/
TIPS - tilgangskontroll BAM-PC

TIPS - tilgangskontroll BAM-PC

BAM-PC og tilgangsstyring

BAM-klienten er en tykk klient som er lastet ned og kjøres fra en egen PC, en BAM-PC som igjen er lokalisert sammen med nødvendig periferiutstyr der produksjon av smartkort med Buypass kvalifiserte- og eventuelt lokale sertifikater skjer nært sluttbruker.

 

Programvaren ligger i egen katalog under Program files på c-disken lokalt på BAM-PC. I denne katalogen ligger BAM-applikasjonen som kjøres sammen med konfigurasjonsfiler og trace logger.

Konfigurasjonsfilene setter opp hvor trace logger, rapporter og PDF-filer skal lagres, samt hvor ofte tracefiler skal slettes og all annen lokal konfigurering for aktuell BAM-klienten. Trace filer logger gjennomføring av alle funksjoner, men hvor mye som logges er avhengig av loggenivå. «Error» er standard og her logges kun hva som gjennomføres og ikke detaljer som inneholder sensitiv personinformasjon. «Verbose» er høyeste loggnivå og her logges også detaljer som registreres, også detaljer knyttet til identitetskontroll med kopi av images av identitetsdokument og PDFen som genereres som «bevis» på utstedelse av smartkort med kvalifisert sertifikat som også inneholder bilde av sluttbrukers identitetsdokument.

 

I henhold til personopplysningsloven skal personopplysninger sikres og ikke gjøres tilgjengelig for uautoriserte.

 

En BAM-PC bør derfor sikres slik at tilgang til konfigurasjonsfiler og trace filer dersom disse er på nivå «Verbose» ikke kommer uvedkommende i hende, enten fordi de rekonfigurerer og sender filer til et område de har tilgang, eller fordi de hacker og bruker converter på innhold i trace-filer.

 

Dette kan sikres ved å låse ned tilganger ved å spesifisere hva og hvor – les mer her: https://www.lepide.com/how-to/assign-permissions-to-files-folders-through-group-policy.html

 

Enkleste måten å sikre en BAM-PC er at kun personell med autorisasjon kan logge på PCen, men dersom BAM-PC brukes til andre ting enn BAM-klienten så MÅ rettighetene på Buypass-katalogen under Program Files låses.

 

Vanligvis har gruppen Users / Domain Users R/W-rettigheter til mappen Program Files og dermed mappen Buypass. Her må de rettighetene for Buypass-mappen fjernes, og så må det legges til en egen gruppe bare for de som skal kunne bruke BAM. Alt dette gjør man med samme policy.

 

 Parametersetting

Ytterligere begrensning er å sette at trace-files skal slettes mellom hver gang BAM-klienten startes ved å sette at de skal verdien på «Trace files are deleted» = 0 som betyr at de slettes ved hver oppstart – standard er 2. Det betyr at trace filene vil kun være tilgjengelig på disk i tidsrommet mellom en stop og en ny start. Lengden på det tidsrommet er jo da avhengig av hvor ofte BAM-klienten blir brukt.

 

Videre finnes det parameter for Severity Level and Reset severity level. Standard Severity Level er Error og standard Reset severity level er 2. Dersom det loggenivå settes til Verbose (fordi man trenger mer detaljert logging ifbm en feilsituasjon) så vi loggnivå settes tilbake til Error etter 2 dager. Dersom Reset severity level til 0 så får man ikke logget i Verbose i hele tatt da sjekken som gjøres ved oppstart av BAM vil ta dagens dato minus Reset severity Level som gir dagens dato, noe som gjør at Severity level settes til Error.