Som standard har det här kontot fullständig behörighet. Det här kontot är helt redigerbart. Du kan byta namn på det, ange ett lösenord för det eller inaktivera det. Du kan radera administratörskontot, men filen kräver minst ett konto med fullständig behörighet såvida du inte tar bort den behörighetsuppsättningen helt.
Som standard har administratörskontot inget lösenord. Ange ett lösenord när du först börjar arbeta i FileMaker Pro. Mer information finns i Ange ett lösenord för administratörskontot.
-
Med gästkontot kan användarna öppna en fil utan att ange kontoinformation. Som standard har det här kontot endast läsbehörighet, men du kan tilldela de behörigheter du vill.
Till en början är gästkontot inaktivt. Du kan inte radera det, ändra dess namn eller ge det ett lösenord.
Ange lösenord för administratörskontot
När du skapar en ny lösning skapar FileMaker Pro ett administratörskonto med fullständig behörighet. Det här administratörskontot har inget lösenord.
Se till att ange ett lösenord för kontot för att förhindra obehörig åtkomst till dina data och databasscheman.
Mer information finns i Skapa och redigera konton i FileMaker Pro Hjälp och Använda starka lösenord.
Inaktivera gästkontot
När du skapar en ny lösning skapar FileMaker Pro ett gästkonto som enbart har läsbehörighet. Det här gästkontot har inget lösenord.
Aktivera inte gästkontot såvida det inte är nödvändigt för lösningen. Om du aktiverar gästkontot kan du snabbt nå gränsen för klienter med användaranslutningar om många användare loggar in på gästkontot under en kort tidsperiod.
Mer information finns i Skapa och redigera konton i FileMaker Pro Hjälp.
Skapa konton
När du skapar ett konto ger du det ett kontonamn, ett lösenord och en behörighetsuppsättning.
Markera Kräv lösenordsbyte vid nästa inloggning i dialogrutan Redigera konto så att användaren uppmanas att skapa ett lösenord.
Lösenord lagras med en envägshash, vilket betyder att det kan krypteras men inte dekrypteras. Du kan återställa ett lösenord men du kan inte reparera det.
Mer information finns i Skapa och redigera konton i FileMaker Pro Hjälp och Använda starka lösenord.
Be användarna om lösenord
I nya lösningar blir inte användarna tillfrågade om kontonamn eller lösenord. Om du vill uppmana användarna att ange kontonamn och lösenord avmarkerar du Logga in med i dialogrutan Filtillval.
Tillåt inte att kontonamn och lösenord sparas i Nyckelhanterare. När du förhindrar Nyckelhanterare uppmanar FileMaker användarna att ange kontonamn och lösenord varje gång de öppnar lösningen. Om du tillåter Nyckelhanterare kan du kräva att iOS-användare anger iOS-lösenkoden innan de öppnar lösningen.
Mer information finns i Ange filtillval i FileMaker Pro Hjälp och Använda starka lösenord.
Ställa in extern autentisering
Om FileMaker Server är värd till filer kan du skapa externa serverkonton som autentiseras av Active Directory eller Open Directory. Därefter kan du använda din befintliga autentiseringsserver för att styra åtkomst till databaser istället för att hantera en enskild kontolista i varje databasfil i FileMaker Pro.
Alternativt kan du använda lokala säkerhetsgrupper och -konton på den server som är värd till FileMaker Server. Se hjälpen för ditt operativsystem.
Använd extern autentisering i följande fall:
- Om företaget redan använder Active Directory eller Open Directory.
- Om andra filer ska ha åtkomst till din FileMaker-fil i en lösning med flera filer.
- Om företaget har lägsta standard för lösenord. FileMaker Pro kan använda grundläggande standarder såsom lösenordslängd och hur ofta lösenord ändras. Extern autentisering ger starkare lösenordskontroll, till exempel krav på lösenordens komplexitet.
Om filer är baserade på FileMaker Server som är installerat på Windows Server och du använder Active Directory för extern autentisering kan Windows-användare använda Single Sign-On med FileMaker Pro.
En risk med extern autentisering är att någon får åtkomst till din fil genom att simulera den externa autentiseringsmiljön eller felhantera grupperna. Det är ditt ansvar att förhindra detta genom att upprätthålla säkerheten för din externa autentiseringsserver. Minska den här risken genom att aktivera databaskryptering för dina lösningsfiler. Med databaskryptering måste användarna ange krypteringslösenordet innan de kan dela filen på FileMaker Server. Mer information finns i Kryptera data.
Ställ in externa autentiseringskonton i den fil som använder FileMaker Pro. Därefter använder du FileMaker Server som värd för filen och konfigurerar den för extern autentisering. Mer information finns i Skapa konton som autentiserar via en extern server i FileMaker Pro Hjälp, Aktivera extern autentisering och Ställa in FileMaker Pro-klienter och FileMaker Server för att använda extern autentisering med LDAP-protokollet i FileMaker Knowledge Base.
Viktig information när du använder extern autentisering
- Du måste använda den externa autentiseringsservern för att återställa lösenord.
- Ställ in konton i den ordning som du vill att FileMaker ska använda för autentisering. När flera konton delar kontonamn och lösenord, eller när ett externt konto tillhör flera grupper öppnar FileMaker filen med hjälp av det första matchande kontot i autentiseringsordningen. Eventuella matchande konton efter det första ignoreras.
- Konton med extern autentisering ska inte ha fullständig behörighet. Ha ett lokalt FileMaker-konto för administration om filen behöver flyttas från FileMaker Server. Om det inte finns några lokala FileMaker-konton kan FileMaker bara öppna filen om den är värdbaserad och den externa autentiseringsservern är tillgänglig.
Ställa in autentisering via OAuth-identitetsleverantör
Om du använder FileMaker Server som värd för filer kan du skapa konton som autentiserar användare via OAuth-identitetsleverantörer som stöds. Det gör att du kan styra åtkomsten till dina databaser via identitetsleverantörer som är tredje part. Det kan även ge åtkomst till ytterligare säkerhetsmetoder (till exempel autentisering med flera faktorer) som kräver mer än en metod för autentisering. Istället för att hantera en oberoende lista med konton i varje fil kan du använda dina OAuth-identitetsleverantörer för att styra åtkomsten till FileMaker-databaserna.
Om du vill autentisera med OAuth-identitetsleverantörer använder du FileMaker Pro för att ställa in konton i lösningen. Därefter gör du FileMaker Server till värd för lösningen och konfigurerar FileMaker Server att autentisera med OAuth-identitetsleverantörer. Mer information finns i Skapa konton som autentiserar via en OAuth-identitetsleverantör i FileMaker Pro Hjälp och Aktivera autentisering med OAuth-identitetsleverantör.
