2.4 Панель управления

Для начала настройки системы и управления требуется перейти непосредственно на веб-сайт сервера безопасности и выполнить вход в систему.

Для выхода из панели управления перейдите во вкладку «Выход». После этого сессия будет закончена.

2.4.1 Вход в систему

В окне ввода учетных данных ввести имя учетной записи в поле «Имя пользователя» и пароль учетной записи в поле «Пароль» (Рис. 2.2 ).

../_images/ADM_03.png

Рис. 2.2 Окно ввода учетных данных (аутентификация на сервере безопасности)

В случае сбоя при попытке аутентификации на сервере безопасности администратор получит уведомительное сообщение об ошибке.

2.4.2 Статус сервера

Для просмотра статуса сервера требуется перейти на вкладку «Статус сервера» (Рис. 2.3).

Находясь на данной вкладке, можно получить такие данные как:

  • технические характеристики сервера;
  • версию ПО;
  • нагруженность ЦП и ОЗУ;
  • заполненность дискового пространства;
  • статус компонентов.

Три элемента зеленого цвета в нижней части экрана отображают статус компонентов системы.

В случае, когда на диске остается меньше 30% и 15% соответствующая графа окрашивается в желтый или красный цвет для привлечения внимания администратора.

Для освобождения дискового пространства необходимо перейти на вкладку «Управление журналом» (6.15).

../_images/ADM_04.png

Рис. 2.3 Просмотр статуса сервера

2.4.3 Лицензия

Для просмотра лицензии требуется перейти на вкладку «Лицензия» (Рис. 2.4).

../_images/ADM_05.png

Рис. 2.4 Лицензия

Для того чтобы добавить лицензию, требуется:

  • приобрести лицензию у компании-поставщика ПО TVIDS;
  • нажать на поле Файл лицензии, расположенное в верхней части экрана;
  • прикрепить файл лицензии;
  • дождаться обновления статуса лицензии в системе.

2.4.4 Пользователи

Для просмотра списка пользователей системы требуется перейти во вкладку «Пользователи» (Рис. 2.5).

../_images/ADM_06.png

Рис. 2.5 Список пользователей

2.4.4.1 Добавление нового пользователя в систему

Для того чтобы добавить нового пользователя в систему, необходимо:

  1. Нажать на кнопку «+», расположенную в верхней части экрана.
  2. Настроить параметры пользователя: ввести логин и пароль, а также выбрать роль пользователя из предложенного списка: пользователь, администратор, аудитор.

2.4.4.2 Ограничения на имя пользователя

Для всех пользователей устанавливаются единые ограничения на логин.

Логин должен содержать минимум 3 символа.

Логин может содержать только:

  • цифры (“ 1234567890 „);
  • строчные латинские буквы (“ abcdefghijklmnopqrstuvwxy „);
  • знак нижнего подчеркивания (“ _ „);
  • тире (“ - „);
  • точку (“ . „);
  • коммерческое „эт“ (“ @ „).

Логин является обязательным для любого пользователя системы.

Если учётная запись была удалена, повторное добавление логина невозможно.

2.4.4.3 Политики пароля доступа

Для всех пользователей устанавливаются единые политики сложности пароля доступа.

Настройка паролей осуществляется во вкладке «Настройки сервера».

Доступные для редактирования администратором настройки пароля:

  • Длина пароля настраивается администратором;
  • Максимальное количество неуспешных попыток аутентификации до блокировки пользователя настраивается администратором;
  • Время жизни пароля устанавливается администратором;
  • Интервал времени, за который вычисляются неуспешные попытки;
  • Использование в пароле латинских символов, кириллицы, строчных и заглавных символов, цифр и спецсимволов;
  • Задание времени блокировки учетной записи при превышении Количество неуспешных попыток аутентификации;
  • Задание минимального количества измененных символов при создании новых паролей;
  • Задание максимального и минимального времени действия пароля;
  • Запрет на использование пользователями определенного администратором числа последних использованных паролей при создании новых паролей.

