Sitzungsrichtlinien: Sitzungsberechtigungen und Aufforderungsregeln festlegen

Benutzer und Sicherheit

Sitzungsrichtlinien

Sitzungsrichtlinien

Mit Sitzungsrichtlinien können Sie die Sicherheitsberechtigungen für Sitzungen Tech. auf bestimmte Szenarien zuschneiden. Sitzungsrichtlinien können auf Benutzer und alle Jump-Items angewendet werden.

Der Abschnitt Sitzungsrichtlinien führt die verfügbaren Richtlinien auf. Klicken Sie auf den Pfeil neben einem Richtliniennamen, um schnell zu sehen, wo diese Richtlinie verwendet wird, für welche Benutzer, Zugriffseinladungen und Jump Clients sie verfügbar ist, und für welche Tools sie konfiguriert wurde.

Hinzufügen, Bearbeiten, oder Löschen der Sitzungsrichtlinie

Erstellen Sie eine neue Richtlinie, bearbeiten Sie eine bestehende Richtlinie oder entfernen Sie eine bestehende Richtlinie.

Kopieren

Um die Erstellung ähnlicher Gruppenrichtlinien zu beschleunigen, klicken Sie auf Kopieren, um eine neue Richtlinie mit identischen Einstellungen zu erstellen. Anschließend können Sie diese neue Richtlinie so bearbeiten, dass sie Ihre jeweiligen Anforderungen erfüllt.

Hinzufügen oder Bearbeiten der Sitzungsrichtlinie

Anzeigename

Erstellen Sie einen eindeutigen Namen, um diese Richtlinie leichter zu identifizieren. Dieser Name hilft bei der Zuweisung einer Sitzungsrichtlinie zu Benutzern und Jump Clients.

Codename

Legen Sie einen Codenamen zu Integrationszwecken fest. Wenn Sie keinen Codenamen festlegen, erstellt PRA automatisch einen.

Beschreibung

Fügen Sie eine kurze Beschreibung hinzu, um den Zweck dieser Richtlinie zusammenzufassen. Die Beschreibung wird angezeigt, wenn eine Richtlinie auf Benutzerkonten, Gruppenrichtlinien und Zugriffseinladungen angewandt wird.

Verfügbarkeit

Benutzer

Wählen Sie, ob diese Richtlinie zur Zuweisung an Benutzer (Benutzerkonten und Gruppenrichtlinien) zur Verfügung stehen soll.

Zugriffseinladung

Legen Sie fest, ob diese Richtlinie zur Verwendung durch Benutzer zur Verfügung stehen soll, wenn ein externer Benutzer zu einer Sitzung eingeladen wird.

Jump-Items

Wählen Sie, ob diese Richtlinie zur Zuweisung an Jump-Elementen zur Verfügung stehen soll.

Abhängigkeiten

Wenn diese Sitzungsrichtlinie bereits verwendet wird, sehen Sie die Anzahl der Benutzer und Jump Clients, welche die Richtlinie verwenden.

Berechtigungen

Für alle folgenden Berechtigungen können Sie die Berechtigung aktivieren oder deaktivieren, oder sie auf Nicht definiert setzen. Sitzungsrichtlinien werden auf hierarchische Art und Weise auf eine Sitzung angewandt, wobei Jump Clients die höchste Priorität haben, gefolgt von Benutzern und schließlich dem globalen Standard. Wenn für eine Sitzung mehrere Richtlinien gelten, erhält die Richtlinie mit der höchsten Priorität Vorrang. Wenn beispielsweise die auf einen Jump-Client angewandte Richtlinie eine Berechtigung festlegt, dürfen keine anderen Richtlinien diese Berechtigung für die Sitzung ändern. Um eine Berechtigung durch eine Richtlinie mit niedrigerer Priorität definierbar zu machen, belassen Sie diese Berechtigung auf Nicht definiert.