Viktig information om att använda OAuth-identitetsleverantörer
- Du måste använda OAuth-identitetsleverantören när du återställer lösenord.
- Ställ in konton i den ordning som du vill att FileMaker ska använda för autentisering. När flera konton har samma kontonamn och lösenord öppnar FileMaker filen med det första matchande kontot i autentiseringsordningen. Eventuella matchande konton efter det första ignoreras.
- Skapa inte konton med OAuth-identitetsleverantörer med fullständig behörighet. Ha ett lokalt FileMaker-konto för administration om filen behöver flyttas från FileMaker Server. Om det inte finns några lokala FileMaker-konton kan FileMaker bara öppna filen om den är värdbaserad och OAuth-identitetsleverantören är tillgänglig.
Autentisera i lösningar med flera filer
I en lösning med flera filer har FileMaker-filerna åtkomst till varandra. Det kan vara användbart att till exempel ha en centralt tillgänglig fil med medarbetarnas kontaktuppgifter som används av interna lösningar med flera filer.
När du öppnar en fil från en annan (till exempel för att visa externa data eller köra ett script i en extern fil) använder FileMaker de identifieringsuppgifter som användaren angav för inloggningen till den andra filen. Om det finns ett motsvarande konto och matchande lösenord loggar FileMaker in användaren till den andra filen. Om det inte finns ett motsvarande konto måste användaren logga in till den andra filen.
Du kan skapa konton manuellt i flera filer men det kan leda till fel vid datainmatning. Använd extern autentisering för att minska risken för sådana fel. Mer information finns i Ställa in extern autentisering.
Granska konton och behörighetsuppsättningar i varje fil i en lösning med flera filer. Om behörighetsuppsättningarna inte matchar mellan filerna eller om ett konto har ytterligare behörighet i en fil kan användare få åtkomst till data som de i vanliga fall inte skulle se. Mer information finns i Definiera behörighetsuppsättningar.
Se även till att användarna inte kan referera till filer i en lösning utan hjälp från lösningsutvecklaren. Annars kan de få åtkomst till begränsade data. Mer information finns i Begränsa referenser till en lösning.
Definiera behörighetsuppsättningar
Om behörighetsuppsättningar
Behörighetsuppsättningar ger åtkomst till de funktioner som en användare kan se och de uppgifter en användare kan göra. De gör att du kan styra åtkomst till data och scheman. Du kan använda en behörighetsuppsättning med flera konton.
Varje ny FileMakerPro-lösning innehåller tre fördefinierade behörighetsuppsättningar:
- Fullständig åtkomst: Ger fullständig åtkomst till filen, inklusive alla utvecklingsfunktioner.
- Endast datainmatning: Tillåter användaren att skapa, redigera och radera poster samt importera och exportera data. Ger inte åtkomst till utvecklingsfunktioner.
- Skrivskyddad åtkomst: Tillåter användaren att visa och exportera postdata. Tillåter inte att användaren gör ändringar i filen förutom värden i globala fält.
Du kan även skapa nya behörighetsuppsättningar som uppfyller dina specifika behov. Vanligtvis skapar du en behörighetsuppsättning för varje unik roll inom företaget. En behörighetsuppsättning består av följande åtkomstalternativ:
- Behörighet till data och design: Ge åtkomst till en lång rad olika säkerhetskontroller, inklusive poster, layouter, värdelistor och scripts.
- Utökad behörighet: Bestämmer hur användare öppnar en delad fil.
- Annan behörighet: Tillåt utskrift, export och några andra funktioner.
Alla klienter och verktyg som öppnar FileMaker-lösningar respekterar användarnas behörighetsuppsättningar. Om en användare till exempel har tilldelats en behörighetsuppsättning som inte tillåter åtkomst till ett fält kan den användaren inte komma åt fältet via program som FileMaker Pro, FileMaker Go, FileMaker WebDirect, Custom Web Publishing, ODBC och JDBC, externa verktyg som AppleScript eller ActiveX, eller på något annat sätt.
Skapa behörighetsuppsättningar
När du skapar en behörighetsuppsättning ska du namnge och konfigurera de behörigheter du vill att användarna ska ha för lösningen.
Som standard är de flesta behörigheter avstängda. Det begränsar användarens behörighet till att bara innefatta sådana som är nödvändiga för den specifika rollen.
Mer information finns i Skapa och redigera behörighetsuppsättningar i FileMaker Pro Hjälp.
Definiera dataåtkomst och designbehörighet
Dataåtkomst och designbehörighet ger åtkomst till olika delar av en fil och tillämpas för alla tabeller, layouter, värdelistor och scripts.
Du kan även utforma anpassade behörigheter för att begränsa åtkomstbehörigheterna ytterligare.
- Utforma anpassade behörigheter för poster om du vill styra användaråtkomsten till enskilda tabeller eller poster. Du kan till exempel ha ett CRM-system där säljcheferna kan se alla poster men en enskild säljare bara kan se de poster som gäller hans eller hennes kunder och potentiella kunder.
- Utforma anpassade behörigheter för layouter för att styra om och hur användare kan visa eller ändra en layout samt om de kan visa eller ändra poster när de arbetar med den layouten. FileMaker-plattformen använder alltid den säkraste kombinationen av åtkomstregler. Till exempel kommer en användare som i vanliga fall kan redigera poster inte kunna göra det i en layout som inte tillåter dessa behörigheter.
- Utforma anpassade behörigheter för att styra om användare kan visa, ändra, radera eller skapa enskilda värdelistor och scripts.
Mer information finns i Ändra behörighet för poster, Ändra layoutbehörighet, Ändra behörighet för värdelistor och Ändra behörighet för scripts i FileMaker Pro Hjälp.
Definiera utökad behörighet
Utökad behörighet bestämmer hur användare öppnar en delad fil. När du aktiverar utökad behörighet för en behörighetsuppsättning kan den filen bara öppnas av konton som tillhör den behörighetsuppsättningen enligt vad utökad behörighet tillåter.
Följande tabell innehåller en lista över den utökade behörighet som är standard.
