Règles de session : configuration de règles de demande et d’autorisation de session

Utilisateurs et sécurité

Règles de session

Règles de session

Les règles de session permettent de personnaliser les autorisations de sécurité des sessions pour correspondre à des scénarios spécifiques. Les règles de session peuvent être appliquées aux utilisateurs et à tous les éléments de Jump.

La section Règles de session répertorie toutes les règles disponibles. Cliquez sur la flèche à côté du nom d’une règle pour voir rapidement où cette règle est utilisée, sa disponibilité pour les utilisateurs, les invitations d’accès et les Jump Clients, et les outils configurés.

Ajouter, modifier ou supprimer une règle de session

Créer une nouvelle règle, modifier ou supprimer une règle existante.

Copier

Pour accélérer la création de règles de groupe semblables, cliquez sur Copier pour créer une nouvelle règle avec des réglages identiques. Vous pouvez ensuite modifier cette nouvelle règle pour répondre à vos exigences spécifiques.

Ajouter ou modifier une règle de session

Nom affiché

Créez un nom unique permettant d’identifier cette règle. Ce nom facilite l’assignation d’une règle de session aux utilisateurs et aux Jump Clients.

Nom de code

Définissez également un nom de code, qui sera utilisé à des fins d’intégration. Dans le cas contraire, PRA en crée un automatiquement.

Description

Ajoutez une brève description pour résumer la fonction de cette règle. La description s’affiche lors de l’application d’une règle à des comptes utilisateur, règles de groupe et invitations d’accès.

Disponibilité

Utilisateurs

Choisissez si cette règle peut être attribuée à des utilisateurs (comptes d’utilisateurs et règles de groupe).

Invitation d’accès

Choisissez si cette règle peut être sélectionnée par les utilisateurs lors de l’invitation d’utilisateurs externes à rejoindre une session.

Éléments de Jump

Choisissez si cette règle peut être associée à un élément de Jump.

Dépendants

Si cette règle de session est déjà utilisée, vous verrez le nombre d’utilisateurs et de Jump Clients utilisant cette règle.

Autorisations

Vous pouvez choisir d’activer ou de désactiver toutes les autorisations suivantes, ou encore de les définir sur Non défini. Les règles de session sont appliquées à une session de manière hiérarchisée, les Jump Clients étant prioritaires, suivis des utilisateurs, et enfin de la règle globale par défaut. S’il existe plusieurs règles s’appliquant à une session, la règle présentant la priorité la plus haute prévaut sur toutes les autres. Par exemple, si la règle appliquée à un Jump Client définit une autorisation, alors aucune autre règle ne peut modifier cette autorisation pour la session. Pour qu’une autorisation puisse être définie par une règle de niveau inférieur, elle doit être définie sur Non défini.

Indiquez les outils d’assistance technique devant être activés ou désactivés avec cette règle.

Autoriser l’accès accru aux outils et actions spéciales sur le point de terminaison

Si activé, l’accès à la fonctionnalité accrue est fourni dans la console d’accès pour cette session sans avoir besoin de droits explicités d’un utilisateur connecté sur le point de terminaison distant.

S’il est désactivé, ce paramètre empêche les utilisateurs d’obtenir un accès complet aux fonctions de transfert de fichiers et d’interpréteur de commandes lorsqu’ils effectuent un Jump vers un élément de Jump accru mais ne disposent pas de droits accrus. Pour ce faire, les actions spéciales et les actions de contrôle de l’alimentation sont masquées et indisponibles. Cela restreint aussi Transfert de fichiers, Interpréteur de commandes et Accès au registre lorsqu’aucun utilisateur est présent dans la session. Ce paramètre s’applique là où la plateforme du point de terminaison le permet.

Partage d’écran
Règles de partage d’écran

Sélectionnez l’accès du technicien d’assistance et de l’utilisateur distant au système distant :

  • En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.
  • Refuser désactive le partage d’écran.
  • Voir uniquement permet au technicien d’assistance de voir l’écran.
  • Voir et contrôler permet au technicien d’assistance de voir le système et d’agir sur celui-ci. Si cette option est sélectionnée, des restrictions concernant les points de terminaison peuvent être définies pour éviter les interférences avec l’utilisateur distant :
    • Aucun n’impose aucune restriction au système distant.
    • Affichage, souris et clavier désactive ces entrées. Si cette option est sélectionnée, une case est disponible pour Demander automatiquement un écran de confidentialité au début de la session. L’écran de confidentialité ne s’applique qu’aux sessions lancées à partir d’un Jump Client, d’un élément de Jump distant ou d’un élément de Jump local. Nous vous recommandons d’utiliser un écran de confidentialité pour les sessions autonomes. Le système distant doit prendre en charge l’écran de confidentialité.
Restrictions de point de terminaison autorisées

Définissez si l’utilisateur peut interrompre l’entrée souris et clavier du système distant. L’utilisateur peut aussi empêcher l’affichage du bureau distant.

