Teams

Schnellstart

Diese kurze Kurzanleitung für Unternehmensadministratoren bietet Ihnen die beste Lösung für die Einrichtung von Boxcryptor. Auf diese Weise können Sie Synchronisationsprobleme oder lange Wartezeiten während der Verschlüsselung vermeiden. Sie können den Leitfaden hier herunterladen:

  • Best Practice Guide für Administratoren: Download PDF (deutschsprachig)
  • Quickstart Guide für Company User: Download PDF (deutschsprachig)
  • Quickstart für Windows und Dropbox (für Boxcryptor Administratoren): Download PDF (deutschsprachig)

Aber zuerst ein paar Tipps zur Sicherheit Ihrer Daten:

  • Stellen Sie sicher, dass auf Ihre Cloud zugegriffen werden kann.
  • Für Ihren ersten Test empfehlen wir die Verwendung einiger Dummy-Dateien, um herauszufinden, wie alles funktioniert.
  • Beachten Sie, dass das Verschlüsseln und Migrieren der Daten Ihres Unternehmens ein oder zwei Tage dauern kann, je nachdem, wie viele Daten Sie verarbeiten.

Jetzt können Sie loslegen. Das Befolgen der nächsten Schritte in der richtigen Reihenfolge ist wichtig, um sicherzustellen, dass Boxcryptor so schnell wie möglich und optimal funktioniert.

Schritt 1: Gehen Sie zu boxcryptor.com und richten Sie Ihr Firmenadministratorkonto ein:

  • Melden Sie sich mit Ihrem Admin-Konto bei an boxcryptor.com
  • Machen Sie sich mit den allgemeinen Funktionen, insbesondere den verfügbaren Richtlinien der Boxcryptor Company, vertraut.
  • Legen Sie die beiden wichtigsten Boxcryptor-Unternehmensrichtlinien fest:
    • Deaktivieren Sie das Zurücksetzen des Kontos, um Datenverlust zu vermeiden und die Kontrolle zu behalten.
    • Firmenschlüssel (nur wenn der Firmenschlüssel aktiviert ist, können Sie Kennwörter zurücksetzen, wenn jemand in der Firma dies vergisst, was leider sehr wahrscheinlich ist).

Schritt 2: Erstellen Sie alle erforderlichen Gruppen, fügen Sie jedoch noch keine Mitglieder hinzu.

Schritt 3: Erstellen Sie Ihre Ordnerstruktur mit verschlüsselten Ordnern. Teilen Sie es noch nicht und legen Sie zu diesem Zeitpunkt keine Daten in den Ordnern ab.

Schritt 4: Gewähren Sie alle erforderlichen Boxcryptor-Berechtigungen für diese leeren Ordner. Entscheiden Sie jetzt, welche Gruppen auf welche Ordner zugreifen dürfen. (Beachten Sie, dass alle festgelegten Berechtigungen für verschlüsselte Ordner automatisch an die Unterordner und Dateien vererbt werden. Alle Dateien und Ordner haben dieselben Berechtigungen wie der übergeordnete Ordner).

Schritt 5: Jetzt ist es Zeit, alle Ihre unverschlüsselten Daten in diese Ordner zu legen.

Schritt 6: Erstellen Sie neue Konten oder laden Sie Ihre Mitglieder über boxcryptor.com zu Ihrem Team ein. Stellen Sie sicher, dass Sie jedem Boxcryptor-Benutzer in Ihrem Team die individuell erstellten temporären Passwörter zur Verfügung stellen.

Schritt 7: Ordnen Sie alle Mitglieder ihrer Boxcryptor-Gruppe(n) zu.

Schritt 8: Gehen Sie zu Ihrem Cloud-Anbieter und teilen Sie die verschlüsselten Daten dort mit Ihren Teammitgliedern. Dieser Schritt ist erforderlich, da Sie bisher nur die Berechtigung zum Zugriff auf die verschlüsselten Daten in Boxcryptor freigegeben haben. Jetzt müssen Sie die Daten auch physisch bei Ihrem Cloud-Anbieter freigeben.