Nyckelord | Tillåt konton att göra följande |
---|---|
fmwebdirect | Öppna en databasfil i en webbläsare via FileMaker WebDirect. |
fmxdbc | Öppna en databasfil som en ODBC- eller JDBC-datakälla. |
fmapp | Öppna en delad fil (antingen en fil som delas från FileMaker Pro eller en fil som delas från FileMaker Server eller FileMaker Cloud och som FileMaker Server eller FileMaker Cloud är värd för). |
fmreauthenticate[x] | Öppna en fil i FileMaker Pro eller FileMaker Go utan att behöva logga in igen efter att filen varit i viloläge eller när du har använt en annan app. Standardtiden är tio minuter. |
fmxml | Ansluta till en databasfil från en webbläsare eller ett annat program via XML-webbpublicering (endast FileMakerServer). |
fmphp | Ansluta till en databasfil från en webbläsare eller ett annat program via PHP-webbpublicering (endast FileMakerServer). |
fmrest | Öppna en databasfil från en webbtjänst via FileMaker Data API (bara FileMaker Server). |
fmextscriptaccess | Öppna en databasfil från ett annat program via Apple Events och ActiveX. |
fmurlscript | Utföra ett script från en URL. |
Viktigt:Om användarna använder FileMaker Go ska du ange fmreauthenticate[x] som utökad behörighet.
FileMaker Go tillåter multitasking. När användaren besvarar ett samtal eller går till en annan app flyttar FileMaker Go till bakgrunden och sparar filens tillstånd.
Med den utökade behörigheten fmreauthenticate[x] måste användarna ange kontonamn och lösenord på nytt när FileMaker Go växlar till förgrunden efter den angivna tidsgränsen [x]. Den utökade behörigheten fmreauthenticate10 gör till exempel att användaren kan ha FileMaker Go i bakgrunden i upp till tio minuter innan användaren måste logga in igen. Du kan skapa så många utökade behörigheter som du behöver och ge dem olika tidsperioder och behörighetsuppsättningar. Användarna kan försöka ange kontonamn och lösenord fem gånger innan FileMaker Go stänger filen. Ange [x] till 0 så att användare kan logga in när FileMaker Go kommer tillbaka i förgrunden.
Den utökade behörigheten fmreauthenticate[x] återansluter även en FileMaker Pro- eller FileMaker Go-klient till en FileMaker-värd efter ett nätverksavbrott eller en växling av standbyservern. Om klienten har varit bortkopplad från värden i över x minuter måste klienten autentisera på nytt.
Du kan skapa anpassad utökad behörighet för att förenkla dina scripts eller hantera de företagsregler du behöver upprätthålla. Du kan till exempel skapa anpassad utökad behörighet som tillåter användarna att köra vissa rapporter.
Mer information finns i Ändra den utökade behörigheten för en behörighetsuppsättning i FileMaker Pro Hjälp.
Definiera andra behörigheter
Andra behörigheter anger om behörighetsuppsättningen tillåter att användaren gör följande:
- Skriva ut – både skriva ut och spara poster som PDF.
- Exportera – exportera poster, spara poster som en Excel-fil, kopiera poster i hittade poster till Urklipp, spara en kopia av filen, komma åt data med Apple Events och använda filen som källa för en import.
Obs! Den här behörigheten påverkar inte dataåtkomst med ActiveX. - Hantera utökad behörighet.
- Åsidosätta varningar om datakontroll.
- koppla bort användare från en värdbaserad lösning när en klient är inaktiv
- Ändra lösenord.
- Öppna menykommandon (allt, endast databearbetning, minimum).
Mer information finns i Ändra annan behörighet i FileMaker Pro Hjälp och Koppla bort inaktiva användare.
Ta bort behörighetsuppsättningen Fullständig behörighet
Om du vill se till att användarna inte får åtkomst till delar av lösningen och schemat som vanligtvis skulle vara begränsade för dem ska du använda FileMaker Pro Advanced. Ta bort fullständig behörighet från lösningen permanent.
Viktigt:Om du tar bort behörighetsuppsättningen Fullständig behörighet permanent raderas alla konton med fullständig behörighet från lösningen. Det gör att åtkomsten till layoutläget, Scriptfönster och alla flikar i dialogrutan Hantera säkerhet förutom Utökad behörighet försvinner permanent. Det inkluderar alla databasfiler i lösningen, oavsett om de öppnats i ett runtime-program eller i FileMaker Pro eller FileMaker Pro Advanced. Schema- och designelement för filerna kan inte återställas. Det enda sättet att ändra tabellerna, fältdefinitioner, relationer, scripts eller åtkomstbehörigheter är genom att återgå till originalfilen som den var innan den anpassades med Developer-verktygen i FileMaker Pro Advanced.
Mer information finns i Ta bort adminåtkomst till databaser (FileMaker Pro Advanced) i FileMaker Pro Hjälp.
Kryptera data
Kryptera en lösning
Använd FileMaker Pro Advanced för att kryptera all information som finns i en fil (kallas även Kryptering i vila). Databaskryptering skyddar din lösning om någon får fysisk tillgång till filen.
För databaskryptering krävs ett lokalt FileMaker-konto med fullständig behörighet till alla filer, ett krypteringslösenord och ett delat ID. Användarna måste ange krypteringslösenordet varje gång FileMaker Pro eller FileMaker Go öppnar en lokal fil eller när FileMaker Server eller FileMaker Cloud öppnar en fil innan den blir värdbaserad. Delat ID kopplar samman flera krypterade filer. När en krypterad fil försöker öppna en annan krypterad fil kommer användaren inte att bli tillfrågad att ange krypteringslösenordet igen om krypteringslösenordet och delade ID stämmer överens.
Mer information finns i Kryptera databasfiler (FileMaker Pro Advanced) i FileMaker Pro Hjälp och Använda starka lösenord.
När du öppnar en krypterad fil i FileMaker Server eller FileMaker Cloud kan du spara lösenordet så att krypterade filer öppnas automatiskt när servern startas om. FileMaker tillämpar tvåvägskrypteringen AES-256 som använder en sammansatt nyckel utifrån information från maskinen för att kryptera lösenordet. Det lagrar även lösenordet säkert på servern.
Mer information finns i Öppna värdbaserade filer och Rensa databasens krypteringslösenord i FileMaker Server Hjälp och Kryptera och överföra databasfiler (på engelska) i FileMaker Cloud Hjälp.
Kryptera fältdata
Använd CryptEncrypt-, CryptEncryptBase64-, CryptDecrypt- och CryptDecryptBase64-funktioner för att kryptera och dekryptera fältdata i en FileMaker-lösning.
Kryptera containerdata
Om databaskryptering är aktiverat för en lösning eller om containerdata är konfigurerade att lagras externt krypteras alla containerdata som standard. Om du inte vill kryptera containerdata när du krypterar databasfiler eller lagra containerdata externt kan du ha dina containerdata i öppen lagring. Mer information finns i Kryptera databasfiler (FileMaker Pro Advanced) och Konfigurera containerfält för extern datalagring i FileMaker Pro Hjälp.