Для автоматического создания процедурно-генерируемого пароля, удовлетворяющего требованиям безопасности, Администратор может воспользоваться кнопкой «Создать пароль автоматически».

2.4.4.4 Просмотр и изменение информации о пользователе

При нажатии на любого пользователя на странице можно попасть на вкладку пользователя, на ней содержится вся информация о нем, а также связи с другими объектами (Рис. 2.6).

../_images/ADM_07.png

Рис. 2.6 Вкладка «Пользователь»

На этой странице можно изменить информацию о пользователе, заблокировать его или разблокировать.

После внесения изменений в пользователя необходимо их сохранить, нажатием соответствующей кнопки в нижней части страницы.

Также страница предоставляет возможность добавлять и удалять связи с другими объектами:

  • добавление в группу пользователей, разрешение на доступ к контурам или их группам;
  • добавление сертификатов для двухэтапной аутентификации и разрешения на использование USB-устройств или категорий USB-устройств.

2.4.4.5 Блокировка пользователя в системе

Существуют следующие типы блокировки учетных записей:

  • Ручная блокировка учетной записи администратором;
  • Блокировка учетной записи при истечении срока жизни аккаунта пользователя, который устанавливается в настройках сервера;
  • Временная блокировка учетной записи при превышении числа неуспешных попыток аутентификации;
  • Блокировка учётной записи пользователя по истечении срока неиспользования (устанавливается в настройках сервера, срок по умолчанию – неограничен; 0 дней = без ограничения).

2.4.4.6 Использование USB-Устройств

По умолчанию у пользователя нет разрешенных USB устройств.

Добавление USB устройств осуществляется в настройках пользователя.

Для добавления, разрешенного USB устройства определенному пользователю или группе пользователей следует выбрать тип устройства из выпадающего списка.

Можно выбирать несколько видов USB устройств.

При необходимости добавить одно определенное USB устройства оно должно быть заранее зарегистрировано в системе и выбрано в поле «USB-устройства».

Регистрация USB устройства производится администратором после того как пользователь подал заявку на добавление USB устройства подключив его через терминал пользователя.

2.4.4.7 Удаление пользователя из системы

Для того чтобы удалить пользователя из системы, необходимо выбрать пользователя, перейти на его страницу и нажать кнопку «Удалить пользователя», расположенную в нижней части экрана.

При удалении учётной записи пользователя из системы невозможно повторно создать учетную запись с таким именем.

2.4.5 Группы пользователей

Для просмотра групп пользователей требуется перейти на вкладку «Группы пользователей» (Рис. 2.7).

../_images/ADM_08.png

Рис. 2.7 Вкладка «Группы пользователей»

Для того, чтобы добавить новую группу пользователей в систему, необходимо:

  1. Нажать на кнопку «+», расположенную в верхней части экрана.
  2. Ввести название новой группы пользователей.

Во вкладке «Группа пользователей» (Рис. 2.8) имеется возможность описать данную группу пользователей, а также добавить или удалить самих пользователей.

../_images/ADM_09.png

Рис. 2.8 Вкладка «Группа пользователей»

При нажатии на кнопку «+» появляется окно, в котором можно выбрать пользователя, контур, группу контуров и т.п. из выпадающего меню (Рис. 2.9).

Пользователи, состоящие в группе пользователей, получают доступ к «Контурам», «Группам контуров», «Устройствам» и «Группам устройств», добавленных в данную группу.

Удаление пользователя или другого элемента происходит аналогично: нажатием на кнопку «-» вызывается окно «Удалить пользователя», где в выпадающем меню необходимо выбрать требуемый для удаления элемент.

После всех изменений необходимо нажать на кнопку для сохранения изменений.

../_images/ADM_10.png

Рис. 2.9 Окно «Добавить пользователя»

2.4.6 Оборудование

Для просмотра оборудования требуется перейти на вкладку «Оборудование» (Рис. 2.10).