Legen Sie fest, welche Tools mit dieser Richtlinie aktiviert oder deaktiviert werden sollen.

Heraufgesetzten Zugriff auf Werkzeuge und Sonderaktionen am Endpunkt erlauben

Wenn aktiviert, wird der Zugriff auf die erweiterte Funktionalität in der zugriffskonsole für diese Sitzung ermöglicht, ohne dass die expliziten Rechte eines eingeloggten Benutzers auf dem entfernten Endpunkt benötigt werden.

Wenn diese Einstellung deaktiviert ist, verhindert sie, dass Benutzer vollen Zugriff auf die Dateiübertragungs- und Befehlsshell-Funktionen erhalten, wenn sie einen Jump zu einem heraufgesetzten Jump-Item ausführen, aber keine heraufgesetzten Rechte haben. Dazu werden spezielle Aktionen und Aktionen zur Leistungssteuerung ausgeblendet und sind nicht verfügbar. Sie beschränkt auch die Dateiübertragung, die Befehlsshell und den Registrierungszugriff, wenn kein Benutzer in der Sitzung anwesend ist. Diese Einstellung wird angewendet, wenn sie von der Plattform des Endpunkts zugelassen wird.

Bildschirmfreigabe
Bildschirmfreigabe-Regeln

Wählen Sie den Zugriff des Support-Technikers und des Remote-Benutzers am Remote-System:

  • Falls Nicht definiert gewählt wurde, wird diese Option durch die Richtlinie der nächstniedrigeren Priorität bestimmt. Diese Einstellung kann von einer Richtlinie mit höherer Priorität überschrieben werden.
  • Ablehnen deaktiviert die Bildschirmfreigabe.
  • Nur Ansicht ermöglicht es dem Support-Techniker, den Bildschirm zu sehen.
  • Ansicht und Steuerung ermöglicht es dem Support-Techniker, das System einzusehen und Maßnahmen zu ergreifen. Wenn diese Option ausgewählt ist, können Endpunktbeschränkungen festgelegt werden, um Störungen durch den Remote-Benutzer zu vermeiden:
    • Keine legt keine Einschränkungen für das Remote-System fest.
    • Bildschirm, Maus und Tastatur deaktiviert diese Eingänge. Wenn diese Option aktiviert ist, steht ein Kontrollkästchen zur Verfügung, um Automatisch den Bildschirm „Privatsphäre“ bei Sitzungsbeginn anzufordern. Der Bildschirm „Privatsphäre“ ist nur für Sitzungen verfügbar, die über einen Jump-Client, ein Remote Jump-Item oder ein lokales Jump-Item gestartet wurden. Wir empfehlen die Verwendung eines „Privatsphäre“-Bildschirms für unbeaufsichtigte Sitzungen. Das Remote-System muss den „Privatsphäre“-Bildschirm unterstützen.
Gestattete Endpunkteinschränkungen

Legen Sie fest, ob der Support-Techniker Maus und Tastatur des Remote-Systems vorübergehend deaktivieren kann. Der Benutzer kann den Remote-Desktop auch daran hindern, angezeigt zu werden.

Synchronisierungsrichtung für Zwischenablage

Wählen Sie, wie der Inhalt der Zwischenablage zwischen Benutzern und Endpunkten ausgetauscht wird. Die Optionen sind:

  • Nicht berechtigt: Der Benutzer darf die Zwischenablage nicht verwenden, es werden keine Zwischenablage-Symbole im zugriffskonsole angezeigt, und die Befehle zum Ausschneiden und Einfügen funktionieren nicht.
  • Zulässig vom Support-Techniker zum Kunden: Der Benutzer kann den Inhalt der Zwischenablage an den Endpunkt weiterleiten, kann aber nicht aus der Zwischenablage des Endpunkts einfügen. Nur das Zwischenablage-Symbol Senden wird im zugriffskonsole angezeigt.
  • Zulässig in beide Richtungen: Der Inhalt der Zwischenablage kann in beide Richtungen übertragen werden. Beide Symbole Zwischenablage senden und abrufen werden im zugriffskonsole angezeigt.

