Beveiliging: Beveiligingsinstellingen beheren

Beheer

Beveiliging

Wachtwoorden

Minimumlengte wachtwoord

Stel regels in voor lokale gebruikersaccounts voor de lengte van wachtwoorden.

Complexe wachtwoorden vereist

Stel regels in voor lokale gebruikersaccounts voor de complexiteit van wachtwoorden.

Standaard wachtwoordverloop

Stel regels in voor lokale gebruikersaccounts voor hoe vaak wachtwoorden verlopen.

Wachtwoord resetten inschakelen

Sta gebruikers met een geconfigureerd e-mailadres toe wachtwoorden te herstellen. De koppelingen in e-mails voor het opnieuw instellen van uw wachtwoord zijn geldig tot een van de volgende gebeurtenissen plaatsvindt:

Er is 24 uur verstreken;
Er wordt op de koppeling geklikt en het wachtwoord wordt met succes opnieuw ingesteld;
Het systeem verzendt een andere koppeling naar het e-mailadres.

Accountvergrendeling na

Stel het aantal keren in dat een onjuist wachtwoord mag worden ingevoerd voordat de account wordt vergrendeld.

Duur accountvergrendeling

Bepaal hoelang een geblokkeerde gebruiker moet wachten voordat hij of zij opnieuw mag inloggen. U kunt ook vereisen dat een beheerder de gebruiker moet ontgrendelen.

Toegangsconsole

Sessie beëindigen als account wordt gebruikt

Als een gebruiker probeert op de access console in te loggen met een account die al in gebruik is, dan wordt, als het keuzevakje Sessie beëindigen is aangevinkt, de vorige verbinding verbroken zodat de gebruiker op de nieuwe verbinding kan inloggen.

Opgeslagen logins activeren

Sta al dan niet toe of de access console de inloggegevens van een gebruiker mag onthouden.

Inactieve gebruiker uitloggen na

Stel de periode in waarna een inactieve gebruiker van de access console wordt uitgelogd om de licentie voor een andere gebruiker vrij te geven.

Meldingen voor waarschuwingen en afmelding na verstrijken van wachttijd inschakelen

Stel deze optie in om een inactieve gebruiker 30 seconden voordat hij wordt uitgelogd een melding te geven. De gebruiker krijgt nog een andere melding nadat hij is uitgelogd.

Gebruiker van sessie verwijderen na inactiviteit

Met deze optie wordt een gebruiker uit een sessie verwijderd na een door u ingestelde periode zonder activiteit. Hiermee worden BeyondTrust-klanten geholpen om aan inactiveits-eisen te voldoen. De gebruiker wordt gewaarschuwd 1 minuut voordat hij of zij wordt verwijderd en kan de time-out resetten.

Een gebruiker wordt geacht in een sessie actief te zijn als via het tabblad bestandsoverdracht of via de chat-interface bestanden worden overgedragen, of als hij of zij in het tabblad sessie op de muis klikt of een toets indrukt. Het bewegen van de muis alleen geldt niet als activiteit. Zodra de activiteit stopt, begint de timer voor inactiviteit te lopen.

Standaard verificatiemethode voor Access Console

Selecteer de standaard verificatiemethode. De hier geselecteerde verificatiemethode wordt automatisch geselecteerd op de inlogpagina wanneer de gebruiker de volgende keer inlogt bij de access console nadat de instelling is gewijzigd. Gebruikers kunnen desgewenst een andere methode selecteren.

U kunt deze instelling op elk moment wijzigen. U moet wel uitloggen bij de access console en opnieuw inloggen om de wijziging te kunnen zien.

Mobiele Access Console en Privileged Web Access Console toestaan om verbinding te maken

Sta toe dat gebruikers toegang krijgen tot externe systemen via de BeyondTrust access console-app voor iOS of Android, en ook via de privileged web access console, een browsergebaseerde access console.

Klembordsynchronisatiemodus

Met Klembordsynchronisatiemodus wordt bepaald hoe gebruikers binnen een sessie met scherm delen klemborden mogen synchroniseren. De beschikbare instellingen zijn als volgt:

Automatisch: Het klembord van het eindpunt en de gebruiker worden automatisch gesynchroniseerd wanneer er bij de ander veranderingen optreden.
Handmatig: De gebruiker moet een van de klembordpictogrammen op de access console aanklikken om inhoud te versturen naar of op te halen van het klembord van het eindpunt

U MOET de software opnieuw starten op de statuspagina om deze instellingen door te voeren.

