Pular para o conteúdo principal
Version: 3.21

Manual do Administrador de Operações

Task Manager

Em um cenário corporativo, é importante que se tome medidas para prevenir que o erro de um indivíduo acabe impactando no todo. A perda de uma senha de administrador compartilhada, por exemplo, podendo retirar o acesso de todas as pessoas a um servidor, ou até a execução de um comando incorreto que derrube um serviço e gere indisponibilidade para toda a empresa. Este tipo de caso deve ser evitado.

Através da sua funcionalidade de cofre de senhas, o senhasegura elimina os riscos relacionados ao compartilhamento de senhas de credenciais privilegiadas, senhas críticas fracas, obsoletas etc. Contudo, resta ainda o risco de um funcionário autorizado, com devido acesso a uma credencial administrativa, ao utilizar deste acesso para executar alguma tarefa em um dispositivo crítico do sistema, por acidente ou até má intenção, acabar realizando algum comando além do que deveria que acabe sendo prejudicial para o sistema.

Para entender melhor este cenário, vamos imaginar a seguinte situação: a empresa X possui um datacenter com servidores funcionando 24/7, com serviços essenciais para o negócio sendo executados nestes servidores. A empresa possui um time de TI operando também 24/7 para cuidar desta infraestrutura. Foi planejada uma manutenção para ocorrer durante a madrugada, horário em que o contingente operacional é menor e, portanto, é o mais adequado para esse tipo de manutenção. O funcionário que realizará a manutenção é um analista júnior que recebeu acesso a uma credencial administrativa no servidor para realizar a manutenção. A manutenção consiste em executar 3 comandos predefinidos no terminal e então reiniciar os serviços.

No dia da execução, o funcionário, por inexperiência, acaba errando um dos comandos necessários e, ao reiniciar os serviços, ele descobre que estes deixaram de funcionar. Naquele momento, não há nenhum analista sênior de plantão e a indisponibilidade acaba durando horas, gerando um grande prejuízo à organização.

Para lidar com este tipo de problema, o senhasegura desenvolveu o Task Manager. Através desse módulo é possível programar comandos e até macros e permitir o acesso para que estes, e somente estes, sejam executados, sem que mais nada possa ser feito através da credencial administrativa utilizada para executá-los. Além disso, estas Tasks são executadas ao se clicar em botões, anulando assim o risco que comandos sejam inseridos de forma errada no sistema por falta de conhecimento ou até erros de digitação. Ademais, as funcionalidades de grupos de acesso, aprovações e auditoria do senhasegura se aplicam ao Task Manager, oferecendo assim todo o gerenciamento granular e monitoramento já conhecidos do senhasegura .

Neste capítulo abordaremos, em um primeiro momento, as configurações do Task Manager, como grupos de acesso, motivos para execução e Templates e, posteriormente, demonstraremos a visualização e execução das Tasks em si.

Entradas de Suporte

Dentro do senhasegura , as entradas de suporte são entidades que têm como objetivo auxiliar na organização e na segregação de políticas e permissionamento. Assim, além das regras por grupos de acesso, também é possível cadastrar ambientes e sistemas, de acordo com as necessidades da organização.

Além desses, é possível cadastrar Motivos para execução, com o objetivo de facilitar a organização e controle da execução de tarefas.

Ambientes e Sistemas

Os Ambientes atuam como uma entidade de segregação de regras e tarefas. Como exemplo, alguns clientes usam ambientes virtuais como Produção, Homologação e Legado para segregar a localização de seus sistemas. Eles podem ser registrados no menu Configurações ➔ Parâmetros do sistema ➔ Segmentação ➔ Ambientes.

Sistemas representam os sistemas em que as tarefas refletem suas ações, atuando também como uma entidade segregadora. Seu preenchimento é de livre escolha do cliente. Como exemplo, sistemas como Pagamento, Fabricação, Monitoramento. Eles podem ser registrados no menu Configurações ➔ Parâmetros do sistema ➔ Segmentação ➔ Sistemas.

info

Não confunda Ambientes e Sistemas com Site, entidade registrada nos Dispositivos, que atua como um atributo segregador para Credenciais.

