Configurações adicionais de segurança
Através do menu Settings ➔ System parameters ➔ Security você tem acesso às configurações adicionais de segurança. Nessa tela você tem acesso a configurações que afetam a todos usuários do sistema.
Manutenção das contas do usuário
Minutos para expirar a sessão: Tempo de inatividade na interface web para que a sessão do usuário expire automáticamente. Por padrão 30 minutos;
Bloquear conta inativa: Indicador para bloquear automáticamente as contas que não foram utilizadas após um intervalo de dias. Inativo por padrão;
Dias até bloqueio: Quantidade de dias para considerar para que uma conta inativa seja bloqueada;
Obrigar alteração de senha no primeiro acesso: Indicador se o usuário deve alterar sua senha temporária logo no primeiro acesso. Ativo por padrão;
Expirar a senha: Obriga a expiração da senha do usuário após um período de tempo. Inativo por padrão;
Dias até a expiração de senha: Quantidade de dias para que a senha expire automáticamente;
Atenção. As configurações Bloquear conta inativa, Obrigar alteração de senha no primeiro acesso e Expirar a senha só podem ser utilizada quando o provedor de autenticação padrão do senhasegura estiver em uso.
Caso o usuário esteja utilizando um provedor de autenticação externo que já possua esses controles, o provedor de autenticação que deve prover as regras.
Autenticação de multifator
Forçar o uso de autenticação de multifator para todos usuários: Ao ativar essa configuração, todos usuários, inclusive o administrador, terão que imediatamente configurar e utilizar o MFA no senhasegura. Utilize com cuidado para não afetar o trabalho dos usuários;
Forçar o uso de certificado digital para todos os usuários: Ao ativar essa configuração, todos usuários, inclusive o administrador, terão que vincular um certificado digital X.509 no ato de login;
Permitir "Confiar neste computador" até no máximo X horas: Se ativo, e com horas de intervalo configurado, o token MFA não será solicitado a cada tentativa de login. Isso permite o uso de ferramentas que executem logins simultâneos em vários terminais SSH;
Aceitar tokens gerados com até X segundos de variação: Alguns dispositivos não estão configurados em servidores NTP, gerando um intervalo de segundos que pode afetar a autenticação utilizando TOPT. Nestes casos, configure o intervalo aceito nesta propriedade;
Habilitar o uso de uma solução externa de autenticação de multi-fator: Permite que provedores externos SSO, hospedados em nuvem ou on-premisse, utilizando protocolos homologados pelo senhasegura, sejam utilizados como autenticadores;
Nível de segurança da senha
Caracteres no mínimo para a senha: Quantidade mínima de caracteres para a senha de usuário;
Números no mínimo para a senha: Quantidade mínima de caracteres numéricos na composição da senha;
Restringir reutilização de senha: Não permite a reutilização por parte do usuário;
N últimas senhas que não podem ser utilizadas: Quantidade de senhas que serão consideradas pelo senhasegura para identificar a repetição por parte do usuário;
Requer símbolos na senha: Indica se caracteres especiais devem ser obrigatóriamente utilizadas na composição de senha;
Atenção. As configurações de nível de segurança da senha são válidas apenas quando o provedor de autenticação padrão estiver em uso.
Caso o usuário esteja utilizando um provedor de autenticação externo que já possua esses controles, o provedor de autenticação que deve prover as regras.
Controle de acesso por IP
Permite o acesso ou a negação de acesso a IPs e segmentos de rede.
Essa lista atua como Allowlist ou Denylist. Tome muito cuidado para não restringir o acesso do Administrador que esteja criando as regras.
Criando regras Allowlist
Neste cenário, o senhasegura deve ser configurado para negar todos acessos e aceitar apenas os acessos configurados na lista.
Configure a regra geral para Negar todos, e na lista de IPs, configure os intervalos com a regra Permitir todos.
Com essa configuração, apenas os IPs da lista podem se autenticar no senhasegura .
Criando regras Denylist
Neste cenário, o senhasegura deve ser configurado para aceitar todos acessos e negar apenas os acessos configurados na lista.
Configure a regra geral para Permitir todos, e na lista de IPs, configure os intervalos com a regra Negar todos.
Com essa configuração, todos IPs que não estejam nos intervalos determinados na lista, podem se autenticar no senhasegura .
chapterRevisão e Certificação A revisão e certificação têm o objetivo de garantir que todos os grupos de acesso e usuários de senhasegura tenham o nível de acesso correto, através de revisões periódicas. Para trazer mais segurança à plataforma, o sistema de revisão é responsável por lembrar aos administradores as características de acesso de cada grupo, garantindo que não haja acesso extra para qualquer grupo, bem como verificar se os usuários estão corretos. Não apenas os grupos de acesso, mas os usuários também são revistos individualmente para que nenhum funcionário antigo ou que tenha mudado de área continue com as permissões do cargo anterior.