Weitere Informationen über den Zwischenablage-Synchronisationsmodus finden Sie unter Sicherheit: Verwalten der Sicherheitseinstellungen.

Anwendungsfreigabebeschränkungen

Beschränken Sie den Zugriff auf angegebene Anwendungen auf dem Remote-System entweder mit Nur die aufgeführten ausführbaren Dateien gestatten oder Nur die aufgeführten ausführbaren Dateien ablehnen. Ebenfalls können Sie den Desktop-Zugriff zulassen oder verbieten.

Diese Funktion gilt nur für Windows-Betriebssysteme.

Neue ausführbare Dateien hinzufügen

Wenn Anwendungsfreigabebeschränkungen durchgesetzt werden, erscheint eine neue Schaltfläche Neue ausführbare Dateien hinzufügen. Mit Klick auf diese Schaltfläche wird ein Dialogfenster geöffnet, in dem Sie ausführbare Dateien angeben können, die gemäß Ihrer Ziele abgelehnt oder gestattet werden sollen.

Nach dem Hinzufügen von ausführbaren Dateien zeigen eine oder zwei Tabellen die Dateinamen oder Hashes an, die zur Einschränkung ausgewählt wurden. Ein bearbeitbares Kommentarfeld ermöglicht Administrationsnotizen.

Geben Sie Dateinamen oder SHA-256-Hashes ein, einen pro Zeile

Geben Sie bei der Einschränkung von ausführbaren Dateien die Dateinamen oder Hashes der ausführbaren Dateien, die sie gestatten oder verbieten möchten, manuell ein. Klicken Sie auf Ausführbare Datei(en) hinzufügen, wenn Sie fertig sind, um die gewählten Dateien zu Ihrer Konfiguration hinzuzufügen.

Pro Dialog können bis zu 25 Dateien angegeben werden. Wenn Sie mehr hinzufügen müssen, klicken Sie auf Ausführbare Datei(en) hinzufügen und öffnen Sie den Dialog dann erneut.

Navigieren zu einer oder mehreren Dateien

Wählen Sie bei der Beschränkung von ausführbaren Dateien diese Option, um auf Ihrem System zu ausführbaren Dateien zu navigieren und ihre Namen oder Hashes automatisch abzuleiten. Wenn Sie Dateien so auf Ihrer lokalen Plattform bzw. Ihrem lokalen System auswählen, stellen Sie sicher, dass es sich bei den Dateien tatsächlich um ausführbare Dateien handelt. Dies wird auf Browserebene nicht überprüft.

Wählen Sie entweder Dateiname benutzen oder Datei-Hash benutzen, damit der Browser die Dateinamen oder Hashes der ausführbaren Dateien automatisch ableitet. Klicken Sie auf Ausführbare Datei(en) hinzufügen, wenn Sie fertig sind, um die gewählten Dateien zu Ihrer Konfiguration hinzuzufügen.

Pro Dialog können bis zu 25 Dateien angegeben werden. Wenn Sie mehr hinzufügen müssen, klicken Sie auf Ausführbare Datei(en) hinzufügen und öffnen Sie den Dialog dann erneut.

Diese Option ist nur in modernen und nicht in älteren Browsern verfügbar.

Berechtigt, sich mit Anmeldedaten eines Endpunkt-Anmeldedaten-Managers anzumelden

Ermöglichen Sie es einem Benutzer, sich mit Ihrem Endpoint Credential Manager zu verbinden, um Anmeldedaten aus Ihren bestehenden Passwortspeichern oder Vaults zu verwenden.

Die Verwendung des Endpunkt-Anmeldedaten-Managers erfordert eine separate Dienstleistungsvereinbarung mit BeyondTrust. Nach Abschluss einer Dienstleistungsvereinbarung können Sie die erforderliche Middleware vom BeyondTrust Support-Portal herunterladen.

