Vytváření a správa uživatelů na síťovém senzoru OT

  • Článek

Microsoft Defender pro IoT poskytuje nástroje pro správu přístupu místních uživatelů v síťovém senzoru OT a starší místní konzole pro správu. Uživatelé Azure se spravují na úrovni předplatného Azure pomocí Azure RBAC.

Tento článek popisuje, jak spravovat místní uživatele přímo na síťovém senzoru OT.

Výchozí privilegovaní uživatelé

Ve výchozím nastavení se každý senzor sítě OT instaluje s privilegovaným uživatelem podpory , který má přístup k pokročilým nástrojům pro řešení potíží a nastavení.

Při prvním nastavování senzoru se přihlaste k uživateli podpory, vytvořte počátečního uživatele s Správa rolí a pak vytvořte další uživatele pro analytiky zabezpečení a uživatele jen pro čtení.

Další informace najdete v tématu Instalace a nastavení senzoru OT a výchozích privilegovaných místních uživatelů.

Verze snímačů starší než 23.1.x zahrnují také kyberzločince a cyberx_host privilegovaným uživatelům. Ve verzích 23.1.x a vyšších jsou tito uživatelé nainstalováni, ale ve výchozím nastavení nejsou povoleni.

Pokud chcete uživatelům cyberxu a cyberx_host ve verzích 23.1.x a vyšších verzích povolit, například je používat s rozhraním příkazového řádku Defenderu pro IoT, resetujte heslo. Další informace najdete v tématu Změna hesla uživatele senzoru.

Konfigurace připojení ke službě Active Directory

Doporučujeme nakonfigurovat místní uživatele na senzoru OT pomocí služby Active Directory, aby se uživatelé služby Active Directory mohli přihlásit k vašemu senzoru a používat skupiny Služby Active Directory s kolektivními oprávněními přiřazenými všem uživatelům ve skupině.

Službu Active Directory můžete použít například v případě, že máte velký počet uživatelů, kterým chcete přiřadit přístup jen pro čtení, a chcete tato oprávnění spravovat na úrovni skupiny.

Tip

Až budete připraveni začít spravovat nastavení senzoru OT ve velkém měřítku, definujte nastavení služby Active Directory z webu Azure Portal. Jakmile použijete nastavení z webu Azure Portal, nastavení v konzole senzoru jsou jen pro čtení. Další informace najdete v tématu Konfigurace nastavení senzoru OT na webu Azure Portal (Public Preview).

Integrace se službou Active Directory:

  1. Přihlaste se ke snímači OT a vyberte System Nastavení> Integrations>Active Directory.

  2. Zapněte možnost Povolenou integraci služby Active Directory.

  3. Zadejte následující hodnoty pro server služby Active Directory:

    Název Popis
    Plně kvalifikovaný název domény řadiče domény Plně kvalifikovaný název domény (FQDN) přesně tak, jak se zobrazuje na serveru LDAP. Například zadejte host1.subdomain.contoso.com.

    Pokud narazíte na problém s integrací pomocí plně kvalifikovaného názvu domény, zkontrolujte konfiguraci DNS. Při nastavování integrace můžete také zadat explicitní IP adresu serveru LDAP místo plně kvalifikovaného názvu domény.
    Port řadiče domény Port, na kterém je nakonfigurovaný protokol LDAP. Například pro připojení LDAPS (SSL) použijte port 636.
    Primární doména Název domény, například subdomain.contoso.com, a pak vyberte typ připojení pro vaši konfiguraci LDAP.

    Mezi podporované typy připojení patří: LDAPS/NTLMv3 (doporučeno), LDAP/NTLMv3 nebo LDAP/SASL-MD5
    Skupiny služby Active Directory Podle potřeby vyberte + Přidat a přidejte do každé úrovně oprávnění skupinu Active Directory.

    Při zadávání názvu skupiny se ujistěte, že jste zadali název skupiny přesně tak, jak je definován v konfiguraci služby Active Directory na serveru LDAP. Tyto názvy skupin použijte při přidávání nových uživatelů senzorů se službou Active Directory.

    Mezi podporované úrovně oprávnění patří jen pro čtení, analytik zabezpečení, Správa a důvěryhodné domény.

    Důležité

    Při zadávání parametrů PROTOKOLU LDAP:

    • Definujte hodnoty přesně tak, jak se zobrazují ve službě Active Directory, s výjimkou případu.
    • Pouze malá písmena uživatele, i když konfigurace ve službě Active Directory používá velká písmena.
    • Ldap a LDAPS nelze nakonfigurovat pro stejnou doménu. Můžete je ale nakonfigurovat v různých doménách a pak je používat současně.

  4. Pokud chcete přidat další server Služby Active Directory, vyberte + Přidat server v horní části stránky a definujte tyto hodnoty serveru.

  5. Po přidání všech serverů služby Active Directory vyberte Uložit.

    Příklad:

    Screenshot of the active directory integration configuration on the sensor.