Revisão do grupo
A revisão do grupo é composta por uma tela e alertas que permitem aos administradores ter sempre controle sobre todas as características do grupo. A tela é composta essencialmente de um relatório responsável por permitir a identificação do grupo de acesso ao qual se refere e suas datas de revisão. As colunas que constituem este relatório são:
ID: O ID é responsável por identificar o alvo dessa revisão;
Nome do grupo: O nome do grupo é responsável por identificar o grupo alvo dessa revisão;
Tipo de grupo: O tipo de grupo é responsável pela identificação do tipo de grupo dessa revisão;
Data da revisão: A data de revisão é responsável por identificar a data dessa revisão;
Criado por: O nome do usuário é responsável por identificar o usuário alvo dessa revisão;
Revisor: O Revisor é responsável por identificar aquele que toma as medidas;
Última revisão: A ultima revisão ajuda a reconhecer o último acesso realizado pelo usuário;
Expiração da revisão: A data da próxima revisão estipulada pelo administrador do grupo;
Ativo?: Permitir trazer informações úteis para o administrador, se essa revisão estiver habilitada no sistema;
Status: Demonstra se o grupo está com revisão pendente ou já foi revisado;
Botão de ação: Botão de ação: O botão ação aparece para ser possível a realização da revisão de um grupo de acesso caso sua revisão esteja pendente.
Para a certificação do usuário, as colunas são repetidas, exceto: As ações de certificação são então salvas nos relatórios das telas, relatórios que ainda podem ser impressos e guardados para futuros processos de auditoria.
Cada grupo em sua criação terá um tempo de revisão pré-configurado, sendo o padrão do sistema de 90 dias, e este é o principal gatilho para o alerta pop-up na bandeja do Windows para que nenhuma revisão seja esquecida e a segurança da plataforma seja ameaçada. Não apenas após o tempo pré-definido, mas também podem ser definidos alertas para outros eventos, tais como a adição de novos usuários ao grupo.
Revisão dos usuários
A revisão do usuário é semelhante à revisão do grupo, com uma tela e alertas. No caso dos usuários, o relatório presente na tela tem as seguintes colunas:
Data da última revisão: servem para alertá-lo sobre a validade dessa revisão e quando você precisará revisá-la novamente;
Revisão da data de expiração: servem para alertá-lo sobre a validade dessa revisão e quando você precisará revisá-la novamente;
ID: é a identificação do usuário;
Nome do usuário: é a identificação do usuário;
Grupos de acesso: é o grupo do qual o usuário é membro;
Último acesso: O último acesso traz informações úteis para o administrador sobre o último acesso realizado pelo usuário;
Ativo?: Permitir trazer informações úteis para o administrador, se o usuário estiver habilitado no sistema;
Status: A coluna Status é responsável por dar visibilidade ao status da revisão desse grupo, sendo "revisão pendente" e "revisão" as opções possíveis, a primeira opção leva a cor vermelha e a segunda verde para ajudar na visualização;
Botão de Ação: O botão de ação são as ações rápidas Aprovar e Desaprovar, assim como a possibilidade de ver mais detalhes.
Assim como na revisão do grupo, a coluna Ação sugerida traz uma ação recomendada pelo sistema baseada nas informações dessa revisão, tornando mais fácil para o revisor julgar. As opções são dicas para orientar o revisor, tais como:
Desativar usuário: O usuário não faz o login há muito tempo e deve ser desativado
Remover dos grupos de acesso: O usuário não utiliza as credenciais do grupo de acesso em que se encontra, por isso sugerimos que sejam removidas.
A revisão dos usuários também gerará alertas em forma de pop-up, mantendo os administradores atualizados sobre os usuários que precisam ser revisados. O gatilho para a revisão é principalmente o tempo de revisão que deve ser configurado de acordo com suas necessidades, o sistema recomenda 90 dias. Outros eventos também podem ser configurados, tais como um limite de inatividade do usuário.
Certificação
O objetivo da Certificação é garantir que as ações tomadas nas revisões sejam corretas, revertendo-as quando necessário. Ela consiste em duas telas com relatórios que registram todas as ações tomadas sobre as revisões por grupos e usuários. Desta forma, o grupo encarregado de certificar as ações pode ver informações sobre cada revisão e desfazer as ações tomadas, reativando um usuário ou desativando um grupo de acesso, por exemplo.
As colunas presentes nas telas de certificação do grupo são:
Data de revisão: A data de revisão é responsável por identificar a data dessa revisão;
ID : O ID é responsável por identificar o alvo dessa revisão;
Nome do grupo: O nome do grupo é responsável por identificar o grupo alvo dessa revisão;
Tipo de grupo: O tipo de grupo é responsável pela identificação do tipo de grupo dessa revisão;
Ativo?: Permitir trazer informações úteis para o administrador, se essa revisão estiver habilitada no sistema;
Revisor: O Revisor é responsável por identificar aquele que toma as medidas;
Resolução: A resolução ajuda a reconhecer a ação tomada pelo revisor;
Botão de ação: No botão Ação, temos as opções de certificar a ação tomada ou revertê-la
Para a certificação do usuário, as colunas são repetidas, exceto:
Nome do usuário: O nome do usuário é responsável por identificar o usuário alvo dessa revisão;
Último acesso: O último acesso ajuda a reconhecer o último acesso realizado pelo usuário;
As ações de certificação são então salvas nos relatórios das telas, relatórios que ainda podem ser impressos e guardados para futuros processos de auditoria.