Herzlichen Glückwunsch, Sie sind jetzt fertig.

Nutzer

Benutzer verwalten

Mit einem Unternehmenskonto können Sie 5, 10, 20, 50 oder sogar 10.000 Benutzer haben. Sie können sie auf der Seite Users verwalten.

Der Benutzerstatus wird oben auf der Seite angezeigt (er gibt die Anzahl der verfügbaren und verwendeten Benutzer an). Unterhalb dieses Abschnitts finden Sie die Benutzerübersicht, in der Sie eine Liste Ihrer Benutzer sehen. Hier können Sie Benutzer bearbeiten oder aus Ihrem Unternehmen entfernen.

In der Mitte können Sie Ihrem Unternehmen neue Benutzer hinzufügen, indem Sie deren E-Mail-Adresse eingeben. Wenn Sie mehr als einen Benutzer erstellen möchten, können Sie z.B. eine durch Kommas getrennte Liste von E-Mail-Adressen eingeben, z.:

john.doe@awesome-company.com, max.mustermann@awesome-company.com, jayne.doe@awesome-company.com

Wenn der Benutzer noch kein Boxcryptor-Konto hat, erhält er eine E-Mail mit den Kontoinformationen und einem temporären Passwort. Wenn der Benutzer bereits über ein Boxcryptor-Konto verfügt, erhält er eine E-Mail mit einem Bestätigungslink, um dem Unternehmen beizutreten. Der Benutzer muss Ihre Einladung annehmen, indem er auf den Bestätigungslink klickt, bevor er zu Ihrem Unternehmen hinzugefügt wird.

Einen eizelnen Benutzer verwalten

Wenn Sie bei einem einzelnen Benutzer auf Bearbeiten klicken, wird die Seite mit den Benutzerdetails angezeigt, auf der Sie die Benutzerdetails anzeigen und bearbeiten können.

Eigenschaften

Firmenschlüssel

Wenn der Firmenschlüssel für Ihr Unternehmen aktiviert ist, gibt dieses Feld an, ob der Hauptschlüssel für den angegebenen Benutzer aktiv ist. Der Benutzer muss sein Passwort mindestens einmal ändern, nachdem der Hauptschlüssel aktiviert wurde, um für einen bestimmten Benutzer aktiv zu werden. Nur wenn der Firmenschlüssel für einen Benutzer aktiv ist, kann er verwendet werden, um auf die verschlüsselten Dateien des Benutzers zuzugreifen oder sein Kennwort zurückzusetzen. Mögliche Werte sind:

  • Aktiv Auf die Dateien des Benutzers kann mit dem Firmenschlüssel zugegriffen und das Kennwort des Benutzers zurückgesetzt werden.
  • Inaktiv Auf die Dateien des Benutzers kann nicht zugegriffen werden, und sein Kennwort kann nicht zurückgesetzt werden. Der Benutzer muss sich bei Boxcryptor anmelden und sein Passwort ändern, um den Firmenschlüssel zu aktivieren.
Passwort abgelaufen

Wenn dieses Feld aktiviert ist, muss der Benutzer sein Boxcryptor-Passwort bei der nächsten Anmeldung ändern.

Aktiviert

Wenn ein Benutzer aktiviert ist, kann er Boxcryptor regelmäßig verwenden. Wenn ein Benutzer deaktiviert ist, kann er Boxcryptor nicht mehr verwenden und verwendet eine Lizenz, d. h., rr wird nicht auf Ihre Lizenzquote angerechnet. Dies kann verwendet werden, um Benutzerkonten (z. B. für Berater, Praktikanten) vorübergehend zu deaktivieren, ohne sie entfernen oder löschen zu müssen.

Benutzerpasswort zurücksetzen

Wenn der Firmenschlüssel aktiv ist, können Sie mit der Schaltfläche Nutzerkennwort zurücksetzen das Kennwort des Benutzers zurücksetzen:

  1. Entsperren Sie den Firmenschlüssel
  2. Kopieren Sie das neue temporäre Passwort
  3. Bestätigen Sie mit Ihrem eigenen Passwort
  4. Senden Sie das neue temporäre Kennwort über einen sicheren Kanal (z. B. verschlüsselte E-Mail) an den Benutzer.