Vor 15.2 war diese Funktion nur in Sitzungen verfügbar, die auf Windows® über einen heraufgesetzten Jump-Client gestartet wurden. Ab 15.2 können Sie auch den Endpoint Credential Manager in Remote-Jump-Sitzungen, Microsoft® Remote Desktop Protocol-Sitzungen, VNC-Sitzungen und Shell Jump-Sitzungen verwenden. Auf einem Windows®-System können Sie diese Funktion auch mit der speziellen Aktion „Ausführen als“ in einer Bildschirmfreigabesitzung verwenden.

Anmerkungen
Anmerkungsregeln

Gibt dem Benutzer die Möglichkeit, Anmerkungswerkzeuge zu verwenden, um auf dem Bildschirm des Remote-Benutzers zu zeichnen. Falls Nicht definiert gewählt wurde, wird diese Option durch die Richtlinie der nächstniedrigeren Priorität bestimmt. Diese Einstellung kann von einer Richtlinie mit höherer Priorität überschrieben werden.

Dateitransfer
Dateitransfer-Regeln

Ermöglicht es dem Benutzer, Dateien auf das Remote-System hochzuladen, Dateien vom Remote-System herunterzuladen oder beides. Falls Nicht definiert gewählt wurde, wird diese Option durch die Richtlinie der nächstniedrigeren Priorität bestimmt. Diese Einstellung kann von einer Richtlinie mit höherer Priorität überschrieben werden.

Zugängliche Pfade im Dateisystem des Endpunkts

Gestattet es Benutzern, Dateien direkt zu oder von jeglichen oder nur von bestimmten Verzeichnissen auf dem Remote-System zu übertragen.

Zugängliche Pfade im Dateisystem des Benutzers

Gestattet es Benutzern, Dateien direkt zu oder von jeglichen oder nur von bestimmten Verzeichnissen auf seinem lokalen System zu übertragen.

Befehlsshell
Befehlsshell-Regeln hier eingeben

Damit kann der Benutzer über eine virtuelle Befehlszeilen-Schnittstelle Befehle auf dem Remote-Computer ausgeben. Falls Nicht definiert gewählt wurde, wird diese Option durch die Richtlinie der nächstniedrigeren Priorität bestimmt. Diese Einstellung kann von einer Richtlinie mit höherer Priorität überschrieben werden.

Der Zugriff auf Befehlsshells kann in Shell Jump-Sitzungen nicht eingeschränkt werden.

Konfigurieren der Befehlsfilterung, um eine versehentliche Nutzung von Befehlen, die für Endpunkt-Systeme schädlich sein können, zu vermeiden.

Weitere Informationen zur Befehlsfilterung finden Sie unter Shell Jump zum Zugriff auf ein Remote-Netzwerkgerät verwenden.

Systeminformationen
Regeln für Systeminformationen

Ermöglicht es dem Benutzer, Systeminformationen zum Remote-Computer anzuzeigen. Falls Nicht definiert gewählt wurde, wird diese Option durch die Richtlinie der nächstniedrigeren Priorität bestimmt. Diese Einstellung kann von einer Richtlinie mit höherer Priorität überschrieben werden.

Berechtigt, Aktionen zu Systeminformationen zu verwenden

Ermöglicht es dem Benutzer, mit Prozessen und Programmen auf dem Remote-System zu interagieren, ohne dass eine Bildschirmfreigabe erforderlich ist. Es können Prozesse beendet, Dienste gestartet, gestoppt, pausiert, fortgesetzt und neugestartet und Programme deinstalliert werden.

Zugriff auf Registrierung
Verzeichniszugriff-Regeln

Ermöglicht es dem Benutzer, mit der Registrierung auf dem Remote-Windows-System zu interagieren, ohne dass eine Bildschirmfreigabe erforderlich ist. Schlüssel können angezeigt, hinzugefügt, gelöscht und bearbeitet, durchsucht und importiert werden.

