Sdílet prostřednictvím

Vytváření a správa uživatelů na síťovém senzoru OT

  • Článek

Microsoft Defender pro IoT poskytuje nástroje pro správu přístupu místních uživatelů v síťovém senzoru OT a starší místní konzole pro správu. Uživatelé Azure se spravují na úrovni předplatného Azure pomocí Azure RBAC.

Tento článek popisuje, jak spravovat místní uživatele přímo na síťovém senzoru OT.

Výchozí privilegovaní uživatelé

Ve výchozím nastavení se každý síťový senzor OT instaluje s uživatelem privilegovaného správce , který má přístup k pokročilým nástrojům pro řešení potíží a nastavení.

Při prvním nastavování senzoru se přihlaste k uživateli správce , vytvořte počátečního uživatele s rolí správce a pak vytvořte další uživatele pro analytiky zabezpečení a uživatele jen pro čtení.

Další informace najdete v tématu Instalace a nastavení senzoru OT a výchozích privilegovaných místních uživatelů.

Verze snímačů starší než 23.1.x zahrnují také kyberzločince a cyberx_host privilegovaným uživatelům. Ve verzích 23.1.x a vyšších jsou tito uživatelé nainstalováni, ale ve výchozím nastavení nejsou povoleni.

Pokud chcete uživatelům cyberxu a cyberx_host ve verzích 23.1.x a vyšších verzích povolit, například je používat s rozhraním příkazového řádku Defenderu pro IoT, resetujte heslo. Další informace najdete v tématu Změna hesla uživatele senzoru.

Konfigurace připojení ke službě Active Directory

Doporučujeme nakonfigurovat místní uživatele na senzoru OT pomocí služby Active Directory, aby se uživatelé služby Active Directory mohli přihlásit k vašemu senzoru a používat skupiny Služby Active Directory s kolektivními oprávněními přiřazenými všem uživatelům ve skupině.

Službu Active Directory můžete použít například v případě, že máte velký počet uživatelů, kterým chcete přiřadit přístup jen pro čtení, a chcete tato oprávnění spravovat na úrovni skupiny.

Tip

Až budete připraveni začít spravovat nastavení senzoru OT ve velkém měřítku, definujte nastavení služby Active Directory z webu Azure Portal. Jakmile použijete nastavení z webu Azure Portal, nastavení v konzole senzoru jsou jen pro čtení. Další informace najdete v tématu Konfigurace nastavení senzoru OT na webu Azure Portal (Public Preview).

Integrace se službou Active Directory:

  1. Přihlaste se ke snímači OT a vyberte Active Directory integrace>nastavení>systému.

  2. Zapněte možnost Povolenou integraci služby Active Directory.

  3. Zadejte následující hodnoty pro server služby Active Directory:

    Název Popis
    Plně kvalifikovaný název domény řadiče domény Plně kvalifikovaný název domény (FQDN) přesně tak, jak se zobrazuje na serveru LDAP. Například zadejte host1.subdomain.contoso.com.

    Pokud narazíte na problém s integrací pomocí plně kvalifikovaného názvu domény, zkontrolujte konfiguraci DNS. Při nastavování integrace můžete také zadat explicitní IP adresu serveru LDAP místo plně kvalifikovaného názvu domény.
    Port řadiče domény Port, na kterém je nakonfigurovaný protokol LDAP. Například pro připojení LDAPS (SSL) použijte port 636.
    Primární doména Název domény, například subdomain.contoso.com, a pak vyberte typ připojení pro vaši konfiguraci LDAP.

    Mezi podporované typy připojení patří: LDAPS/NTLMv3 (doporučeno), LDAP/NTLMv3 nebo LDAP/SASL-MD5
    Skupiny služby Active Directory Podle potřeby vyberte + Přidat a přidejte do každé úrovně oprávnění skupinu Active Directory.

    Při zadávání názvu skupiny se ujistěte, že jste zadali název skupiny přesně tak, jak je definován v konfiguraci služby Active Directory na serveru LDAP. Tyto názvy skupin použijte při přidávání nových uživatelů senzorů se službou Active Directory.

    Mezi podporované úrovně oprávnění patří jen pro čtení, analytik zabezpečení, správce a důvěryhodné domény.