../_images/ADM_11.png

Рис. 2.10 Оборудование

Просмотр и изменение информации об оборудовании

Для того чтобы добавить новое оборудование, необходимо:

  1. Нажать на кнопку «+», расположенную в верхней части экрана.
  2. Указать название нового оборудования.

По двойному щелчку левой клавишей мыши по названию выбранного оборудования можно попасть на вкладку с его описанием (Рис. 2.11).

../_images/ADM_12.png

Рис. 2.11 Вкладка «Оборудование»

Добавление и удаление оборудований аналогично добавлению и удалению пользователей: с помощью кнопок «+» и «-» и выпадающего списка в новом окне.

После всех изменений необходимо нажать на кнопку «Сохранить оборудование».

Для блокировки оборудования нужно нажать на нужное оборудование и снять галочку «доступен» в его настройках.

2.4.7 Контуры

Контуры безопасности – изолированные друг от друга виртуальные среды «Tionix VDI Security» (для компонента «Tionix - Терминал»), в каждой, из которой могут независимо выполняться системные процессы и процессы пользователей «Tionix VDI Security» (Рис. 2.12).

В контуре может быть запущено приложение для доступа к удаленной машине, реальной или виртуальной, или локальное приложение. Для каждого контура на терминале создается отдельная сессия, не связанная с пользователем непосредственно ПО TVDIS.

Разграничение прав доступа достигается встроенными средствами Linux, такими как дискреционное управление доступом.

Управление контурами и разрешенными приложениями осуществляется ПК «Tionix - Сервер безопасности», который удалённо управляет терминалом, на него отправляются данные аудита о действиях пользователя и событиях на терминале.

Каждый контур сопоставляется с учетной записью пользователя, которой он доступен. Иным учетным записям контур доступен не будет.

Возможные связи для сопоставления:

user - vm;
user - user_group-vm;
user-vm_group-vm;
user – user_group – vm_group – vm.

Чтобы зайти в контур, пользователю терминала необходимо аутентифицироваться на сервере безопасности. После авторизации ПК «Tionix – Сервер безопасности» отправляет информацию о доступных пользователю контурах.

Доступ к удалённым машинам осуществляется по данным, которым предоставляет ПК «Tionix – Сервер безопасности» для подключения к контуру.

Доступ может осуществляться по разным протоколам, в том числе RDP, VNC, SPICE и др. В качестве локальных приложений используются приложения видеоконференцсвязи.

../_images/ADM_13.png

Рис. 2.12 Схема доступа

Для просмотра контуров требуется перейти на вкладку «Контуры» (Рис. 2.13).

../_images/ADM_14.png

Рис. 2.13 Контуры

Для того чтобы добавить новый контур, необходимо:

  1. Нажать на кнопку «+», расположенную в верхней части экрана;
  2. Указать название нового контура.

С помощью кнопок «+», «-», и выпадающего списка в новом окне можно добавить или удалить связь между контуром и группой.

Для внесения изменений в информацию о контуре требуется дважды кликнуть левой клавишей мыши по его названию – откроется вкладка «Контур» (Рис. 2.14).

../_images/ADM_15.png

Рис. 2.14 Вкладка «Контур»

В данной вкладке можно изменить следующую информацию, введя новые данные в соответствующие поля:

  • Название;
  • Описание;
  • Тип;
  • Параметры;
  • Дополнительные параметры.

Указать принадлежность контура группам контуров, пользователям, группам пользователей можно, назначив и удалив для контура:

  • группы контуров;
  • пользователей;
  • группы пользователей.

Типы контура:

  • RDP – контур удаленного доступа до виртуальной или физической машины Windows;

  • Local – локальный контур (контур с локальным приложением).

  • Параметры контура:

    • для RDP контура указывается IP адрес для подключения;
    • для локального контура указывается предустановленное на клиенте приложение;
    • для сохранения внесенных изменений необходимо нажать на кнопку;
    • удаление конура осуществляется нажатием кнопки «удалить контур».

2.4.8 Группы контуров

Для просмотра групп контуров требуется перейти на вкладку «Группы контуров» (Рис. 2.15).

