Beveiliging: Beveiligingsinstellingen beheren

Beheer

Beveiliging

Verificatie

Standaard verificatiemethode

De standaard verificatiemethode is Gebruikersnaam en wachtwoord. Als verificatie zonder wachtwoord is ingeschakeld, kan Wachtwoordloze FIDO2 worden geselecteerd als standaard verificatiemethode. Als verificatie zonder wachtwoord is ingeschakeld, kunt u een van beide verificatiemethoden selecteren tijdens het aanmelden.

FIDO2-verificatie zonder wachtwoord inschakelen

Met deze functie kunnen gebruikers van de lokale beveiligingsprovider en leveranciersgebruikers zich registreren en aanmelden met FIDO2-gecertificeerde verificatoren in plaats van met een wachtwoord. FIDO2-verificatieapparaten moeten CTAP2 ondersteunen en in staat zijn gebruikersverificatie uit te voeren middels biometrische gegevens of een pincode.

Deze functie is standaard ingeschakeld. Maak dit selectievakje leeg om de functie uit te schakelen. Indien uitgeschakeld:

Het kopje Verificatoren zonder wachtwoord onder Mijn account > Beveiliging is verborgen.
De optie Wachtwoordloze FIDO2 is niet beschikbaar in de vervolgkeuzelijsten voor het aanmelden.
Gebruikers kunnen zich niet aanmelden met eerder geregistreerde verificatoren.

Als u deze functie uitschakelt, worden eerder geregistreerde verificaties niet verwijderd. Als deze moeten worden verwijderd, moet u dat doen voordat de functie wordt uitgeschakeld.

Gebruikers met geregistreerde verificatie zonder wachtwoord kunnen zich blijven aanmelden met behulp van hun gebruikersnaam en wachtwoord. Dit kan nuttig zijn als ze zich moeten aanmelden met behulp van een apparaat dat geen verificatie zonder wachtwoord ondersteunt.

Deze functie kan niet worden beperkt tot specifieke gebruikers of gebruikersgroepen.

Zie Verificatoren zonder wachtwoord voor meer informatie en voor het registreren van verificatoren.

Accountvergrendeling na

Stel het aantal keren in dat een onjuist wachtwoord mag worden ingevoerd voordat de account wordt vergrendeld.

Duur accountvergrendeling

Bepaal hoelang een geblokkeerde gebruiker moet wachten voordat hij of zij opnieuw mag inloggen. U kunt ook vereisen dat een beheerder de gebruiker moet ontgrendelen.

Wachtwoorden

Minimumlengte wachtwoord

Stel regels in voor lokale gebruikersaccounts voor de lengte van wachtwoorden.

Complexe wachtwoorden vereist

Stel regels in voor lokale gebruikersaccounts voor de complexiteit van wachtwoorden.

Standaard wachtwoordverloop

Stel regels in voor lokale gebruikersaccounts voor hoe vaak wachtwoorden verlopen.

Wachtwoord resetten inschakelen

Sta gebruikers met een geconfigureerd e-mailadres toe wachtwoorden te herstellen. De koppelingen in e-mails voor het opnieuw instellen van uw wachtwoord zijn geldig tot een van de volgende gebeurtenissen plaatsvindt:

Er is 24 uur verstreken;
Er wordt op de koppeling geklikt en het wachtwoord wordt met succes opnieuw ingesteld;
Het systeem verzendt een andere koppeling naar het e-mailadres.

Toegangsconsole

Sessie beëindigen als account wordt gebruikt

Als een gebruiker probeert op de toegangsconsole in te loggen met een account die al in gebruik is, dan wordt, als het keuzevakje Sessie beëindigen is aangevinkt, de vorige verbinding verbroken zodat de gebruiker op de nieuwe verbinding kan inloggen.

Opgeslagen logins activeren

Sta al dan niet toe dat de toegangsconsole de inloggegevens van een gebruiker mag onthouden.

