Fases da sessão
As sessões são influenciadas em três etapas principais: Antes, Durante e Depois.
Cada passo permite que diferentes ações sejam tomadas, dando maior controle ao Administrador, rastreabilidade ao Auditor, visão ao Aprovador e usabilidade ao Operador.
Ações antes de uma sessão
Antes de uma sessão, o Administrador tem o controle para decidir várias configurações que determinam como o operador fará o login e tirará proveito disso:
Conectividade do dispositivo: Além de ser usado em Dashboards, testes de conectividade, troca automatizada de senha e outros módulos, a conectividade determina o tipo de sistema de proxy que será usado para chegar ao dispositivo.
Controle de ativação de credenciais: Como visto no módulo Execuções, a credencial pode ser ativada e inativada sob demanda.
A política de senha para troca após a sessão: Como visto no módulo Execuções, a credencial pode ser reciclada após o uso em uma sessão proxy.
O grupo de acesso e a configuração do workflow: O workflow de uso das credenciais em uma sessão de proxy, bem como a possibilidade de uso emergencial, é configurado pelo administrador nos grupos de acesso.
Macros e credenciais RemoteApp: Macros e RemoteApps podem ser configuradas e disponibilizadas em certas credenciais.
Comandos auditados globais e segregados: Os comandos auditados para sessões SSH podem ser configurados globalmente ou segregados em Dispositivo, Credencial, Grupo de Acesso ou Origens. Os gatilhos de ação podem ser ligados a comandos, e se o comando for executado, a ação é tomada.
Níveis de segurança por protocolo:Cada protocolo pode ter especificações de versão, nível de segurança e algoritmo de criptografia. senhasegura permite a configuração de sistemas de proxies e características específicas do protocolo em nível global e segregado.
Ignorando erros no certificado: As conexões RDP normalmente apresentam erros de certificado durante a etapa de conexão. O administrador pode forçar apenas certificados válidos ou ignorar erros de certificado no aperto de mão da conexão.
Funcionalidade da sessão: Durante a sessão o usuário pode realizar algumas ações como transferir texto, um arquivo, pressionar
<Ctrl+Alt+Del>, realizar uma elevação automatizada de privilégios, etc. Estas ações podem ser permitidas ou bloqueadas em nível global ou segregado.Indexação de textos de entrada e saída: Se a sessão exigir auditoria dos textos digitados e exibidos, você pode configurar se esta auditoria deve ser registrada em nível global ou segregada. Por padrão este recurso está desativado, recomendamos ativá-lo apenas em credenciais e dispositivos que o requeiram.
Habilitar wallpaper em sessões RDP?: Algumas empresas utilizam papéis de parede personalizados que contêm informações sobre dispositivos, sessões ou políticas de segurança. Por padrão, a transferência de papel de parede durante sessões do RDP é desativada para melhorar o desempenho do protocolo RDP.
Tipos de terminais Linux e Xterm: Alguns sistemas Linux têm diferenças no uso de terminais clientes que utilizam o formato Linux ou Xterm. Isto é influenciado pelo manuseio de códigos ANSI. É possível segregar a configuração do dispositivo para cada terminal.
Uso de credenciais pessoais: Alguns dispositivos podem permitir que os usuários do operador utilizem credenciais pessoais que não são gerenciadas pela plataforma, mas que ainda devem estar em conformidade com outras regras de acesso, controle e auditoria. Sob estes cenários, recomendamos que você não indexe textos digitados pelo usuário.
Quantidade de sessões proxy simultâneas: A política de segurança pode ser alterada para evitar que um usuário execute mais do que uma certa quantidade de sessões de proxy simultaneamente.
Ações durante uma sessão
Durante a sessão, o usuário operador é passivo a outras funcionalidades que foram previamente configuradas pelo administrador, e outras ações que podem ser imediatamente tomadas pelo administrador.