../_images/ADM_16.png

Рис. 2.15 Вкладка «Группы контуров»

Для того чтобы добавить новую группу контуров, необходимо:

  1. Нажать на кнопку «+», расположенную в верхней части экрана;
  2. Указать название новой группы контуров.

Во вкладке «Группа контуров» (Рис. 2.16) имеется возможность описать данную группу контуров, а также добавить или удалить контуры, пользователей или группы контуров.

При нажатии на кнопку «+» появляется окно, в котором можно выбрать элемент из выпадающего меню.

Удаление контура или другого элемента происходит аналогично: нажатием на кнопку «-» вызывается окно «Удалить контур», где в выпадающем меню необходимо выбрать требуемый для удаления элемент.

После всех изменений необходимо нажать на кнопку «Сохранить группу контуров» для сохранения изменений.

../_images/ADM_17.png

Рис. 2.16 Вкладка «Группа контуров»

2.4.9 Брокеры

Для интеграции TVDIS с брокером требуется перейти во вкладку «Брокеры» (Рис. 2.17)

../_images/ADM_18.png

Рис. 2.17 Вкладка «Брокеры»

2.4.9.1 Добавление нового брокера в систему

Для того чтобы добавить брокера в систему, необходимо:

  1. Нажать на кнопку «+», расположенную в верхней части экрана;
  2. В открывшимся окне ввести название брокера.

2.4.9.2 Ограничения на название брокера

  • для всех брокеров устанавливаются единые ограничения на название;
  • название должно содержать минимум 3 символа;
  • название может содержать только цифры, строчные латинские буквы и знак нижнего подчеркивания (‘_’);
  • название является обязательным для любого брокера системы.

После задание имени новый брокер появится в списке брокеров. Для задания настроек брокера необходимо кликнуть левой кнопкой мыши на его название. Откроется меню настройки брокера (Рис. 2.18).

../_images/ADM_19.png

Рис. 2.18 Вкладка «Настройки брокера»

2.4.9.3 Интеграция с новым брокером

Для того чтобы интегрировать брокера в систему, необходимо:

  • Ввести Адрес для подключения пользователя к брокеру;
  • Ввести домен Брокера (если имеется);
  • Добавить название проекта и описание (при необходимости);
  • Включить «Общие настройки доступа» в случае, если аутентификационные данные пользователя совпадают в TVDIS и в брокере. При отключении пользователю будет предложена отдельная аутентификация на брокере;
  • Нажать кнопку «Сохранить брокер».

После этого Брокер как сущность для подключения будет автоматически создан на вкладке «Контуры» и может быть добавлен пользователю или группе пользователей совершенно так же, как обычный Контур.

2.4.10 Сессии

Для просмотра открытых сессий требуется перейти на вкладку «Сессии» (Рис. 2.19).

../_images/ADM_20.png

Рис. 2.19 Вкладка «Открытые сессии»

Доступно фильтрование сессий по типу владельца, идентификатору владельца или IP-адресу:

  1. Нажать на кнопку «Добавить фильтр», расположенную в верхней части экрана.
  2. Из выпадающего меню выбрать тип фильтра.

Завершить сессию можно с помощью кнопки «Завершить выбранные сессии» (внизу экрана).

2.4.11 Контрольные суммы

Для просмотра контрольных сумм требуется перейти на вкладку «Контрольные суммы» (Рис. 2.20).

../_images/ADM_21.png

Рис. 2.20 Вкладка «Контрольные суммы»

Для того чтобы добавить контрольную сумму, необходимо:

  1. Нажать на кнопку «Добавить контрольную сумму», расположенную в верхней части экрана.
  2. Ввести название, тип и версию новой контрольной суммы.

Для того чтобы запустить проверку требуется нажать на кнопку «Запуск проверки», в верхней части экрана (Рис. 2.21).

Тип и версию контрольной суммы можно вписать вручную. Нажатие на кнопку «Удалить контрольную сумму» удаляет контрольную сумму.