Motivos para execução

Esses motivos representam os fatores que levam uma tarefa a ser executada. Eles são usados na descrição de justificativas e pedidos de autorização. Como exemplo, você pode registrar Manutenção Programada, Manutenção Não Planejada, Monitoramento etc. Use o menu Task Manager ➔ Configurações ➔ Motivos para listar os motivos que você cadastrou e para incluir e edita-los.

Grupos de acesso

Os grupos de acesso do Task Manager são diferentes dos grupos de acesso de Credenciais. Portanto, o fato de um usuário ter acesso usando uma credencial em particular no Task Manager não garante acesso à mesma credencial para saque de senhas ou sessão proxy.

Através do menu Task Manager ➔ Configurações ➔ Grupos de acesso você poderá ter acesso a todos os grupos criados, poder criar um novo ou editar grupos que já existem.

Relatório de grupos de acesso do Task Manager

Cadastro de grupos de acesso

O formulário de cadastro de grupos de acesso segue o mesmo princípio do cadastro de grupos de acesso de Credenciais. Você irá configurar o fluxo de aprovação e possíveis ações na aba Configurações, cadastrar as segregações de acesso na aba Critérios, configurar os usuários que pertencem ao grupo na aba Usuários e listar os aprovadores na aba Aprovadores.

Configurações
Cadastro de grupos de usuário. Aba Configurações.
CampoDescrição
Nome do grupo de acessoNome do grupo de acesso
AtivoIndicador se o grupo estará ativo no senhasegura
Requer justificativa para executar tarefaIndicador se o usuário precisa justificar por que quer executar a tarefa
Requer aprovação para executar tarefaIndicador se uma aprovação será necessaria para autorizar a execução de uma tarefa
Aprovações necessárias para executarNúmero de aprovações necessárias para exeuctar a tarefa
Reprovações necessárias para cancelarNúmero de reprovações necessárias para que a execução seja cancelada
Aprovação em níveisIndica se o senhasegura irá envolver aprovadores nível por nível a medida que as aprovações sejam concedidas.
Usuário pode baixar arquivos resultantes da taskUsuários executores poderão fazer download do dos arquivos resultantes da execução.
Usuário deve fornecer motivo para baixar arquivos resultadas da taskUsuário deverá indicar por que quer fazer download dos arquivos resultantes da execução.
Obrigatório especificar código de governança ao justificar?Solicita ao usuário o número do ticket de manutenção vinculado
Sempre adicionar o gestor do usuário aos aprovadores?Indicador se o administrador do Departamento ao qual o usuário pertence será adicionado como aprovador no momento da solicitação.
Critério
Cadastro de grupos de usuário. Aba Critérios.
CampoDescrição
Dispositivos (sep. por vírgula)Hostname dos dispositivos considerados na segregação. Use o wildcard character * para criar um padrão.
AmbientesMarque quais Ambientes serão considerados na segregação
SistemasMarque quais Sistemas serão considerados na segregação
Usuários

Nesta aba você verá quais usuários admitiram as configurações deste grupo de acesso. Clique no botão Adicionar no rodapé para abrir a caixa de diálogo de usuários disponíveis. Clique no botão Remover para remover usuários desta relação.

Aprovadores

Nesta aba você verá quais usuários são considerados aprovadores deste grupo. Através da coluna Nível você indicará a estpa de aprovação em que este usuário será notificado. Use o mesmo botão no rodapé para gerenciar os participantes.

Templates de execução

Os Templates de execução consistem nos comandos em si que serão executados ao se realizar uma tarefa. Estes Templates podem ser cadastrados através do menu Execuções ➔ Configurações ➔ Templates. Cadastre os templates com o tipo "Task Manager".

