إنشاء المستخدمين وإدارتهم على مستشعر شبكة OT

  • مقالة

يوفر Microsoft Defender ل IoT أدوات لإدارة وصول المستخدم المحلي في مستشعر شبكة OT ووحدة التحكم الإدارية المحلية القديمة. تتم إدارة مستخدمي Azure على مستوى اشتراك Azure باستخدام Azure RBAC.

توضح هذه المقالة كيفية إدارة المستخدمين المحليين مباشرة على مستشعر شبكة OT.

المستخدمون المميزون الافتراضيون

بشكل افتراضي، يتم تثبيت كل مستشعر شبكة OT مع مستخدم المسؤول المتميز، والذي لديه حق الوصول إلى أدوات متقدمة لاستكشاف الأخطاء وإصلاحها والإعداد.

عند إعداد أداة استشعار للمرة الأولى، قم بتسجيل الدخول إلى المستخدم المسؤول، وأنشئ مستخدما أوليا بدور مسؤول، ثم أنشئ مستخدمين إضافيين لمحللي الأمان والمستخدمين للقراءة فقط.

لمزيد من المعلومات، راجع تثبيت مستشعر OT وإعداده والمستخدمين المحليين المميزين الافتراضيين.

تتضمن إصدارات المستشعر الأقدم من 23.1.x أيضا cyberx والمستخدمين المميزين cyberx_host . في الإصدارات 23.1.x والإصدارات الأحدث، يتم تثبيت هؤلاء المستخدمين، ولكن لا يتم تمكينهم بشكل افتراضي.

لتمكين مستخدمي الإنترنت cyberx_host في الإصدارات 23.1.x والإصدارات الأحدث، مثل استخدامها مع Defender for IoT CLI، أعد تعيين كلمة المرور. لمزيد من المعلومات، راجع تغيير كلمة مرور مستخدم المستشعر.

تكوين اتصال Active Directory

نوصي بتكوين المستخدمين المحليين على مستشعر OT باستخدام Active Directory، من أجل السماح لمستخدمي Active Directory بتسجيل الدخول إلى أداة الاستشعار الخاصة بك واستخدام مجموعات Active Directory، مع تعيين أذونات جماعية لجميع المستخدمين في المجموعة.

على سبيل المثال، استخدم Active Directory عندما يكون لديك عدد كبير من المستخدمين الذين تريد تعيين حق الوصول للقراءة فقط لهم، وتريد إدارة هذه الأذونات على مستوى المجموعة.

تلميح

عندما تكون مستعدا لبدء إدارة إعدادات مستشعر OT على نطاق واسع، حدد إعدادات Active Directory من مدخل Microsoft Azure. بمجرد تطبيق الإعدادات من مدخل Microsoft Azure، تكون الإعدادات على وحدة تحكم المستشعر للقراءة فقط. لمزيد من المعلومات، راجع تكوين إعدادات مستشعر OT من مدخل Microsoft Azure (معاينة عامة).

للتكامل مع Active Directory:

  1. سجل الدخول إلى مستشعر OT وحدد System الإعدادات> Integrations>Active Directory.

  2. قم بالتبديل إلى الخيار تمكين تكامل Active Directory.

  3. أدخل القيم التالية لخادم Active Directory:

    الاسم ‏‏الوصف
    وحدة تحكم المجال FQDN اسم المجال المؤهل بالكامل (FQDN)، تماما كما يظهر على خادم LDAP. على سبيل المثال، قم بإدخال host1.subdomain.contoso.com.

    إذا واجهت مشكلة في التكامل باستخدام FQDN، فتحقق من تكوين DNS. يمكنك أيضا إدخال IP الصريح لخادم LDAP بدلا من FQDN عند إعداد التكامل.
    منفذ وحدة تحكم المجال المنفذ الذي تم تكوين LDAP فيه. على سبيل المثال، استخدم المنفذ 636 لاتصالات LDAPS (SSL).
    المجال الأساسي اسم المجال، مثل subdomain.contoso.com، ثم حدد نوع الاتصال لتكوين LDAP.

    تتضمن أنواع الاتصال المدعومة: LDAPS/NTLMv3 (مستحسن) أو LDAP/NTLMv3 أو LDAP/SASL-MD5
    مجموعات Active Directory حدد + إضافة لإضافة مجموعة Active Directory إلى كل مستوى أذونات مدرج، حسب الحاجة.