As configurações devem ser configuradas antes do início de uma sessão. Ela configura vários aspectos da sessão que não podem ser reconfigurados após o início da sessão. Por exemplo, um comando auditado criado ou modificado durante uma sessão SSH em execução não será considerado pelas sessões atuais. Somente novas sessões após a criação do comando serão afetadas.
Ações que podem ocorrer durante a sessão:
Execução de comandos auditados: Como vimos, os comandos auditados que foram previamente registrados serão considerados durante a sessão. Se o operador executar estes comandos, a sessão será pontuada com o nível de risco do comando e os administradores serão reportados pelas mensagens SIEM. O usuário do operador ainda pode sofrer uma ação previamente configurada ligada a este comando auditado, como proibir a execução, interromper a sessão proxy, ou mesmo inativar sua conta senhasegura .
Avaliação da transferência de arquivos: Os arquivos que são transferidos tanto da estação de trabalho do operador para o dispositivo alvo como do dispositivo alvo para a estação de trabalho do operador podem ser avaliados através de plugins. A demanda por estes plugins deve ser encaminhada à nossa equipe Comercial.
Livestream de sessão: Os administradores podem realizar uma visualização ao vivo da sessão em andamento sem o conhecimento do operador. A partir desta janela de visualização, o administrador pode tomar a decisão de interromper a interatividade do operador do usuário. Assim, o operador será notificado de que a interação foi interrompida por um usuário identificado, e não poderá iniciar novas sessões até que esse bloqueio seja liberado. A pré-visualização e a ação de bloqueio são registradas nos logs das sessões.
Session livestream, não está disponível em outros membros do cluster senhasegura somente no servidor sendo usando com a sessão de proxy. Registros e vídeos gravados ainda estão disponíveis para todos os membros do cluster senhasegura.
Interrupção da sessão: O administrador pode interromper sem o consentimento dos usuários e sem aviso prévio uma ou todas as sessões em andamento. Esta ação será registrada nos logs da sessão.
Elevação do privilégio nas sessões SSH: Durante a sessão SSH o operador do usuário pode realizar a elevação do privilégio através do binário SUDO. Assim, o senhasegura capturará a interatividade do usuário e automatizará a autenticação sem exibir a senha de credencial de acesso.
Ações depois de uma sessão
Uma vez terminada a sessão, o usuário administrador e o usuário auditor podem observar os detalhes da sessão individualmente e observar a tabela geral das sessões, credenciais e comportamentos dos usuários. A credencial utilizada está disponível para ações de bloqueio ou reciclagem.
Ações estão disponíveis nesta etapa.
Eventos da sessão de registro: Durante a sessão, várias ações podem ter ocorrido. Todas essas ações estão disponíveis nos registros das sessões.
Vídeo da sessão: A gravação da sessão pode ser reproduzida exatamente como ocorreu.
Solicitação de auditoria: A sessão pode ser encaminhada para um ou mais usuários para avaliar a sessão. Esta solicitação é feita por e-mail e a sessão será separada em um relatório de auditoria. O usuário que solicita a auditoria pode escrever um pequeno texto explicando seus motivos.
Prevenção de expurgo: Por padrão senhasegura irá expurgar os arquivos de sessão em um intervalo configurável. Mas quando uma sessão é protegida deste expurgo, ela estará disponível pelo tempo que for necessário.
Exportação de vídeo da sessão: Se necessário, você pode exportar o vídeo da sessão no formato MP4 para uma auditoria externa.
Avaliação de risco: Os comandos auditados detectados na sessão adicionam pontuação à sessão. Esta pontuação é refletida para o Dispositivo, Credencial e Operador do usuário. O administrador tem uma grande visão geral dos riscos envolvidos em seu negócio.
Indexação de texto: O texto que foi digitado ou apresentado na sessão está disponível em um relatório que contém o texto de todas as outras sessões que ocorreram. Isto permite que o administrador procure o texto que apareceu em um período de tempo em qualquer dispositivo.
Durante a sessão será mapeado e coletado os textos digitados apenas do idioma que foi configurado nos parâmetros do sistema ou parâmetros segregados.