Inactieve gebruiker uitloggen na

Stel de periode in waarna een inactieve gebruiker van de toegangsconsole wordt uitgelogd om de licentie voor een andere gebruiker vrij te geven.

Meldingen voor waarschuwingen en afmelding na verstrijken van wachttijd inschakelen

Stel deze optie in om een inactieve gebruiker 30 seconden voordat hij of zij wordt uitgelogd een melding te geven. De gebruiker krijgt nog een andere melding nadat hij of zij is uitgelogd.

Gebruiker van sessie verwijderen na inactiviteit

Met deze optie wordt een gebruiker uit een sessie verwijderd na een door u ingestelde periode zonder activiteit. Hiermee worden BeyondTrust-klanten geholpen om aan inactiviteitseisen te voldoen. De gebruiker wordt gewaarschuwd 1 minuut voordat hij of zij wordt verwijderd en kan de time-out resetten.

Een gebruiker wordt geacht in een sessie actief te zijn als via het tabblad bestandsoverdracht of via de chat-interface bestanden worden overgedragen, of als hij of zij in het tabblad sessie op de muis klikt of een toets indrukt. Het bewegen van de muis alleen geldt niet als activiteit. Zodra de activiteit stopt, begint de timer voor inactiviteit te lopen.

Mobiele Toegangsconsole en Privileged Web-toegangsconsole toestaan om verbinding te maken

Sta toe dat gebruikers toegang krijgen tot externe systemen via de BeyondTrust toegangsconsole-app voor iOS of Android, en ook via de privileged web-toegangsconsole, een browsergebaseerde toegangsconsole.

Klembordsynchronisatiemodus

Met Klembordsynchronisatiemodus wordt bepaald hoe gebruikers binnen een sessie met scherm delen klemborden mogen synchroniseren. De beschikbare instellingen zijn als volgt:

Automatisch: Het klembord van het eindpunt en de gebruiker worden automatisch gesynchroniseerd wanneer er bij de ander veranderingen optreden.
Handmatig: De gebruiker moet een van de klembordpictogrammen op de toegangsconsole aanklikken om inhoud te versturen naar of op te halen van het klembord van het eindpunt.

U MOET de software opnieuw starten op de statuspagina om deze instellingen door te voeren.

Beheerders kunnen verhinderen dat gebruikers toegang hebben tot het klembord, ze kunnen gebruikers toestaan om gegevens te verzenden naar het eindpunt of ze kunnen gebruikers toegang in beide richtingen verlenen (gegevens verzenden en ontvangen). Deze instellingen bepalen welke klembordpictogrammen de gebruiker ziet in de toegangsconsole wanneer de modus Handmatig is geselecteerd en hoe de synchronisatie verloopt in de modus Automatisch.

Gedetailleerde controle van toegang tot het klembord kan worden ingesteld voor sessiebeleidslijnen en groepsbeleidslijnen; toegang kan ook worden verleend aan specifieke gebruikers. Bekijk onderstaande koppelingen voor elk afzonderlijk geval:

Gebruikers: Gebruikersmachtigingen voor een gebruiker of beheerder toevoegen: Gebruikers en beveiliging > Gebruikers > Toevoegen > Sessiemachtigingen > Scherm delen
Sessiebeleidslijnen: Sessiemachtigingen en prompt-regels instellen: Gebruikers en beveiliging > Gebruikers > Toevoegen > Machtiging > Scherm delen
Groepsbeleidslijnen: Gebruikersmachtigingen op groepen gebruikers toepassen: Gebruikers en beveiliging > Groepsbeleidslijnen > Toevoegen > Sessiemachtigingen [gedefinieerd]

U moet de software opnieuw starten op de pagina Status om deze instelling door te voeren.

Zoeken naar externe Jumpitems toestaan

Dit maakt het zoeken naar Jumpitems in Password Safe mogelijk, wanneer Privileged Remote Access (PRA) een Password Safe-integratie en een volledig geconfigureerde Endpoint Credential Manager (ECM) heeft.