Task Manager template
info

Veja o manual de "Execuções" para mais detalhes de como cadastrar um template.

Tasks

Através do menu Task Manager ➔ Tasks você poderá acessar todas as tarefas registradas, asim como os controles cadastrar uma nova tarefa e executar manutenções em tarefas já existentes.

Cadastro de task
Informações da task
CampoDescrição
Nome de identificação da taskNome da task
AmbienteAmbiente que a task pertence. Usado nos segreagadores de acesso.
SistemaSistema que a task pertence. Usado nos segreagadores de acesso.
TagsTags para controle.
Variáveis para execução (grid)

Variáveis são valores que podem ser usados em Templates de exeucção como valores substitutivos. Use os caracteres [# e #] para usar.

Como exemplo, se inserir uma variável LOREM com o valor Lorem ipsum dolor sit amet, pode ser usado no seguinte Template de Execução:

echo '\[#LOREM#\]' 

Quando for executado, a variavél de marcação será substituida por seu valor.

echo 'Lorem ipsum dolor sit amet' 
CampoDescrição
Nova variávelAdiciona uma nova entrada na lista de variáveis.
IdentificadorNome da variável. Este é o nome que deverá ser usado nos templates
ValorValor que irá recever a variável.
Credencial para execução

Voce deverá listar a Credencial que será usada para executar a task.

CampoDescrição
Utilizar uma credencial cadastrada para acessar todos os dispositivosIndicador para trocar entre a credencial cadastrada ou o username que está lincado ao dispositivo remoto.
Credencial de acesso cadastrada do sistemaPermite selecionar uma credencial existente para executar a task.
Username da credencialPermite que um username seja inserido. Uma credencial vinculada ao dispositivo que contém o nome de usuário desejado será usada.
Dispositivos para execução

Você deve selecionar em quais dispositivos a task será executada. Quando a execução da tarefa iniciar, cada dispositivo terá uma operação própria e apartada. Ou seja, cada dispositivo terá seu próprio log de execução. O sucesso ou falha da execução da tarefa em um dispositivo não impede ou afeta a execução no próximo dispositivo.

Executando Tasks e monitorando

Depois de todas as etapas de configuração e criação de tasks, usuários tem acesso para executar tasks a partir de atalhos no Desktop do usuário.

Aprovadores

Quando solicitado a execução, se essa ação exigir aprovação, os aprovadores serão notificados. E somente após sua aprovação a ação será executada. Você pode rastrear aprovações pendentes executadas a partir do menu Task Manager ➔ Minhas aprovações.

Execuções e Operações

A partir do menu Task Manager ➔ Execuções você poderá acessar todas as taks executadas. Se vocÊ desejar mais detalhes destas execuções, clique no botão de ação do relatório Visualizar operações.

Tasks executadas

Este relatório de operações, o qual pode também ser acessado através do menu Task Manager, Operações, demosntra o resultado das tasks em cada dispositivo em que foi atribuída. Clique no botão de ação do registro Detalhes para exibir os detalhes da execução.

Operações de Task por dispositivo
Detalhes de operação

Agendamento de execuções

Você pode agendar a execução de uma tarefa a partir do relatório de tarefas do menu Task Manager ➔ Tasks. Clique na ação de registro mtelAgendamentos para ter acesso aos agendamentos ativos desta tarefa. Para cadastrar novos agendamentos, clique no botão de rodapé Agendar execução para abrir o formulário de cadastro de uma nova execução.

Agendamentos registrados
Cadastro de agendamento
caution

Ao alterar o registro da tarefa todos agendamentos serão automaticamente inativados, evitando que automações de procedimentos ainda não aprovados sejam executados.

Multi-Tenant

As credenciais gerenciadas através do senhasegura são de extrema importância para uma empresa. Muitas delas, para um conjunto de departamentos em específico. Tão importantes, que, outros departamentos não podem ter conhecimento da existência de tais credenciais.