Begränsa åtkomsten till lösningen med layouter
Designa layouter som begränsar användarnas datavy och åtkomst till funktioner efter deras behov och behörighetsuppsättningar. Överväg även att dölja statuslisten och istället tillhandahålla knappar som utför tillåtna uppgifter.
Om lösningen ska användas med FileMaker WebDirect eller FileMaker Go ska du designa layouter för snabb användning med dessa klienter. Mer information finns i FileMaker WebDirect Guide och FileMaker Go Utvecklingsguide.
Obs! När du begränsar åtkomsten till lösningsdata och funktioner i en layout kan användarna fortfarande komma åt data med scriptsteg, funktioner, AppleScript eller på andra sätt. Definiera behörighetsuppsättningar för att begränsa användaråtkomst till data och funktioner i alla klienter. Mer information finns i Definiera behörighetsuppsättningar.
Använd funktioner, scripts och scripttriggers för att öka säkerheten
Använd FileMaker-funktioner, scripts och scripttriggers för att öka säkerheten för vanliga uppgifter som att radera, granska och upprätthålla poster. Du kan till exempel använda scripts för att göra följande:
- Lägga till eller radera konton, återställa kontolösenord, ändra lösenord, aktivera eller inaktivera konton samt logga in igen som en annan användare.
- Arkivera poster när du inte vill att en användare ska radera poster.
- Ge information om användarens nuvarande session och tillstånd för regelefterlevnad och granskning.
- Tillhandahålla anpassade meddelanden när säkerhetsbegränsningar påverkar användaren.
Viktigt:Använd inte funktioner, scripts och scripttriggers för att ersätta säkerhetsfunktioner i FileMaker.
Tänk på följande:
- Som standard körs scripts med behörighetsuppsättningen för det konto som är inloggat för tillfället. Det kan skapa problem om ett script försöker utföra en åtgärd som användaren inte har behörighet att göra. Testa alla scripts med alla behörighetsuppsättningar för att skydda dina data.
- När du använder scriptsteg för att kommunicera med system utanför FileMaker ska du välja tillval som interagerar via SSL-kryptering. Till exempel innehåller scriptsteget Infoga från URL alternativet Verifiera SSL-certifikat. Scriptsteget Skicka e-post tillåter kommunikation med SMTP-servrar med SSL-kryptering.
- Använd funktioner för att få information om den aktuella användaren. Använd till exempel funktionen Get (KontoUtökadBehörighet) för att testa om en användare har specifika behörigheter.
Mer information finns i Funktionsreferenser , Scriptstegsreferenser och Scripttriggerreferenser i FileMaker Pro Hjälp.
Begränsa referenser till en lösning
Begränsa referenser till en lösning för att förhindra att obehöriga filer kommer åt lösningens schema. Om en annan fil ska komma åt lösningens schema och data måste filen antingen vara auktoriserad i lösningen eller så måste användaren ange giltiga identifieringsuppgifter för lösningen.
Du kan ange att bara konton med behörighetsuppsättningen Fullständig behörighet kan skapa referenser till lösningen. Då säkerställer du att bara lösningsdesigner och administratörer kan referera till lösningen.
I en lösning med flera filer måste du bevilja varje fil som behöver åtkomst till en annan fils schema.
Mer information finns i Bevilja åtkomst till filer i FileMaker Pro Hjälp.
Ange ett lägsta krav för klientversion
Ange ett lägsta krav för den version av FileMaker Pro eller FileMaker Go som har åtkomst till lösningen. Nyare versioner av FileMaker-klienter innehåller funktioner och säkerhetsändringar som inte finns i äldre versioner så begränsa vilka klienter som har åtkomst till lösningen. Mer information finns i Ange filtillval i FileMaker Pro Hjälp.
Aktivera plugin-program
Använd bara plugin-program från tillförlitliga källor eftersom de kan komma åt och ändra lösningen. De kan även ansluta till andra tjänster via internet.
Du kan även aktivera eller inaktivera installation av plugin-program. Det ger ytterligare säkerhet och gör att obehöriga plugin-program inte installeras. Det här är en FileMaker Pro-inställning, inte en filinställning. Det avgör om plugin-program kan installeras på användarens dator.
Mer information finns i Ange inställningar för plugin-program i FileMaker Pro Hjälp. Läs mer om att aktivera plugin-program i FileMaker Server i Aktivera plugin-program i FileMaker Server och FileMaker Cloud.
Säkerhet för serveradministratörer
Översikt
FileMaker Server och FileMaker Cloud är värdar för lösningar åt följande klienter:
- FileMaker Pro
- FileMaker Go
- FileMaker WebDirect
- Webbanvändare och webbprogram via Web Publishing Engine (bara FileMaker Server)
- ODBC- och JDBC-program
I följande avsnitt beskrivs stegen för att ställa in säkerhet i FileMaker Server och FileMaker Cloud.
Om du använder FileMaker Server ska du kontrollera att du har installerat det på en säker plats och att du använder SSL-kryptering för att kryptera HTTPS-kommunikation mellan klienter och servern:
Aktivera extern autentisering
Obs!Den här funktionen är inte tillgänglig i FileMaker Cloud.
Med FileMaker Server kan du använda den befintliga verifieringsservern för att styra åtkomsten till filer utan att behöva hantera en fristående lista över konton i varje fil.
Ställ in externa verifieringskonton i den fil som använder FileMaker Pro. Därefter använder du FileMaker Server som värd för filen och konfigurerar den för extern autentisering. Läs mer om att ställa in konton i FileMaker Pro i Ställa in extern autentisering.
Aktivera extern autentisering på följande sätt i FileMaker Server:
- I FileMaker Server Admin Console ska du välja fliken Databasserver > Säkerhet.
- Markera FileMaker och externa serverkonton i avsnittet Klientautentisering.
För att kunna använda Active Directory eller Open Directory måste servern där FileMaker Server är installerat vara medlem av den domän som används för extern autentisering.
Testa noga. Mer information finns i Testa säkerhetsinställningar.
Aktivera autentisering via OAuth-identitetsleverantör
Med FileMaker Server kan du använda den OAuth-identitetsleverantör som stöds för att styra åtkomsten till filer utan att behöva hantera en fristående lista över konton i varje fil.