Deze instelling wordt pas van kracht nadat u de software opnieuw hebt opgestart. Wanneer u deze instelling in- of uitschakelt, krijgt u vanaf de pagina Status in /login de optie om de software nu of op een later moment opnieuw op te starten.

Jumpoint voor externe Jumpitem-sessies

Dit veld is alleen beschikbaar wanneer Zoeken naar externe Jumpitems toestaan is ingeschakeld. Alle sessies die vanuit externe Jumpitems zijn gestart, worden uitgevoerd via het hier geselecteerde Jumpoint. Of, wanneer er meerdere Jumpoints zijn geïmplementeerd op eindpunten tussen gesegmenteerde netwerken, kan het Jumpoint dat wordt gebruikt mogelijk automatisch worden geselecteerd door het te vergelijken met de Netwerk-ID van het externe Jumpitem. Een Jumpoint moet in het netwerk worden gepositioneerd om verbinding te kunnen maken met alle potentiële externe Jumpitems die door de ECM worden geretourneerd.

Selecteer het Jumpoint dat moet worden gebruikt voor sessies met externe Jumpitems in de vervolgkeuzelijst met beschikbare Jumpoints of laat de standaardselectie Automatisch geselecteerd op basis van Netwerk-ID van het externe Jumpitem ingeschakeld zodat PRA kan bepalen welk Jumpoint de sessie afhandelt.

De Netwerk-ID van extern Jumpitem is een kenmerk dat u voor het Jumpoint moet instellen via Jump > Jumpoint in /login. Het is vergelijkbaar met het kenmerk Werkgroep voor beheerde systemen in Password Safe. De waarde wordt afgestemd op de eigenschap Netwerk-ID voor externe Jumpitems die door de ECM worden geretourneerd om het Jumpoint te bepalen voor afhandeling van een sessie.

Naam van externe Jumpitemgroep

Dit veld is alleen beschikbaar wanneer Zoeken naar externe Jumpitems toestaan is ingeschakeld. Voer eventueel een naam in voor de externe Jumpgroep of laat de standaardoptie Externe Jumpitems actief. Deze naam wordt weergegeven als naam van de Jumpgroep wanneer Jumpitems worden weergegeven in de toegangsconsole of online toegangsconsole. Klik op Opslaan als u de standaard groepsnaam hebt gewijzigd.

Registreer speciale actieopdrachten 'Uitvoeren als' in sessierapporten

Vink deze optie uit om het registreren en rapporteren van alle Uitvoeren als-opdrachten te stoppen. Aangezien de gehele opdracht wordt geregistreerd, zullen eventuele referenties die als opdrachtparameter worden doorgegeven ook worden geregistreerd.

Overig

Dagen voor het behouden van loginformatie

In Dagen voor het behouden van logboekinformatie kunt u instellen hoe lang loginformatie op het B Series Appliance moet worden opgeslagen. Deze informatie bestaat uit de rapportagegegevens en opnames van sessies. De maximale tijd dat rapportage-gegevens en opnames voor een sessie op een B Series Appliance kunnen worden bewaard is 90 dagen. Dit is de standaard instelling bij een nieuwe installatie. Het is mogelijk dat voor sommige sessies binnen het retentietijdsframe de sessieopnames niet beschikbaar zijn. Dit komt wellicht door schijfruimtebeperkingen of door de instelling Dagen voor het behouden van logboekinformatie.

Het B Series Appliance voert elke dag een onderhoudsscript uit wat ervoor zorgt dat het schijfgebruik de 90% niet overschrijdt. Mocht dat toch gebeuren, dan verwijdert het script sessieopnames op basis van een formule tot het schijfgebruik onder de 90% is. Als de instelling Dagen voor het behouden van logboekinformatie recentelijk is gewijzigd, kan het tot 24 uur duren tot de nieuwe instelling in werking treedt.

Als gegevens of opnames langer moeten worden bewaard dan de geconfigureerde limiet, raadt BeyondTrust gebruik van de Rapportage-API aan.

