Segregações de configurações de proxy
Como há muitas configurações na definição de nível global, há a necessidade de segregar algumas dessas configurações para facilitar o gerenciamento da política de segurança e possíveis exceções em dispositivos que não suportam certas configurações.
Por exemplo, alguns dispositivos RDP não suportam o nível de segurança TLS, e devem ser isolados em uma configuração separada se o nível global não estiver configurado no modo Automático.
Outro exemplo são os dispositivos Linux que por decisão estratégica, ou por limitações técnicas, não suportam elevação automatizada de privilégios com SUDO.*
Para isolar estes Dispositivos e Credenciais em configurações segregadas, devemos primeiro entender a hierarquia de segregação de senhas.
Dispositivos e credenciais não podem ser incluídos em mais de um parâmetro segregado.
A camada segregadora tem a opção de manter o parâmetro atual inalterado. Portanto, não há a obrigação de definir todos os parâmetros para cada camada.
Observe que no campo Profundidade de cor (que é exibido em todos os tipos de segregação) você pode escolher qual profundidade de cor deseja usar nas sessões VNC HTTP, apenas para se adequar ao desempenho desejado. As opções variam de 8 bits a 32 bits.
Níveis de segregação
As segregações respeitam a hierarquia e a ordem de reescrita. Sobrepõem as configurações padrão do sistema, atuando como uma cadeia de camadas de ajustes, a próxima camada terá sempre o poder de reescrever sob a camada anterior:
- Parâmetros globais
- Parâmetros segregados de grupos de acesso
- Parâmetros segregados de dispositivos
- Parâmetros segregados de credenciais
- Parâmetros segregados por origem
Através do módulo Configurações ➔ Parâmetros do sistema ➔ Parâmetros segregados você terá acesso a criação de parâmetros segregados e acesso a todas as segregações registradas para sessões proxy.
Segregação para grupos de acesso
Clicar no menu de ações e escolher Nova segregação para grupos uma nova janela será aberta chamada Parâmetro segregado de grupos de acesso contendo as abas Sessão remota, Gravação , Segurança e Grupos:
Nome: Dê um nome para a sua segregação.
Situação: Defina se esta segregação estará Ativa ou Inativa.
Sessão remota: Configurar que tipo de sessão remota que será englobada nos parâmetros de segregação nos grupos e o que será habilitado.
Gravação: Configurar quais parâmetros estarão habilitados ao iniciar uma gravação de sessão.
Segurança: Configurar qual será a força da segurança nos grupos.
Grupos: Configurar e adicionar quais grupos de acesso farão parte da segregação.
Segregação para dispositivos
Clicar no menu de ações e escolher Nova segregação para dispositivos uma nova janela será aberta chamada Parâmetros segregados de dispositivos contendo as abas Sessão remota, Gravação , Segurança e Dispositivos:
Nome: Dê um nome para a sua segregação.
Situação: Defina se esta segregação estará Ativa ou Inativa.
Sessão remota: Configurar que tipo de sessão remota que será englobada nos parâmetros de segregação nos dispositivos e o que será habilitado.
Gravação: Configurar quais parâmetros estarão habilitados ao iniciar uma gravação de sessão.
Segurança: Configurar qual será a força da segurança nos dispositivos.
É possível específicar quanto tempo uma sessão do senhasegura pode ficar ociosa, ou seja, sem nenhuma interação do usuário. No campo Tempo de inatividade da sessão defina a quantidade e se são de minutos, horas ou dias.
Dispositivos: Preencha com um dispositivo existente no sistema e o adicione.
Segregação para credenciais
Clicar no menu de ações e escolher Nova segregação para credenciais uma nova janela será aberta chamada Parâmetros segregados de credenciais contendo as abas Sessão remota, Gravação , Segurança e Credencial:
Nome: Dê um nome para a sua segregação.
Situação: Defina se esta segregação estará Ativa ou Inativa.
Sessão remota: Configurar que tipo de sessão remota será englobada nos parâmetros de segregação das credenciais e o que será habilitado.
Gravação: Configurar quais parâmetros estarão habilitados ao iniciar uma gravação de sessão.
Segurança: Configurar qual será a força da segurança das credenciais.
Credencial: Configurar e adicionar quais credenciais de acesso farão parte da segregação.
Segregação por origem
Clicar no menu de ações e escolher Nova segregação por origem uma nova janela será aberta chamada Parâmetros segregados por origem contendo as abas Sessão remota, Gravação , Segurança e Origens:
Nome: Dê um nome para a sua segregação.
Situação: Defina se esta segregação estará Ativa ou Inativa.
Sessão remota: Configurar que tipo de sessão remota será englobada nos parâmetros de segregação na origem e o que será habilitado.
Gravação: Configurar quais parâmetros estarão habilitados ao iniciar uma gravação de sessão.
Segurança: Configurar qual será a força da segurança na origem.
Origens: Configurar e adicionar quais origens de acesso farão parte da segregação.
A cada sessão proxy, o senhasegura sempre enquadrará o requerente a um Grupo de Acesso que permita o uso de uma Credencial de Dispositivo. E este usuário começa sempre a partir de uma estação de trabalho fonte. Assim, o senhasegura sempre será capaz de determinar uma combinação apropriada de parâmetros para esta sessão.
A imagem proxy-100 mostra que a configuração Global permite a transferência de arquivos.
A imagem proxy-110 demonstra que existem segregações para todas as camadas, e cada segregação tem um nome que deixa clara a intenção de usar.
O exemplo da segregação de faixas manteve todos os outros parâmetros inalterados. Apenas o banner foi definido.
O exemplo de segregação de dispositivos inativou a execução automática de elevação de privilégios e permitiu o uso de credenciais pessoais.
O exemplo de segregação de credenciais não permite a transferência de arquivos, o uso de prancheta, e não permite o uso da combinação de teclas <Ctrl+Alt+Del>
.
O exemplo de segregação de fonte está forçando o uso do 2FA para visualizar senhas e iniciar sessões de proxy e permite a reciclagem imediata de senhas após a sessão de proxy ser aberta.
Note que existe a possibilidade de que uma sessão tenha que considerar algumas dessas regras, todas ou nenhuma. Tornando as possibilidades de configuração muito flexíveis.