إنشاء المستخدمين وإدارتهم على مستشعر شبكة OT

يوفر Microsoft Defender for IoT أدوات لإدارة وصول المستخدم المحلي في مستشعر شبكة OT. تتم إدارة مستخدمي Azure على مستوى اشتراك Azure باستخدام Azure RBAC.

توضح هذه المقالة كيفية إدارة المستخدمين المحليين مباشرة على مستشعر شبكة OT.

المستخدمون المميزون الافتراضيون

بشكل افتراضي، يتم تثبيت كل مستشعر شبكة OT مع مستخدم المسؤول المتميز، والذي لديه حق الوصول إلى أدوات متقدمة لاستكشاف الأخطاء وإصلاحها والإعداد.

عند إعداد أداة استشعار للمرة الأولى، قم بتسجيل الدخول إلى المستخدم المسؤول ، وأنشئ مستخدما أوليا بدور المسؤول ، ثم أنشئ مستخدمين إضافيين لمحللي الأمان والمستخدمين للقراءة فقط.

لمزيد من المعلومات، راجع تثبيت مستشعر OT وإعداده والمستخدمين المحليين المميزين الافتراضيين.

تتضمن إصدارات المستشعر الأقدم من 23.1.x أيضا cyberx والمستخدمين المميزين cyberx_host . في الإصدارات 23.1.x والإصدارات الأحدث، يتم تثبيت هؤلاء المستخدمين، ولكن لا يتم تمكينهم بشكل افتراضي.

لتمكين مستخدمي الإنترنت cyberx_host في الإصدارات 23.1.x والإصدارات الأحدث، مثل استخدامها مع Defender for IoT CLI، أعد تعيين كلمة المرور. لمزيد من المعلومات، راجع تغيير كلمة مرور مستخدم المستشعر.

تكوين اتصال Active Directory

نوصي بتكوين المستخدمين المحليين على مستشعر OT باستخدام Active Directory، من أجل السماح لمستخدمي Active Directory بتسجيل الدخول إلى أداة الاستشعار الخاصة بك واستخدام مجموعات Active Directory، مع تعيين أذونات جماعية لجميع المستخدمين في المجموعة.

على سبيل المثال، استخدم Active Directory عندما يكون لديك عدد كبير من المستخدمين الذين تريد تعيين حق الوصول للقراءة فقط لهم، وتريد إدارة هذه الأذونات على مستوى المجموعة.

تلميح

عندما تكون مستعدا لبدء إدارة إعدادات مستشعر OT على نطاق واسع، حدد إعدادات Active Directory من مدخل Microsoft Azure. بمجرد تطبيق الإعدادات من مدخل Microsoft Azure، تكون الإعدادات على وحدة تحكم المستشعر للقراءة فقط. لمزيد من المعلومات، راجع تكوين إعدادات مستشعر OT من مدخل Microsoft Azure (معاينة عامة).

للتكامل مع Active Directory:

  1. سجل الدخول إلى مستشعر OT وحدد System Settings Integrations>>Active Directory.

  2. قم بالتبديل إلى الخيار تمكين تكامل Active Directory.

  3. أدخل القيم التالية لخادم Active Directory:

    Name ‏‏الوصف
    وحدة تحكم المجال FQDN اسم المجال المؤهل بالكامل (FQDN)، تماما كما يظهر على خادم LDAP. على سبيل المثال، قم بإدخال host1.subdomain.contoso.com.

    إذا واجهت مشكلة في التكامل باستخدام FQDN، فتحقق من تكوين DNS. يمكنك أيضا إدخال IP الصريح لخادم LDAP بدلا من FQDN عند إعداد التكامل.
    منفذ وحدة تحكم المجال المنفذ الذي تم تكوين LDAP فيه. على سبيل المثال، استخدم المنفذ 636 لاتصالات LDAPS (SSL).
    المجال الأساسي اسم المجال، مثل subdomain.contoso.com، ثم حدد نوع الاتصال لتكوين LDAP.

    تتضمن أنواع الاتصال المدعومة: LDAPS/NTLMv3 (مستحسن) أو LDAP/NTLMv3 أو LDAP/SASL-MD5
    مجموعات Active Directory حدد + إضافة لإضافة مجموعة Active Directory إلى كل مستوى أذونات مدرج، حسب الحاجة.

    عند إدخال اسم مجموعة، تأكد من إدخال اسم المجموعة تماما كما هو محدد في تكوين Active Directory على خادم LDAP. استخدم أسماء المجموعات هذه عند إضافة مستخدمي أجهزة استشعار جديدة مع Active Directory.

    تتضمن مستويات الأذونات المدعومة مجالات للقراءة فقط ومحلل الأمان والمسؤول والمجالات الموثوق بها.

    هام

    عند إدخال معلمات LDAP:

    • تعريف القيم تماما كما تظهر في Active Directory، باستثناء الحالة.
    • أحرف المستخدم الصغيرة فقط، حتى إذا كان التكوين في Active Directory يستخدم أحرفا كبيرة.
    • لا يمكن تكوين LDAP وLDAPS لنفس المجال. ومع ذلك، يمكنك تكوين كل منها في مجالات مختلفة ثم استخدامها في نفس الوقت.
  4. لإضافة خادم Active Directory آخر، حدد + Add Server في أعلى الصفحة وحدد قيم الخادم هذه.

