Sessiebeleidslijnen: Sessiemachtigingen en prompt-regels instellen

Gebruikers en beveiliging

Sessiebeleidslijnen

Sessiebeleidslijnen

Met sessiebeleidslijnen kunt u sessiebeveiligingsmachtigingen aan specifieke scenario's aanpassen. Sessiebeleidslijnen kunnen op gebruikers en alle Jumpitems worden toegepast.

In de sectie Sessiebeleidslijnen staat een lijst met beschikbare beleidslijnen. Klik op het pijltje naast een beleidsnaam om snel te zien waar dat beleid wordt gebruikt, of het voor gebruikers, toegangsuitnodigingen en Jump-clients beschikbaar is en welke hulpmiddelen zijn geconfigureerd.

Sessiebeleid toevoegen, bewerken of verwijderen

Maak een nieuw beleid aan, wijzig een bestaand beleid of verwijder een bestaand beleid.

Kopiëren

Om het aanmaken van gelijksoortige beleidslijnen te versnellen, kunt u op Kopiëren klikken om een nieuwe beleidslijn aan te maken met identieke instellingen. U kunt deze nieuwe beleidslijn dan bewerken om aan uw wensen te voldoen.

Sessiebeleid toevoegen of bewerken

Schermnaam

Maak een unieke naam aan om dit beleid te identificeren. Deze naam helpt bij het toekennen van een sessiebeleid aan gebruikers en Jump-clients.

Codenaam

Stel een codenaam in voor integratiedoeleinden. Als u geen codenaam instelt, maakt PRA er automatisch een aan.

Beschrijving

Voeg een korte beschrijving toe om het doel van dit beleid samen te vatten. U kunt de beschrijving zien als u een beleid op gebruikersaccounts, groepsbeleidslijnen en toegangsuitnodigingen toepast.

Beschikbaarheid

Gebruikers

Kies of dit beleid beschikbaar moet zijn om aan gebruikers toe te wijzen (gebruikersaccounts en groepsbeleidslijnen).

Toegangsuitnodiging

Kies of dit beleid beschikbaar moet zijn om gebruikers te selecteren die worden uitgenodigd om een sessie bij te wonen.

Jumpitems

Kies of dit beleid beschikbaar moet zijn om aan Jumpitems toe te wijzen.

Afhankelijken

Als dit sessiebeleid al in gebruik is, dan ziet u het aantal gebruikers en Jump-clients dat dit beleid gebruikt.

Machtigingen

U kunt voor alle volgende machtigingen ervoor kiezen deze te activeren of uit te schakelen of u kunt ervoor kiezen deze op Niet gedefinieerd in te stellen. Sessiebeleidslijnen worden hiërarchisch op een sessie toegepast, waarbij Jump-clients de hoogste prioriteit krijgen, dan gebruikers en dan de algemene standaard. Als er meerdere beleidslijnen op een sessie van toepassing zijn, dan krijgt het beleid met de hoogste prioriteit voorrang boven het andere. Als het op een Jump-client toegepaste beleid bijvoorbeeld een machtiging definieert, dan mogen gedurende de sessie geen andere beleidslijnen die machtiging wijzigen. Om ervoor te zorgen dat een machtiging door een beleid op een lager niveau kan worden gedefinieerd, dan moet die machtiging op Niet gedefinieerd zijn ingesteld.

Stel in welke hulpmiddelen met dit beleid moeten worden in- of uitgeschakeld.

Verhoogde toegang naar hulpmiddelen en speciale acties op het eindpunt toestaan

Als dit is ingeschakeld, zal toegang tot verhoogde functionaliteit geleverd worden in de toegangsconsole voor deze sessie, zonder dat expliciete rechten van een ingelogde gebruiker op het externe eindpunt nodig zijn.

