Политика безопасности

• Включение политики безопасности
• Настройка параметров повышения стойкости пароля
• Настройка защиты от автоматического подбора пароля
• Настройка ввода пароля при переходе в интерфейс настройки
• Принудительная смена паролей всех пользователей
• Дополнительные настройки защиты пароля

Включение политики безопасности

Описание

Политика безопасности направлена на борьбу со взломом паролей злоумышленниками.

Использование политики безопасности в системе можно отключить.

Место настройки в интерфейсе

Меню навигации "Настройка системы" → настройка "Администрирование" → вкладка "Управление системой" → блок "Политика безопасности".

Выполнение настройки

В блоке "Политика безопасности" нажмите Включить или Выключить.

Результат настройки

Текущее состояние использования политики безопасности отображается в блоке "Политика безопасности" в строке параметра "Включено".

Если политика безопасности включена, то в строке параметра "Включено" отображается зеленая галочка . При этом можно добавлять и изменять настройки политики безопасности. Настройки будут действовать в течение всего времени работы политики безопасности.

Если политика безопасности выключена, то в строке параметра "Включено" отсутствует зеоеная галочка, и ни один из параметров настройки не применяется при работе в системе, даже если он заполнен.

Особенности настройки отдельных параметров политики безопасности описаны ниже.

Настройка параметров повышения стойкости пароля

Описание

Политика безопасности паролей включает в себя настройку параметров, обеспечивающих повышение стойкости пароля.

Значение параметров блока "Повышение стойкости пароля" не влияет на аутентификацию и значения паролей при авторизации через внешние протоколы (509, SSO, LDAP, AD).

Место настройки в интерфейсе

Меню навигации "Настройка системы" → настройка "Администрирование" → вкладка "Управление системой" → блок "Политика безопасности" → группа "Повышение стойкости пароля".

Выполнение настройки

В блоке "Политика безопасности" нажмите Редактировать, на форме "Редактирование настроек политики безопасности" заполните поля и нажмите Сохранить.

Поля на форме в группе "Повышение стойкости пароля":

• Минимальное количество символов в пароле — минимальное количество символов, которое должен содержать пароль. При попытке сохранения пароля с меньшим количеством символов, на экране будет отображаться сообщение об ошибке. По умолчанию 6.

• Обязательно использование следующих типов символов в пароле — типы символов, которые должен содержать пароль.

  По умолчанию пусто (ограничений нет).

  Возможные типы символов:

  • Английские или русские буквы в нижнем регистре.
  • Английские или русские буквы в верхнем регистре.
  • Цифры — 1 2 3 4 5 6 7 8 9 0.
  • Специальные символы — !, @, #, $, %, ^, &, *, (, ), _, =, + - [ ] { } ; : " | , . < > \ / ?.

  При попытке сохранения пароля, в значении которого нет выбранных символов, на экране будет отображаться сообщение об ошибке.

• Запретить использовать текущий пароль в качестве нового пароля:

  • Флажок снят — в качестве нового пароля можно использовать текущий пароль;
  • Флажок установлен (по умолчанию) — установка текущего пароля пользователя в качестве нового пароля запрещена. При попытке сохранения новый пароль не сохраняется, на экране отображается сообщение об ошибке.

• Запретить использовать логин в качестве нового пароля:

  • Флажок снят (по умолчанию) — в качестве пароля можно использовать логин пользователя;
  • Флажок установлен — установка логина в качестве пароля запрещена. При попытке сохранения новый пароль не сохраняется, на экране отображается сообщение об ошибке.

• Максимальное время действия пароля (в днях) — максимальный период времени использования пароля без изменения.

  При первом запуске SMP установлено значение по умолчанию 180. Если значение параметра было изменено, то при обновлении SMP будет использоваться значение, указанное в данном параметре.

  Возможные значения параметра (значения параметра учитываются, если политика безопасности включена):

  • больше 0 — считается время использования пароля, по истечении указанного количества дней пользователю будет предложено сменить пароль.
  • равно 0 — время использования пароля не учитывается, срок действия пароля неограничен.
  • пусто (не заполнено) — считается время использования пароля, срок действия пароля неограничен.

  Время использования пароля считается с момента первого включения политики безопасности до момента смены пароля или выключения политики безопасности.
  Время не учитывается, если у пользователя не заполнен пароль, или значение параметра "Максимальное время действия пароля" равно нулю, или у пользователя нет прав на смену пароля.