  5. عند إضافة جميع خوادم Active Directory، حدد حفظ.

    على سبيل المثال:

    لقطة شاشة لتكوين تكامل الدليل النشط على جهاز الاستشعار.

إضافة مستخدمين جدد لمستشعر OT

يصف هذا الإجراء كيفية إنشاء مستخدمين جدد لمستشعر شبكة OT محدد.

المتطلبات الأساسية: يتوفر هذا الإجراء للمستخدمين المسؤول والسايبر cyberx_host وأي مستخدم له دور المسؤول.

لإضافة مستخدم:

  1. سجل الدخول إلى وحدة تحكم المستشعر وحدد Users>+ Add user.

  2. في إنشاء مستخدم | صفحة المستخدمين ، أدخل التفاصيل التالية:

    Name ‏‏الوصف
    User name أدخل اسم مستخدم ذا معنى للمستخدم.
    بريد إلكتروني أدخل عنوان البريد الإلكتروني للمستخدم.
    الاسم الأول أدخل الاسم الأول للمستخدم.
    الاسم العائلة أدخل اسم عائلة المستخدم.
    الدور حدد أحد أدوار المستخدم التالية: المسؤول أو محلل الأمان أو القراءة فقط. لمزيد من المعلومات، راجع أدوار المستخدمين المحليين.
    كلمة المرور حدد نوع المستخدم، إما Local أو Active Directory User.

    بالنسبة للمستخدمين المحليين، أدخل كلمة مرور للمستخدم. تتضمن متطلبات كلمة المرور ما يلي:
    - ثمانية أحرف على الأقل
    - كل من الأحرف الأبجدية الصغيرة والأحرف الكبيرة
    - رقم واحد على الأقل
    - رمز واحد على الأقل

    يمكن تعديل كلمات مرور المستخدمين المحليين فقط من قبل المستخدمين المسؤولين .

    تلميح

    يتيح لك التكامل مع Active Directory إقران مجموعات من المستخدمين بمستويات أذونات محددة. إذا كنت تريد إنشاء مستخدمين باستخدام Active Directory، فبادر أولا بتكوين اتصال Active Directory ثم العودة إلى هذا الإجراء.

  3. حدد حفظ عند الانتهاء.

تتم إضافة المستخدم الجديد وإدراجه في صفحة المستخدمون المستشعر.

لتحرير مستخدم، حدد أيقونة تحرير للمستخدم الذي تريد تحريره، وقم بتغيير أي قيم حسب الحاجة.

لحذف مستخدم، حدد الزر حذف للمستخدم الذي تريد حذفه.

تغيير كلمة مرور مستخدم المستشعر

يصف هذا الإجراء كيف يمكن للمستخدمين المسؤولين تغيير كلمات مرور المستخدمين المحليين. يمكن للمستخدمين المسؤولين تغيير كلمات المرور لأنفسهم أو لمحلل الأمان الآخرين أو قراءة المستخدمين فقط. يمكن للمستخدمين المميزين تغيير كلمات المرور الخاصة بهم، وكلمات المرور للمستخدمين المسؤولين .

تلميح

إذا كنت بحاجة إلى استرداد الوصول إلى حساب مستخدم متميز، فشاهد استرداد الوصول المتميز إلى أداة استشعار.

المتطلبات الأساسية: يتوفر هذا الإجراء فقط للمستخدمين عبر الإنترنت أو المسؤول أو cyberx_host أو للمستخدمين الذين لديهم دور المسؤول.

لتغيير كلمة مرور المستخدم على أداة استشعار:

  1. سجل الدخول إلى أداة الاستشعار وحدد Users.

  2. في صفحة المستخدمين في أداة الاستشعار، حدد موقع المستخدم الذي تحتاج كلمة المرور الخاصة به إلى تغيير.

  3. على يمين صف المستخدم هذا، حدد قائمة >الخيارات (...) تحرير لفتح جزء المستخدم.

  4. في جزء المستخدم على اليمين، في منطقة تغيير كلمة المرور ، أدخل كلمة المرور الجديدة وأكدها. إذا كنت تقوم بتغيير كلمة المرور الخاصة بك، فستحتاج أيضا إلى إدخال كلمة المرور الحالية.

    تتضمن متطلبات كلمة المرور ما يلي:

    • ثمانية أحرف على الأقل
    • كل من الأحرف الأبجدية الصغيرة والأحرف الكبيرة
    • رقم واحد على الأقل
    • رمز واحد على الأقل
  5. حدد حفظ عند الانتهاء.

استرداد الوصول المتميز إلى أداة استشعار

يقوم هذا الإجراء بتدنيس كيفية استرداد الوصول المتميز إلى أداة استشعار، للمستخدمين عبر الإنترنت أو المسؤول أو cyberx_host . لمزيد من المعلومات، راجع المستخدمون المحليون المميزون الافتراضيون.

