# Security ### Visão Geral A seção Security agrupa as configurações de controle de acesso e proteção do DataDike PAM, organizadas em quatro abas: Authentication (controles de MFA e login), Login restriction (bloqueios por falha e IP), Passwords (políticas de complexidade e expiração) e Sessions (controles de sessão ativa). ### Aba Authentication #### Seção Basic **Login captcha** (checkbox): Habilita a verificação de CAPTCHA na tela de login do PAM. Quando ativado, o usuário deve resolver um desafio visual antes de autenticar, protegendo contra ataques de força bruta automatizados. Ativado por padrão. **Login dynamic code** (checkbox): Quando habilitado, o sistema exige um código dinâmico adicional no login, como OTP enviado por e-mail ou SMS. Funciona como segundo fator de verificação por desafio de código. **Auto disable threshold (day)** \*(Obrigatório)\*: Número de dias de inatividade após o qual uma conta de usuário é automaticamente desabilitada. O valor padrão é `999` dias (praticamente indefinido). Para compliance com frameworks como ISO 27001 ou SOC 2, recomenda-se valores entre 60 e 90 dias. **Suspicious login verification** (checkbox): Quando ativado, o sistema detecta tentativas de login suspeitas (mudanças de localização, dispositivo ou horário incomum) e exige verificação adicional. Ativado por padrão. #### Seção MFA **Global MFA**: Define a política global de Autenticação Multi-Fator. Opções disponíveis: * **Not enabled**: MFA desativado globalmente. Os usuários podem habilitar individualmente em seus perfis, mas não é obrigatório. * **All users**: MFA obrigatório para todos os usuários do sistema, independentemente de perfil ou permissões. Recomendado para ambientes de alta segurança. * **Only admin users**: MFA obrigatório apenas para usuários com perfil de administrador. Usuários comuns podem logar sem segundo fator. **Third-party login MFA** (checkbox): Quando ativado, exige MFA também para usuários que se autenticam via provedores externos (LDAP, OIDC, SAML2, etc.). Ativado por padrão. **MFA verify TTL** \*(Obrigatório)\*: Tempo de vida do token MFA em segundos. Após este período, o usuário precisará re-autenticar o segundo fator. Valor padrão: `3600` segundos (1 hora). Recomenda-se valores entre 1800 e 7200 segundos conforme a política de segurança da organização. **OTP issuer name**: Nome do emissor exibido nos aplicativos autenticadores (Google Authenticator, Microsoft Authenticator, Authy) ao configurar MFA via TOTP. Recomenda-se usar o nome da organização ou do sistema (ex: `MinhaEmpresa-PAM`). **OTP valid window** \*(Obrigatório)\*: Define a janela de tolerância temporal para validação de códigos OTP (TOTP). O valor padrão `2` significa que o sistema aceita códigos dos 2 períodos anteriores e dos 2 períodos posteriores ao atual, compensando possíveis diferenças de horário entre o dispositivo do usuário e o servidor. Aumentar este valor reduz a segurança; diminuir pode causar rejeições de códigos válidos. ### Aba Login restriction #### Seção User **Login failures count** \*(Obrigatório)\*: Número máximo de tentativas de login mal-sucedidas permitidas por usuário antes do bloqueio temporário. Valor padrão: `7`. Para conformidade com políticas de segurança rigorosas, recomenda-se valores entre 3 e 5. **Login failure period (minute)** \*(Obrigatório)\*: Janela de tempo em minutos para contagem das tentativas de login falhas. Se o usuário exceder o limite de falhas dentro deste período, a conta é bloqueada temporariamente. Valor padrão: `30` minutos. #### Seção IP **Login failures count (IP)** \*(Obrigatório)\*: Número máximo de tentativas de login mal-sucedidas permitidas por endereço IP. Bloqueia automaticamente IPs que excedam este limite, protegendo contra ataques de força bruta distribuídos. Valor padrão: `7`. **Login failure period (minute) — IP** \*(Obrigatório)\*: Janela de tempo para contagem de falhas por IP. Valor padrão: `180` minutos. **Login IP allow list**: Lista de IPs ou ranges CIDR autorizados a acessar o PAM. Quando configurada, apenas os endereços desta lista poderão realizar login. Use enter para separar múltiplos IPs/ranges. Exemplo: `10.0.0.0/8`, `192.168.1.100`. **Login IP deny list**: Lista de IPs ou ranges CIDR explicitamente bloqueados