Ställ in konton för OAuth-identitetsleverantörer i den fil som använder FileMaker Pro. Därefter använder du FileMaker Server som värd för filen och konfigurerar den för autentisering med OAuth-identitetsleverantörer. Läs mer om att ställa in konton i FileMaker Pro i Ställa in autentisering med OAuth-identitetsleverantörer.
Aktivera autentisering med OAuth-identitetsleverantörer i FileMaker Server:
- I FileMaker Server Admin Console ska du välja fliken Databasserver > Säkerhet.
- Markera FileMaker och externa serverkonton i avsnittet Klientautentisering.
- Klicka på för den OAuth-identitetsleverantör som du vill ställa in. Följ anvisningarna i dialogrutan som öppnas och klicka på Spara för att aktivera OAuth-identitetsleverantören.
- Stoppa och starta om FileMaker Server-tjänsten (Windows) eller FileMaker Server-bakgrundsprocesser (macOS).
Information om att aktivera autentisering med OAuth-identitetsleverantör i FileMaker Cloud finns i Ställa in klientauktorisering (på engelska) i FileMaker Cloud Hjälp.
Testa noga. Mer information finns i Testa säkerhetsinställningar.
Begränsa listan över värdbaserade lösningar
Obs!Den här funktionen är inte tillgänglig i FileMaker Cloud.
Startcenter i FileMaker Pro, FileMaker Go och FileMaker WebDirect visar en lista över värdbaserade lösningar. Som standard visar listan alla värdbaserade lösningar som finns på en server. Med FileMaker Server kan du begränsa listan så att den bara visar de lösningar som den aktuella användaren kan komma åt. Mer information finns i Säkerhetsinställningar för databasservern i FileMaker Server Hjälp.
Begär lösenord för värdbaserade filer
Se till att alla värdbaserade databaser begär att en klient anger ett konto och lösenord. Följande typer av databaser är osäkra:
- Databaser som har ett gästkonto med behörighetsuppsättningen Fullständig behörighet.
- Databaser som har konton med Fullständig behörighet men utan lösenord.
- Databaser som har konton med Fullständig behörighet där lösenordet är lagrat i databasen (med dialogrutan Filtillval i FileMaker Pro och alternativet Logga in med).
Som standard förhindrar FileMaker Server osäkra databaser från att bli värdbaserade. Mer information finns i Säkerhetsinställningar för databasservern i FileMaker Server Hjälp. FileMaker Cloud kräver alltid lösenordsskydd för värdbaserade databaser.
När en FileMaker Pro-användare försöker att överföra en databas med hjälp av menyalternativet Överför till FileMaker Server validerar FileMaker Pro att databasen är lösenordsskyddad. Om värden kräver att databaser är lösenordsskyddade tillåter FileMaker Pro inte att ovannämnda typer av osäkra databaser överförs.
Visa loggfiler
När FileMaker Server och FileMaker Cloud körs loggar de serveraktivitet. Använd loggfilerna för att samla in information om klientåtkomst samt annan information som krävs för reglering och granskning.
Information om att visa loggar och poster i loggfiler finns i Visa loggfilsposter i FileMaker Server Hjälp och Ladda ner programvara och loggar (på engelska) i FileMaker Cloud Hjälp.
Koppla bort inaktiva användare
Ställ in en maxtid som FileMaker-användare kan vara inaktiva när de är anslutna till en fil som FileMaker Server eller FileMaker Cloud är värd för. Den här gränsen minskar risken för att en oövervakad dator eller mobil enhet kommer åt dina filer. Men se till att tiden för inaktivitet är tillräckligt lång så att användaren inte kopplas bort alltför ofta.
I FileMaker Pro öppnar du dialogrutan Ändra behörighetsuppsättning och markerar Koppla bort användaren från servern vid inaktivitet för varje behörighetsuppsättning du vill koppla bort när en användare är inaktiv. Eftersom du kan ange det här alternativet för varje behörighetsuppsättning kopplas vissa användare bort när de är inaktiva medan andra hela tiden är anslutna. I FileMaker Pro och FileMaker Go kopplas inaktiva användare inte bort om de har behörighetsuppsättningen Fullständig behörighet.
Läs mer om att ange inaktivitetstid i FileMaker-klientinställningar i FileMaker Server Hjälp och Ställa in tidsgränser för session (på engelska) i FileMaker Cloud Hjälp.
Ställa in säkerhetskopiering
Det är viktigt att säkerhetskopiera FileMaker-lösningar för att förhindra dataförluster. Om data i en fil förstörs kan du återställa till säkerhetskopian.
Säkerhetskopiering i FileMaker Server
FileMaker Server erbjuder två typer av säkerhetskopiering: schemalagd och progressiv. Se till att du anger en säker fysisk plats för lagrade säkerhetskopior.
Med schemalagd säkerhetskopiering kontrollerar FileMaker Server om data har ändrats sedan den senaste säkerhetskopieringen. Därefter skapas en fullständig kopia av alla databas- och containerdata som har ändrats.
Med progressiv säkerhetskopiering skapar FileMaker Server två fullständiga säkerhetskopior i mappen för progressiv säkerhetskopiering av alla värdbaserade databaser. Efter det angivna tidsintervallet tillämpas sedan eventuella ändringar i den senaste säkerhetskopian.
FileMaker Server sparar bara säkerhetskopior på lokala hårddiskar. Använd andra verktyg för att kopiera lokala säkerhetskopior om du vill ha säkerhetskopior på annan plats för katastrofåterställning.
Viktigt:FileMaker Server skapar katalogstrukturen för dessa säkerhetskopior. Om du vill arbeta med en säkerhetskopiefil ska du lämna originalfilen oförändrad i mappen för säkerhetskopior. Öppna aldrig den ursprungliga säkerhetskopiefilen med FileMaker Pro. Du ska inte heller redigera den eller flytta den från mappen för säkerhetskopior. Kopiera filen istället och arbeta bara med kopian.
Mer information finns i Beskrivning av säkerhetskopieringsalternativen i FileMaker Server Hjälp.
Säkerhetskopiering i FileMaker Cloud
FileMaker Cloud erbjuder säkerhetskopior som ögonblicksbilder av din lagringsenhet. De innehåller alla dina data, inklusive databaser, konfigurationer och loggar. Säkerhetskopieringen körs var tjugonde minut och FileMaker Cloud lagrar säkerhetskopiorna i en vecka.
Mer information finns i Arbeta med säkerhetskopior (på engelska) i FileMaker Cloud Hjälp.