المتطلبات الأساسية: يتوفر هذا الإجراء فقط للمستخدمين عبر الإنترنت أو المسؤول أو cyberx_host.

لاستعادة الوصول المتميز إلى أداة استشعار:

  1. ابدأ تسجيل الدخول إلى مستشعر شبكة OT. في شاشة تسجيل الدخول، حدد الارتباط إعادة تعيين . على سبيل المثال:

    لقطة شاشة لشاشة تسجيل الدخول إلى أداة الاستشعار مع رابط إعادة تعيين كلمة المرور.

  2. في مربع الحوار إعادة تعيين كلمة المرور، من القائمة اختيار مستخدم، حدد المستخدم الذي تريد استرداد كلمة المرور الخاصة به، إما Cyberx أو Admin أو CyberX_host.

  3. انسخ رمز المعرف الفريد الموضح في معرف إعادة تعيين كلمة المرور إلى الحافظة. على سبيل المثال:

    لقطة شاشة لمربع حوار إعادة تعيين كلمة المرور على مستشعر OT.

  4. انتقل إلى صفحة Defender for IoT Sites and sensors في مدخل Microsoft Azure. قد ترغب في فتح مدخل Microsoft Azure في علامة تبويب أو نافذة مستعرض جديدة، مع الاحتفاظ بعلامة تبويب المستشعر مفتوحة.

    في إعدادات >مدخل Azureالدلائل + الاشتراكات، تأكد من تحديد الاشتراك حيث تم إلحاق جهاز الاستشعار الخاص بك ب Defender for IoT.

  5. في صفحة المواقع وأجهزة الاستشعار ، حدد موقع أداة الاستشعار التي تعمل معها، وحدد قائمة الخيارات (...) على اليمين >استرداد كلمة المرور الخاصة بي. على سبيل المثال:

    لقطة شاشة لخيار استرداد كلمة المرور الخاصة بي في صفحة المواقع وأجهزة الاستشعار.

  6. في مربع الحوار استرداد الذي يفتح، أدخل المعرف الفريد الذي نسخته إلى الحافظة من أداة الاستشعار وحدد استرداد. يتم تنزيل ملف password_recovery.zip تلقائيا.

    يتم توقيع جميع الملفات التي تم تنزيلها من مدخل Microsoft Azure بواسطة جذر الثقة بحيث تستخدم أجهزتك الأصول المُوقَّعة فقط.

  7. مرة أخرى في علامة تبويب المستشعر، في شاشة استرداد كلمة المرور، حدد تحديد ملف. انتقل إلى ملف password_recovery.zip الذي قمت بتنزيله مسبقا من مدخل Microsoft Azure وقم بتحميله.

    إشعار

    إذا ظهرت رسالة خطأ، تشير إلى أن الملف غير صالح، فمن المحتمل أن يكون لديك اشتراك غير صحيح محدد في إعدادات مدخل Microsoft Azure.

    ارجع إلى Azure، وحدد أيقونة الإعدادات في شريط الأدوات العلوي. في صفحة الدلائل + الاشتراكات ، تأكد من تحديد الاشتراك حيث تم إلحاق جهاز الاستشعار الخاص بك ب Defender for IoT. ثم كرر الخطوات في Azure لتنزيل ملف password_recovery.zip وتحميله على أداة الاستشعار مرة أخرى.

  8. حدد التالي. تظهر لك كلمة مرور تم إنشاؤها بواسطة النظام لمستشعرك لاستخدامها للمستخدم المحدد. تأكد من كتابة كلمة المرور لأنها لن تظهر مرة أخرى.

  9. حدد التالي مرة أخرى لتسجيل الدخول إلى أداة الاستشعار الخاصة بك باستخدام كلمة المرور الجديدة.

تحديد الحد الأقصى لعدد عمليات تسجيل الدخول الفاشلة

استخدم وصول CLI لمستشعر OT لتحديد عدد عمليات تسجيل الدخول الفاشلة القصوى قبل أن يمنع مستشعر OT المستخدم من تسجيل الدخول مرة أخرى من نفس عنوان IP.

لمزيد من المعلومات، راجع Defender لمستخدمي IoT CLI والوصول.

المتطلبات الأساسية: يتوفر هذا الإجراء لمستخدم cyberx فقط.

  1. سجل الدخول إلى مستشعر OT عبر SSH وقم بتشغيل:

    nano /var/cyberx/components/xsense-web/cyberx_web/settings.py
    
  2. في ملف settings.py ، قم بتعيين "MAX_FAILED_LOGINS" القيمة إلى الحد الأقصى لعدد عمليات تسجيل الدخول الفاشلة التي تريد تعريفها. تأكد من مراعاة عدد المستخدمين المتزامنين في النظام الخاص بك.

  3. قم بإنهاء الملف وتشغيله sudo monit restart all لتطبيق التغييرات.

الخطوات التالية

لمزيد من المعلومات، راجع تدقيق نشاط المستخدم.