• Минимальное время действия пароля (в днях) — период времени, в рамках которого пользователь не может сменить свой пароль.

  При первом запуске SMP установлено значение по умолчанию 5. Если значение параметра было изменено, то при обновлении SMP будет использоваться значение, указанное в данном параметре.

  При попытке изменить свой пароль до конца указанного срока, на экране будет отображаться сообщение об ошибке.

  Дата возможной смены пароля рассчитывается, как "Дата последней смены пароля" + значение параметра "Минимальное время действия пароля". Дата возможной смены пароля округляется в большую сторону. Например, если в итоге получилось "23.05.2016 13:12", то смена пароля доступна с "24.05.2016 00:00" (в сообщение выводить эту дату без указания времени).

  Значение параметра "Максимальное время действия пароля" должно быть больше либо равно значению параметра "Минимальное время действия пароля".
  Если значение параметров "Минимальное время действия пароля (в днях)" и "Максимальное время действия пароля (в днях)" равно 0, то время использования пароля не учитывается, срок действия пароля неограничен.

Результат настройки. Принудительная смена пароля по истекшему времени действия текущего пароля

Если время использования текущего пароля пользователя превысит значение, указанное в параметре "Максимальное время действия пароля (в днях)", то при завершении времени использования пароля, сразу после следующей внутренней аутентификации в системе, пользователь будет автоматически переадресован на страницу принудительной смены пароля. Пользователь сможет продолжить работу в системе только после изменения пароля.

У пользователя должно быть право на смену пароля. Право контролируются группой прав "Действие с объектом" (право "Смена пароля") и настраивается в классе "Сотрудник" (employee), подробнее в разделе Настройка матрицы прав.

Описание выполнения действия в интерфейсе оператора в разделе Принудительная смена пароля .

Аутентификация по accessKey является внутренней аутентификацией и в случае, когда время использования пароля подойдет к концу, сразу после следующей внутренней (internal) аутентификации (по паролю или accessKey) в системе пользователь будет автоматически переадресован на страницу принудительной смены пароля. Пользователь сможет продолжить работу только после изменения пароля. После смены пароля accessKey остается действительным в соответствии с заданным сроком жизни accessKey.

Результат настройки. Настройка самостоятельной смены пароля пользователем

Чтобы предоставить пользователю возможность менять пароль самостоятельно, укажите значение параметра "Минимальное время действия пароля (в днях)".

Смена пароля на карточке сотрудника не доступна, если время, истекшее с момента последней смены пароля, меньше времени, указанного в параметре "Минимальное время действия пароля (в днях)".

У пользователя должно быть право на смену пароля. Право контролируются группой прав "Действие с объектом" (право "Смена пароля") и настраивается в классе "Сотрудник" (employee), см. Настройка матрицы прав.

Описание выполнения действия в интерфейсе оператора см. Смена пароля в карточке сотрудника.

Настройка защиты от автоматического подбора пароля

Описание

Политика безопасности направлена на борьбу со взломом паролей злоумышленниками.

Политика безопасности паролей включает в себя настройку параметров, обеспечивающих защиту от автоматического подбора пароля.

Место настройки в интерфейсе

Меню навигации "Настройка системы" → настройка "Администрирование" → вкладка "Управление системой" → блок "Политика безопасности" → группа "Защита от автоматического подбора пароля".

Выполнение настройки

В блоке "Политика безопасности" нажмите Редактировать, на форме "Редактирование настроек политики безопасности" заполните поля и нажмите Сохранить.

Поля на форме в группе "Защита от автоматического подбора пароля":

• Количество неудачных попыток входа в систему без временной блокировки учетной записи — количество неудачных попыток входа в систему без временной блокировки учетной записи. Пока количество неудачных попыток входа в систему будет ниже указанного значения, учетная запись не блокируется. По умолчанию 5.

  Временная блокировка учетной записи — автоматическая блокировка учетной записи на время, указанное в параметре "Время задержки между неудачными попытками (сек)". После истечения данного времени, учетная запись будет автоматически разблокирована.

• Время блокировки учетной записи между неудачными попытками входа в систему (сек) — время блокировки учетной записи между неудачными попытками входа в систему в секундах.