Lägga till administratörer
Administratörsgrupper i FileMaker Server
Som serveradministratör kan du använda administratörsgrupper när du vill delegera databasadministrationsuppgifter till andra användare. Du behåller exklusiv och fullständig kontroll över FileMaker Server. Gruppadministratörer har inte behörighet att konfigurera FileMaker Server, och du anger vilka databasadministrationsuppgifter som gruppadministratörerna kan utföra.
Du kan använda extern autentisering för att verifiera identifieringsuppgifterna för användarna i administratörsgrupperna och för inloggning via Admin Console. Se Aktivera extern autentisering.
Mer information finns i Konfigurera inställningar för administratörsgrupper i FileMaker Server Hjälp.
Administratörer utanför rotnivån i FileMaker Cloud
Som rotadministratör kan du tillåta administratörer utanför rotnivån att logga in i FileMaker Cloud och hantera de flesta aspekter av FileMaker Cloud-instansen. Administratörer utanför rotnivån kan inte ändra andra administratörskonton, importera SSL-certifikat eller avsluta FileMaker Cloud-prenumerationen.
Mer information finns i Lägga till en autentiserad användare i FileMaker Cloud (på engelska) i FileMaker Cloud Hjälp.
Bestäm om du ska tillåta scriptsteget Utför script på server
Obs!Den här funktionen är inte tillgänglig i FileMaker Cloud.
Av prestandaskäl kan lösningsutvecklare designa FileMaker Pro-databaser så att de använder scriptsteget Utför script på server. Av säkerhetsskäl kan FileMaker Server-administratörer bestämma om Utför script på server ska vara tillåtet i värdbaserade lösningar.
Om du vill inaktivera användningen av Utför script på server ska du använda fliken Databasserver > FileMaker-klienter i FileMaker Server Admin Console. Där kan du ange Högsta antalet samtidiga scriptsessioner till 0 (noll). Alla värden över noll tillåter att scriptsteget Utför script på server används i värdbaserade lösningar.
Mer information finns i Klientinställningar för FileMaker i FileMaker Server Hjälp.
Aktivera plugin-program i FileMaker Server och FileMaker Cloud
Lösningsutvecklare kan designa FileMaker Pro-databaser att använda plugin-program på serversidan. Läs mer om att aktivera plugin-program i FileMaker Pro i Aktivera plugin-program.
Aktivera plugin-program för FileMaker Script Engine (FMSE) och Web Publishing Engine (WPE) i Admin Console. Den här inställningen gör att FileMaker-scriptmotorn kan använda externa plugin-program för funktioner.
I FileMaker Server Admin Console kan du tillåta att schemalagda scripts och scripts som körs med scriptsteget Utför script på server installerar, uppdaterar och läser in plugin-program. Det gör du genom att markera inställningen Tillåt att scriptsteget Installera Plug-in kan installera, uppdatera och läsa in plugin-filer på servern på fliken Databasserver > Server-plugin. Om vissa plugin-program kan vara en säkerhetsrisk lämnar du den här kryssrutan tom. När den här kryssrutan är tom kan du fortfarande manuellt installera plugin-program på servern. Du kan sedan använda fliken Databasserver > Server-plugin för att aktivera eller inaktivera plugin-program.
I FileMaker Cloud kan du installera plugin-program med scriptsteget Installera Plug-in.
Mer information finns i Inställningar för server Plug-In i FileMaker Server Hjälp och Hantera server-plug-in (på engelska) i FileMaker Cloud Hjälp.
Kontrollera att e-postmeddelanden är säkra
Om du använder fliken Allmänna inställningar > E-postmeddelanden i FileMaker Server Admin Console för att ange information om SMTP-konfigurationen för en e-postserver ska du verifiera säkerheten för den e-postservern. E-postservern ska alltid använda det senaste TLS-protokollet (Transport Layer Security) för kommunikation.
Mer information finns i Inställningar för e-postmeddelanden i FileMaker Server Hjälp.
Obs!E-post som skickas från FileMaker Cloud Admin Console använder alltid TLS.
Säkerhet för IT-professionella
Översikt
FileMaker-programvaran körs på datorerna och på nätverket. Klienter kan komma åt värdbaserade data via företagets intranät eller via internet. När du tittar på säkerheten för FileMaker-plattformen ska du även titta på säkerheten i din systemmiljö.
I följande avsnitt beskrivs hur du kan göra systemmiljön säkrare för FileMaker-plattformen.
Kontrollera den dator som kör FileMaker Server
Även om konton och behörighetsuppsättningar ger ett gott skydd av databasen är det inte en helt säker lösning. Om du använder FileMaker Server måste du skydda åtkomsten till filerna och informationen och inte bara förlita dig på behörigheterna i FileMaker Pro. Till exempel:
- Se till att dator, hårddiskar och lagringsmedier för säkerhetskopiering som innehåller databasfiler skyddas rent fysiskt. Placera till exempel datorn som kör FileMaker Server i ett låst rum.
- Om FileMaker Pro-databaser är lagrade på en dator som är delad i ett nätverk bör du använda säkerhetsinställningar och lösenord i operativsystemet för att se till att bara behöriga användare kommer åt mappar och filer.
- Ange att skärmsläckarfunktionen i operativsystemet ska kräva ett lösenord för att väcka datorn.
- Kör aldrig nätverkstjänster som en e-postserver på samma dator som FileMaker Server.
- Bekräfta att alla andra nätverkstjänster bara har stöd för högsta möjliga säkerhetsnivå, till exempel det senaste TLS-protokollet. Dessa nätverkstjänster bör inaktivera stöd för osäkra protokoll, till exempel SSLv2 och SSLv3.
Installera FileMaker Server-komponenter bakom brandväggen
FileMaker Server innehåller upp till tre komponenter:
- Databasserver
- Web Publishing Engine
- Webbservermodul
Du driftsätter dessa komponenter på huvuddatorn och kan lägga till ytterligare Web Publishing Engine- och Web Server-moduler på arbetsdatorerna. Du kan styra var varje dator är i förhållande till din brandvägg. Du kan till exempel välja att placera alla komponenter bakom brandväggen för att begränsa åtkomsten till LAN-nätverket. Om du placerar någon dator i driftsättningen bakom brandväggen måste du öppna de portar som används av FileMaker WebDirect i brandväggen för att göra FileMaker WebDirect tillgängligt över internet. Mer information finns i Portar som används av FileMaker Server.
Viktigt:Om du vill förbättra databaslösningens säkerhet, särskilt över internet, ska du använda en brandvägg på den offentliga sidan av en FileMaker Server-driftsättning och SSL för webbservern. Mer information finns i Ställa in SSL-kryptering
Se kapitel 1 i Installations- och konfigurationsguiden för FileMaker Server.