Als deze instelling is uitgeschakeld, krijgen gebruikers geen volledige toegang tot de bestandsoverdracht- en opdrachtshell-functies wanneer ze naar een verhoogd Jumpitem gaan maar geen verhoogde rechten hebben. Om dit te bereiken, zijn speciale acties en aan/uit-schakelingsmogelijkheden verborgen en niet beschikbaar. Hiermee worden tevens Bestandsoverdracht, Opdrachtshell en Register-toegang beperkt wanneer er geen gebruiker in de sessie aanwezig is. Deze instelling is van toepassing voor zover dit is toegestaan door het platform van het eindpunt.

Scherm delen

Regels voor scherm delen

Selecteer de toegang tot het externe systeem voor de ondersteuningstechnicus en de externe gebruiker:

• In het geval van Niet gedefinieerd wordt deze optie ingesteld op het beleid met de eerstvolgende lagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.
• Weigeren schakelt scherm delen uit.
• Met Alleen weergeven mag de ondersteuningstechnicus het scherm weergeven.
• Met Weergeven en besturen mag de ondersteuningstechnicus het systeem bekijken en acties uitvoeren. Als deze optie is geselecteerd, kunnen er beperkingen voor het eindpunt worden ingesteld om inmenging door de externe gebruiker te voorkomen:
  • Geen stelt geen beperkingen in voor het externe systeem.
  • Beeldscherm, muis en toetsenbord schakelt deze invoer uit. Als deze optie is geselecteerd, wordt er een selectievakje weergegeven voor Automatisch een privacyscherm aanvragen bij start van sessie. Het privacyscherm is alleen beschikbaar voor sessies die zijn gestart vanaf een Jump-client, een extern Jumpitem of een lokaal Jumpitem. We adviseren om het privacyscherm te gebruiken bij sessies zonder deelname. Het externe systeem moet het privacyscherm ondersteunen.

Toegestane eindpuntbeperkingen

Stel in of de gebruiker invoer van de muis en het toetsenbord van het externe systeem kan opschorten. De gebruiker kan er ook voor zorgen dat het extern bureaublad niet wordt weergegeven.

Klembordsynchronisatierichting

Selecteer hoe uitwisseling van klembordinhoud tussen gebruikers en eindpunten verloopt. De opties zijn:

• Niet toegestaan: De gebruiker mag het klembord niet gebruiken, er worden geen klembordpictogrammen weergegeven in de toegangsconsole, en knippen en plakken werkt niet.
• Van ondersteuningstechnicus naar klant toegestaan: De gebruiker kan klembordinhoud naar het eindpunt versturen, maar kan geen klembordinhoud van het eindpunt kopiëren en plakken. Alleen het klembordpictogram Verzenden wordt weergegeven in de toegangsconsole.
• In beide richtingen toegestaan: Klembordinhoud kan in beide richtingen worden verzonden. De klembordpictogrammen Verzenden en Ontvangen worden weergegeven in de toegangsconsole.

Ga voor meer informatie over de Klembordsynchronisatiemodus naar Beveiliging: Beveiligingsinstellingen beheren.

Beperkingen voor het delen van een toepassing

Hierdoor wordt de toegang tot bepaalde toepassingen op het externe systeem beperkt met ofwel Alleen de uitvoerbare bestanden uit een lijst toestaan ofwel Alleen de uitvoerbare bestanden uit een lijst weigeren. U kunt ook kiezen of u toegang tot het bureaublad wilt toestaan of weigeren.

Deze functie is alleen van toepassing op Windows-besturingssystemen.

Nieuwe uitvoerbare bestanden toevoegen

Als beperkingen op toepassingen delen worden afgedwongen, dan verschijnt een knop Nieuwe uitvoerbare bestanden toevoegen. Als u op deze knop klikt, dan verschijnt een dialoog waarin u uitvoerbare bestanden kunt specificeren die moeten worden geweigerd of toegestaan, in overeenstemming met uw bedoelingen.

