Agente GO Endpoint
O painel do senhasegura.go pode ser customizado. A imagem apresentada e a descrição dos itens podem variar de versão a versão, ou pela decisão do administrador de liberar ou não alguns recursos aos usuários.
No cabeçalho você pode visualizar a credencial padrão selecionada pelo usuário junto ao domínio. Essa credencial padrão será utilizada nas ações de elevação de privilégio dentro e fora da interface do senhasegura.go .
Caso a credencial padrão selecionada não possua um domínio cadastrado, será apresentado o nome da máquina.
Se ativo, você tem as opções de uso offline do senhasegura.go e o atalho single sign-on (SSO) para o portal web. Explicaremos melhor essa funcionalidade adiante.
Na barra lateral esquerda você tem acesso aos sub módulos do senhasegura.go .
Executar: Elevação de privilégios de aplicativos em geral;
Painel de controle: Elevação de privilégio para applets do painel de controle;
Credenciais: Listagem de credenciais disponíveis ao usuário;
Adaptadores de rede: Lista de interfaces de rede da workstation. A administração destas interfaces é realizada neste submódulo, e não pelo Control Panel;
Compartilhamento de rede: Diretórios compartilhados de rede utilizados pelo usuário. As credenciais serão utilizadas para acessar o diretório sem necessidade de exposição ou mapeamento;
Desinstalar: Aplicativos disponíveis para desinstalação da workstation;
Automação: Macros de automação disponibilizadas pelo administrador ao usuário;
Para cada submódulo, a área central irá apresentar sua listagem e fornecer campos de filtro acima de seu cabeçalho.
Uso das credenciais
Os usuários do senhasegura.go sempre estarão vinculados à conta usada para fazer login no Windows.
esse nome de usuário do Windows deve ter um usuário equivalente no senhasegura, conforme apresentado no processo de ativação da instalação.
Essa conta de usuário senhasegura é passiva para todos os controles de grupo de acesso. Ou seja, os usuários podem usar o fluxo de trabalho de acesso, acesso de emergência e segregação de credenciais.
Portanto, caso o usuário dependa de um processo de aprovação para visualizar ou usar uma credencial, esta regra também se aplica ao uso da credencial pelo senhasegura.go.
A partir do senhasegura.go você pode fazer uso da credencial, visualizar ou copiar sua senha. Essas ações são equivalentes ao uso de proxy, visualização ou cópia por meio da interface da web. Todas essas ações serão auditadas e encaminhadas via SIEM.
Realizando uma elevação de privilégio
Existem várias maneiras de realizar uma elevação de privilégio, cada uma com uma abordagem diferente de como realizar a elevação. Eles estão:
Elevação através de tokens de acesso;
Elevação através de associações de grupo. Para cada tipo de elevação, também temos acesso JIT.
O parâmetro global será o definido como padrão de workflow de aprovação para todas as aplicações que não possuírem uma configuração dentro de uma lista de acesso.
Em GO Endpoint Manager ➔ Configurações ➔ parameters:
Workflow
Workflow Approvers
On the GO Endpoint Manager ➔ Settings ➔ Approvers, it's possible to manage and create new approvers for Endpoint Manager. Any approver here will be a global approver for any rule that requires approval to elevate applications with the Endpoint agent.
Configuração de Workflow
Opções de Caixa de seleção selecione quais dessas opções deseja aplicar:
- Usuário pode elevar aplicações
- Requer justificativa para elevar aplicações
- Requer aprovação para elevar aplicações
Opções para definir a Quantidade de Aprovações ou reprovações:
- Aprovações necessárias
- Reprovações necessárias para cancelar
Opções de Caixa de seleção selecione quais dessas opções deseja aplicar:
- Permitir acesso emergencial
- Aprovação em níveis
Configurações da solicitação de acesso
Obrigatório especificar código de governança ao justificar?*
Selecione se Sim ou Não
Sempre adicionar o gestor do usuário aos aprovadores?*
Selecione se Sim ou Não
Elevando um aplicativo da lista
No submódulo Executar há uma lista de aplicativos disponível para elevação. Essa lista é inicialmente formada por um scan de aplicativos do menu iniciar. Portanto, nem todos aplicativos estarão presentes.