    عند إدخال اسم مجموعة، تأكد من إدخال اسم المجموعة تماما كما هو محدد في تكوين Active Directory على خادم LDAP. استخدم أسماء المجموعات هذه عند إضافة مستخدمي أجهزة استشعار جديدة مع Active Directory.

    تتضمن مستويات الأذونات المدعومة "للقراءة فقط" و"محلل الأمان" و"مسؤول" و"المجالات الموثوق بها".

    هام

    عند إدخال معلمات LDAP:

    • تعريف القيم تماما كما تظهر في Active Directory، باستثناء الحالة.
    • أحرف المستخدم الصغيرة فقط، حتى إذا كان التكوين في Active Directory يستخدم أحرفا كبيرة.
    • لا يمكن تكوين LDAP وLDAPS لنفس المجال. ومع ذلك، يمكنك تكوين كل منها في مجالات مختلفة ثم استخدامها في نفس الوقت.

  4. لإضافة خادم Active Directory آخر، حدد + Add Server في أعلى الصفحة وحدد قيم الخادم هذه.

  5. عند إضافة جميع خوادم Active Directory، حدد حفظ.

    على سبيل المثال:

    Screenshot of the active directory integration configuration on the sensor.

إضافة مستخدمين جدد لمستشعر OT

يصف هذا الإجراء كيفية إنشاء مستخدمين جدد لمستشعر شبكة OT محدد.

المتطلبات الأساسية: يتوفر هذا الإجراء للمستخدمين المسؤول والسايبر cyberx_host وأي مستخدم له دور مسؤول.

لإضافة مستخدم:

  1. سجل الدخول إلى وحدة تحكم المستشعر وحدد Users>+ Add user.

  2. في إنشاء مستخدم | صفحة المستخدمين ، أدخل التفاصيل التالية:

    الاسم ‏‏الوصف
    User name أدخل اسم مستخدم ذا معنى للمستخدم.
    بريد إلكتروني أدخل عنوان البريد الإلكتروني للمستخدم.
    الاسم الأول أدخل الاسم الأول للمستخدم.
    الاسم العائلة أدخل اسم عائلة المستخدم.
    الدور حدد أحد أدوار المستخدم التالية: مسؤول أو محلل الأمان أو القراءة فقط. لمزيد من المعلومات، راجع أدوار المستخدمين المحليين.
    كلمة المرور حدد نوع المستخدم، إما Local أو Active Directory User.

    بالنسبة للمستخدمين المحليين، أدخل كلمة مرور للمستخدم. تتضمن متطلبات كلمة المرور ما يلي:
    - ثمانية أحرف على الأقل
    - كل من الأحرف الأبجدية الصغيرة والأحرف الكبيرة
    - رقم واحد على الأقل
    - رمز واحد على الأقل

    يمكن تعديل كلمات مرور المستخدم المحلي فقط من قبل المستخدمين مسؤول.

    تلميح

    يتيح لك التكامل مع Active Directory إقران مجموعات من المستخدمين بمستويات أذونات محددة. إذا كنت تريد إنشاء مستخدمين باستخدام Active Directory، فبادر أولا بتكوين اتصال Active Directory ثم العودة إلى هذا الإجراء.

  3. حدد حفظ عند الانتهاء.

تتم إضافة المستخدم الجديد وإدراجه في صفحة المستخدمون المستشعر.

لتحرير مستخدم، حدد أيقونة تحرير للمستخدم الذي تريد تحريره، وقم بتغيير أي قيم حسب الحاجة.

لحذف مستخدم، حدد الزر حذف للمستخدم الذي تريد حذفه.

تغيير كلمة مرور مستخدم المستشعر

يصف هذا الإجراء كيف يمكن للمستخدمين مسؤول تغيير كلمات مرور المستخدمين المحليين. مسؤول يمكن للمستخدمين تغيير كلمات المرور لأنفسهم أو لمستخدمي Security Analyst أو Read Only. يمكن للمستخدمين المميزين تغيير كلمات المرور الخاصة بهم وكلمات المرور للمستخدمين مسؤول.

تلميح

إذا كنت بحاجة إلى استرداد الوصول إلى حساب مستخدم متميز، فشاهد استرداد الوصول المتميز إلى أداة استشعار.