A função Multi-Tenant local do senhasegura facilita a segregação de acessos às credenciais, permitindo que uma instância do software seja usada por vários "clientes" compartilhando da mesma estrutura física e lógica.

Em outras palavras, os dados de um cliente interno não são visíveis para os outros, como exemplifica a figura multi-0001-ptbr.

Exemplo de multitenant senhasegura

Desta forma, podemos dizer que o Administrador das credenciais do departamento de T.I não tem acesso às credenciais departamento de Desenvolvimento. Garantindo que as informações estejam acessíveis somente aos usuários que de fato precisam dela.

Para configurar um ambiente senhasegura multi-tenant sigas instruções da seções seguintes.

caution

Ao adquirir essa função do senhasegura algumas tela sofrerão segregação por tenant:

  • Criação de usuários

  • Criação de credencial

  • Criação de grupos de acesso

    • PAM

    • Certificados

    • Task Manager

    • Informações Protegidas

    • A2A

Criando um tenant

Antes de criar um tenant tenha em mente os ambientes que deseja que sejam segmentados, após isso siga as instruções:

  1. Acesse o menu: Configurações ➔ Parâmetros do Sistema ➔ Segmentação ➔ Tenants

  2. No botão de ação do relatório clique na opção Novo

    info

    Neste mesmo relatório você também poderá alterar uma tenant já criada. Clique no botão de ação Alterar registro

    Formulário de cadastro de tenant
  3. Insira o nome da sua tenant

  4. Digite a URL, caso possua, deste tenant no campo URL de acesso

  5. E, caso desejar, insira uma descrição sobre a abrangência deste tenant.

  6. No campo de seleção Tipo, selecione se o tenant será acessada localmente ou remotamente

  7. Por fim clique em Salvar

Associando um usuário a um tenant

Com seu tenant criada você poderá associar um usuário do senhasegura a este. Para isso siga as instruções:

  1. Acesse o menu: Configurações ➔ Usuários do sistema ➔ Usuários

  2. Crie um novo usuário1 através do botão de ação do relatório e a opção Novo, ou altere um já existente.

  3. No formulário, na seção Tenant selecione o tenant que você deseja associar a este usuário

    caution

    Se o usuário não estiver associado a nenhum tenant o sistema irá associa-lo ao padrão, com isso ele poderá ser adicionado aos grupos de acesso, somente, do tenant padrão.

  4. Clique em Salvar

Associando um grupo de acesso a um tenant

Após associar um usuário é importante associar um grupo de acesso ao tenant também.

Grupos de acesso normalmente possuem configurações diferentes entre um e outro.

Porém é necessário que estes grupos estejam associados aos tenants as quais fazem parte, e que os usuários podem ter acesso. Por exemplo:

*Um usuário do tenant T.I não deve estar como membro do grupo de acesso do tenant Desenvolvimento já que fazem parte de departamentos diferentes que não devem ter conhecimento das informações um do outro.*

Por isso, é essencial ter grupos de acesso para seus respectivos tenants, para isso siga as instruções:

  1. Acesse o menu: PAM ➔ Configurações ➔ Acesso ➔ Grupos de acesso

  2. Crie um novo grupo2 através do botão de ação do relatório e a opção Novo grupo, ou altere um já existente.

  3. No formulário, selecione o tenant que o grupo de acesso deverá ser associado

  4. Siga para a guia Usuários e selecione os usuários que você previamente associou ao mesmo tenant deste grupo.

    caution

    Lembre-se que se o usuário deverá ser associado ao mesmo tenant do grupo de acesso, em seu cadastro ou posteriormente ser editado para ser associado, caso contrário ele não estrá disponível entre as opções de usuários para se tornar membro do grupo.

  5. Clique em Salvar

Associando uma credencial a um tenant

Com os usuários e grupos de acesso associados ao tenant é preciso associar também credenciais.