Sens de synchronisation du presse-papiers

Sélectionnez la manière dont le contenu du presse-papiers circule entre les utilisateurs et les points de terminaison. Les options sont :

  • Non autorisé : L’utilisateur n’est pas autorisé à utiliser le presse-papiers, aucune icône de presse-papiers ne s’affiche dans la console d’accès et les commandes couper-coller ne fonctionnent pas.
  • Autorisé du technicien d’assistance vers l’utilisateur : L’utilisateur peut envoyer le contenu du presse-papiers au point de terminaison, mais ne peut pas le coller à partir du presse-papiers du point de terminaison. Seule l’icône du presse-papiers Envoyer s’affiche dans la console d’accès.
  • Envoyer dans les deux sens : Le contenu du presse-papiers peut circuler dans les deux sens. Les icônes du presse-papiers Envoyer et Obtenir s’affichent dans la console d’accès.

Pour plus d’informations sur le Mode de synchronisation du presse-papiers, veuillez consulter Sécurité : Gestion des paramètres de sécurité.)

Restrictions de partage d’applications

Limiter l’accès aux applications spécifiées sur le système distant avec N’autoriser que les exécutables répertoriés ou Ne refuser que les exécutables répertoriés. Vous pouvez aussi choisir d’autoriser ou de refuser l’accès au bureau.

notez que cette fonction n’est valable que pour les systèmes d’exploitation Windows.

Ajouter des exécutables

Si des restrictions de partage d’application sont imposées, un bouton Ajouter des exécutables apparaît. Cliquer sur ce bouton ouvre un dialogue qui vous permet de spécifier quels exécutables autoriser ou refuser, en fonction de vos objectifs.

Après avoir ajouté des exécutables, un ou deux tableaux affichent les noms ou hachages de fichier que vous avez sélectionnés pour la restriction. Un champ de commentaire modifiable permet d’écrire des notes d’administration.

Entrer les noms de fichier ou hachages SHA-256 (un par ligne)

Lorsque vous restreignez des exécutables, saisissez manuellement les noms ou hachages des fichiers exécutables que vous souhaitez autoriser ou refuser. Cliquez sur Ajouter des exécutables lorsque vous avez terminé pour ajouter les fichiers choisis à votre configuration.

Vous pouvez saisir jusqu’à 25 fichiers par dialogue. Si vous avez besoin d'en ajouter davantage, cliquez sur Ajouter des exécutables puis rouvrez le dialogue.

Rechercher un ou plusieurs fichiers

Lorsque vous restreignez des exécutables, sélectionnez cette option pour parcourir votre système et choisir les fichiers exécutables pour obtenir automatiquement leurs noms ou hachages. Si vous sélectionnez des fichiers de votre plate-forme locale et du système de cette manière, assurez-vous que les fichiers sont bien des exécutables. Aucune vérification au niveau du navigateur n’est effectuée.

Choisissez Utiliser le nom de fichier ou Utiliser le hachage de fichier pour que le navigateur obtienne les noms ou hachages des fichiers exécutables automatiquement. Cliquez sur Ajouter des exécutables lorsque vous avez terminé pour ajouter les fichiers choisis à votre configuration.

Vous pouvez saisir jusqu’à 25 fichiers par dialogue. Si vous avez besoin d'en ajouter davantage, cliquez sur Ajouter des exécutables puis rouvrez le dialogue.

cette option n’est disponible que dans les navigateurs modernes, pas dans les navigateurs plus anciens.

Autorisé à se connecter à l’aide d’informations d’authentification venant d’un gestionnaire d’informations d’authentification de point de terminaison

Activez la connexion d’un utilisateur à votre gestionnaire d’informations d’authentification de point de terminaison pour utiliser les informations d’authentification de vos magasins ou banques de mot de passe existants.

L’utilisation du gestionnaire d’informations d’authentification de point de terminaison nécessite un accord de services séparé avec BeyondTrust. Une fois qu’un accord de services est en place, vous pouvez télécharger le middleware requis auprès du portail d’assistance technique BeyondTrust.

avant la version 15.2, cette fonction n’est disponible que dans les sessions lancées depuis un Jump Client aux droits accrus sur Windows®. À partir de la version 15.2, vous pouvez également utiliser un gestionnaire d’informations d’authentification de point de terminaison dans les sessions de Jump distants, les sessions de protocole de bureau à distance Microsoft®, les sessions VNC et les sessions de Shell Jump. Vous pouvez aussi utiliser cette fonction avec l’action Exécuter en tant que spécial dans une session de partage d’écran sur un système Windows®.