المتطلبات الأساسية: يتوفر هذا الإجراء فقط للمستخدمين عبر الإنترنت أو المسؤول أو cyberx_host أو للمستخدمين الذين لديهم دور مسؤول.

لتغيير كلمة مرور المستخدم على أداة استشعار:

  1. سجل الدخول إلى أداة الاستشعار وحدد Users.

  2. في صفحة المستخدمين في أداة الاستشعار، حدد موقع المستخدم الذي تحتاج كلمة المرور الخاصة به إلى تغيير.

  3. على يمين صف المستخدم هذا، حدد قائمة >الخيارات (...) تحرير لفتح جزء المستخدم.

  4. في جزء المستخدم على اليمين، في منطقة تغيير كلمة المرور ، أدخل كلمة المرور الجديدة وأكدها. إذا كنت تقوم بتغيير كلمة المرور الخاصة بك، فستحتاج أيضا إلى إدخال كلمة المرور الحالية.

    تتضمن متطلبات كلمة المرور ما يلي:

    • ثمانية أحرف على الأقل
    • كل من الأحرف الأبجدية الصغيرة والأحرف الكبيرة
    • رقم واحد على الأقل
    • رمز واحد على الأقل

  5. حدد حفظ عند الانتهاء.

استرداد الوصول المتميز إلى أداة استشعار

يقوم هذا الإجراء بتدنيس كيفية استرداد الوصول المتميز إلى أداة استشعار، للمستخدمين عبر الإنترنت أو المسؤول أو cyberx_host . لمزيد من المعلومات، راجع المستخدمون المحليون المميزون الافتراضيون.

المتطلبات الأساسية: يتوفر هذا الإجراء فقط للمستخدمين عبر الإنترنت أو المسؤول أو cyberx_host.

لاستعادة الوصول المتميز إلى أداة استشعار:

  1. ابدأ تسجيل الدخول إلى مستشعر شبكة OT. في شاشة تسجيل الدخول، حدد الارتباط إعادة تعيين . على سبيل المثال:

    Screenshot of the sensor sign-in screen with the Reset password link.

  2. في مربع الحوار إعادة تعيين كلمة المرور، من القائمة اختيار مستخدم، حدد المستخدم الذي تسترد كلمة المرور الخاصة به، إما Cyberx أو مسؤول أو CyberX_host.

  3. انسخ رمز المعرف الفريد الموضح في معرف إعادة تعيين كلمة المرور إلى الحافظة. على سبيل المثال:

    Screenshot of the Reset password dialog on the OT sensor.

  4. انتقل إلى صفحة Defender for IoT Sites and sensors في مدخل Microsoft Azure. قد ترغب في فتح مدخل Microsoft Azure في علامة تبويب أو نافذة مستعرض جديدة، مع الاحتفاظ بعلامة تبويب المستشعر مفتوحة.

    في إعدادات >مدخل Azureالدلائل + الاشتراكات، تأكد من تحديد الاشتراك حيث تم إلحاق جهاز الاستشعار الخاص بك ب Defender for IoT.

  5. في صفحة المواقع وأجهزة الاستشعار ، حدد موقع أداة الاستشعار التي تعمل معها، وحدد قائمة الخيارات (...) على اليمين >استرداد كلمة المرور الخاصة بي. على سبيل المثال:

    Screenshot of the Recover my password option on the Sites and sensors page.

  6. في مربع الحوار استرداد الذي يفتح، أدخل المعرف الفريد الذي نسخته إلى الحافظة من أداة الاستشعار وحدد استرداد. يتم تنزيل ملف password_recovery.zip تلقائيا.

    يتم توقيع جميع الملفات التي تم تنزيلها من مدخل Microsoft Azure بواسطة جذر الثقة بحيث تستخدم أجهزتك الأصول المُوقَّعة فقط.

  7. مرة أخرى في علامة تبويب المستشعر، في شاشة استرداد كلمة المرور، حدد تحديد ملف. انتقل إلى ملف password_recovery.zip الذي قمت بتنزيله مسبقا من مدخل Microsoft Azure وقم بتحميله.

    إشعار

    إذا ظهرت رسالة خطأ، تشير إلى أن الملف غير صالح، فمن المحتمل أن يكون لديك اشتراك غير صحيح محدد في إعدادات مدخل Microsoft Azure.