Vooraf gedeelde sleutel (code) voor communicatie tussen apparaten

Deze functie is alleen beschikbaar voor klanten die een BeyondTrust Appliance B Series op locatie bezitten. Klanten van BeyondTrust Cloud hebben geen toegang tot deze functie.

Voer in het veld Vooraf gedeelde sleutel voor communicatie tussen apparaten een wachtwoord in om een vertrouwde relatie tussen twee B Series Appliances te maken. Als twee of meer B Series Appliances worden geconfigureerd voor functies als automatische omschakeling of clusteren, dan moeten de sleutels overeenstemmen. De sleutel moet uit ten minste 6 tekens bestaan en moet minstens één hoofdletter, één kleine letter, één cijfer en één speciaal teken bevatten.

Dagen voor het behouden van Jumpitem-logboekinformatie

Kies hoe lang Jumpitem-rapportagegevens toegankelijk blijven vanuit het apparaat. Omdat de gegevens maar een keer per dag worden opgeruimd, kunnen deze tot 24 uur na wat hier wordt geselecteerd beschikbaar blijven.

Netwerkbeperkingen

Bepaal welke IP-netwerken toegang tot /login en /api en de BeyondTrust toegangsconsole op uw B Series Appliance moeten kunnen krijgen. Als u netwerkbeperkingen inschakelt, dan kunt u ook afdwingen dat toegangsconsoles alleen op bepaalde netwerken mogen worden gebruikt.

Beheerinterface (/login) en API-interface (/api)

Netwerkbeperkingen altijd toepassen: wanneer deze optie is geselecteerd, hebt u de keuze om een acceptatielijst met alleen de toegestane netwerken te maken of een lijst met netwerken die de toegang juist wordt geweigerd. Wanneer deze optie is geselecteerd, kunt u bepalen welke beperkingen, indien van toepassing, moeten worden toegepast op de toegangsconsoles voor desktop, mobiel en web.
Netwerkbeperkingen nooit toepassen: wanneer deze optie is geselecteerd, worden er geen beperkingen toegepast en zijn er geen andere opties beschikbaar om beperkingen toe te passen op de console voor desktop, mobiel en web.

Toegangsconsole voor desktop en mobiel

Netwerkbeperkingen altijd toepassen: wanneer deze optie is geselecteerd, neemt deze de netwerkbeperkingen over die zijn ingevoerd voor de beheerinterface.
Netwerkbeperkingen nooit toepassen: wanneer deze optie is geselecteerd, worden er geen beperkingen toegepast op de console voor desktop en mobiel, maar hebt u wel de keuze om beperkingen toe te passen op de online toegangsconsole.
Netwerkbeperkingen alleen toepassen op de eerste verificatie van de gebruiker: hiermee worden de hierboven geselecteerde beperkingen toegepast, maar alleen wanneer de gebruiker zich voor de eerste keer aanmeldt.

Webconsole (/console)

Netwerkbeperkingen altijd toepassen: wanneer deze optie is geselecteerd, neemt de online toegangsconsole de netwerkbeperkingen over die zijn ingevoerd voor de beheerinterface.
Netwerkbeperkingen nooit toepassen: wanneer deze optie is geselecteerd, worden er geen beperkingen toegepast op de online toegangsconsole, ook al zijn er beperkingen van kracht voor de andere toegangsconsolemethoden.

Zie voor meer informatie de Privileged Web-toegangsconsole-gids.

Poortbeperkingen voor de beheerwebinterface

Deze functie is alleen beschikbaar voor klanten die een BeyondTrust Appliance B Series op locatie bezitten. Klanten van BeyondTrust Cloud hebben geen toegang tot deze functie.

Stel de poorten in waarvandaan toegang tot uw /login-interface kan worden verkregen.

Proxyconfiguratie

Configureer een proxyserver om de gegevensstroom te controleren voor informatie die vanuit het B Series Appliance wordt verzonden. Dit is van toepassing op uitgaande gebeurtenissen en API-aanroepen.