Beheerders kunnen verhinderen dat gebruikers toegang hebben tot het klembord, ze kunnen gebruikers toestaan om gegevens te verzenden naar het eindpunt of ze kunnen gebruikers toegang in beide richtingen verlenen (gegevens verzenden en ontvangen). Deze instellingen bepalen welke klembordpictogrammen de gebruiker ziet in de access console wanneer de modus Handmatig is geselecteerd en hoe de synchronisatie verloopt in de modus Automatisch.

Gedetailleerde controle van toegang tot het klembord kan worden ingesteld voor sessiebeleidslijnen en groepsbeleidslijnen; toegang kan ook worden verleend aan specifieke gebruikers. Bekijk onderstaande koppelingen voor elk afzonderlijk geval:

Gebruikers: Gebruikersmachtigingen voor een gebruiker of beheerder toevoegen: Gebruikers en beveiliging > Gebruikers > Toevoegen > Sessiemachtigingen > Scherm delen
Sessiebeleidslijnen: Sessiemachtigingen en prompt-regels instellen: Gebruikers en beveiliging > Gebruikers > Toevoegen > Machtiging > Scherm delen
Groepsbeleidslijnen: Gebruikersmachtigingen op groepen gebruikers toepassen: Gebruikers en beveiliging > Groepsbeleidslijnen > Toevoegen > Sessiemachtigingen [gedefinieerd]

U MOET de software opnieuw starten op de statuspagina om deze instellingen door te voeren.

Zoeken naar externe Jumpitems toestaan

Dit maakt het zoeken naar Jumpitems in Password Safe mogelijk, wanneer Privileged Remote Access een Password Safe-integratie en een volledig geconfigureerde Endpoint Credential Manager heeft.

U MOET de software opnieuw starten op de statuspagina om deze instellingen door te voeren.

Jumpoint voor externe Jumpitem-sessies

Dit veld is alleen beschikbaar wanneer Zoeken naar externe Jumpitems is ingeschakeld. Selecteer het Jumpoint voor externe Jumpsessies uit de vervolgkeuzelijst met beschikbare Jumpoints. Alle sessies die zijn gestart vanuit externe Jumpitems worden uitgevoerd via het hier geselecteerde Jumpoint.

Naam van externe Jumpitemgroep

Dit veld is alleen beschikbaar wanneer Zoeken naar externe Jumpitems is ingeschakeld. Voer uw naam in voor de externe Jumpgroep. Deze naam wordt weergegeven bij het bekijken van Jumpgroepen in de toegangsconsole of webtoegangsconsole. De standaardnaam, Externe Jumpitems, kan worden gebruikt.

U MOET de software opnieuw starten op de statuspagina om deze instellingen door te voeren.

Overig

Dagen voor het behouden van loginformatie

In Dagen voor het behouden van logboekinformatie kunt u instellen hoe lang inlog-informatie op het B Series Appliance moet worden opgeslagen. Deze informatie bestaat uit de rapportagegegevens en opnames van sessies. De maximale tijd dat rapportage-gegevens en opnames voor een sessie op een B Series Appliance kan worden bewaard is 90 dagen. Dit is de standaard instelling bij een nieuwe installatie. Het is mogelijk dat voor sommige sessies binnen het retentietijdsframe de sessieopnames niet beschikbaar zijn. Dit komt wellicht door schijfruimtebeperkingen of door de instelling Dagen voor het behouden van logboekinformatie.

Het B Series Appliance voert elke dag een onderhoudsscript uit wat ervoor zorgt dat het schijfgebruik de 90% niet overschrijdt. Mocht dat toch gebeuren, dan verwijdert het script sessieopnames op basis van een formule tot het schijfgebruik onder de 90% is. Als de instelling Dagen voor het behouden van logboekinformatie recentelijk is gewijzigd, kan het tot 24 uur duren tot de nieuwe instelling in werking treedt.

Als gegevens of opnames langer moeten worden bewaard dan de geconfigureerde limiet, raadt BeyondTrust gebruik van de Rapportage-API aan.

