Безпека

На даній вкладці зібрані різні настройки безпеки системи TeamWox. Вони розділені на кілька блоків: сертифікати , Безпека пароля і робочих сесій , аутентифікація , проксі сервер і Обробка публічних запитів .

сертифікати

Система TeamWox працює по захищеному протоколу HTTPS через порт 443. Всі дані, що передаються шифруються за допомогою встановленого SSL сертифікату. За замовчуванням в систему встановлюється сертифікат, виданий MetaQuotes Software CA. Даний сертифікат є недовірених, і це призводить до того що браузери користувачів видають відповідні попередження. Щоб уникнути цього, необхідно додати центр сертифікації MetaQuotes Software CA в список довірених відповідно до інструкцій в розділі "Установка сертифіката" .

У верхній частині блоку сертифікатів вказується інформація про встановлений в даний момент сертифікаті: центр видачі, одержувач і дата закінчення. Далі розташовані різні команди управління сертифікатами:

Запит і установка сертифікату

За допомогою кнопки "Запросити сертифікат", розташованої у верхньому блоці, можна згенерувати запит до центру сертифікації для отримання сертифікату. При натисканні з'являється наступне вікно:

Тут вказується наступна інформація:

• Основне ім'я - основне ім'я сертифіката.
• Місто - місто, в якому знаходиться ваша компанія.
• Організація - назва вашої компанії.
• Відділ - відділ вашої компанії, який займається питаннями сертифікації.
• E-Mail - адреса електронної пошти для зв'язку з вашою компанією.
• Країна - країна, в якій знаходиться ваша компанія.
• Штат / Провінція - штат / провінція країни, в якій знаходиться ваша компанія.
• Вулиця - вулиця, на якій знаходиться ваша компанія.
• Домен - домен, на якому встановлена ​​ваша система TeamWox.
• Довжина ключа - вибір довжини ключа: 1024 або 2048 біт.

Після заповнення даних необхідно натиснути кнопку "Далі". При натисканні кнопки "Скасувати" вікно буде закрито, і клопотання не буде згенеровано. При натисканні кнопки "Далі" буде згенеровано запит для відправки в один з довірених центрів сертифікації:

Даний запит необхідно скопіювати і відправити в обраний вами центр сертифікації, слідуючи його інструкціями.

Відповідь, отриманий від центру сертифікації, необхідно скопіювати назад в TeamWox. Для цього необхідно натиснути кнопку "Використовувати відповідь центру сертифікації".

У вікні необхідно вставити відповідь центру сертифікації. Після натискання кнопки "Застосувати" сертифікат буде встановлено в системі TeamWox.

Центр сертифікації може надавати відповідь двох типів - в форматі X509 і PKCS. Різниця полягає в тому, що останній тип крім самого сертифіката, містить також і проміжні сертифікати. Таким чином, при встановленні сертифіката в TeamWox, на сервері додатково встановлюються всі проміжні сертифікати. Це гарантує, що всі браузери будуть сприймати сертифікат, встановлений в TeamWox, як довірений.

Залежно від типу, відповіді центрів сертифікації мають такий вигляд:

X509

PKCS

----- BEGIN CERTIFICATE -----

...

----- END CERTIFICATE -----

----- BEGIN PKCS # 7 SIGNED DATA -----

...

----- END PKCS # 7 SIGNED DATA -----

Рекомендується використовувати відповідь центру сертифікації в форматі PKCS.

Якщо раннє було згенеровано кілька запитів сертифікатів, то система TeamWox сама визначить потрібний і застосує до нього вставлений відповідь центру сертифікації.

перевипуск сертифіката

Багато компаній надають можливість перевипуску сертифіката необмежену кількість разів протягом всього терміну його дії. Перевипуск сертифіката може знадобитися в одному з наступних випадків:

• Відбулася втрата приватного ключа або він став відомий третім особам.
• У сертифікаті вказана неправильна інформація.
• Сертифікат не функціонує належним чином.

В такому випадку необхідно заново згенерувати запит сертифіката . Потім слід зайти на сайт видавця сертифіката і скористатися спеціальною процедурою перевидання. Далі наведені посилання на найбільш відомі центри сертифікації:

Після проходження процедури перевидання слід знову вставити у відповідне вікно відповідь центру сертифікації. Після цього сертифікат буде переустановлений.