Benutzer entfernen oder löschen

Mit der Schaltfläche Entfernen haben Sie zwei Möglichkeiten:

  • Benutzer löschen Das Benutzerkonto und die zugehörigen Schlüssel werden dauerhaft gelöscht. Alle verbundenen Geräte und Websitzungen werden gelöscht und der Benutzer kann sich nicht mehr anmelden und seine verschlüsselten Dateien entschlüsseln.
  • Benutzer entfernen Der Benutzer wird nur aus Ihrer Firma entfernt. Er wird auf Boxcryptor Free heruntergestuft und kann Boxcryptor weiterhin verwenden, d. H. Er kann sich wie zuvor anmelden und auf seine verschlüsselten Dateien zugreifen.

Geräte und Websitzungen

Unten sehen Sie alle Geräte, die mit diesem Benutzerkonto verbunden sind, und können die Verknüpfung aufheben (wenn beispielsweise der Laptop eines Mitarbeiters gestohlen wird, können Sie die Verknüpfung aufheben, um den unbefugten Zugriff auf die verschlüsselten Daten zu verhindern). Wenn eine Verbindung zu einem Gerät oder einer Websitzung getrennt wurde, wird der Benutzer bei der nächsten Verbindung mit den Boxcryptor-Servern remote abgemeldet.

Benutzerverzeichnis

Sie können Ihre Boxcryptor-Benutzer manuell mit einem vorhandenen Active Directory- oder LDAP-Verzeichnis synchronisieren. Alternativ können Sie Boxcryptor auch mit Ihrem Dropbox for Business-Konto verbinden, um Ihre Dropbox-Benutzer mit Boxcryptor zu synchronisieren. Wenn Sie Ihre Benutzer synchronisieren, werden Boxcryptor-Konten nach Bedarf erstellt, gelöscht oder entfernt. Sie können wählen, ob ein Boxcryptor-Konto gelöscht oder nur aus Ihrem Unternehmenskonto entfernt werden soll, wenn es nicht mehr benötigt wird.

Active Directory & LDAP

Wenn Sie Ihre Benutzer in Ihrer Organisation mit einem Active Directory oder LDAP verwalten, können Sie diese Benutzer einfach in Boxcryptor importieren. Bedarf:

  • Lesezugriff auf Ihr Verzeichnis
  • Active Directory- oder LDAP-Server, die von unseren Servern aus erreichbar sind

Klicken Sie hier, wenn Sie unsere IP-Adressen benötigen ...

Wenn sich Ihr Active Directory- oder LDAP-Server hinter einer Firewall befindet, listen Sie bitte unsere IP-Bereiche auf, damit unsere Server Ihr Verzeichnis abfragen können. Die IP-Bereiche sollten ziemlich stabil sein, können sich aber im Laufe der Zeit ändern. Die aktuellen IP-Bereiche sind:

136.243.125.192/28 148.251.224.96/28 188.40.161.192/28

Um Boxcryptor mit Ihrem Benutzerverzeichnis zu konfigurieren, klicken Sie auf die Schaltfläche Setup LDAP. Jetzt können Sie den Zugriff auf Ihr Benutzerverzeichnis mithilfe allgemeiner Active Directory / LDAP-Eigenschaften konfigurieren:

