Sessiebeleidslijnen: Sessiemachtigingen en prompt-regels instellen
Gebruikers en beveiliging
Sessiebeleidslijnen
Sessiebeleidslijnen
Met sessiebeleidslijnen kunt u sessiebeveiligingsmachtigingen aan specifieke scenario's aanpassen. Sessiebeleidslijnen kunnen op gebruikers en alle Jumpitems worden toegepast.
In de sectie Sessiebeleidslijnen staat een lijst met beschikbare beleidslijnen. Klik op het pijltje naast een beleidsnaam om snel te zien waar dat beleid wordt gebruikt, of het voor gebruikers, toegangsuitnodigingen en Jump-clients beschikbaar is en welke hulpmiddelen zijn geconfigureerd.
Sessiebeleid toevoegen, bewerken of verwijderen
Maak een nieuw beleid aan, wijzig een bestaand beleid of verwijder een bestaand beleid.
Kopiëren
Om het aanmaken van gelijksoortige beleidslijnen te versnellen, kunt u op Kopiëren klikken om een nieuwe beleidslijn aan te maken met identieke instellingen. U kunt deze nieuwe beleidslijn dan bewerken om aan uw wensen te voldoen.
Sessiebeleid toevoegen of bewerken
Schermnaam
Maak een unieke naam aan om dit beleid te identificeren. Deze naam helpt bij het toekennen van een sessiebeleid aan gebruikers en Jump-clients.
Codenaam
Stel een codenaam in voor integratiedoeleinden. Als u geen codenaam instelt, maakt PRA er automatisch een aan.
Beschrijving
Voeg een korte beschrijving toe om het doel van dit beleid samen te vatten. U kunt de beschrijving zien als u een beleid op gebruikersaccounts, groepsbeleidslijnen en toegangsuitnodigingen toepast.
Beschikbaarheid
Gebruikers
Kies of dit beleid beschikbaar moet zijn om aan gebruikers toe te wijzen (gebruikersaccounts en groepsbeleidslijnen).
Toegangsuitnodiging
Kies of dit beleid beschikbaar moet zijn om gebruikers te selecteren die worden uitgenodigd om een sessie bij te wonen.
Jumpitems
Kies of dit beleid beschikbaar moet zijn om aan Jumpitems toe te wijzen.
Afhankelijken
Als dit sessiebeleid al in gebruik is, dan ziet u het aantal gebruikers en Jump-clients dat dit beleid gebruikt.
Machtigingen
U kunt voor alle volgende machtigingen ervoor kiezen deze te activeren of uit te schakelen of u kunt ervoor kiezen deze op Niet gedefinieerd in te stellen. Sessiebeleidslijnen worden hiërarchisch op een sessie toegepast, waarbij Jump-clients de hoogste prioriteit krijgen, dan gebruikers en dan de algemene standaard. Als er meerdere beleidslijnen op een sessie van toepassing zijn, dan krijgt het beleid met de hoogste prioriteit voorrang boven het andere. Als het op een Jump-client toegepaste beleid bijvoorbeeld een machtiging definieert, dan mogen gedurende de sessie geen andere beleidslijnen die machtiging wijzigen. Om ervoor te zorgen dat een machtiging door een beleid op een lager niveau kan worden gedefinieerd, dan moet die machtiging op Niet gedefinieerd zijn ingesteld.
Stel in welke hulpmiddelen met dit beleid moeten worden in- of uitgeschakeld.
Verhoogde toegang naar hulpmiddelen en speciale acties op het eindpunt toestaan
Als dit is ingeschakeld, zal toegang tot verhoogde functionaliteit geleverd worden in de access console voor deze sessie, zonder dat expliciete rechten van een ingelogde gebruiker op het externe eindpunt nodig zijn.
Als deze instelling is uitgeschakeld, krijgen gebruikers geen volledige toegang tot het bestandsoverdracht- en opdrachtshell-functies wanneer ze naar een verhoogd Jumpitem gaan maar geen verhoogde rechten hebben. Om dit te bereiken, zijn speciale acties en aan/uit-schakelingsmogelijkheden verborgen en niet beschikbaar. Hiermee worden tevens Bestandsoverdracht, Opdrachtshell en Register-toegang beperkt, wanneer er geen gebruiker in de sessie aanwezig is. Deze instelling is van toepassing voor zover dit is toegestaan door het platform van het eindpunt.
Scherm delen
Regels voor scherm delen
Stel de gebruiker in staat om het externe scherm weer te geven of te beheren. Als deze optie Niet gedefinieerd is, dan wordt deze ingesteld op het beleid met de naastlagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.
Toegestane eindpuntbeperkingen
Stel in of de gebruiker invoer van de muis en het toetsenbord van het externe systeem kan opschorten. De gebruiker kan er ook voor zorgen dat het bureaublad op afstand niet wordt weergegeven.
Klembordsynchronisatierichting
Selecteer hoe uitwisseling van klembordinhoud tussen gebruikers en eindpunten verloopt. De opties zijn:
- Niet toegestaan: De gebruiker mag het klembord niet gebruiken, er worden geen klembordpictogrammen weergegeven in de access console, en knippen en plakken werkt niet.
