Security

Visão Geral

A seção Security agrupa as configurações de controle de acesso e proteção do PAM FSafer, organizadas em quatro abas: Authentication (controles de MFA e login), Login restriction (bloqueios por falha e IP), Passwords (políticas de complexidade e expiração) e Sessions (controles de sessão ativa).

Aba Authentication

Seção Basic

Login captcha (checkbox): Habilita a verificação de CAPTCHA na tela de login do PAM. Quando ativado, o usuário deve resolver um desafio visual antes de autenticar, protegendo contra ataques de força bruta automatizados. Ativado por padrão.

Login dynamic code (checkbox): Quando habilitado, o sistema exige um código dinâmico adicional no login, como OTP enviado por e-mail ou SMS. Funciona como segundo fator de verificação por desafio de código.

Auto disable threshold (day) *(Obrigatório)*: Número de dias de inatividade após o qual uma conta de usuário é automaticamente desabilitada. O valor padrão é 999 dias (praticamente indefinido). Para compliance com frameworks como ISO 27001 ou SOC 2, recomenda-se valores entre 60 e 90 dias.

Suspicious login verification (checkbox): Quando ativado, o sistema detecta tentativas de login suspeitas (mudanças de localização, dispositivo ou horário incomum) e exige verificação adicional. Ativado por padrão.

Seção MFA

Global MFA: Define a política global de Autenticação Multi-Fator. Opções disponíveis:

• Not enabled: MFA desativado globalmente. Os usuários podem habilitar individualmente em seus perfis, mas não é obrigatório.

• All users: MFA obrigatório para todos os usuários do sistema, independentemente de perfil ou permissões. Recomendado para ambientes de alta segurança.

• Only admin users: MFA obrigatório apenas para usuários com perfil de administrador. Usuários comuns podem logar sem segundo fator.

Third-party login MFA (checkbox): Quando ativado, exige MFA também para usuários que se autenticam via provedores externos (LDAP, OIDC, SAML2, etc.). Ativado por padrão.

MFA verify TTL *(Obrigatório)*: Tempo de vida do token MFA em segundos. Após este período, o usuário precisará re-autenticar o segundo fator. Valor padrão: 3600 segundos (1 hora). Recomenda-se valores entre 1800 e 7200 segundos conforme a política de segurança da organização.

OTP issuer name: Nome do emissor exibido nos aplicativos autenticadores (Google Authenticator, Microsoft Authenticator, Authy) ao configurar MFA via TOTP. Recomenda-se usar o nome da organização ou do sistema (ex: MinhaEmpresa-PAM).

OTP valid window *(Obrigatório)*: Define a janela de tolerância temporal para validação de códigos OTP (TOTP). O valor padrão 2 significa que o sistema aceita códigos dos 2 períodos anteriores e dos 2 períodos posteriores ao atual, compensando possíveis diferenças de horário entre o dispositivo do usuário e o servidor. Aumentar este valor reduz a segurança; diminuir pode causar rejeições de códigos válidos.

Aba Login restriction

Seção User

Login failures count *(Obrigatório)*: Número máximo de tentativas de login mal-sucedidas permitidas por usuário antes do bloqueio temporário. Valor padrão: 7. Para conformidade com políticas de segurança rigorosas, recomenda-se valores entre 3 e 5.

Login failure period (minute) *(Obrigatório)*: Janela de tempo em minutos para contagem das tentativas de login falhas. Se o usuário exceder o limite de falhas dentro deste período, a conta é bloqueada temporariamente. Valor padrão: 30 minutos.

Seção IP

Login failures count (IP) *(Obrigatório)*: Número máximo de tentativas de login mal-sucedidas permitidas por endereço IP. Bloqueia automaticamente IPs que excedam este limite, protegendo contra ataques de força bruta distribuídos. Valor padrão: 7.

Login failure period (minute) — IP *(Obrigatório)*: Janela de tempo para contagem de falhas por IP. Valor padrão: 180 minutos.

Login IP allow list: Lista de IPs ou ranges CIDR autorizados a acessar o PAM. Quando configurada, apenas os endereços desta lista poderão realizar login. Use enter para separar múltiplos IPs/ranges. Exemplo: 10.0.0.0/8, 192.168.1.100.