  Когда количество неудачных попыток входа в систему достигает значения параметра "Количество неудачных попыток входа в систему без временной блокировки учетной записи", между каждой следующей неудачной попыткой входа будет выполняться временная блокировка учетной записи на указанное количество секунд.

  По умолчанию 1800.

• Максимальное количество неудачных попыток входа в систему — максимальное количество неудачных попыток входа в систему. По умолчанию 0 (ограничение на количество неудачных попыток не накладывается).

  Когда количество неудачных попыток входа в систему достигает указанного значения, учетная запись пользователя блокируется на неограниченный срок (постоянная блокировка учетной записи).

  Значение параметра "Максимальное количество неудачных попыток" должно быть больше либо равно значению параметра "Количество неудачных попыток без задержки".

Результат настройки

Блокировка учетной записи — это запрет на вход в систему под данной учетной записью.

Временная блокировка учетной записи — автоматическая блокировка учетной записи на определенное время между неудачными попытками входа в систему.

Постоянная блокировка учетной записи — блокировка учетной записи на неограниченный срок.

• Временная блокировка учетной записи

  Когда количество неудачных попыток достигает значение, установленное в поле "Количество неудачных попыток входа в систему без временной блокировки учетной записи"), учетная запись блокируется на время, указанное в политике безопасности (параметр "Время задержки между неудачными попытками (сек)").

  Правила временной блокировки:

  • Временная блокировка устанавливается при неудачных попытках входа в систему. После истечения времени задержки, учетная запись автоматически разблокируется.
  • При попытке входа в систему во время блокировки учетной записи на экране отображается сообщение об ошибке.
  • Результат подсчета количества неудачных попыток входа сбрасывается после удачного входа в систему или после снятия постоянной блокировки учетной записи.
  • Во время блокировки учетной записи, количество неудачных попыток входа под этой учетной записью не увеличивается.
  • Попытка входа может быть засчитана как неудачная только после окончания временной блокировки. Блокировка учетной записи выполняется после каждой последующей неудачной попытки входа в систему.

• Постоянная блокировка учетной записи

  Когда количество неудачных попыток достигает значение, установленное в поле "Максимальное количество неудачных попыток входа в систему", учетная запись блокируется.

  Правила постоянной блокировки:

  • Постоянная блокировка устанавливается при неудачных попытках входа в систему.

  • При попытке входа в систему во время блокировки учетной записи на экране отображается сообщение об ошибке.
  • Результат подсчета количества неудачных попыток входа сбрасывается после снятия постоянной блокировки учетной записи. Во время блокировки учетной записи, количество неудачных попыток входа под этой учетной записью не увеличивается.
  • Для управления постоянной блокировкой могут использоваться скриптовые методы.

  • Постоянная блокировка устанавливается или снимается в интерфейсе оператора с помощью системного атрибута "Заблокирован" (isEmployeeLocked) класса "Сотрудник" (employee): флажок установлен — сотрудник заблокирован; флажок снят — сотрудник разблокирован

    Заблокированный сотрудник (флажок "Заблокирован" установлен) не может войти в систему вне зависимости от того, включена Политика безопасности или нет.

    Чтобы настроить управление блокировкой учетной записи с помощью атрибута "Заблокирован" (isEmployeeLocked), выполните следующие настройки:

    • Выдайте право на просмотр атрибута "Заблокирован" (isEmployeeLocked).

      Класс "Сотрудник" (employee) → "Права доступа" → "Матрица прав" (группа прав "Просмотр атрибутов объекта"), см. Настройка матрицы прав.

      Для настройки прав используются маркеры, см. Добавление маркера прав .

    • Выдайте право на редактирование атрибута "Заблокирован" (isEmployeeLocked).

      Класс "Сотрудник" (employee) → "Права доступа" → "Матрица прав" (группа прав "Действие с объектом" — право "Блокировка и снятие блокировки учетной записи"), см. Настройка матрицы прав.

    • Разместите атрибут на карточке объекта, см. Контент "Параметры объекта".

Вход в систему под заблокированной учетной записью возможен:

• если сессия еще не разорвана;
• со страницы "Администрирование" (вход в систему под другим пользователем для суперпользователя).