Přidání nových uživatelů senzoru OT

Tento postup popisuje, jak vytvořit nové uživatele pro konkrétní síťový senzor OT.

Požadavky: Tento postup je k dispozici pro cyberx, podporu a cyberx_host uživatele a všechny uživatele s rolí Správa.

Přidání uživatele:

  1. Přihlaste se ke konzole senzoru a vyberte Uživatelé>+ Přidat uživatele.

  2. Na vytvoření uživatele | Na stránce Uživatelé zadejte následující podrobnosti:

    Název Popis
    Uživatelské jméno Zadejte smysluplné uživatelské jméno uživatele.
    Poslat e-mail Zadejte e-mailovou adresu uživatele.
    Jméno Zadejte jméno uživatele.
    Příjmení Zadejte příjmení uživatele.
    Role Vyberte jednu z následujících rolí uživatele: Správa, analytik zabezpečení nebo jen pro čtení. Další informace najdete v tématu Místní role uživatelů.
    Heslo Vyberte typ uživatele, a to buď místní, nebo active directory.

    Pro místní uživatele zadejte heslo pro uživatele. Požadavky na heslo zahrnují:
    - Nejméně osm znaků
    – Malá i velká písmena abecední znaky
    - Alespoň jedno číslo
    - Alespoň jeden symbol

    Místní uživatelská hesla můžou upravovat jenom Správa uživatelé.

    Tip

    Integrace se službou Active Directory umožňuje přidružit skupiny uživatelů ke konkrétním úrovním oprávnění. Pokud chcete vytvořit uživatele pomocí služby Active Directory, nejprve nakonfigurujte připojení služby Active Directory a pak se vraťte k tomuto postupu.

  3. Až budete hotovi, zvolte tlačítko Uložit.

Váš nový uživatel se přidá a zobrazí se na stránce Uživatelé senzoru.

Pokud chcete upravit uživatele, vyberte ikonu Upravit pro uživatele, kterého chcete upravit, a podle potřeby změňte všechny hodnoty.

Pokud chcete uživatele odstranit, vyberte tlačítko Odstranit pro uživatele, kterého chcete odstranit.

Změna hesla uživatele senzoru

Tento postup popisuje, jak můžou uživatelé Správa měnit hesla místních uživatelů. Správa uživatelé můžou měnit hesla pro sebe nebo pro jiného analytika zabezpečení nebo uživatele jen pro čtení. Privilegovaní uživatelé můžou měnit svá vlastní hesla a hesla pro Správa uživatele.

Tip

Pokud potřebujete obnovit přístup k privilegovanému uživatelskému účtu, přečtěte si téma Obnovení privilegovaného přístupu k senzoru.

Požadavky: Tento postup je k dispozici pouze pro kyberzločince, podporu nebo cyberx_host uživatele nebo pro uživatele s rolí Správa.

Změna hesla uživatele na senzoru:

  1. Přihlaste se k senzoru a vyberte Uživatelé.

  2. Na stránce Uživatelé snímače vyhledejte uživatele, jehož heslo je potřeba změnit.

  3. Napravo od tohoto řádku uživatele vyberte nabídku> Možnosti (...), aby se otevřelo podokno uživatele.

  4. V podokně uživatelů napravo zadejte a potvrďte nové heslo v oblasti Změnit heslo . Pokud měníte vlastní heslo, budete také muset zadat aktuální heslo.

    Požadavky na heslo zahrnují:

    • Alespoň osm znaků
    • Malá i velká písmena abecedy
    • Alespoň jedno číslo
    • Alespoň jeden symbol

  5. Až budete hotovi, zvolte tlačítko Uložit.

Obnovení privilegovaného přístupu k senzoru

Tento postup descscries how to recover privileged access to a sensor, for the cyberx, support, or cyberx_host users. Další informace najdete v tématu Výchozí privilegovaní místní uživatelé.

Požadavky: Tento postup je k dispozici pouze pro uživatele kyberzločinců, podpory nebo cyberx_host.

Obnovení privilegovaného přístupu k senzoru:

  1. Začněte se přihlašovat k síťovému senzoru OT. Na přihlašovací obrazovce vyberte odkaz Obnovit . Příklad:

    Screenshot of the sensor sign-in screen with the Reset password link.

  2. V dialogovém okně Resetovat heslo v nabídce Zvolit uživatele vyberte uživatele, jehož heslo obnovujete, buď Cyberx, Podpora, nebo CyberX_host.

  3. Zkopírujte kód jedinečného identifikátoru zobrazený v identifikátoru resetování hesla do schránky. Příklad:

    Screenshot of the Reset password dialog on the OT sensor.

  4. Na webu Azure Portal přejděte na stránku Weby a senzory Defenderu for IoT. Možná budete chtít otevřít Azure Portal na nové kartě nebo okně prohlížeče a nechat kartu senzoru otevřenou.

