A arquitetura do senhasegura.go
O senhasegura.go é composto de um aplicativo que será instalado nas máquinas workstation dos usuários e de um módulo de gestão que é instalado no servidor web senhasegura .
A aplicação Windows é composta por quatro serviços executados em camada de sistema (local system) e um aplicativo desktop executado na sessão do usuário.
A aplicação Windows
A aplicação disponível ao usuário, e que será executado dentro da sessão Windows do usuário com o token de autenticação próprio de sua sessão, possui apenas a visualização dos dados e ações disponíveis. Ou seja, é apenas a interface para as funcionalidades.
Os serviços Windows
Os serviços Windows são todos executados automaticamente utilizando sempre o usuário LOCAL_SYSTEM
.
Os dados sigilosos são armazenados de maneira segura dentro do Microsoft Isolated Storage seguindo os padrões seguros descritos pela Microsoft.
Os dados transferidos entre a plataforma web senhasegura e o senhasegura.go ocorrem através de conexão HTTPS
e API REST
. Essa comunicação ocorre dentro dos serviços senhasegura.go para impedir a captura por usuários logados. Para complementar, as mensagens trocadas possuem uma criptografia assíncrona adicional com chave randômica dedicada para cada instalação.
Cada serviço é executado em threads separadas para evitar uma queda em cacata das funcionalidades. Sendo eles:
ssgosvcidsprocess: "senhasegura.go - Elevation blocker"
Serviço IDS para bloqueio de aplicações executadas com privilégio administrativo sem ser pelo senhasegura.go .
Permite a identificação de aplicativos que estejam sendo automaticamente elevando privilégio sem conhecimento do usuário, ou até sob seu consentimento.
ssgosvclicense: "senhasegura.go - License Manager"
Serviço responsável pelo processamento do arquivo de licença e do registro da máquina no servidor, sincronização de logs e monitoramento de pastas e arquivos.
Evita a clonagem de workstation ou tentativa de uso indevido do senhasegura.go por uma workstation ou usuário fantasma.
ssgosvcidsnetwork: "senhasegura.go - Network access control"
Serviço de IDS para bloqueio de aplicações que façam comunicação TCP/IP e UDP para destinos que não são o cofre de senhas.
Evita o salto horizontal através de compartilhamento de redes ou acessos binários não aprovados a recursos de rede.
ssgosvcbridge: "senhasegura.go - Bridge"
Serviço de interligação com Kernel Windows para elevação de privilégios e controle de sessões.
Demais integrações
Além destas integrações através de aplicativos e serviços, o senhasegura.go também está integrado através de DLLs e Drivers que possibilitam atuação nos processos Windows que envolvam identificação por parte do usuário, como login, acesso RDP e elevação UAC.
É possível também configurar a obrigatoriedade do uso do token 2FA OTP para aumentar o nível de segurança nas elevações.