  • Server Address: Vollqualifizierter URI für Ihren Verzeichnisserver. LDAP- und LDAPS-Protokolle werden unterstützt. Example: ldap://server.company.com:389/
  • User Base: Ausgangspunkt für die Benutzersuche. Example: dc=company,dc=com
  • User for authentication: Benutzer, mit dem eine Verbindung zu Ihrem Benutzerverzeichnis hergestellt wird. Muss über Leserechte verfügen. Example: cn=Administrator,cn=Users,dc=company,dc=com
  • Password for authentication: Passwort, mit dem die Verbindung zu Ihrem Benutzerverzeichnis hergestellt wird.
  • Search String: Benutzer, die von dieser Suchzeichenfolge zurückgegeben werden, werden mit Boxcryptor synchronisiert. Example: (objectClass=user)
  • Search Base: Basis für die Suchzeichenfolge. Example: cn=users
  • Field of Firstname: Dieses Benutzerverzeichnisfeld wird dem Vornamen der Boxcryptor-Konten zugeordnet Example: givenname
  • Field of Lastname: Dieses Benutzerverzeichnisfeld wird dem Nachnamen der Boxcryptor-Konten zugeordnet Example: sn
  • Field of Email: Dieses Benutzerverzeichnisfeld wird der E-Mail von Boxcryptor-Konten zugeordnet Example: userprincipalname
  • Deletion Procedure: Wenn ein Boxcryptor-Konto nicht mehr in Ihrem Benutzerverzeichnis vorhanden ist, wird es entweder gelöscht, entfernt oder deaktiviert.

Dropbox für Business

Um Boxcryptor mit Ihrem Dropbox für Business-Konto zu verbinden, klicken Sie auf die Schaltfläche Setup Dropbox for Business gefolgt von der Schaltfläche Connect auf der nächsten Seite. Falls noch nicht geschehen, müssen Sie sich bei Ihrem Dropbox-Konto anmelden und Boxcryptor Zugriff auf Ihr Dropbox for Business-Konto gewähren.

Benutzer importieren

Nachdem Sie Ihr Benutzerverzeichnis oder Ihr Dropbox für Business-Konto eingerichtet haben, können Sie Ihre Benutzer importieren. Es wird dringend empfohlen, zuerst die Option Dry run festzulegen, mit der Sie eine Vorschau erhalten, was beim Importieren Ihrer Benutzer geschieht. Bei einem Probelauf sehen Sie, welche Boxcryptor-Konten erstellt werden, welche Benutzer zu Ihrem Unternehmen eingeladen werden oder welche Boxcryptor-Konten gelöscht werden. Wenn Sie der Meinung sind, dass alles in Ordnung ist, können Sie das Kontrollkästchen "Probelauf" entfernen, und die Änderungen werden in die Datenbank geschrieben. Wenn Sie Ihre Benutzer zu einem späteren Zeitpunkt erneut synchronisieren müssen, starten Sie den Importvorgang einfach erneut.

Richtlinien

A company can define a set of policies (rules) which applies to their users (e.g. minimum password length). A policy can be applied to all users and it is possible to include or exclude specific users.

Available Policies

Access

  • Restrict sign in to specific countries A user can only sign in to his account from specific countries. If you do not only want to restrict the sign in, take a look at the "Restrict use to specific countries" policy. Tip: We recommend to exclude your own user from the policy while you are setting the policy up and testing it.
  • Restrict sign in to specific ip addresses A user can only sign in to this account from IP addresses which match the regular expression specified in the "Value" field. If you do not only want to restrict the sign in, take a look at the "Restrict use to specific ip addresses" policy. Tip: We recommend to exclude your own user from the policy while you are setting the policy up and testing it. Example Value: ^123.123.123.(1(0-9)|200)$
  • Restrict use to specific countries A user can use Boxcryptor only in specific countries. If a user is connected from any other country, he will be signed out and will not be able to sign in. If you do not want to restrict signed in users, take a look at the "Restrict sign in to specific countries" policy. Tip: We recommend to exclude your own user from the policy while you are setting the policy up and testing it.
  • Restrict use to specific ip addresses A user can use Boxcryptor only from an IP address which matches the regular expression specified in the "Value" field. If a user is connected from any other IP address, he will be signed out and will not be able to sign in. If you do not want to restrict signed in users, take a look at the "Restrict sign in to specific ip countries" policy. Tip: We recommend to exclude your own user from the policy while you are setting the policy up and testing it. Example Value: ^123.123.123.(1(0-9)|200)$

Account

  • Disable auditing Do not store any auditing information. This only applies to new auditing data - existing auditing data will not be deleted.
  • Disallow account reset Disallow users to reset their account.
  • Disallow key export Disallow your users from exporting their account data.