de realizar login no PAM. IPs nesta lista são rejeitados mesmo que estejam no allow list. **Blocked IP's**: Exibe um botão "View (Locked ip N)" que lista os IPs atualmente bloqueados por excesso de tentativas de login. Permite ao administrador visualizar e desbloquear IPs manualmente quando necessário. **Only single device login** (checkbox): Quando habilitado, um usuário só pode ter uma sessão ativa por vez. Novo login em outro dispositivo derruba a sessão anterior. **Only exist user login** (checkbox): Restringe o login apenas a usuários que já existam cadastrados no PAM. Impede a criação automática de usuários via SSO quando esta opção está ativa. **Only from source login** (checkbox): Restringe o acesso apenas a usuários que venham de fontes de autenticação específicas configuradas. Útil para forçar que usuários utilizem o provedor de identidade corporativo em vez do login local. ### Aba Passwords #### Seção Basic **User password expiration (day)** \*(Obrigatório)\*: Número de dias para expiração de senhas de usuários. Após este período, o usuário será obrigado a definir uma nova senha no próximo login. Valor padrão: `9999` (sem expiração prática). Para compliance com LGPD, ISO 27001 ou PCI-DSS, recomenda-se 90 dias. **Recent password count** \*(Obrigatório)\*: Impede que o usuário reutilize senhas recentes. O sistema armazena as últimas N senhas e bloqueia reutilização. Valor padrão: `5`. Recomenda-se manter entre 5 e 10 para evitar reciclagem de senhas. #### Seção Password rules Define a política de complexidade de senhas aplicada aos usuários locais do PAM: * **Minimum length (User)** \*(Obrigatório)\*: Comprimento mínimo da senha para usuários comuns. Valor padrão: `6`. Recomenda-se mínimo de 12 para ambientes corporativos. * **Minimum length (Admin)** \*(Obrigatório)\*: Comprimento mínimo da senha para administradores. Valor padrão: `6`. Recomenda-se mínimo de 16 para contas administrativas. * **Uppercase** (checkbox): Exige pelo menos uma letra maiúscula na senha. * **Lowercase** (checkbox): Exige pelo menos uma letra minúscula na senha. * **Digits** (checkbox): Exige pelo menos um número (0-9) na senha. * **Special characters** (checkbox): Exige pelo menos um caractere especial (!@#$%^&\*, etc.) na senha. ### Aba Sessions **Watermark** \*(Obrigatório, checkbox)\*: Quando habilitado, aplica uma marca d'água nas sessões de acesso remoto (RDP, VNC). A marca d'água exibe informações como nome do usuário, nome do ativo e IP, dificultando o uso não autorizado de capturas de tela. Ativado por padrão. **Watermark session content**: Define o conteúdo exibido na marca d'água usando variáveis dinâmicas. Formato padrão: `${name}(${userName})${assetName}${assetAddr}`. Variáveis disponíveis: `${name}` (nome completo do usuário), `${userName}` (nome de usuário), `${assetName}` (nome do ativo), `${assetAddr}` (endereço IP do ativo). **Session share** \*(Obrigatório, checkbox)\*: Permite que sessões de acesso remoto sejam compartilhadas com outros usuários para fins de suporte ou supervisão. Quando habilitado, o usuário pode gerar um link de compartilhamento da sessão ativa. **Session expire at browser closed** (checkbox): Quando ativado, a sessão do usuário no PAM é encerrada automaticamente ao fechar o navegador, independentemente do tempo de inatividade configurado. Recomendado em ambientes de alta segurança ou acesso via dispositivos compartilhados. **Allow users to view asset session info** (checkbox): Permite que usuários visualizem informações sobre sessões ativas nos ativos a que têm acesso autorizado. **Max idle time (minute)** \*(Obrigatório)\*: Tempo máximo de inatividade em minutos antes que a sessão do usuário no PAM seja encerrada automaticamente. Valor padrão: `30` minutos. Recomenda-se valores entre 15 e 60 minutos conforme a política de segurança. **Max online time (hour)** \*(Obrigatório)\*: Tempo máximo de duração de uma sessão de usuário no PAM em horas, independentemente de atividade. Após este período, o usuário é desconectado e deve autenticar novamente. Valor padrão: `24` horas. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://wiki.datadike.com/product-guide/configuracoes/pam/system-settings/security.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.