Proxyprotocol

Configureer HTTP of HTTPS proxytypes voor uitgaande connectiviteit van het B Series Appliance.

Proxyconfiguratie inschakelen

Vink het vakje aan om de uitgaande proxy-instellingen in te inschakelen.

Proxyhost

Voer het IP-adres of de hostnaam van uw proxyserver in.

Proxypoort

Voer de poort in die uw proxyserver gebruikt. De standaardpoort is 1080.

Gebruikersnaam en wachtwoord van proxy

Als uw proxyserver verificatie vereist, typt u een gebruikersnaam en wachtwoord.

Testen

Klik op Testen om te controleren of de configuratie-instellingen correct zijn ingevoerd. Het huidige testresultaat wordt weergegeven in het gedeelte Laatste testresultaat. Foutmeldingen geven aan op welke punten de configuratie-instellingen moeten worden aangepast.

ICAP-configuratie

U kunt configureren dat alle bestandsoverdrachten via het Secure Remote Access-apparaat verlopen en worden gescand door een ICAP-server (Internet Content Adaptation Protocol). Als de ICAP-server aangeeft dat een bestand schadelijk is, wordt het niet naar de bestemming verstuurd.

In de volgende scenario's kunnen bestandsoverdrachten niet naar een ICAP-server worden verzonden: Bestandsoverdrachten op basis van een Jump via tunnelprotocol, bestandsoverdrachten via het klembord tijdens RDP-sessies, en bestandsoverdrachten met behulp van een extern hulpprogramma binnen RDP- of Shell Jump-sessies. Zelfs als ICAP is ingeschakeld, worden deze overdrachten niet gescand.

Om ICAP in te schakelen of de ICAP-URL te wijzigen, moet het apparaat opnieuw worden opgestart zodat u zeker weet dat er opnieuw verbinding met clients wordt gemaakt en dat deze goed zijn geconfigureerd. Synchronisatie is verplicht in een Atlas-omgeving.

Het gebruik van ICAP vermindert de prestaties van bestandsoverdrachten doordat er extra stappen en een scan moeten worden uitgevoerd. Bestandsoverdrachten mislukken als de ICAP-server inactief is.

Jumpoints zullen niet goed werken als ICAP niet goed is geconfigureerd.

ICAP-instellingen

Voer de URL van ICAP-server in. Deze wordt verstrekt door de leverancier van uw ICAP-server. De standaardpoort is 1344. Als u een andere poort gebruikt, moet deze bij de URL worden ingevoerd in de volgende indeling: icap://example.com:0000 of icaps://example.com:0000.

Schakel Een CA-certificaat gebruiken in als het protocol icaps:// wordt gebruikt. Klik vervolgens op Certificaat kiezen en upload het certificaat.

Als u een zelf-ondertekend ICAPS-certificaat gebruikt en u geen CA-certificaat verstrekt dat dit certificaat kan valideren, zullen alle bestandsoverdrachten tijdens de sessie mislukken.

Vervallen of ongeldige certificaten zorgen ervoor dat bestandsoverdrachten tijdens de sessie mislukken, ongeacht of er een CA-certificaat is verstrekt of niet.

U moet de ICAP-instellingen opslaan voordat u ze test.

ICAP-verbinding testen

Klik na het invoeren en opslaan van de ICAP-instellingen op TESTEN MET EEN BESTAND en selecteer een bestand dat u wilt uploaden. Er zijn drie mogelijke resultaten:

Een verbindingsfout. Er worden een foutkoptitel en ICAP-logs (indien beschikbaar) weergegeven.
Er wordt een schadelijk bestand gedetecteerd. Er worden een waarschuwingskoptitel en details van de reactie weergegeven. De exacte aard van de schadelijke inhoud wordt niet weergegeven.
Er worden geen problemen gedetecteerd. De details van de reactie worden weergegeven.