Devices

  • Maximum number of devices A user can only be connected to a maximum number of devices at the same time. Please enter the maximum number of devices in the "Value" field. Example Value: 5

Encryption

  • Disallow filename encryption Filename encryption is forbidden and cannot be enabled.
  • Require encryption Encryption is obligatory and every new file will automatically be encrypted. Important: This policy only removes the ability to create unencrypted files or to e.g. decrypt files via the context menu. If the user really wants to permanently decrypt a file, he might be able to find ways to do so.
  • Require filename encryption Filename encryption is obligatory and cannot be disabled.

Features

  • Master key The password key of a user is additionally encrypted with the master key and stored. This grants the company administrator access to the private key of a user and thus all encrypted files to which the user has access. You have to generate the master key in Boxcryptor for Windows or Boxcryptor for Mac and paste it into the "Value" field.

Groups

  • Disallow to create groups A user may not create any new group.
  • Disallow to join groups A user may not join any group.
  • Disallow to leave groups A user may not leave any group.

Using all three group policies, users can effectively be prevented from modifying groups. If administrators are excluded from the policies, only administrators can manage groups of their company.

Locations

  • Allow Locations A user may only use the locations which are specified here. Locations can either be provider specific or use a custom path on a selected platform. Note: This policy only works on Windows and macOS devices.
  • Maximum number of locations A user can only have a maximum number of locations (Desktop) or providers (Mobile) configured at the same time. Example Value: 2
  • Require Locations A user must have the locations which are specified. Locations can either be provider specific or use a custom path on a selected platform. Note: This policy only works on Windows and macOS devices.

Multifactor

  • Disallow two-factor authentication using authenticator apps Boxcryptor supports two-factor authentication using the Time-based One-Time Password (TOTP) algorithm. Users are not allowed to setup an authenticator app for their accounts and any existing authenticator app will be disabled.
  • Require two-factor authentication using authenticator apps Boxcryptor supports two-factor authentication using the Time-based One-Time Password (TOTP) algorithm. Users are forced to setup an authenticator app for their accounts and enter an additional security code when signing in. Users will not be able to sign in to any Boxcryptor client until they setup an authenticator app.
  • Require two-factor authentication using Duo Boxcryptor supports two-factor authentication using Duo. A user is forced to approve his sign in with a second factor, e.g. his mobile device.

Password

  • Disable remember password A user cannot use the "Remember password" feature and has to enter his password every time the Boxcryptor software starts.
  • Minimum password length New passwords must have a minimum number of characters. Please enter the minimum number of characters in the "Value" field. Example Value: 12

Permissions

  • Disallow to modify permissions A user may not modify any permission of encrypted files or folders.

Using this policy, users can be prevented from modifying permissions. If administrators are excluded from this policy, only administrators can manage file and folder permissions.

Firmenschlüssel

The Master Key is one of the most important Boxcryptor Company and Boxcryptor Enterprise features. If enabled, the Master Key gives you the power to decrypt every file which is accessible by users of your company or resetting your users' passwords - without having to know them. With the Master Key, you are protected against the loss of access to your property (your files) even in complicated situations (e.g. when a user forgets his password or leaves the company).

Set up the Master Key

You will lose access to the Master Key if you forget your Master Key password. We are not able to restore it because Boxcryptor is zero knowledge.

  1. Go to boxcryptor.com.
  2. Navigate to Security and start the setup procedure.

After the Master Key has been set up, every user will be forced to change their password the next time they sign in to Boxcryptor in order to activate the Master Key for the user.

Each user has to change his password in order to activate the Master Key for his account. The Master Key is inactive and unusable for a user until he changed his password.

Use the Master Key

When the Master Key is set up and activated, it can be used to reset a user's password or access the user's encrypted files in emergency situations.

Reset a user's password

  1. Go to boxcryptor.com.
  2. Navigate to Users and edit a user.
  3. Verify that the Master Key is active.
  4. Click on Reset user password.

Access your users' encrypted files

  1. Use Boxcryptor for Windows or Boxcryptor for macOS.
  2. Open Settings or Preferences.
  3. Select the Account tab.
  4. Click on Unlock.
  5. Enter your Master Key Password.
  6. Get physical access to the encrypted files
  7. Access any encrypted file which can be decrypted by any of your users with an active Master Key.

