Безопасность

Доступ к локальным, сетевым и сменным дискам

Вкладка Безопасность выглядит следующим образом:

Ниже представлено подробное описание настроек безопасности.

Первые три опции на вкладке Безопасность в разделе Настройки сервера позволяют настроить доступ к локальным, сетевым и сменным дискам через окно браузера файлов системы PolyAnalyst. Оно открывается, например, при настройке некоторых узлов-источников данных – Файлы, Файлы CSV, E-mail и др.

Обратите внимание на то, что по умолчанию опции Разрешить доступ к локальным дискам, Разрешить доступ к сетевым дискам и Разрешить доступ к сменным дискам включены. Вы можете отключить опции для повышения безопасности системы. При этом данные диски не будут отображаться в окне браузера файлов.

Настройка требований к паролю

Опция Сложность пароля позволяет настроить уровень сложности пароля. Если он не установлен (поведение по умолчанию), ограничения по типу символов в пароле отсутствуют. Если уровень сложности пароля слабый, в пароле должно быть минимум два разных типа символов (например, сочетание заглавных и строчных символов), пароль может быть похожим на английское слово, имя пользователя или на любой из 10 ранее использовавшихся паролей. Пароль среднего уровня сложности должен включать как минимум три разных типа символов (например, сочетание заглавных, строчных букв и цифр) и не может быть похожим (даже частично) на имя пользователя или любой из 10 ранее использовавшихся паролей. При высоком уровне сложности пароль должен содержать как минимум четыре разных типа символов, не может быть похож на имя пользователя, на любой из 10 ранее использовавшихся паролей и на английское слово.

Минимальная длина пароля – минимальное число символов в пароле.

Опция Срок действия пароля (в днях) отображает число дней, через которое пароль будет считаться устаревшим, в результате чего система запросит изменение пароля. Если ввести 0 в данном поле, пароль будет бессрочным.

Администратор может запретить пользователям использовать определенные слова при выборе пароля. Эта опция применяется при высоком уровне сложности пароля. Чтобы изменить список запрещенных слов, сначала остановите сервер, затем отредактируйте файл pwd.txt, расположенный в папке Bin (в установочной папке PolyAnalyst), например, используя Блокнот. Введите запрещенные слова по одному на строку без пробелов. Сохраните файл, запустите pwdcompiler.exe (также расположен в папке Bin). Зашифрованный список запрещенных слов будет обновлен и применен при следующем запуске сервера.

Сброс всех паролей пользователей

PolyAnalyst не может восстанавливать утерянные пароли, т.к. не сохраняет их в исходной форме. Единственным выходом в данном случае является получение нового пароля.

По умолчанию пользователи могут самостоятельно установить новый пароль. Однако администратор может исключить такую возможность, отключив опцию Сброс пароля пользователем на вкладке Безопасность. В таком случае, если пользователь забудет свой пароль, ему необходимо связаться с администратором сервера для получения нового пароля.

Если вы запустили PolyAnalyst на собственном компьютере (вы являетесь администратором) и не можете войти в систему из-за проблем с именем пользователя/паролем, вам придется изменить настройки безопасности PolyAnalyst или связаться со службой технической поддержки компании Мегапьютер. Настройки безопасности PolyAnalyst переустанавливаются следующим образом.

Используйте описанную ниже процедуру только в том случае, если в Административный клиент не может войти ни один администратор (т.е. в случае полной блокировки системы, когда ни один администратор не может вспомнить свой пароль, а учетная запись администратора по умолчанию защищена паролем), либо при обновлении системы с версии PolyAnalyst 6.0.1134 или более ранней сборки.

Данную процедуру может выполнить любой пользователь компьютера, на котором запущен сервер, при наличии доступа к папке установки (т.е. любой пользователь с правами администратора). Убедитесь, что PolyAnalyst установлен в папке, доступ к которой ограничен настройками Windows. В противном случае неавторизованный пользователь Windows может удалить пароли, изменить настройки безопасности и получить полный доступ ко всей информации, хранящейся на сервере.

Для восстановления настроек по умолчанию для системы безопасности PolyAnalyst выполните следующие действия:

Остановите сервер PolyAnalyst (если он запущен).
Откройте командную строку Windows.
Найдите папку Bin (используя в командной строке команду "cd" – сокращение от "change directory to" – "перейти в") в установочной папке PolyAnalyst. Если вы не добавили путь к "rserver" (т.е. rserver.exe, бинарный исполняемый файл) в систему PATH, эту команду нужно выполнять из папки Bin, расположенной в установочной папке PolyAnalyst. Без указания пути полная версия команды, которую нужно ввести на следующем шаге, выглядит следующим образом (если вы не изменили путь установки, заданный по умолчанию, и если вы используете операционную систему Windows XP): "C:\Megaputer Intelligence\PolyAnalyst 6.5\Bin\rserver" --resetpwd <новый пароль администратора>.
Наберите rserver --resetpwd <новый пароль администратора> и нажмите Enter. Вместо значения <новый пароль администратора> введите новый пароль. Это должно быть непустое значение с достаточным количеством символов и состоять только из латинских букв. Если политика установления паролей не позволяет вводить пароли без цифр, измените ее в файле paserver.xml: int name="MinStrengthLvl" DisplayName="Password level" Description="Minimum allowed password level" Control="combo" ControlData="'not set'=0,'weak'=1,'medium'=2,'high'=3">0</int>. Без указания пути полный текст команды может выглядеть следующим образом (при условии, что вы не изменили папку установки, используемую по умолчанию, и работаете в Windows 10): "C:\Megaputer Intelligence\PolyAnalyst 6.5\Bin\rserver" --resetpwd <new administrator password>.
Теперь вы сможете войти в систему как пользователь "администратор".

Политика имперсонации

Опция Политика имперсонации применяется для управления вариантами имперсонации. В выпадающем меню справа доступно три опции:

По выбору клиентского приложения (используется по умолчанию) – уровень имперсонации не проверяется;
Только интерактивный пользователь – разрешена работа только для пользователей, работающих за клиентским компьютером;
Только серверный аккаунт – разрешена работа только под тем аккаунтом, который присутствует на сервере PolyAnalyst. Если пользователь попробует зайти при помощи имперсонации, будет отображена ошибка.

Неправильный выбор политики имперсонации может привести к неожиданным ошибкам узлов, в частности, узла Таксономия.

Обратите внимание, что политики имперсонации применимы только в том случае, если сервер PolyAnalyst установлен как служба.

Управление доступом к словарям

В системе выполняется более 100 проверок прав доступа к словарям в их редакторах – как правило, на запись и чтение. Работают они примерно так же, как и права на проекты. В доступе к отдельным словарям пользователям может быть отказано явно или неявно (т.е. в том случае, если пользователи входят в группу, доступ которой к словарям ограничен). Если опция Отключить проверку прав доступа к словарям включена, права доступа к словарям не проверяются.

Прочие настройки безопасности

Опция Журналировать часть IP-адреса позволяет указать количество байт в конце IP-адресов, подключающихся к серверу PolyAnalyst, которые должны записываться в лог.

Опция Защищать сервер при последовательных неудачных попытках авторизации удваивает время отсрочки после каждой неудачной попытки авторизации клиента на сервере. Это позволяет защитить компьютер клиента от взлома путем перебора паролей. Максимальное время отсрочки ограничивается с помощью опции Максимальное время блокировки IP адреса (секунды). Максимальное время, на которое по умолчанию может быть заблокирован IP-адрес, составляет 240 секунд.

Опция Таймаут доступа к учетным данным (секунды) используется для обеспечения безопасности при смене адреса электронной почты в профиле пользователя. Если пользователь ввел свои учетные данные раньше, чем за N секунд, указанных в поле Таймаут доступа к учетным данным, при попытке изменить адрес электронной почты в окне Профиль (Аналитический клиент → Настройки → Мой профиль) ему придется повторить ввод пароля.

Если опция Защищенные доверенные приложения включена, пользователи могут изменять настройки доверенных приложений из командной строки. Администратор регистрирует доверенные приложения на сервере. Подробнее об этом здесь.

Опция Максимальное время неактивности (минуты) позволяет администраторам задать таймаут, по истечении которого, при отсутствии активности пользователя рабочая сессия нативного Аналитического клиента принудительно завершается. Если в данном поле выставлено значение 0, данный функционал отключен; при -1 будут использованы Настройки пользователя.

Если включена опция Запрашивать сертификат S/MIME у пользователя для отправки пароля электронной почтой, пользователь должен указать S/MIME сертификат для саморегистрации на сервере или сброса пароля. В таком случае пароли не будут отправляться электронной почтой в незашифрованном виде. Если опция выключена, сертификат опционален и указывается по выбору пользователя, поэтому пароли могут быть отправлены почтой в незашифрованном виде.

Опция Срок хранения учетных данных используется для ограничения срока хранения учетных данных, сохраненных в проектах. После удаления или экспорта проектов, учетные данные пользователей, использованные для доступа к базам данных или интернет-источникам данных, будут храниться в течение указанных N дней (по умолчанию – 30). По истечении этого срока они удаляются.

Настройка поля Авторизированные серверы

Чтобы указать авторизованные серверы, разверните дерево настроек Безопасности.

Справа появится поле со списком авторизованных серверов PolyAnalyst.

Чтобы добавить сервер, щелкните на значок с изображением плюса.

Установите флажок Включено, введите имя сервера и нажмите Сохранить.

Серверы PolyAnalyst, указанные в списке, будут добавлены в список авторизованных серверов. Данные серверы подключаются к Логин-серверу. Подробная информация о концепции Логин-сервера приводится здесь.