Desta forma a credencial associada será visível somente aos usuários que estão associados ao mesmo tenant, com isso o objetivo do módulo de restringir o acesso as informações, a quem de fato precisa delas, será atingido. Para isso siga as instruções:

  1. Acesse o menu: PAM ➔ Credenciais ➔ Todas

  2. Crie uma nova credencial3 através do botão de ação do relatório e a opção Nova credencial, ou altere uma já existente.

  3. No formulário, selecione no campo Tenant o tenant ao qual essa credencial será associada.

Desta maneira a credencial só poderá ser acessada, ou ter sua senha visualizada por usuários e membros de grupos de acesso associados ao mesmo tenant.

Segurança

A função multi-tenant irá auxiliar na segregação de acessos dos usuários, separando as informações por localidade, departamento ou outro tipo de tenant que deseje criar.

Entretanto os administradores devem se atentar aos seguintes pontos:

caution
  • Backup: A segregação por tenant não abrange o backup, ou seja, o administrador que detêm da chave mestra terá conhecimento de todas as informações presentes em cada um dos tenants cadastradas no cofre.

  • Dashboards: Os usuários, independentemente de qual tenant estejam associados, com permissão de visualizar os dashboards poderão ver todas as informações presentes nestas telas.

Auditoria de mudanças

Em servidores críticos, responsáveis por serviços, é muito comum que as alterações executadas nesses ambientes sejam altamente controladas.

Em casos como esses, o usuário solicita o acesso a um dispositivo e o administrador libera o acesso onde ele executará a tarefa. O auditor precisa saber qual exatamente é o script, dispositivo e horário que a atividade será executada. Para o compliance, é necessário acompanhar fisicamente ou verificar os logs dos comandos executados.

Essas atividades possuem um altíssimo risco, porque o usuário pode fazer uma execução que afete diretamente a produtividade de uma empresa, como por exemplo, parando um servidor Apache que está hospedado o site comercial da empresa, ou até mesmo fazendo ações indevidas com o intuito de roubar informações.

Para facilitar a auditoria e compliance, o módulo Change Audit auxilia o administrador em garantir que as mudanças necessárias em um servidor serão executadas corretamente, fornecendo um fluxo de aprovação a um acesso, confirmando que tudo que foi proposto na mudança foi de fato executado pelo usuário.

E também calculando sua efetividade com avaliações indicando se o usuário chegou ao resultado esperado, se fez mais execuções do que deveria ou se nem ao menos conseguiu efetuar a mudança corretamente.

Isso demonstra mais segurança ao profissional responsável pelos ambientes, tendo auditoria e compliance dos comandos executados dentro dos seus dispositivos.

Outro ponto é possibilidade de divisão do fluxo de trabalho, onde um usuário pode ser responsável pelo planejamento e criação do script e outro de executar o mesmo.

Entre outros benefícios, este módulo pode ajudar:

  • Concessão de privilégios apenas a usuários no ambiente autorizado

  • Prevenção, detecção e correcção de anomalias de segurança no ambiente

  • Criação de trilhas de auditoria invioláveis para operações privilegiadas

Siga as instruções das seções seguintes para entender como utilizar este módulo:

Cadastrando uma mudança

Para criar uma mudança siga para o menu: Change Audit ➔ Change e siga as instruções:

  1. Clique no botão Mais açõees do relatório e escolha a opção Novo

  2. No relatório preencha o ID e o Título desta mudança

  3. Se desejar preencha uma Descrição do objetivo desta mudança

  4. No campo Hora de início selecione o dia e a hora que a mudança deverá começar a ser executada

  5. Consequentemente no campo Data de vencimento selecione o dia e a hora que a mudança deverá ser finalizada

  6. Selecione o grupo de acesso relacionado a esta mudança.

    info

    Caso seja necessário crie um grupo de acesso dedicado as atividades de mudanças ou edite um já existente, inserindo usuários que podem executar mudanças e os que aprovaram que as mudanças sejam realizadas.

    Caso não saiba como criar um grupo de acesso consulte a seção Acesso deste documento.