../_images/ADM_22.png

Рис. 2.21 Вкладка «Контрольная сумма»

2.4.12 Журнал сервера

Для просмотра журнала сервера требуется перейти на вкладку «Журнала сервера» (Рис. 2.22).

../_images/ADM_23.png

Рис. 2.22 Вкладка «Журнал сервера»

В выпадающем меню требуется выбрать тип регистрируемых событий: логи аудита, логи аутентификации, логи запросов в API.

Доступно фильтрование логов:

  1. Нажать кнопку «Добавить фильтр», расположенную в верхней части экрана;
  2. Из выпадающего меню выбрать тип фильтра.

Также доступно скачивание логов. Для этого требуется нажать на кнопку «Скачать логи».

2.4.13 Регистрируемые события безопасности

В журналах фиксируются следующие события безопасности:

  • Подключение / отключение периферийных устройств (USB);
  • Форматирование периферийных устройств (USB);
  • Подключение / отключение устройств;
  • Подключение к контуру;
  • Отключение от контура;
  • IP адрес на который осуществлен вход пользователя;
  • Смена контуров пользователя;
  • Текстовая запись команд (Api);
  • Нарушение целостности системы (нарушение контрольных сумм контролируемых файлов);
  • Попытки запуска компонентов программного обеспечения, произведенные в нарушение установленных правил запуска компонентов программного обеспечения, или попытки запуска компонентов программного обеспечения, целостность которых была нарушена;
  • Сбои в работе системы;
  • Сбои в работе механизма изоляции процессов;
  • Добавление/удаление новых учетных записей (пользователей и администраторов);
  • Модификация учетных записей (пользователей и администраторов);
  • Добавление и изменение любых настроек в системе;
  • Запуск и завершение работы администратора (в том числе ввод неверного пароля, неуспешный запуск);
  • Запуск и завершение работы пользователя (в том числе ввод неверного пароля, неуспешный запуск);
  • Истечение срока действия пароля администратора;
  • Истечение срока действия пароля пользователя;
  • Вход администратора (записывается IP адрес, с которого осуществлен);
  • Вход пользователя (записывается IP адрес, с которого осуществлен);
  • Изменение аутентификационных данных учетных записей;
  • Блокирование учетной записи в результате превышения максимального числа неуспешных попыток входа в систему;
  • Истечение срока действия учетной записи администратора;
  • Истечение срока действия учетной записи пользователя;
  • Применение механизма восстановления информации;
  • Применение механизма стирания данных (очистка журнала, удаление учетных записей и настроек);
  • Обновление системы;
  • Попытки установки внешних модулей уровня ядра, не проверенных разработчиком (производителем), или внешних модулей уровня ядра с нарушенной целостностью.

О событиях безопасности указывается следующая информация:

  • тип события безопасности;
  • дата и время события безопасности;
  • идентификация источника события безопасности;
  • результат действия – источника события безопасности (успешно или неуспешно);
  • идентификатор субъекта доступа или пользователя «Tionix VDI Security», связанного с данным событием безопасности.

2.4.14 Настройки сервера

Для просмотра настроек сервера требуется перейти на вкладку «Настройки сервера» (Рис. 2.23).

../_images/ADM_24.png

Рис. 2.23 Настройки сервера

Функции во вкладке «Настройки сервера» позволяют выбрать следующие варианты настроек:

  • задать количество неуспешных попыток аутентификации до блокировки;
  • задать минимальную длину пароля пользователя;
  • задать таймаут пароля пользователя;
  • задать длительность жизни сессии;
  • использование ActiveDirectory для аутентификации;
  • выбрать путь до директории с резервными копиями;
  • выбрать алгоритм проверки подписи;
  • использование сертификата аутентификации;
  • интервал времени, за который вычисляются неуспешные попытки.

Также можно задать длительность жизни сессии, таймаут пароля пользователя, количество неуспешных попыток аутентификации, интервал времени, за который вычисляются неуспешные попытки, минимальная длина пароля пользователя, время неактивности всех учётных записей в днях 1-45 или «Не ограничено».

