Certificados X.509 físicos ou virtuais (A1 ou A3)
Apesar de estarem contidos na mesma estrutura de menus das demais tecnologias provedoras de autenticação, o uso de certificados X.509 no senhasegura complementam uma etapa MFA. O certificado será vinculado a conta do usuário senhasegura , tornando obrigatório o uso deste certificado para realização de login.
O administrador terá a opção de tornar obrigatório o uso do certificado nos seguintes cenários:
Obrigatoriedade no login da plataforma Web senhasegura ;
Obrigatoriedade em sessões senhasegura RDP Proxy ;
Obrigatoriedade em sessões senhasegura Terminal Proxy ;
Para que o suporte ao uso do certificado seja habilitado, é necessário que nossa equipe de suporte seja acionada para que a CA seja reconhecida pela instância senhasegura , e a cadeia obrigatória seja configurada para login na interface Web.
Habilitando as configurações de obrigatoriedade
Obrigar uso de certificado digital a todos usuários
Através do menu Configurações ➔ Parâmetros do sistema ➔ Segurança você terá acesso à opção Forçar o uso de certificado digital para todos os usuários.
Essa opção irá obrigar que os usuários realizem login utilizando um certificado X.509. No primeiro login, o certificado utilizado será vinculado ao usuário, e a partir deste ponto, todos os logins seguintes irão obrigar o uso deste certificado que foi vinculado.
Através do menu Configurações ➔ Parâmetros do sistema ➔ Segurança, a opção "Forçar conexão segura (SSL) nas execuções de troca de senha?" vem definida por padrão como "Sim", devendo ser alterada para "Não" como procedimento padrão para não gerar impacto no processo de troca de senha de dispositivos.
Obrigar uso de certificado digital em sessões proxy
Através do menu Configurações ➔ Parâmetros do sistema ➔ Parâmetros do sistema você tem acesso a seção Segurança. Nessa tela você tem acesso aos campos Forçar autenticação com certificado para o Proxy RDP e Forçar autenticação com certificado para o Proxy SSH/Telnet.
Ao ativar alguma destas opções, o usuário deverá realizar o login na interface web utilizando um certificado X.509 válido antes de realizar o login a uma sessão proxy.
Auditando logins via certificado
Autoridades certificadoras habilitadas
Para que uma CA possa ser considerada confiável para o senhasegura , é necessário quem um profissional senhasegura tenha manualmente configurado o servidor para aceitar a CA. Ainda assim, o administrador pode decidir se irá revogar o uso da CA.
Através do menu Configurações ➔ Autenticação ➔ Certificado digital ➔ Autoridades você tem acesso as autoridades certificadoras aprovadas como emissoras de certificado de login.
Você pode exibir seus detalhes ou inativar uma autoridade. Neste caso, todos certificados desta CA serão impedidos de realizar login na plataforma.
Listando certificados utilizados
Através do menu Configurações ➔ Autenticação ➔ Certificado digital ➔ Certificados o administrador poderá visualizar detalhes do certificado e qual conta de usuário senhasegura está atrelada. Através desta tela o administrador poderá inclusive revogar o uso de um certificado. Neste caso, o usuário deverá vincular um novo certificado para realizar o login.
É importante lembrar que se o administrador desejar bloquear o acesso de um usuário, ele deve inativar a conta de acesso. Revogar um certificado não irá revogar a conta de acesso.
Log de uso dos certificados
Através do menu Configurações ➔ Autenticação ➔ Certificado digital ➔ Certificados você tem acesso a um relatório detalhado dos eventos que um usuário utilizou um certificado X.509.
Para configurar o comportamento do usuário de acordo com métricas e opções, acesse no menu Settings ➔ System parameters ➔ System parameters ➔ User Behavior:
Pontuação mínima suspeita (1 a 15)*: a partir de qual pontuação que irá ser considerada suspeita.
Configurações da sessão
Número de dias do histórico*: por quantos dias irá ser mantido o histórico do comportamento do usuário. Taxa de variação (%)*: variação das configurações das sessões. Enviar sessões de alto risco para auditoria?*: envia sessões para serem auditadas se tiver sido marcadas como Sim
É obrigatório selecionar ao menos um auditor para envio de sessões para auditoria, você precisa criar também um cadastro de auditores padrão.
Para isso acessar o menu PAM ➔ Configurações ➔ Acesso ➔ Auditores padrão.
Para configurar quais comandos serão auditados e o nível de criticidade vá até PAM ➔ Configurações ➔ Acesso ➔ Comandos auditados.
Verificação do peso
Acesso em destino incomum:* defina quantos acessos são considerados incomuns feitos de um destino desconhecido.
Acesso de origem incomum:* defina quantos acessos vem de origem incomum.
Acesso de credencial incomum:* defina quantos acessos foram feitas usando uma credencial incomum.
Acesso em horário incomum:* defina quantos acessos foram feitas em horários incomuns.
Acesso com duração incomum:* defina quantos acessos foram feitas tendo uma duração incomum.
Configurações da visualização de senhas
Número de dias do histórico:* por quantos dias irá ser mantido o histórico do comportamento do usuário.
Taxa de variação (%):* variação das visualizações de senhas.
Verificação do peso
Visualização de origem incomum:* defina a quantidade de visualizações de origem incomum são um comportamento não esperado.
Visualização de credencial incomum: defina a quantidade de visualizações credencial incomum é um comportamento não esperado.
Visualização em horário incomum:* defina a quantidade de visualizações de horários incomuns é um comportamento não esperado.
Alteração de senha incomum:* defina a quantidade de visualizações de senhas incomuns são um comportamento não esperado.
Para Bloquear sessões e Bloquear sessões e usuário, através das configurações listadas a seguir podem ser marcadas com a flag Sim que irá tornar estas opções setadas como ativas e caso esteja com flag Não irá estar inativa:
- Ações para sessões com tempo incomum
- Ações para sessões realizadas em horário incomum
- Ações para sessões com origem incomum
- Ações para sessões realizadas para destinos incomuns
- Ações para sessões com credenciais incomums