    ارجع إلى Azure، وحدد أيقونة الإعدادات في شريط الأدوات العلوي. في صفحة الدلائل + الاشتراكات ، تأكد من تحديد الاشتراك حيث تم إلحاق جهاز الاستشعار الخاص بك ب Defender for IoT. ثم كرر الخطوات في Azure لتنزيل ملف password_recovery.zip وتحميله على أداة الاستشعار مرة أخرى.

  8. حدد التالي. تظهر لك كلمة مرور تم إنشاؤها بواسطة النظام لمستشعرك لاستخدامها للمستخدم المحدد. تأكد من كتابة كلمة المرور لأنها لن تظهر مرة أخرى.

  9. حدد التالي مرة أخرى لتسجيل الدخول إلى أداة الاستشعار الخاصة بك باستخدام كلمة المرور الجديدة.

تحديد الحد الأقصى لعدد عمليات تسجيل الدخول الفاشلة

استخدم وصول CLI لمستشعر OT لتحديد عدد عمليات تسجيل الدخول الفاشلة القصوى قبل أن يمنع مستشعر OT المستخدم من تسجيل الدخول مرة أخرى من نفس عنوان IP.

لمزيد من المعلومات، راجع Defender لمستخدمي IoT CLI والوصول.

المتطلبات الأساسية: يتوفر هذا الإجراء لمستخدم cyberx فقط.

  1. سجل الدخول إلى مستشعر OT عبر SSH وقم بتشغيل:

    nano /var/cyberx/components/xsense-web/cyberx_web/settings.py

  2. في ملف settings.py ، قم بتعيين "MAX_FAILED_LOGINS" القيمة إلى الحد الأقصى لعدد عمليات تسجيل الدخول الفاشلة التي تريد تعريفها. تأكد من مراعاة عدد المستخدمين المتزامنين في النظام الخاص بك.

  3. قم بإنهاء الملف وتشغيله sudo monit restart all لتطبيق التغييرات.

التحكم في مهلات جلسة عمل المستخدم

بشكل افتراضي، يتم تسجيل خروج المستخدمين المحليين من جلساتهم بعد 30 دقيقة من عدم النشاط. يمكن للمستخدمين مسؤول استخدام وصول CLI المحلي إما لتشغيل هذه الميزة أو إيقاف تشغيلها، أو لضبط حدود عدم النشاط. لمزيد من المعلومات، راجع Defender لمستخدمي IoT CLI والوصول ومرجع أوامر CLI من مستشعرات شبكة OT.

إشعار

تتم إعادة تعيين أي تغييرات تم إجراؤها على مهلات جلسة عمل المستخدم إلى الإعدادات الافتراضية عند تحديث برنامج مراقبة OT.

المتطلبات الأساسية: يتوفر هذا الإجراء للمستخدمين المسؤول والسايبر والمستخدمين cyberx_host فقط.

للتحكم في مهلات جلسة مستخدم الاستشعار:

  1. سجل الدخول إلى أداة الاستشعار الخاصة بك عبر محطة طرفية وقم بتشغيل:

    sudo nano /var/cyberx/properties/authentication.properties

    يظهر الإخراج التالي:

    infinity_session_expiration=true
session_expiration_default_seconds=0
session_expiration_admin_seconds=1800
session_expiration_security_analyst_seconds=1800
session_expiration_read_only_users_seconds=1800
certifcate_validation=false
crl_timeout_secounds=3
crl_retries=1
cm_auth_token=

  2. قم بأحد الإجراءات التالية:

    • لإيقاف تشغيل مهلات جلسة عمل المستخدم بالكامل، قم بالتغيير infinity_session_expiration=true إلى infinity_session_expiration=false. قم بتغييره مرة أخرى لإعادة تشغيله مرة أخرى.

    • لضبط فترة مهلة عدم النشاط، اضبط إحدى القيم التالية على الوقت المطلوب، بالثوان:

      • session_expiration_default_seconds لجميع المستخدمين
      • session_expiration_admin_secondsللمستخدمين مسؤول فقط
      • session_expiration_security_analyst_seconds لمستخدمي Security Analyst فقط
      • session_expiration_read_only_users_secondsللمستخدمين للقراءة فقط

الخطوات التالية

لمزيد من المعلومات، راجع تدقيق نشاط المستخدم.