Для сохранения настроек требуется нажать на кнопку «Сохранить настройки».

2.4.15 Резервное копирование

Для просмотра настроек резервного копирования перейти на вкладку «Резервное копирование» (Рис. 2.24).

../_images/ADM_25.png

Рис. 2.24 «Резервное копирование»

Локальный ресурс создается один раз и только при сборке системы.

Сборка и настройка системы осуществляется интегратором ПО «TIONIX VDI Security».

Доступ вне сервера безопасности.

Локальная копия будет создаваться и регулироваться интегратором.

Факт резервного копирования информации отразится в журнале регистрации событий безопасности.

Для того чтобы изменить тип резервного копирования из выпадающего списка требуется выбрать нужный вариант. Также можно выбрать опцию «Использовать расписание».

После создания первой резервной копии станет доступна опция восстановления из этой резервной копии с помощью кнопки «Восстановление».

Также, образ восстановление возможно указать нажатием кнопки «Загрузить образ для восстановления».

При создании и восстановлении из образа произойдет соответствующая запись в журнале сервера.

Процесс настройки резервного копирования описан в инструкции по установке.

2.4.16 Управление журналом

«Tionix VDI Security» не ограничивает сроки хранения записей в журнале сервера, что может привести к переполнению базы данных.

Чтобы избежать переполнения администратору необходимо отслеживать степень переполнения, отображаемой во вкладке «Статус сервера».

При достижении желтого значения: рекомендуется экспортировать и удалить данные.

При достижении красного значения: требуется экспортировать и удалить данные.

При переполнении: требуется выполнить восстановление из резервной копии.

Переполнение базы данных является критической ошибкой, при которой ПК «Tionix – Сервер безопасности» перестанет корректно функционировать.

Для управления журналом требуется перейти на вкладку «Управление журналом» (Рис. 2.25).

../_images/ADM_26.png

Рис. 2.25 Вкладка «Управление журналом»

Функции на данной вкладке позволяют выбрать варианты логов в таблице и экспортировать выбранное, либо удалить выбранное. При этом в журнале сервера появится запись о соответствующем действии.

2.4.17 LDAP серверы

Для настройки интеграции с LDAP (или AD) перейти на вкладку LDAP серверы (Рис. 2.26).

../_images/ADM_27.png

Рис. 2.26 Вкладка «LDAP-серверы»

Здесь можно добавить новый сервер LDAP, а также отредактировать старый.

../_images/ADM_28.png

Рис. 2.27 Настройки LDAP сервера

Настройки LDAP сервера включают в себя следующие пункты (Рис. 2.27):

  • Название;
  • Описание;
  • Адрес - IP-адрес сервера или его доменное имя (включая порт, например, ldap://10.10.0.11:389);
  • Логин для чтения - учетная запись ldap, с доступом для чтения;
  • Пароль для чтения - пароль от этой учетной записи;
  • BaseDN - базовый каталог для поиска учетных записей (например, ou=people,dc=example,dc=org);
  • Шаблон для пользователя - поисковой запрос к LDAP каталогу для поиска наличия пользователя (например, uid={username},ou=people,dc=example,dc=org, где username – логин пользователя);
  • Идентификатор группы пользователя (группа, к которой будет принадлежать «юзер», импортированный из ldap).

Проверить правильность настройки можно с помощью кнопки «Аутентификация».

Синхронизировать пользователей можно с помощью кнопки «Синхронизация» (Рис. 2.28).

При нажатии на кнопку появляется окно с выбором параметров импорта.

../_images/ADM_29.png

Рис. 2.28 Синхронизация с LDAP сервером

Фильтр поиска - условие, которому должен соответствовать пользователь.

Уровень поиска может принимать 3 значения:

  • SCOPE_ONELEVEL - только на текущем уровне;
  • SCOPE_BASE - на уровне «базы»;
  • SCOPE_SUBTREE - поиск по всему поддереву.