Ställa in SSL-kryptering
Kryptera de data som skickas mellan FileMaker Server eller FileMaker Cloud, FileMaker-klienter och ODBC- och JDBC-program med hjälp av SSL-teknik. Ett SSL-certifikat är en datafil som tillhandahålls av ett certifieringsinstitut (CA). Den identifierar digitalt avsändaren, mottagaren eller båda parter för en säker transaktion. SSL-certifikat installeras på datorer som kör FileMaker-program för att ge säkra kopplingar mellan FileMaker Server eller FileMaker Cloud och FileMaker-klienter.
SSL-kryptering är särskilt viktigt om klienter kommer åt dina värdbaserade data via internet. Om du inte använder kryptering kan dina data komma att visas av programvara som övervakar ditt nätverk.
Läs mer om att aktivera SSL-kryptering i Skydda dina data i FileMaker Server Hjälp. SSL-kryptering är aktiverat som standard i FileMaker Cloud.
Kommentarer
- Dela aldrig samma SSL-certifikat mellan en FileMaker Server-dator och en dator som kör mindre säkra nätverkstjänster, till exempel en e-postserver.
- Använd aldrig samma privata nyckel för att generera flera SSL-certifikat som används på olika datorer, till exempel en FileMaker Server och en e-postserver. En lyckad attack mot e-postservern kan skada alla andra certifikat som använder samma privata nyckel.
- I en FileMaker Server-driftsättning med flera datorer använder du ett SAN-certifikat (Subject Alternative Name) eller ett certifikat med jokertecken på huvud- och arbetsdatorerna. Annars kräver varje dator i driftsättningen ett SSL-certifikat som matchar det unika värdnamnet.
Se Lista över SSL-certifikattyper som stöds och leverantörer för FileMaker-plattformen i FileMaker Knowledge Base.
Om standardcertifikatet i FileMaker Server
FileMaker Server tillhandahåller ett SSL-certifikat i standardnivå som är signerat av FileMaker, Inc. Det verifierar inte servernamnet.
Viktigt:FileMakers standardcertifikat är endast avsett att användas för testning. För produktion krävs ett eget SSL-certifikat.
Om standardcertifikatet i FileMaker Cloud
FileMaker Cloud tillhandahåller ett SSL-certifikat i standardnivå som utfärdats av certifikatorganisationen Comodo. Du kan förnya standardcertifikatet eller importera ett eget certifikat. Mer information finns i Importera SSL-certifikat (på engelska) i FileMaker Cloud Hjälp.
Aktivera HTTP Strict Transport Security
Om FileMaker Server har ett giltigt SSL-certifikat begränsar HTTP Strict Transport Security (HSTS) webbklienter till HTTPS-anslutningar. När en webbklient ansluter till FileMaker Server via HTTPS med HSTS förhindrar webbläsaren klienten från att använda en HTTP-anslutning för innehåll som FileMaker Server är värd för.
Läs mer om att aktivera HSTS i FileMaker Server i Säkerhetsinställningar för databasservern i FileMaker Server Hjälp.
Obs!HSTS är alltid aktiverat i FileMaker Cloud.
Testa för SSL-kryptering
Om du vill testa krypteringen mellan FileMaker Server eller FileMaker Cloud och FileMaker Pro- eller FileMaker Go-klienter ska du använda funktionen Get (AnslutningsStatus). Den returnerar ett värde på:
- 0 för ingen nätverksanslutning för den aktuella filen.
- 1 för en anslutning som inte är krypterad (FileMaker Server med SSL inaktiverat eller till en FileMaker Pro-värd).
- 2 för en anslutning som är krypterad men som SSL-certifikatet för FileMaker Server inte kan verifieras för. Det kan hända att du ansluter till en server som utger sig för att vara din faktiska destination, vilket kan äventyra konfidentiell information.
- 3 för en anslutning som är krypterad med ett verifierat SSL-certifikat.
Du kan till exempel skriva ett script som körs när en fil öppnas och som meddelar användaren om anslutningen till FileMaker Server inte är säker.
Användaren kan se en låsikon i dialogrutan Öppna filnamn längst upp till höger i FileMaker Pro eller på skärmen Öppnar fil i FileMaker Go.
- motsvarar det att Get (AnslutningsStatus) returnerar 1.
- motsvarar det att Get (AnslutningsStatus) returnerar 2.
- motsvarar det att Get (AnslutningsStatus) returnerar 3.
Obs!Om klienten använder serverns IP-adress istället för det helt kvalificerade värdnamnet kanske de ser en krypterad anslutning där SSL-certifikatet för FileMaker Server inte kan verifieras. För att visa en krypterad anslutning med ett verifierat SSL-certifikat ska dina klienter lägga till det helt kvalificerade värdnamnet som favoritvärd i Startcenter.
Java-säkerhet
FileMaker Server och FileMaker Cloud kräver en lägsta uppdatering av Java Runtime Environment. Om den minimiversionen inte är tillgänglig när FileMaker Server installeras kommer installationsprogrammet för FileMaker Server att ordna det. I FileMaker Cloud är den Java-versionen installerad när du skapar din FileMaker Cloud-instans.
Det publiceras ofta säkerhetsuppdateringar för Java på webbplatsen java.com. Uppdateringar för FileMaker Server och FileMaker Cloud kan innehålla Java-uppdateringar men det läggs upp uppdateringar oftare på java.com.
FileMaker Knowledge Base innehåller en artikel som heter FileMaker Server and Java. Där finns en lista över vilken version av Java som det rekommenderas att du använder med FileMaker Server. Innan du uppdaterar Java på den dator där FileMaker Server är installerat ska du gå igenom informationen i den här artikeln. Om du stöter på problem efter att du har tillämpat en uppdatering i Java tar du bort den och går tillbaka till den lägsta version som krävs för FileMaker Server.
PHP-säkerhet
För Anpassad webbpublicering med PHP måste du installera PHP på den dator där FileMaker Server finns. När du installerar FileMaker Server kan du välja om du vill installera den version av PHP som stöds av FileMaker eller om du vill använda en egen PHP-motor.
Det publiceras ofta säkerhetsuppdateringar för PHP på webbplatsen php.net. FileMaker Server-uppdateringar kan innehålla PHP-uppdateringar men det läggs upp uppdateringar oftare på php.net. Om du vill uppdatera PHP oftare ska du installera och upprätthålla en egen PHP-motor.