Vordefinierte Skripts
Regeln für vordefinierte Skripts

Damit kann der Benutzer vordefinierte Skripts ausführen, die für seine Teams erstellt wurden. Falls Nicht definiert gewählt wurde, wird diese Option durch die Richtlinie der nächstniedrigeren Priorität bestimmt. Diese Einstellung kann von einer Richtlinie mit höherer Priorität überschrieben werden.

Verhalten beim Beenden der Sitzung

Wenn die Verbindung innerhalb der unter Neuverbindungs-Zeitüberschreitung festgelegten Zeit nicht wiederhergestellt werden kann, legen Sie hier fest, wie verfahren werden soll. Um zu verhindern, dass ein Endbenutzer nach einer heraufgesetzten Sitzung auf unautorisierte Berechtigungen zugreift, stellen Sie den Client so ein, dass der Endbenutzer am Ende der Sitzung automatisch vom Remote-Windows-Computer abgemeldet wird, dass der Remote-Computer gesperrt wird, oder dass nichts getan wird. Diese Regeln gelten nicht für Browser-Freigabesitzungen.

Benutzer berechtigen, diese Einstellung sitzungsweise außer Kraft zu setzen

Sie können einem Benutzer die Übersteuerung der Sitzungsbeendigungseinstellung über die Registerkarte Zusammenfassung in der Konsole während einer Sitzung gestatten.

Richtlinie exportieren

Sie können eine Sitzungsrichtlinie von einer Site exportieren und diese Berechtigungen in eine Richtlinie auf einer anderen Site importieren. Bearbeiten Sie die Richtlinie, die Sie exportieren möchten, und rollen Sie zum Ende der Seite. Klicken Sie auf Richtlinie exportieren und speichern Sie die Datei.

Richtlinie importieren

Sie können diese Richtlinieneinstellungen in jede andere BeyondTrust-Website importieren, die den Import von Sitzungsrichtlinien unterstützt. Erstellen Sie eine neue Sitzungsrichtlinie und scrollen Sie zum Ende der Seite. Durchsuchen Sie die Richtliniendatei, und klicken Sie auf Richtlinie importieren. Nachdem die Richtliniendatei hochgeladen wurde, wird die Seite aktualisiert, sodass Sie Änderungen vornehmen können. Klicken Sie auf Richtlinie speichern, um die Richtlinie verfügbar zu machen.

Speichern

Klicken Sie auf Speichern, um diese Richtlinie verfügbar zu machen.

Sitzungsrichtliniensimulator

Da die Schichtung von Richtlinien komplex sein kann, können Sie den Sitzungsrichtliniensimulator verwenden, um zu erfahren, welches Ergebnis Sie erhalten. Darüber hinaus können Sie den Simulator auch verwenden, um festzustellen, warum eine Berechtigung entgegen Ihren Erwartungen nicht verfügbar ist.

Benutzer

Beginnen Sie, indem Sie den Benutzer auswählen, der die Sitzung durchführt. Diese Dropdown-Liste enthält sowohl Benutzerkonten wie auch Zugriffseinladungsrichtlinien.

Sitzungsstartmethode

Wählen Sie die Methode für den Sitzungsstart.

Jump Client / Jump-Kurzbefehl

Suchen Sie nach einem Jump Client oder Jump-Kurzbefehl mithilfe von Name, Kommentaren, Jump-Gruppe oder Tag.

Simulieren

Klicken Sie auf Simulieren. Im untenstehenden Bereich werden die nach Sitzungsrichtlinie konfigurierbaren Berechtigungen im schreibgeschützten Modus angezeigt. Sie können sehen, welche Berechtigungen als Ergebnis der kombinierten Richtlinien gewährt oder nicht gewährt wurden, und welche Richtlinie welche Berechtigung festgelegt hat.