Vooraf gedeelde sleutel (code) voor communicatie tussen apparaten

Deze functie is alleen beschikbaar voor klanten die een BeyondTrust Appliance B Series op locatie bezitten. Klanten van BeyondTrust Cloud hebben geen toegang tot deze functie.

Voer in het veld Vooraf gedeelde sleutel voor communicatie tussen apparaten een wachtwoord in om een vertrouwde relatie tussen twee B Series Appliances te maken. Als twee of meer B Series Appliances worden geconfigureerd voor functies als automatische omschakeling of clusteren, dan moeten de sleutels overeenstemmen. De sleutel moet uit ten minste 6 tekens bestaan en moet minstens één hoofdletter, één kleine letter, één cijfer en één speciaal teken bevatten.

Netwerkbeperkingen

Bepaal welke IP-netwerken toegang tot /login en /api en de BeyondTrust access console op uw B Series Appliance moeten kunnen krijgen. Als u netwerkbeperkingen inschakelt, dan kunt u ook afdwingen dat access consoles alleen op bepaalde netwerken mogen worden gebruikt.

Beheerinterface (/login) en API-interface (/api)

Netwerkbeperkingen altijd toepassen: wanneer dit is geselecteerd hebt u de optie om een acceptatielijst met alleen de toegestane netwerken te maken of een lijst met netwerken die de toegang juist wordt geweigerd. Wanneer deze optie is geselecteerd, kunt u bepalen welke beperkingen, indien van toepassing, moeten worden toegepast op de toegangsconsoles voor desktop, mobiel en web.
Netwerkbeperkingen nooit toepassen: wanneer dit is geselecteerd worden er geen beperkingen toegepast en zijn er geen andere opties beschikbaar om beperkingen toe toepassen op de console voor desktop, mobiel en web.

Toegangsconsole voor desktop en mobiel

Netwerkbeperkingen altijd toepassen: wanneer dit is geselecteerd erft het de netwerkbeperkingen die zijn ingevoerd voor de beheerinterface.
Netwerkbeperkingen nooit toepassen: wanneer dit is geselecteerd worden er geen beperkingen toegepast op de console voor desktop en mobiel, maar hebt u wel de optie om beperkingen toe te passen op de web-access console.
Netwerkbeperkingen alleen toepassen op de eerste verificatie van de gebruiker: Hiermee worden de hierboven geselecteerde beperkingen toegepast, maar alleen wanneer de gebruiker eerst inlogt.

Webconsole (/console)

Netwerkbeperkingen altijd toepassen: wanneer dit is geselecteerd erft de web-access console de netwerkbeperkingen die zijn ingevoerd voor de beheerinterface.
Netwerkbeperkingen nooit toepassen: wanneer dit is geselecteerd worden er geen beperkingen toegepast op de web-access console, zelfs wanneer er beperkingen effectief zijn voor de andere toegangsconsole-methoden.

Zie voor meer informatie de Privileged Web Access Console-gids.

Poortbeperkingen voor de beheerwebinterface

Deze functie is alleen beschikbaar voor klanten die een BeyondTrust Appliance B Series op locatie bezitten. Klanten van BeyondTrust Cloud hebben geen toegang tot deze functie.

Stel de poorten in waarvandaan toegang tot uw /login-interface kan worden verkregen.

Proxyconfiguratie

Configureer een proxyserver om de gegevensstroom te controleren voor informatie die vanuit de B Series Appliance wordt verzonden. Dit is van toepassing op uitgaande gebeurtenissen en API-aanroepen.

Proxyprotocol

Configureer HTTP of HTTPS proxytypes voor uitgaande connectiviteit van het B Series Appliance.

Proxyconfiguratie inschakelen

Vink het vakje aan om de uitgaande proxy-instellingen in te inschakelen.

Proxyhost

Voer het IP-adres of de hostnaam van uw proxyserver in.

Proxypoort

Voer de poort in die uw proxyserver gebruikt. De standaardpoort is 1080.

Gebruikersnaam en wachtwoord van proxy

Als uw proxyserver verificatie vereist, typt u een gebruikersnaam en wachtwoord.

Testen

Klik op Testen om te controleren of de configuratie-instellingen correct zijn ingevoerd. Het huidige testresultaat wordt weergegeven in het gedeelte Laatste testresultaat. Foutmeldingen geven aan op welke punten de configuratie-instellingen moeten worden aangepast.