Влияние настроенной политики безопасности на суперпользователей:

• Пароль суперпользователя должен соответствовать всем установленным характеристикам, отвечающим за стойкость паролей: "Минимальное количество символов в пароле", "Обязательно использование следующих типов символов в пароле", "Запретить использовать текущий пароль в качестве нового пароля" и "Запретить использовать логин в качестве нового пароля".
• На суперпользователя не распространяется логика параметров политики безопасности: "Максимальное время действия пароля (в днях)" и "Минимальное время действия пароля (в днях)".
• Настроенная стратегия защиты учетной записи от подбора пароля распространяется на суперпользователя, но максимальное количество неудачных попыток не ограничивается. Для суперпользователя возможна только временная блокировка учетной записи.

Настройка ввода пароля при переходе в интерфейс настройки

Описание

Политика безопасности включает в себя параметр, регулирующий ввод пароля при переходе в интерфейс администратора.

Место настройки в интерфейсе

Меню навигации "Настройка системы" → настройка "Администрирование" → вкладка "Управление системой" → блок "Политика безопасности" → группа "Ввод пароля при переходе в интерфейс настройки".

Выполнение настройки

В блоке "Политика безопасности" нажмите Редактировать, на форме "Редактирование настроек политики безопасности" установите значение флажка Запрашивать пароль учетной записи при переходе в интерфейс технологаи нажмите Сохранить.

• Флажок снят (по умолчанию) — ввод пароля при переходе в интерфейс администратора из интерфейса оператора не требуется.
• Флажок установлен — при переходе в интерфейс администратора из интерфейса оператора, пользователь направляется на страницу входа в систему. Поле "Логин" заполнено значением пользователя, который совершал переход в интерфейс администратора. Одновременная работа в интерфейсе администратора и в интерфейсе оператора невозможна.

Принудительная смена паролей всех пользователей

Принудительная смена всех паролей доступна, даже если политика безопасности отключена.

Место настройки в интерфейсе

Меню навигации "Настройка системы" → настройка "Администрирование" → вкладка "Управление системой" → блок "Политика безопасности".

Выполнение настройки

В блоке "Политика безопасности" нажмите Принудительно сменить все пароли и подтвердите действие.

Результат настройки

После подтверждения операции каждый пользователь сможет продолжить работу в системе после изменения пароля.

В веб-интерфейсе при следующем входе в систему через форму авторизации пользователь будет автоматически перенаправлен на страницу смены пароля. Описание выполнения действия в интерфейсе оператора см. Принудительная смена пароля .

В мобильном приложении при попытке входа по устаревшему паролю пользователь увидит сообщение об ошибке. Чтобы продолжить работу, требуется изменить пароль в веб-интерфейсе.

Принудительная смена пароля по кнопке Принудительно сменить все пароли не распространятся:

• На пользователя, у которого нет прав на смену пароля. Данный сотрудник пропускается и продолжает входить в систему. Права на смену пароля настраиваются в классе "Сотрудник" (employee).
• На суперпользователя. Также на суперпользователя не распространяется принудительная смена пароля, инициированная через api-методы api.security.

Принудительная смена пароля через api-методы. С помощью скриптовых методов api.security можно выполнить следующие действия: обязать конкретного пользователя сменить пароль при следующем входе в систему или обязать всех пользователей сменить пароль при следующем входе в систему, см. api.security Работа с правами.

Дополнительные настройки защиты пароля

Для защиты паролей сотрудников от несанкционированного доступа рекомендуется ограничить права на просмотр атрибута "Пароль" (password) класса "Сотрудник" (employee) в матрице прав.
Доступ на просмотр атрибута "Пароль" (password) должен предоставляться только тем профилям (ролям), которым это необходимо для администрирования системы.

Чтобы настроить защиту паролей при помощи ограничения доступа к атрибуту "Пароль" (password) класса "Сотрудник" (employee), выполните следующие действия:

1. Добавьте маркер прав на просмотр атрибута "Пароль" (password).

   Класс "Сотрудник" (employee) → "Права доступа" → "Матрица прав" (группа прав "Просмотр атрибутов объекта").

   Подробнее о настройке маркера прав описано в разделе Добавление маркера прав .

2. Выдайте право на просмотр атрибута "Пароль" (password) тем профилям (ролям), которым это необходимо для управления системой.

   Подробнее о настройке матрицы прав описано в разделе Настройка матрицы прав.