Om du har en egen PHP-motor måste du manuellt installera FileMaker API för PHP om du ska kunna använda Anpassad webbpublicering med PHP. Mer information finns i FileMaker Server Guide för anpassad webbpublicering.
Obs!FileMaker Cloud stöder inte Anpassad webbpublicering och använder inte PHP.
Byta ut den webbserversida som är standard
FileMaker Server använder en standardwebbsida för FileMaker databasserver. Den här sidan innehåller ingen säkerhetsinformation om din server men den visar att servern kör FileMaker Server. Klienter kan visa standardsidan som följande URL:er:
- http://[värd]
- https://[värd]
där [värd] är IP-adressen eller domännamnet på huvuddatorn i din FileMaker Server-lösning.
Om du vill byta ut den här standardsidan ska du ersätta filen "index.html" som finns på huvuddatorn på följande platser:
- Windows: [enhet]:\Program Files\FileMaker\FileMaker Server\HTTPServer\conf\index.html
- macOS (för HTTP): /Library/FileMaker Server/HTTPServer/htdocs/index.html
- macOS (för HTTPS): /Library/FileMaker Server/HTTPServer/htdocs/httpsRoot/index.html
Övrigt om säkerhet
Tillämpa uppdateringar regelbundet
Programuppdateringar för FileMaker-produkter kan innehålla säkerhetsförbättringar. Installera uppdateringar så att ditt FileMaker-program är så säkert som möjligt. Mer information finns i Säkerhetsuppdateringar för FileMaker i FileMaker Knowledge Base.
Använd starka lösenord
FileMaker-plattformen använder lösenord för autentisering i flera områden. FileMaker Server och FileMaker Cloud kräver lösenord för administratörskonton. Med FileMaker Pro kan du definiera kontolösenord och krypteringslösenord. Använd starka lösenord. När du skapar ett lösenord analyseras det av FileMaker-programvaran och du informeras om lösenordsstyrkan.
När det gäller kontolösenord kan du använda extern autentisering eller autentisering med OAuth-identitetsleverantör. Med extern autentisering hanterar du lösenord med Active Directory i Windows eller Open Directory i macOS. Du lagrar alltså inte lösenorden i FileMaker-programvara. Om du använder autentisering med OAuth-identitetsleverantör hanterar du lösenord med hjälp de OAuth-identitetsleverantörer som stöds, till exempel Amazon eller Google. Mer information finns i Ställa in extern autentisering och Ställa in autentisering via OAuth-identitetsleverantör.
Testa säkerhetsinställningar
När du har gjort klart inställningarna i Säkerhetsfunktioner i FileMaker kan du testa säkerheten för din lösning.
- Ställ in ett testkonto för varje behörighetsuppsättning. Gör dessa konton aktiva för testning och inaktiva för produktion.
- Definiera en kontrollista över funktioner att testa. Gå stegvis igenom kontrollistan med varje testkonto.
- Dokumentera resultaten.
- Upprepa testningen när nya funktioner läggs till.
Utvärdera ständigt säkerhetsimplementeringar så att du kan vara säker på att dina data är skyddade. Verifiera att användarna har de senaste och säkraste versionerna av operativsystemet och FileMaker-programvaran.
Följa regelkraven
Det är ditt ansvar att du fullt ut förstår säkerhetskraven och vidtar lämpliga åtgärder.
Utöver de riktlinjer som beskrivs här kan det finnas ytterligare åtgärder som du behöver vidta, beroende på interna eller reglerande krav (COBIT, HIPAA, ISO, PCI, NIST, FIPS och så vidare).
- Om du behöver kryptera all nätverkstrafik ska du slå på SSL i FileMaker Server och sedan konfigurera SSL för program och externa servrar som kommunicerar med FileMaker Server eller FileMaker Cloud.
- Om du har de lägsta kraven för lösenord ska du använda en extern autentiseringsserver.
- Om du behöver ett granskningsspår kan du bygga ett med tabeller och scripts i FileMaker Pro. För mer komplexa krav bör du överväga att använda ett köpt plugin-program för granskning.
- Windows: Eftersom FileMaker Server förlitar sig på Windows när det gäller att hantera SSL ska du installera de senaste säkerhetsuppdateringarna för Windows.
Informera användarna
Tillhandahåll dokumentation i en layout i din lösning eller på en webbsida där du förklarar för användarna hur de interagerar med lösningen på ett säkert sätt. Ta med information om konton, lösenord, hur man ansluter säkert till FileMaker Server eller FileMaker Cloud, hur man använder funktioner och scripts samt andra säkerhetsfrågor eller -krav för lösningen.
Fler resurser
Snabbguider för rutinmässiga uppgifter
För att | Besök |
---|---|
Hantera konton, behörighet, utökad behörighet eller filåtkomst | FileMaker Pro eller FileMaker Pro Advanced: Arkiv-menyn > Hantera > Säkerhet. |
Omedelbart hindra någon från att komma åt data | FileMaker Server Admin Console:
FileMaker Cloud Admin Console:
FileMaker Pro eller FileMaker Pro Advanced:
Om användaren har åtkomst via en extern autentiseringsgrupp tar du bort användaren från den externa autentiseringsgruppen. Du kan även inaktivera användarens konto i den externa autentiseringsservern. I akutsituationer ska du stänga filen så att inte alla kommer åt den. |
Tvinga en användare att ändra sitt lösenord | FileMaker Pro eller FileMaker Pro Advanced:
Obs! Du kan även skriva ett script som tvingar fler än en användare att göra detta. Om användaren har åtkomst via extern autentisering hanterar du den personens lösenord via din Active Directory- eller Open Directory-server. |
Visa loggfiler | FileMaker Server Admin Console: Välj informationsrutan Loggbok. FileMaker Cloud Admin Console:
|
Typer av kryptering som används av FileMaker
FileMaker krypterar data på olika sätt beroende på hur de lagras eller skickas. Den här tabellen innehåller de chiffreringstyper som används när FileMaker krypterar data.
Tillval | Chiffreringstyp |
---|---|
Kontolösenord | Envägshash |
Lösenord för Admin Console | Envägshash |
Databaskryptering | AES-256 CBC-läge |
SSL/TLS 1.2
|
Obs! Med SSL är chiffreringssättet beroende av värd- och klientförhandlingen så det kan vara CBC eller GCM (eller andra i framtiden). |
Säker lagring av containerdata (med databaskryptering inaktiverat) | AES-128 CBC-läge |
Säker lagring av containerdata (med databaskryptering aktiverat) | AES-256 CBC-läge |
Portar som används av FileMaker Server
Se Portar som används av FileMaker Server i FileMaker Knowledge Base.