    Důležité

    Při zadávání parametrů PROTOKOLU LDAP:

    • Definujte hodnoty přesně tak, jak se zobrazují ve službě Active Directory, s výjimkou případu.
    • Pouze malá písmena uživatele, i když konfigurace ve službě Active Directory používá velká písmena.
    • Ldap a LDAPS nelze nakonfigurovat pro stejnou doménu. Můžete je ale nakonfigurovat v různých doménách a pak je používat současně.

  4. Pokud chcete přidat další server Služby Active Directory, vyberte + Přidat server v horní části stránky a definujte tyto hodnoty serveru.

  5. Po přidání všech serverů služby Active Directory vyberte Uložit.

    Příklad:

    Snímek obrazovky s konfigurací integrace služby Active Directory na senzoru

Přidání nových uživatelů senzoru OT

Tento postup popisuje, jak vytvořit nové uživatele pro konkrétní síťový senzor OT.

Požadavky: Tento postup je k dispozici pro správce, cyberx a cyberx_host uživatele a všechny uživatele s rolí Správce.

Přidání uživatele:

  1. Přihlaste se ke konzole senzoru a vyberte Uživatelé>+ Přidat uživatele.

  2. Na vytvoření uživatele | Na stránce Uživatelé zadejte následující podrobnosti:

    Název Popis
    Uživatelské jméno Zadejte smysluplné uživatelské jméno uživatele.
    Poslat e-mail Zadejte e-mailovou adresu uživatele.
    Jméno Zadejte jméno uživatele.
    Příjmení Zadejte příjmení uživatele.
    Role Vyberte jednu z následujících rolí uživatele: Správce, Analytik zabezpečení nebo Jen pro čtení. Další informace najdete v tématu Místní role uživatelů.
    Heslo Vyberte typ uživatele, a to buď místní, nebo active directory.

    Pro místní uživatele zadejte heslo pro uživatele. Požadavky na heslo zahrnují:
    - Nejméně osm znaků
    – Malá i velká písmena abecední znaky
    - Alespoň jedno číslo
    - Alespoň jeden symbol

    Místní uživatelská hesla můžou upravovat jenom uživatelé s oprávněními správce .

    Tip

    Integrace se službou Active Directory umožňuje přidružit skupiny uživatelů ke konkrétním úrovním oprávnění. Pokud chcete vytvořit uživatele pomocí služby Active Directory, nejprve nakonfigurujte připojení služby Active Directory a pak se vraťte k tomuto postupu.

  3. Až budete hotovi, zvolte tlačítko Uložit.

Váš nový uživatel se přidá a zobrazí se na stránce Uživatelé senzoru.

Pokud chcete upravit uživatele, vyberte ikonu Upravit pro uživatele, kterého chcete upravit, a podle potřeby změňte všechny hodnoty.

Pokud chcete uživatele odstranit, vyberte tlačítko Odstranit pro uživatele, kterého chcete odstranit.

Změna hesla uživatele senzoru

Tento postup popisuje, jak můžou uživatelé s oprávněními správce měnit hesla místních uživatelů. Uživatelé s oprávněními správce můžou měnit hesla pro sebe nebo pro jiného analytika zabezpečení nebo uživatele jen pro čtení. Privilegovaní uživatelé můžou měnit svá vlastní hesla a hesla pro uživatele s oprávněními správce.

Tip

Pokud potřebujete obnovit přístup k privilegovanému uživatelskému účtu, přečtěte si téma Obnovení privilegovaného přístupu k senzoru.

Požadavky: Tento postup je k dispozici pouze pro cyberx, správce nebo cyberx_host uživatele nebo pro uživatele s rolí Správce.

Změna hesla uživatele na senzoru:

  1. Přihlaste se k senzoru a vyberte Uživatelé.

  2. Na stránce Uživatelé snímače vyhledejte uživatele, jehož heslo je potřeba změnit.

  3. Napravo od tohoto řádku uživatele vyberte nabídku> Možnosti (...), aby se otevřelo podokno uživatele.

  4. V podokně uživatelů napravo zadejte a potvrďte nové heslo v oblasti Změnit heslo . Pokud měníte vlastní heslo, budete také muset zadat aktuální heslo.