- Van ondersteuningstechnicus naar klant toegestaan: De gebruiker kan klembordinhoud naar het eindpunt versturen, maar kan geen klembordinhoud van het eindpunt kopiëren en plakken. Alleen het klembordpictogram Verzenden wordt weergegeven in de access console.
- In beide richtingen toegestaan: Klembordinhoud kan in beide richtingen worden verzonden. De klembordpictogrammen Verzenden en Ontvangen worden weergegeven in de access console.
Ga voor meer informatie over de Klembordsynchronisatiemodus naar Beveiliging: Beveiligingsinstellingen beheren.
Beperkingen voor het delen van een toepassing
Hierdoor wordt de toegang tot bepaalde toepassingen op het externe systeem beperkt met ofwel Alleen de uitvoerbare bestanden uit een lijst toestaan ofwel Alleen de uitvoerbare bestanden uit een lijst weigeren. U kunt ook kiezen of u toegang tot het bureaublad wilt toestaan of weigeren.
Deze functie is alleen van toepassing op Windows-besturingssystemen.
Nieuwe uitvoerbare bestanden toevoegen
Als beperkingen op toepassingen delen worden afgedwongen, dan verschijnt een knop Nieuwe uitvoerbare bestanden toevoegen. Als u op deze knop klikt, dan verschijnt een dialoog waarin u uitvoerbare bestanden kunt specificeren die moeten worden geweigerd of toegestaan, in overeenstemming met uw bedoelingen.
Nadat u uitvoerbare bestanden hebt toegevoegd, worden de bestandsnamen die u als beperking hebt geselecteerd in één of twee tabellen weergegeven. U kunt beheerdersopmerkingen in een bewerkbaar veld invoeren.
Voer bestandsnamen of SHA-256 hashes in, één per regel
Als u aan uitvoerbare bestanden beperkingen stelt, dan kunt u handmatig de namen of hashes van de uitvoerbare bestanden invoeren die u wilt toestaan of weigeren. Klik op Uitvoerbare bestanden toevoegen als u klaar bent met het toevoegen van de gekozen bestanden aan uw configuratie.
U mag per dialoog maximaal 25 bestanden invoeren. Als u er meer moet toevoegen, moet u op Uitvoerbare bestanden toevoegen klikken en vervolgens de dialoog opnieuw openen.
Naar een of meer bestanden bladeren
Bij het beperken van uitvoerbare bestanden kunt u deze optie selecteren om op uw systeem te bladeren en uitvoerbare bestanden te selecteren om de namen en hashes ervan automatisch af te leiden. Als u op deze wijze bestanden op uw lokale platform en systeem selecteert, wees dan voorzichtig en let erop dat de bestanden inderdaad uitvoerbare bestanden zijn. Er wordt geen verificatie op browserniveau uitgevoerd.
Kies Bestandsnaam gebruiken of Bestandshash gebruiken om ervoor te zorgen dat de browser de namen of hashes van de uitvoerbare bestanden automatisch kan afleiden. Klik op Uitvoerbare bestanden toevoegen als u klaar bent en de gekozen bestanden aan uw configuratie wilt toevoegen.
U mag per dialoog maximaal 25 bestanden invoeren. Als u er meer moet toevoegen, moet u op Uitvoerbare bestanden toevoegen klikken en vervolgens de dialoog opnieuw openen.
Deze optie is alleen beschikbaar in moderne browsers, niet in oudere browsers.
Mag inloggen met inloggegevens van een Endpoint Credential Manager
Activeer een verbinding van een gebruiker naar uw Endpoint Credential Manager om inloggegevens te gebruiken vanaf uw bestaande wachtwoord-opslagplaatsen of -kluizen.
Voor gebruik van de Endpoint Credential Manager is een aparte onderhoudsovereenkomst met BeyondTrust vereist. Als een onderhoudsovereenkomst eenmaal is afgesloten, kunt u de benodigde middleware vanuit het BeyondTrust-ondersteuningsportaal downloaden.
In eerdere versies dan 15.2 is deze functie alleen beschikbaar in sessies die vanaf een opgewaardeerde Jump-client op Windows® zijn gestart. Vanaf versie 15.2 mag u ook een Endpoint Credential Manager gebruiken in sessies met externe Jump, sessies met Microsoft®-bureaublad op afstand, VNC-sessies en sessies met Shell Jump. U kunt deze functie ook gebruiken met de speciale actie 'Uitvoeren als' in een sessie met scherm delen op een Windows®-systeem.
Annotaties
Regels voor annotaties
Hierdoor kan de gebruiker hulpmiddelen voor annotaties gebruiken om op het externe scherm te tekenen. Als deze optie Niet gedefinieerd is, dan wordt deze ingesteld op het beleid met de naastlagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.
Bestandsoverdracht
Regels voor bestandsoverdracht
Hierdoor kan de gebruiker bestanden naar het externe systeem uploaden, van het externe systeem downloaden, of beide. Als deze optie Niet gedefinieerd is, dan wordt deze ingesteld op het beleid met de naastlagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.