Заміна існуючого сертифіката іншим готовим сертифікатом (* .pfx)

Для того щоб змінити існуючий сертифікат, необхідно натиснути кнопку "Змінити сертифікат".

Для того щоб вказати новий сертифікат, необхідно натиснути кнопку "Огляд" і в стандартному вікні вибору файлів вибрати необхідний. Якщо у вашого сертифіката є пароль, його необхідно вказати у відповідному полі. Для завантаження нового сертифіката необхідно натиснути кнопку "Завантажити", для відміни операції натисніть кнопку "Скасувати".

експорт сертифіката

За допомогою кнопки "Експортувати сертифікат" можна зберегти на комп'ютері PFX-файл встановленого сертифіката. При натисканні з'явиться вікно, що запрошує пароль сертифіката. Якщо такий відсутній, слід залишити поле пароля порожнім і натиснути кнопку "ОК". Після цього відкриється стандартне вікно браузера, що пропонує відкрити або зберегти файл.

Безпека пароля і робочих сесій

Для забезпечення безпеки системи в системі працює не відключається контроль складності паролів. Будь-пароль повинен містити не менше 6 символів, включаючи малі та великі літери, а також цифри.

Встановити контроль робочих сесій по IP-адресами

Дана опція призначена для підвищення безпеки системи. При її включенні, сесії підключення користувача прив'язуються до його IP-адресою. Таким чином, якщо таке підключення здійснюється з іншої адреси, то для входу в систему користувач повинен буде знову вказати свої логін і пароль, незалежно від опції "Запам'ятати мене" в діалозі авторизації .

Вимагати зміни пароля користувача через N днів

Дана опція також призначена для підвищення безпеки роботи з системою. Якщо політика безпеки компанії вимагає зміни пароля користувачів після певного часу, включіть цю опцію і вкажіть кількість днів. Після закінчення даного терміну, в інтерфейсі TeamWox користувачеві буде показано вікно примусової зміни пароля:

У вікні присутні наступні поля:

• Логін - в даному полі відображається логін користувача.
• Новий пароль - тут необхідно ввести новий пароль. Він не повинен збігатися з попереднім паролем. Також пароль повинен бути досить складним (містити не менше 6 символів, включаючи малі, великі літери, а також цифри).
• Підтвердження - в даному полі необхідно повторно ввести новий пароль.
• Поточний пароль - для запобігання несанкціонованого зміни пароля, в даному полі потрібно ввести поточний пароль.

Дана опція працює тільки при авторизації з використанням логіна і пароля. Якщо користувач авторизується через Active Directory або за допомогою сертифіката , Вікно зміни пароля не виникає.

аутентифікація

В системі TeamWox передбачена можливість аутентифікації користувачів за сертифікатами, а також за логіном і паролем в домені Active Directory.

Аутентифікація в домені Active Directory

Якщо включити дану опцію, то користувачі зможуть заходити в систему TeamWox під логіном і паролем, які зареєстровані для них в Active Directory. В поле "Домен" має бути вказано ім'я домену, наприклад: "ad.company.com".

Крім включення вищевказаної опції, у користувача має бути призначено відповідний дозвіл "Аутентифік домені", яке можна знайти на вкладці "Користувачі -> Права доступу" в блоці "Сервер" . також логіни користувачів в системі TeamWox повинні бути аналогічні їх логінів в Active Directory.

Користувачі з ActiveDirectory, використовуючи свої поточні логіни і паролі, також можуть авторизуватися в WebDAV для доступу до "Документів" і в CalDAV для доступу до "Календаря". Для активації цієї можливості необхідно проставити позначки: "Використовувати для аутентифікації WebDAV в модулі" Документи "і" Використовувати для аутентифікації CalDAV в модулі "Календар".

Слід врахувати, що при даних настройках існують технічні обмеження, які не дозволяють використовувати WebDAV і CalDAV користувачам, створеним в системі TeamWox вручну.

Для того щоб швидко приступити до роботи в системі, можна імпортувати користувачів з Active Directory.