Nadat u uitvoerbare bestanden hebt toegevoegd, worden de bestandsnamen die u als beperking hebt geselecteerd in één of twee tabellen weergegeven. U kunt beheerdersopmerkingen in een bewerkbaar veld invoeren.

Voer bestandsnamen of SHA-256 hashes in, één per regel

Als u aan uitvoerbare bestanden beperkingen stelt, dan kunt u handmatig de namen of hashes van de uitvoerbare bestanden invoeren die u wilt toestaan of weigeren. Klik op Uitvoerbare bestanden toevoegen als u klaar bent met het toevoegen van de gekozen bestanden aan uw configuratie.

U mag per dialoog maximaal 25 bestanden invoeren. Als u er meer moet toevoegen, moet u op Uitvoerbare bestanden toevoegen klikken en vervolgens de dialoog opnieuw openen.

Naar een of meer bestanden bladeren

Bij het beperken van uitvoerbare bestanden kunt u deze optie selecteren om op uw systeem te bladeren en uitvoerbare bestanden te selecteren om de namen en hashes ervan automatisch af te leiden. Als u op deze wijze bestanden op uw lokale platform en systeem selecteert, wees dan voorzichtig en let erop dat de bestanden inderdaad uitvoerbare bestanden zijn. Er wordt geen verificatie op browserniveau uitgevoerd.

Kies Bestandsnaam gebruiken of Bestandshash gebruiken om ervoor te zorgen dat de browser de namen of hashes van de uitvoerbare bestanden automatisch kan afleiden. Klik op Uitvoerbare bestanden toevoegen als u klaar bent en de gekozen bestanden aan uw configuratie wilt toevoegen.

U mag per dialoog maximaal 25 bestanden invoeren. Als u er meer moet toevoegen, moet u op Uitvoerbare bestanden toevoegen klikken en vervolgens de dialoog opnieuw openen.

Deze optie is alleen beschikbaar in moderne browsers, niet in oudere browsers.

Mag inloggen met inloggegevens van een Endpoint Credential Manager

Annotaties

Regels voor annotaties

Hierdoor kan de gebruiker hulpmiddelen voor annotaties gebruiken om op het externe scherm te tekenen. In het geval van Niet gedefinieerd wordt deze optie ingesteld op het beleid met de eerstvolgende lagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.

Bestandsoverdracht

Regels voor bestandsoverdracht

Hierdoor kan de gebruiker bestanden naar het externe systeem uploaden, van het externe systeem downloaden, of beide. In het geval van Niet gedefinieerd wordt deze optie ingesteld op het beleid met de eerstvolgende lagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.

Toegankelijke paden op het bestandssysteem van het eindpunt

Sta toe dat de gebruiker bestanden overdraagt naar of van alle mappen op het externe systeem of alleen naar of van gespecificeerde mappen.

Toegankelijke paden op het bestandssysteem van de gebruiker

Sta toe dat de gebruiker bestanden overdraagt naar of van alle mappen op zijn of haar lokale systeem of alleen naar of van gespecificeerde mappen.

Opdrachtshell

Regels voor opdrachtshell

Hiermee kan de gebruiker via een virtuele interface opdrachten op de opdrachtregel van de externe computer geven. In het geval van Niet gedefinieerd wordt deze optie ingesteld op het beleid met de eerstvolgende lagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.

Toegang tot de opdrachtshell kan niet worden beperkt voor Shell Jump-sessies.

Configureer opdrachtfiltering om het per ongeluk gebruiken van opdrachten die schadelijk kunnen zijn voor de eindpuntsystemen te voorkomen.

Raadpleeg Shell-jump gebruiken om toegang tot een apparaat in een extern netwerk te krijgen voor meer informatie over het filteren van opdrachten.

Systeeminformatie

Regels voor systeeminformatie

Hiermee kan de gebruiker systeeminformatie over de externe computer weergeven. In het geval van Niet gedefinieerd wordt deze optie ingesteld op het beleid met de eerstvolgende lagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.