Toegankelijke paden op het bestandssysteem van het eindpunt
Sta toe dat de gebruiker bestanden overdraagt naar of van alle mappen op het externe systeem of alleen naar of van gespecificeerde mappen.
Toegankelijke paden op het bestandssysteem van de gebruiker
Sta toe dat de gebruiker bestanden overdraagt naar of van alle mappen op zijn of haar lokale systeem of alleen naar of van gespecificeerde mappen.
Opdrachtshell
Regels voor opdrachtshell
Hiermee kan de gebruiker via een virtuele interface opdrachten op de opdrachtregel van de externe computer geven. Als deze optie Niet gedefinieerd is, dan wordt deze ingesteld op het beleid met de naastlagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.
Toegang tot de opdrachtshell kan niet worden beperkt voor Shell Jump-sessies.
Opdrachtfiltering configureren om het per ongeluk gebruiken van opdrachten die schadelijk kunnen zijn voor de eindpuntsystemen te voorkomen.
Raadpleeg Shell-jump gebruiken om toegang tot een apparaat in een extern netwerk te krijgen voor meer informatie over het filteren van opdrachten.
Systeeminformatie
Regels voor systeeminformatie
Hiermee kan de gebruiker systeeminformatie over de externe computer weergeven. Als deze optie Niet gedefinieerd is, dan wordt deze ingesteld op het beleid met de naastlagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.
Mag systeeminformatie-acties gebruiken
Hierdoor kan de gebruiker met processen en programma's op de externe computer communiceren zonder de noodzaak van scherm delen. Stop processen, start, stop, pauzeer, hervat services en start ze opnieuw; en maak de installatie van programma's ongedaan.
Register-toegang
Regels voor registertoegang
Hierdoor kan de gebruiker het register op een extern Windows-systeem benaderen zonder de noodzaak tot scherm delen. Bekijk sleutels, voeg ze toe en bewerk ze, zoek en importeer/exporteer sleutels.
Standaard scripts
Regels voor standaard scripts
Hierdoor kan de gebruiker standaardscripts uitvoeren die voor zijn of haar teams zijn aangemaakt. Als deze optie Niet gedefinieerd is, dan wordt deze ingesteld op het beleid met de naastlagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.
Gedrag voor beëindigen van sessie
U kunt kiezen wat er moet worden gedaan als u binnen de in Time-out voor nieuwe verbinding ingestelde periode niet opnieuw verbinding kunt krijgen. Om ervoor te zorgen dat de eindgebruiker niet-geautoriseerde rechten krijgt na een opgewaardeerde sessie, moet u de client zo instellen dat bij het beëindigen van een sessie met een externe Windows computer de eindgebruiker automatisch wordt uitgelogd, de externe computer op slot gaat of dat er niets gebeurt. Deze regels gelden niet voor sessies waarin de browser wordt gedeeld.
Hiermee kunnen gebruikers deze instelling per sessie overschrijven
U kunt tijdens een sessie vanaf het tabblad Samenvatting in de console een gebruiker toestaan de instelling voor het afsluiten van de sessie te overschrijven.
Beleid exporteren
U kunt een sessiebeleid van de ene site exporteren en die machtigingen naar een beleid op een andere site importeren. Bewerk het beleid dat u wilt exporteren en ga naar de onderkant van de pagina. Klik op Beleid exporteren en sla het bestand op.
Beleid importeren
U kunt deze beleidsinstellingen importeren op elke andere BeyondTrust-site die het importeren van sessiebeleid ondersteunt. Maak een nieuw sessiebeleid aan en ga naar de onderkant van de pagina. Blader naar het beleidsbestand en klik vervolgens op Beleid importeren. Nadat het beleidsbestand is geüpload wordt de pagina vernieuwd waarna u wijzigingen kunt aanbrengen. Klik op Beleid opslaan om het beleid beschikbaar te stellen.
Opslaan
Klik op Opslaan om dit beleid beschikbaar te stellen.
Sessiebeleid-simulator
Omdat het gebruik van gelaagd beleid ingewikkeld kan zijn, kunt u de Sessiebeleid-simulator gebruiken om te bepalen wat het resultaat is. Bovendien kunt u de simulator gebruiken om te onderzoeken waarom een machtiging niet beschikbaar is als u het tegendeel verwacht.
Gebruiker
Selecteer eerst de gebruiker die de sessie uitvoert. Deze vervolgkeuzelijst bevat zowel gebruikersaccounts als uitnodigingsbeleidslijnen.
Sessiestartmethode
Selecteer de sessiestartmethode.
Jump-client/jumpsnelkoppeling
Zoek een Jump-client of jumpsnelkoppeling aan de hand van de naam, opmerkingen, Jumpgroep of label.
Simuleer
Klik op Simuleren. In het gebied hieronder worden de machtigingen die door sessiebeleid kunnen worden geconfigureerd, in de modus alleen-lezen weergegeven. U kunt zien welke machtigingen wel en niet zijn toegestaan als resultaat van gestapelde beleidslijnen en door welke beleidslijn elk van de machtigingen is ingesteld.