  7. Siga para a guia Dispositivos e clique no icone de adição para selecionar os dispositivos que passaram pela mudança.

    Clique sobre os dispositivos desejados na lista e em seguida clique em Adicionar para seleciona-los.

    caution

    Esta guia deve ser preenchida, caso contrário a mudança não será cadastrada.

  8. Seguindo para a guia Script insira os comandos que serão executados para realizar a mudança

    caution

    Lembre-se que este script será usado como comparativo para comprovar o sucesso da mudança, por isso deve ser inserido corretamente.

  9. Para concluir clique em Salvar

Solicitando uma mudança

Para solicitar e executar uma mudança é necessário realizar uma sessão remota. Para isso siga as instruções:

  1. Acesse o menu: PAM ➔ Credenciais ➔ Todas

  2. Escolha o dispositivo que deseja acessar para executar a mudança.

    Você pode utilizar o filtro no topo do relatório para encontra-lo.

    caution

    Para que a mudança seja auditada corretamente é necessário buscar os dispositivos associados as mudanças desejadas.

  3. Clique no botão de ação Iniciar sessão

  4. Caso seu grupo de acesso exija justificativa, será necessário preenche-la, se não a solicitação será gerada, aguarde o a mudança ser aprovada.

    Para verificar os status da sua solicitação acesse o menu: Change Audit ➔ Minhas solicitações.

    Se você for um aprovador verifique as solicitações realizadas através do menu: Change Audit ➔ Minhas aprovações.

  5. Quando a solicitação for aprovada ou reprovada você receberá uma notificação e já poderá realizar o acesso (realize os passos 1 ao 3 novamente).

    info

    Verifique com seu administrador do senhasegura se as notificações estão ativas para que você seja notificado sobre sua solicitação.

  6. Na seção execute a mudança programada.

Auditando as sessões

Após uma mudança é possível verificar o que foi realizado durante a sessão e comprovar se o script inserido foi seguido.

Acesse o menu: Change Audit ➔ Audited sessions e você poderá visualizar os seguintes dados:

Detalhes da mudança
  1. Escolha a mudança que deseja ver os detalhes

    Você pode utilizar o filtro no topo do relatório para encontra-la.

  2. Clique no botão de ação da mudança e selecione a opção Detalhes da mudança.

  3. No relatório exibido será possível ver o tempo de duração da mudança, o IP e o usuário que a realizaram além da pontuação dada a este.

Auditoria da mudança
  1. Escolha a mudança que deseja ver a auditoria.

    Você pode utilizar o filtro no topo do relatório para encontra-la.

  2. Clique no botão de ação da mudança e selecione a opção Auditoria da mudança

    Será exibido um quadro com os comandos executados.

    As linhas em vermelho são comandos que deveriam ter sido executados, segundo o script cadastrado, porém não foram.

    E as linhas verdes exibem os comandos que foram executados e não estavam presentes no script.

Logs da sessão
  1. Escolha a mudança que deseja ver logs da sessão

    Você pode utilizar o filtro no topo do relatório para encontra-la.

  2. Clique no botão de ação da mudança e selecione a opção Logs da sessão.

  3. No relatório exibido será possível ver em detalhe os logs da sessão realizada para executar a mudança.

Assistindo o vídeo da sessão

Também é possível assistir a gravação do que foi feito durante a sessão:

  1. Escolha a mudança que deseja assistir a gravação.

    Você pode utilizar o filtro no topo do relatório para encontra-la.

  2. Clique no botão de ação da mudança e selecione a opção Vídeo da sessão.

    O vídeo começará automaticamente.


  1. Caso não saiba como criar um usuário e preencher o formulário de cadastro consulte o manual Administrador da Ferramenta
  2. Caso não saiba como criar grupo de acesso e preencher o formulário de cadastro consulte a seção Acesso
  3. Caso não saiba como criar uma credencial e preencher o formulário de cadastro consulte a seção Administração de credenciais