The Master Key gives you access to the user's private key so that you can decrypt files which also the user can decrypt. If the user cannot decrypt a file because he currently does not have the necessary permission, you also cannot decrypt the file. The Master Key gives you access to all files your users currently have access to, not to any file ever created by your users if they do not have access anymore.

If you delete a user, the user's private key will be deleted and you will permanently lose access to files which can only be access by this user - even if the Master Key is active. If you want the ability to access a user's files in the future, it is recommended to disable a user instead.

Aktivitäten

Activities allow administrators to monitor user activitites by logging and recording events related to users, devices, groups and policies. You can filter by date and user as well as setting a maximum number of actvitites. An activity contains the following information:

  • Date / time
  • Activity type
  • Short description
  • Country

Deployment

Click on the appropriate icon at the top to see instructions for the different platforms.

Besides users being able to install Boxcryptor on their devices with administrator rights, Boxcryptor administrators can also roll-out and deploy Boxcryptor for their users.

Deployment through GPO

Boxcryptor can be deployed comfortably within a company network by means of group policies. The basic steps for this process are described in this tutorial.

There are, however, a couple of necessary modifications of the process described in the tutorial. This is due to the fact that the Boxcryptor installer is multi-language, and cannot be deployed over group policy without modification.

Prerequisites: Microsoft Orca is required to modify the Boxcryptor installer. It is a tool that allows modification of existing MSI package files and can be downloaded here. Unpack it with a tool such as WinRar and use the embedded orca.msi to install Microsoft Orca.

  1. Download the current version of Boxcryptor from here.
  2. Open Microsoft Orca and open the Boxcryptor Setup MSI package.
  3. Select View -> Summary Information….
  4. Remove all entries in Language except 1033.
  5. Click OK.
  6. Save the installer using File -> Save.

The installation might still fail due to different language settings on your client. In this case, make sure to ignore languages during installation:

  1. Open the Group Policy Management Editor.
  2. Navigate to the Boxcryptor deployment package.
  3. Right-click it -> Properties.
  4. Navigate to Deployment -> Advanced.
  5. Make sure that Ignore language when deploying this package is checked.

If the installation still fails, try the following steps:

  • Open the Group Policy Management Editor, navigate to Computer Configuration -> Policies -> Administrative Templates -> System -> Group Policy and increase the Startup policy processing wait time.
  • Open the Group Policy Management Editor and make sure that Make this 32-bit X86 application available on Win64 machines is checked (next to the Ignore language when deploying this package setting).

Custom Installer Flags

The Installer can be started with following flags:

  • CREATE_AUTOSTART_ENTRIES (default: "True"), set to "False" to avoid creating autostart entries for Boxcryptor.
  • CREATE_DESKTOP_SHORTCUT (default: "True"), set to "False" to avoid creating a desktop shortcut for Boxcryptor.
  • SHELLEXTLOGS (default: "False"), set to "True" to enable logging for the Explorer integration.

Use the flags like so:

<PATH\TO\INSTALLER.msi> [<FLAG>=<VALUE> [<FLAG>=<VALUE>]... ]
    VALUE :: "True"|"False"

Custom Settings location

Boxryptor will by default store it's user settings at %localappdata%\Boxcryptor

The destination can also be set using following methods:

  • Boxcryptor.exe.config (in the Boxcryptor installation directory): change CustomSettingsPath value.
  • HKLM Registry: Create a string value SettingsPath under HKEY_LOCAL_MACHINE\SOFTWARE\Secomba GmbH\Boxcryptor
  • HKCU Registry: Create a string value SettingsPath under HKEY_CURRENT_USER\Software\Secomba GmbH\Boxcryptor

Settings Priorization:

Boxcryptor.exe.config > HKLM > HKCU > default path at %localappdata%\Boxcryptor

We recommend to use environment variables such as %appdata% or %userprofile% so the settings are distinct between user profiles.

Sharing the same settings folder among multiple windows user profiles is not supported.