    Požadavky na heslo zahrnují:

    • Alespoň osm znaků
    • Malá i velká písmena abecedy
    • Alespoň jedno číslo
    • Alespoň jeden symbol

  5. Až budete hotovi, zvolte tlačítko Uložit.

Obnovení privilegovaného přístupu k senzoru

Tento postup descscuje, jak obnovit privilegovaný přístup k senzoru, pro cyberx, správce nebo cyberx_host uživatele. Další informace najdete v tématu Výchozí privilegovaní místní uživatelé.

Požadavky: Tento postup je k dispozici pouze pro uživatele kyberzločinců, správců nebo cyberx_host.

Obnovení privilegovaného přístupu k senzoru:

  1. Začněte se přihlašovat k síťovému senzoru OT. Na přihlašovací obrazovce vyberte odkaz Obnovit . Příklad:

    Snímek obrazovky s přihlašovací obrazovkou senzoru s odkazem Pro resetování hesla

  2. V dialogovém okně Resetovat heslo v nabídce Zvolit uživatele vyberte uživatele, jehož heslo obnovujete, buď Cyberx, Admin, nebo CyberX_host.

  3. Zkopírujte kód jedinečného identifikátoru zobrazený v identifikátoru resetování hesla do schránky. Příklad:

    Snímek obrazovky s dialogovým oknem Resetovat heslo na senzoru OT

  4. Na webu Azure Portal přejděte na stránku Weby a senzory Defenderu for IoT. Možná budete chtít otevřít Azure Portal na nové kartě nebo okně prohlížeče a nechat kartu senzoru otevřenou.

    Na portálu >Azure Portal se ujistěte, že jste vybrali předplatné, ve kterém byl senzor onboardovaný do Defenderu pro IoT.

  5. Na stránce Weby a senzory vyhledejte senzor, se kterým pracujete, a vyberte nabídku možností (...) na pravé straně >Obnovit heslo. Příklad:

    Snímek obrazovky s možností Obnovit heslo na stránce Weby a senzory

  6. V dialogovém okně Obnovit , které se otevře, zadejte jedinečný identifikátor, který jste zkopírovali do schránky ze senzoru, a vyberte Obnovit. Automaticky se stáhne soubor password_recovery.zip .

    Všechny soubory stažené z webu Azure Portal jsou podepsané kořenem důvěryhodnosti, aby vaše počítače používaly jenom podepsané prostředky.

  7. Zpět na kartě senzoru na obrazovce Obnovení hesla vyberte Vybrat soubor. Přejděte na soubor password_recovery.zip, který jste si stáhli dříve z webu Azure Portal, a nahrajte ho.

    Poznámka:

    Pokud se zobrazí chybová zpráva s informací, že soubor je neplatný, pravděpodobně jste v nastavení webu Azure Portal vybrali nesprávné předplatné.

    Vraťte se do Azure a na horním panelu nástrojů vyberte ikonu nastavení. Na stránce Adresáře a předplatná se ujistěte, že jste vybrali předplatné, ve kterém byl senzor onboardovaný do Defenderu pro IoT. Potom zopakujte kroky v Azure, abyste stáhli soubor password_recovery.zip a nahráli ho do senzoru znovu.

  8. Vyberte Další. Zobrazí se systémové vygenerované heslo pro váš senzor, které můžete použít pro vybraného uživatele. Nezapomeňte si heslo zapsat, protože se znovu nezobrazí.

  9. Dalším výběrem možnosti Další se přihlaste ke snímači pomocí nového hesla.

Definování maximálního počtu neúspěšných přihlášení

Pomocí přístupu rozhraní příkazového řádku senzoru OT definujte maximální počet neúspěšných přihlášení před senzorem OT, aby se uživatel znovu přihlásil ze stejné IP adresy.

Další informace najdete v tématu Defender pro uživatele a přístup k rozhraní příkazového řádku IoT.

Požadavky: Tento postup je k dispozici pouze pro uživatele kyberzločinců.

  1. Přihlaste se ke snímači OT přes SSH a spusťte:

    nano /var/cyberx/components/xsense-web/cyberx_web/settings.py

  2. V souboru settings.py nastavte "MAX_FAILED_LOGINS" hodnotu na maximální počet neúspěšných přihlášení, které chcete definovat. Ujistěte se, že zvažujete počet souběžných uživatelů ve vašem systému.

  3. Ukončete soubor a spusťte sudo monit restart all ho, aby se změny použily.

Další kroky

Další informace najdete v tématu Auditování aktivity uživatelů.