Mag systeeminformatie-acties gebruiken

Hierdoor kan de gebruiker met processen en programma's op de externe computer communiceren zonder de noodzaak van scherm delen. Stop processen, start, stop, pauzeer, hervat services en start ze opnieuw; en maak de installatie van programma's ongedaan.

Register-toegang

Regels voor register-toegang

Hierdoor kan de gebruiker het register op een extern Windows-systeem benaderen zonder de noodzaak tot scherm delen. Bekijk sleutels, voeg ze toe en bewerk ze, zoek en importeer/exporteer sleutels.

Standaard scripts

Regels voor standaard scripts

Hierdoor kan de gebruiker standaardscripts uitvoeren die voor zijn of haar teams zijn aangemaakt. In het geval van Niet gedefinieerd wordt deze optie ingesteld op het beleid met de eerstvolgende lagere prioriteit. Deze instelling kan worden overschreven door een beleid met hogere prioriteit.

Gedrag voor beëindigen van sessie

U kunt kiezen wat er moet worden gedaan als u binnen de in Time-out voor nieuwe verbinding ingestelde periode niet opnieuw verbinding kunt krijgen. Om ervoor te zorgen dat de eindgebruiker geen niet-geautoriseerde rechten krijgt na een opgewaardeerde sessie, moet u de client zo instellen dat bij het beëindigen van een sessie met een externe Windows-computer de eindgebruiker automatisch wordt uitgelogd, de externe computer op slot gaat of dat er niets gebeurt. Deze regels gelden niet voor sessies waarin de browser wordt gedeeld.

Hiermee kunnen gebruikers deze instelling per sessie overschrijven

U kunt tijdens een sessie vanaf het tabblad Samenvatting in de console een gebruiker toestaan de instelling voor het afsluiten van de sessie te overschrijven.

Beleid exporteren

U kunt een sessiebeleid van de ene site exporteren en die machtigingen naar een beleid op een andere site importeren. Bewerk het beleid dat u wilt exporteren en ga naar de onderkant van de pagina. Klik op Beleid exporteren en sla het bestand op.

Beleid importeren

U kunt deze beleidsinstellingen importeren op elke andere BeyondTrust-site die het importeren van sessiebeleid ondersteunt. Maak een nieuw sessiebeleid aan en ga naar de onderkant van de pagina. Blader naar het beleidsbestand en klik vervolgens op Beleid importeren. Nadat het beleidsbestand is geüpload wordt de pagina vernieuwd waarna u wijzigingen kunt aanbrengen. Klik op Beleid opslaan om het beleid beschikbaar te stellen.

Opslaan

Klik op Opslaan om dit beleid beschikbaar te stellen.

Sessiebeleid-simulator

Omdat het gebruik van gelaagd beleid ingewikkeld kan zijn, kunt u de Sessiebeleid-simulator gebruiken om te bepalen wat het resultaat is. Bovendien kunt u de simulator gebruiken om te onderzoeken waarom een machtiging niet beschikbaar is als u het tegendeel verwacht.

Gebruiker

Selecteer eerst de gebruiker die de sessie uitvoert. Deze vervolgkeuzelijst bevat zowel gebruikersaccounts als uitnodigingsbeleidslijnen.

Sessiestartmethode

Selecteer de sessiestartmethode.

Jump-client/jumpsnelkoppeling

Zoek een Jump-client of Jumpsnelkoppeling aan de hand van de naam, opmerkingen, Jumpgroep of het label.

Simuleer

Klik op Simuleren. In het gebied hieronder worden de machtigingen die door sessiebeleid kunnen worden geconfigureerd, in de modus alleen-lezen weergegeven. U kunt zien welke machtigingen wel en niet zijn toegestaan als resultaat van gestapelde beleidslijnen en door welke beleidslijn elk van de machtigingen is ingesteld.