Використовувати клієнтські сертифікати

Вибравши дану опцію, можна дозволити аутентифікацію користувачів за сертифікатом, виданим одним з довірених центрів сертифікації.

• В поле "Перевіряти по" слід вибрати поле сертифіката, за яким буде відбуватися аутентифікація. Вибір здійснюється зі списку, що відкривається після натиснення лівою кнопкою миші на даному полі. Доступні три варіанти: за основним імені, на поштову адресу і щодо персонального сертифікату. Відповідно, в першому випадку буде відбуватися порівняння основного імені в сертифікаті і логіна користувача в TeamWox. У другому випадку будуть порівнюватися вказаний в сертифікаті адреса електронної пошти та адресу, вказану в контактних даних користувача. При виборі варіанту перевірки щодо персонального сертифікату будуть використовуватися сертифікати , Згенеровані для користувачів безпосередньо в системі TeamWox.
• В поле "Список довірених центрів сертифікації" слід вказати публічні сертифікати від довірених центрів сертифікації, за якими користувачі зможуть заходити в систему. Для цього необхідно натиснути кнопку огляд і вказати відповідний * .cr або * .crt файл. Для того щоб доданий центр сертифікації почав діяти, необхідно встановити галочку навпроти нього.

• Як і в попередньому випадку, у користувача має бути призначено відповідний дозвіл "Аутентифікація за сертифікатом від ЦС", яке може бути знайдено на вкладці "Користувачі -> Права доступу" в блоці "Сервер" .
• Призначені для користувача сертифікати можна згенерувати на вкладці "Безпека" в профілях користувачів.

Проксі-сервер

Якщо доступ сервера TeamWox до мережі інтернет здійснюється через проксі-сервер, то необхідно здійснити відповідні налаштування параметрів, зазначених нижче:

• Використовувати проксі-сервер - для включення роботи через проксі-сервер необхідно відзначити галочкою дане поле. Далі слід вказати адресу сервера і порт, розділені двокрапкою. Наприклад, proxy.company.com:3128.
• Логін - логін для авторизації на проксі-сервері.
• Пароль - пароль для авторизації на проксі-сервері.

Якщо логін і пароль не потрібні, необхідно залишити ці поля порожніми. Уточнити вищевказані параметри можна у вашого системного адміністратора.

Обробка публічних запитів

В даному блоці можна налаштувати параметри публічного доступу до системи для компонентів інтеграції з зовнішніми веб-ресурсами.

Тут присутні три опції:

• Дозволити публічний доступ
  Для інтеграції модулів "Сервісдеск" і "Чат" використовується неавторизоване (публічне) з'єднання з системою. Якщо публічні компоненти модулів не використовуються, можливість такого з'єднання слід відключити, прибравши галочку з даного поля.
• Враховувати заголовок X-Forwarded-For для запитів зі наступних IP-адрес
  Користувачі можуть заходити в систему або звертатися в неї через публічні сервіси з різних проксі-серверів. При цьому в діалогах чату , записах журналу системи і т.д. буде відображатися адреса проксі-сервера. Якщо вказати адресу такого проксі-сервера в даному полі, то система TeamWox намагатиметься визначити реальний IP-адресу користувача через заголовок "X-Forwarded-For". Слід враховувати, що в даному полі необхідно вказувати IP-адреси тільки довірених серверів, де виключається можливість передачі помилкових адрес в запитах.
  Опція працює тільки для публічних компонентів модулів "Чат" і "Сервісдеск".
• Дозволити використання HTTP протоколу
  За замовчуванням громадські об'єднання йдуть по захищеному протоколу HTTPS через 443 порт (SSL). Однак якщо сертифікат , Встановлений для системи, є самоподпісанного (наприклад, сертифікат MetaQuotes Software CA, який встановлюється за умовчанням), то при надсиланні публічних запитів можуть виникнути проблеми в зв'язку з політикою безпеки браузера. В такому випадку, для роботи публічних компонентів необхідно дозволити використання нешифрованих з'єднання по протоколу HTTP через 80 порт. Для цього слід встановити галочку в даному полі.

Відразу після покупки і установки сертифіката від довіреної центру сертифікації, необхідно відключити опцію "Дозволити використання HTTP протоколу".

Для прийняття змін в настройках призначена кнопка "Зберегти".