Login IP deny list: Lista de IPs ou ranges CIDR explicitamente bloqueados de realizar login no PAM. IPs nesta lista são rejeitados mesmo que estejam no allow list.

Blocked IP's: Exibe um botão "View (Locked ip N)" que lista os IPs atualmente bloqueados por excesso de tentativas de login. Permite ao administrador visualizar e desbloquear IPs manualmente quando necessário.

Only single device login (checkbox): Quando habilitado, um usuário só pode ter uma sessão ativa por vez. Novo login em outro dispositivo derruba a sessão anterior.

Only exist user login (checkbox): Restringe o login apenas a usuários que já existam cadastrados no PAM. Impede a criação automática de usuários via SSO quando esta opção está ativa.

Only from source login (checkbox): Restringe o acesso apenas a usuários que venham de fontes de autenticação específicas configuradas. Útil para forçar que usuários utilizem o provedor de identidade corporativo em vez do login local.

Aba Passwords

Seção Basic

User password expiration (day) *(Obrigatório)*: Número de dias para expiração de senhas de usuários. Após este período, o usuário será obrigado a definir uma nova senha no próximo login. Valor padrão: 9999 (sem expiração prática). Para compliance com LGPD, ISO 27001 ou PCI-DSS, recomenda-se 90 dias.

Recent password count *(Obrigatório)*: Impede que o usuário reutilize senhas recentes. O sistema armazena as últimas N senhas e bloqueia reutilização. Valor padrão: 5. Recomenda-se manter entre 5 e 10 para evitar reciclagem de senhas.

Seção Password rules

Define a política de complexidade de senhas aplicada aos usuários locais do PAM:

• Minimum length (User) *(Obrigatório)*: Comprimento mínimo da senha para usuários comuns. Valor padrão: 6. Recomenda-se mínimo de 12 para ambientes corporativos.

• Minimum length (Admin) *(Obrigatório)*: Comprimento mínimo da senha para administradores. Valor padrão: 6. Recomenda-se mínimo de 16 para contas administrativas.

• Uppercase (checkbox): Exige pelo menos uma letra maiúscula na senha.

• Lowercase (checkbox): Exige pelo menos uma letra minúscula na senha.

• Digits (checkbox): Exige pelo menos um número (0-9) na senha.

• Special characters (checkbox): Exige pelo menos um caractere especial (!@#$%^&*, etc.) na senha.

Aba Sessions

Watermark *(Obrigatório, checkbox)*: Quando habilitado, aplica uma marca d'água nas sessões de acesso remoto (RDP, VNC). A marca d'água exibe informações como nome do usuário, nome do ativo e IP, dificultando o uso não autorizado de capturas de tela. Ativado por padrão.

Watermark session content: Define o conteúdo exibido na marca d'água usando variáveis dinâmicas. Formato padrão: ${name}(${userName})${assetName}${assetAddr}. Variáveis disponíveis: ${name} (nome completo do usuário), ${userName} (nome de usuário), ${assetName} (nome do ativo), ${assetAddr} (endereço IP do ativo).

Session share *(Obrigatório, checkbox)*: Permite que sessões de acesso remoto sejam compartilhadas com outros usuários para fins de suporte ou supervisão. Quando habilitado, o usuário pode gerar um link de compartilhamento da sessão ativa.

Session expire at browser closed (checkbox): Quando ativado, a sessão do usuário no PAM é encerrada automaticamente ao fechar o navegador, independentemente do tempo de inatividade configurado. Recomendado em ambientes de alta segurança ou acesso via dispositivos compartilhados.

Allow users to view asset session info (checkbox): Permite que usuários visualizem informações sobre sessões ativas nos ativos a que têm acesso autorizado.

Max idle time (minute) *(Obrigatório)*: Tempo máximo de inatividade em minutos antes que a sessão do usuário no PAM seja encerrada automaticamente. Valor padrão: 30 minutos. Recomenda-se valores entre 15 e 60 minutos conforme a política de segurança.

Max online time (hour) *(Obrigatório)*: Tempo máximo de duração de uma sessão de usuário no PAM em horas, independentemente de atividade. Após este período, o usuário é desconectado e deve autenticar novamente. Valor padrão: 24 horas.