    Na portálu >Azure Portal se ujistěte, že jste vybrali předplatné, ve kterém byl senzor onboardovaný do Defenderu pro IoT.

  5. Na stránce Weby a senzory vyhledejte senzor, se kterým pracujete, a vyberte nabídku možností (...) na pravé straně >Obnovit heslo. Příklad:

    Screenshot of the Recover my password option on the Sites and sensors page.

  6. V dialogovém okně Obnovit , které se otevře, zadejte jedinečný identifikátor, který jste zkopírovali do schránky ze senzoru, a vyberte Obnovit. Automaticky se stáhne soubor password_recovery.zip .

    Všechny soubory stažené z webu Azure Portal jsou podepsané kořenem důvěryhodnosti, aby vaše počítače používaly jenom podepsané prostředky.

  7. Zpět na kartě senzoru na obrazovce Obnovení hesla vyberte Vybrat soubor. Přejděte na soubor password_recovery.zip, který jste si stáhli dříve z webu Azure Portal, a nahrajte ho.

    Poznámka:

    Pokud se zobrazí chybová zpráva s informací, že soubor je neplatný, pravděpodobně jste v nastavení webu Azure Portal vybrali nesprávné předplatné.

    Vraťte se do Azure a na horním panelu nástrojů vyberte ikonu nastavení. Na stránce Adresáře a předplatná se ujistěte, že jste vybrali předplatné, ve kterém byl senzor onboardovaný do Defenderu pro IoT. Potom zopakujte kroky v Azure, abyste stáhli soubor password_recovery.zip a nahráli ho do senzoru znovu.

  8. Vyberte Další. Zobrazí se systémové vygenerované heslo pro váš senzor, které můžete použít pro vybraného uživatele. Nezapomeňte si heslo zapsat, protože se znovu nezobrazí.

  9. Dalším výběrem možnosti Další se přihlaste ke snímači pomocí nového hesla.

Definování maximálního počtu neúspěšných přihlášení

Pomocí přístupu rozhraní příkazového řádku senzoru OT definujte maximální počet neúspěšných přihlášení před senzorem OT, aby se uživatel znovu přihlásil ze stejné IP adresy.

Další informace najdete v tématu Defender pro uživatele a přístup k rozhraní příkazového řádku IoT.

Požadavky: Tento postup je k dispozici pouze pro uživatele kyberzločinců.

  1. Přihlaste se ke snímači OT přes SSH a spusťte:

    nano /var/cyberx/components/xsense-web/cyberx_web/settings.py

  2. V souboru settings.py nastavte "MAX_FAILED_LOGINS" hodnotu na maximální počet neúspěšných přihlášení, které chcete definovat. Ujistěte se, že zvažujete počet souběžných uživatelů ve vašem systému.

  3. Ukončete soubor a spusťte sudo monit restart all ho, aby se změny použily.

Řízení časových limitů uživatelských relací

Ve výchozím nastavení se místní uživatelé po 30 minutách nečinnosti odhlásí ze svých relací. Správa uživatelé můžou k zapnutí nebo vypnutí této funkce použít přístup k místnímu rozhraní příkazového řádku nebo k úpravě prahových hodnot nečinnosti. Další informace najdete v tématu Defender pro uživatele rozhraní příkazového řádku IoT a přístup k rozhraní příkazového řádku a referenční informace k příkazům rozhraní příkazového řádku ze síťových senzorů OT.

Poznámka:

Při aktualizaci softwaru pro monitorování OT se všechny změny časových limitů uživatelských relací resetují na výchozí hodnoty.

Požadavky: Tento postup je k dispozici pouze pro uživatele kyberzločinců, podpory a cyberx_host.

Řízení časových limitů uživatelských relací senzoru:

  1. Přihlaste se ke snímači přes terminál a spusťte:

    sudo nano /var/cyberx/properties/authentication.properties

    Objeví se následující výstup:

    infinity_session_expiration=true
session_expiration_default_seconds=0
session_expiration_admin_seconds=1800
session_expiration_security_analyst_seconds=1800
session_expiration_read_only_users_seconds=1800
certifcate_validation=false
crl_timeout_secounds=3
crl_retries=1
cm_auth_token=

  2. Proveďte některou z následujících akcí:

    • Chcete-li vypnout časové limity uživatelských relací zcela, změňte infinity_session_expiration=true na infinity_session_expiration=false. Změňte ho zpátky, abyste ho znovu zapnuli.

    • Pokud chcete upravit dobu časového limitu nečinnosti, upravte jednu z následujících hodnot na požadovaný čas v sekundách:

      • session_expiration_default_seconds pro všechny uživatele
      • session_expiration_admin_secondspouze pro uživatele Správa
      • session_expiration_security_analyst_seconds pouze pro uživatele analytika zabezpečení
      • session_expiration_read_only_users_secondspouze pro uživatele jen pro čtení

Další kroky

Další informace najdete v tématu Auditování aktivity uživatelů.