O botão de atualizar localizado no canto superior direito da relação, fará uma nova busca no menu iniciar por novos aplicativos.
Caso um aplicativo não esteja presente na lista, você pode arrastar seu atalho ou binário de execução para dentro da lista. Arquivos EXE, LNK, MSC e MSI são aceitos como executáveis.
Localizado o aplicativo desejado, basta clicar duas vezes sob seu registro para iniciar a elevação. Outra forma é clicando com o botão direito sob o registro e escolher a maneira de execução do aplicativo.
Executar com privilégios: Irá executar o aplicativo com privilégios elevados dentro de uma sessão dedicada da credencial selecionada
Executar: Irá apenas executar o aplicativo dentro de uma sessão dedicada da credencial selecionada.
Ao executar o aplicativo, repare que o tema aplicado difere do usuário logado. Isso ocorre pois a aplicação está sendo executada em outro perfil. Você pode validar.
Esta ação é passiva de workflow de aprovação e acesso emergencial, caso o grupo de acesso do usuário demande.
Elevando um aplicativo fora do senhasegura.go
Todos aplicativos executáveis ou atalhos possuem em seu menu de contexto uma ação Executar com senhasegura.go . A partir desta ação você poderá executar o aplicativo desde que uma credencial já tenha sido selecionada anteriormente. Caso não haja uma credencial selecionada, você será alertado a selecionar uma. Nestes casos, a elevação que será utilizada é a Executar com privilégios, onde a aplicação é executada com todos os privilégios administrativos.
Elevando privilégios para applets do Painel de Controle
No submódulo Painel de Controle você terá acesso aos applets disponíveis no Painel de Controle. Todos applets disponíveis permitem elevação tal qual os aplicativos.
Até a versão 3.0.14, por uma limitação técnica, ainda não é possível realizar a gravação de sessão para applets de painel de controle. Porém, a auditoria de uso é registrada no senhasegura .
Gerenciando interfaces de rede
No submódulo Adaptadores de rede você verá a lista de interfaces de rede disponíveis para configuração.
O princípio é o mesmo dos applets do Painel de Controle. Ao clicar por duas vezes ou acessando pelo menu de contexto do registro, você tem acesso ao painel de configurações da interface de rede.
Até a versão 3.0.14, por uma limitação técnica, ainda não é possível realizar a gravação de sessão para applets de interface de rede. Porém, a auditoria de uso é registrada no senhasegura .
Acesso a pastas compartilhadas
No submódulo Compartilhamento de rede o usuário pode acessar uma pasta compartilhada da rede utilizando a credencial selecionada. Esta credencial não necessita ser obrigatoriamente de domínio.
As pastas acessadas através do senhasegura.go ficam registradas na listagem, e podem ser acessadas novamente por conta do cache de credenciais gerido pelo Windows. Estas pastas não serão mapeadas como unidade.
Para adicionar uma nova pasta, basta clicar com o botão direito e escolher a opção Novo no menu de contexto.
Pastas já acessadas anteriormente podem ser removidas da relação através da opção Remover o compartilhamento do mesmo menu de contexto
.
Uma vez autenticado o acesso a pasta, o Windows pode criar um cache local com os acessos de rede permitindo que a pasta seja acessada sem utilizar o senhasegura.go . O principal objetivo do senhasegura.go é automatizar este acesso sem apresentar a senha ao usuário.
Desinstalando aplicativos
A desinstalação de aplicativos é realizada pelo submódulo Desinstalar. Neste submódulo será listado a relação de aplicativos instalados.
Para desinstalar um aplicativo, tenha uma credencial privilegiada selecionada e clique com o botão direito sob seu registro e selecione a ação Desinstalar em seu menu de contexto.
Sincronizando políticas e credenciais
As alterações de políticas e credenciais que ocorrem no servidor do senhasegura serão atualizadas automaticamente na interface do senhasegura.go através de seus serviços a cada 5 minutos.
Por vezes pode ser necessário que essa atualização seja imediata. Então, o usuário do senhasegura.go pode optar por clicar no ícone do systemtray (bandeja de aplicativos) e selecionar as opções Atualizar credenciais ou Sincronizar políticas.