Annotations
Règles d’annotation

Permet à l’utilisateur d’utiliser les outils d’annotation pour dessiner sur l’écran du système distant. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Transfert de fichiers
Règles de transfert de fichiers

Permet à l’utilisateur d’envoyer des fichiers vers le système distant, de télécharger des fichiers depuis le système distant, ou les deux. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Chemins accessibles sur le système de fichiers du point de terminaison

Permettre à l’utilisateur de transférer des fichiers de et vers n’importe quel répertoire sur le système distant ou uniquement les répertoires spécifiés.

Chemins accessibles sur le système de fichiers de l’utilisateur

Permettre à l’utilisateur de transférer des fichiers de et vers n’importe quel répertoire sur son système local ou uniquement les répertoires spécifiés.

Interpréteur de commandes
Règles de l’interpréteur de commandes

Permet à l’utilisateur de saisir des commandes sur l’ordinateur distant par l’intermédiaire d’une interface en ligne de commande virtuelle. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

l’accès à l’interpréteur de commandes ne peut pas être restreint lors de sessions de Shell Jump.

Configurez le filtrage des commandes pour empêcher l’utilisation accidentelle de commandes pouvant endommager les systèmes des points de terminaison.

Pour plus d’informations sur le filtrage de commandes, veuillez consulter la section Utiliser un Shell Jump pour accéder à un appareil réseau distant.

Informations système
Règles relatives aux informations système

Permet à l’utilisateur de consulter les informations système de l’ordinateur distant. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Autorisé à utiliser les actions relatives aux informations système

Permet à l’utilisateur d’interagir avec les processus et les programmes sur le système distant sans avoir recours au partage d’écran. Le technicien d’assistance peut ainsi désinstaller des programmes, supprimer des processus ou encore démarrer, arrêter, mettre en pause, reprendre et redémarrer des services.

Accès au registre
Règles d’accès au registre

Permet à l’utilisateur d’agir sur le registre d’un système Windows distant sans avoir recours au partage d’écran. Le technicien d’assistance peut ainsi afficher, ajouter, supprimer, modifier, rechercher et importer/exporter des clés.

Scripts prédéfinis
Règles de script prédéfini

Permet à l’utilisateur d’exécuter des scripts prédéfinis créés pour ses équipes. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Comportement de fin de session

Si vous ne pouvez pas vous reconnecter dans le temps que vous avez défini dans Délai de reconnexion, choisissez l’action à effectuer. Pour empêcher un utilisateur final d’accéder à des privilèges non autorisés après une session avec des droits accrus, réglez le client pour qu’il déconnecte automatiquement l’utilisateur final de l’ordinateur Windows distant à la fin de la session, qu’il verrouille l’ordinateur distant, ou qu’il ne fasse rien. Ces règles ne s’appliquent pas aux sessions de partage de navigation.

Autoriser les utilisateurs à remplacer ce paramètre session par session

Vous pouvez autoriser un utilisateur à outrepasser le paramètre de fin de session dans l’onglet Résumé de la console au cours d’une session.

Exporter la règle

Vous pouvez exporter une règle de session à partir d’un site et importer ces autorisations dans une règle sur un autre site. Modifiez la règle que vous souhaitez exporter et faites défiler jusqu’au bas de la page. Cliquez sur Exporter la règle et enregistrez le fichier.

Importer une règle

Vous pouvez importer ces paramètres de règles vers les autres sites BeyondTrust prenant en charge l’importation de règles de session. Créez une nouvelle règle de session, puis accédez au bas de la page. Naviguez jusqu’au fichier de la règle, puis cliquez sur Importer la règle. Une fois le fichier de la règle chargé, la page s’actualisera pour vous permettre d’effectuer des modifications. Cliquez alors sur Enregistrer la règle pour rendre la règle disponible.

Enregistrer

Cliquez sur Enregistrer pour rendre cette règle disponible.

Simulateur de règle de session

La priorisation des règles pouvant s’avérer complexe, vous pouvez utiliser le simulateur de règle de session pour déterminer le résultat. Vous pouvez également utiliser ce simulateur pour déterminer pourquoi une autorisation n’est pas disponible alors qu’elle devrait l’être.

Utilisateur

Commencez en sélectionnant l’utilisateur effectuant la session. Cette liste déroulante inclut les comptes utilisateur et les règles d’invitation d’accès.

Méthode de démarrage de session

Sélectionnez la méthode de démarrage de la session.

Jump Client/raccourci de Jump

Recherchez un Jump Client ou un raccourci de Jump par nom, commentaires, groupe de Jump ou balise.

Simuler

Cliquez sur Simuler. La zone située en dessous affiche en lecture seule les autorisations configurables par règle de session. Vous pouvez ainsi voir quelles autorisations sont accordées ou refusées d’après la hiérarchie de règles, ainsi que la règle associée à chaque autorisation.