Tworzenie użytkowników w czujniku sieci OT i zarządzanie nimi

  • Artykuł

Usługa Microsoft Defender dla IoT udostępnia narzędzia do zarządzania dostępem użytkowników lokalnych w czujniku sieci OT oraz starszej lokalnej konsoli zarządzania. Użytkownicy platformy Azure są zarządzani na poziomie subskrypcji platformy Azure przy użyciu kontroli dostępu opartej na rolach platformy Azure.

W tym artykule opisano sposób zarządzania użytkownikami lokalnymi bezpośrednio w czujniku sieci OT.

Domyślni użytkownicy uprzywilejowani

Domyślnie każdy czujnik sieci OT jest instalowany z uprzywilejowanym użytkownikiem pomocy technicznej , który ma dostęp do zaawansowanych narzędzi do rozwiązywania problemów i konfigurowania.

Podczas konfigurowania czujnika po raz pierwszy zaloguj się do użytkownika pomocy technicznej, utwórz początkowego użytkownika z rolą Administracja, a następnie utwórz dodatkowych użytkowników dla analityków zabezpieczeń i użytkowników tylko do odczytu.

Aby uzyskać więcej informacji, zobacz Instalowanie i konfigurowanie czujnika OT i domyślnych uprzywilejowanych użytkowników lokalnych.

Wersje czujników starsze niż 23.1.x obejmują również cyberx i cyberx_host uprzywilejowanych użytkowników. W wersjach 23.1.x i nowszych użytkownicy ci są instalowani, ale nie są domyślnie włączeni.

Aby umożliwić użytkownikom cyberx i cyberx_host w wersjach 23.1.x i nowszych, takich jak używanie ich z interfejsem wiersza polecenia usługi Defender for IoT, zresetuj hasło. Aby uzyskać więcej informacji, zobacz Zmienianie hasła użytkownika czujnika.

Konfigurowanie połączenia usługi Active Directory

Zalecamy skonfigurowanie użytkowników lokalnych na czujniku OT za pomocą usługi Active Directory, aby umożliwić użytkownikom usługi Active Directory logowanie się do czujnika i używanie grup usługi Active Directory z uprawnieniami zbiorczymi przypisanymi do wszystkich użytkowników w grupie.

Na przykład użyj usługi Active Directory, gdy masz dużą liczbę użytkowników, do których chcesz przypisać dostęp tylko do odczytu, i chcesz zarządzać tymi uprawnieniami na poziomie grupy.

Napiwek

Gdy wszystko będzie gotowe do rozpoczęcia zarządzania ustawieniami czujnika OT na dużą skalę, zdefiniuj ustawienia usługi Active Directory w witrynie Azure Portal. Po zastosowaniu ustawień z witryny Azure Portal ustawienia w konsoli czujnika są tylko do odczytu. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień czujnika OT w witrynie Azure Portal (publiczna wersja zapoznawcza).

Aby zintegrować z usługą Active Directory:

  1. Zaloguj się do czujnika OT i wybierz pozycję System Ustawienia> Integrations>Active Directory.

  2. Włącz opcję Integracja z usługą Active Directory.

  3. Wprowadź następujące wartości dla serwera usługi Active Directory:

    Nazwa/nazwisko opis
    Nazwa FQDN kontrolera domeny W pełni kwalifikowana nazwa domeny (FQDN), dokładnie tak, jak jest wyświetlana na serwerze LDAP. Na przykład wprowadź host1.subdomain.contoso.com.

    Jeśli wystąpi problem z integracją przy użyciu nazwy FQDN, sprawdź konfigurację DNS. Podczas konfigurowania integracji można również wprowadzić jawny adres IP serwera LDAP zamiast nazwy FQDN.
    Port kontrolera domeny Port, na którym skonfigurowano protokół LDAP. Na przykład użyj portu 636 dla połączeń LDAPS (SSL).
    Domena podstawowa Nazwa domeny, taka jak subdomain.contoso.com, a następnie wybierz typ połączenia dla konfiguracji LDAP.

    Obsługiwane typy połączeń obejmują: LDAPS/NTLMv3 (zalecane), LDAP/NTLMv3 lub LDAP/SASL-MD5
    Grupy usługi Active Directory Wybierz pozycję + Dodaj , aby dodać grupę usługi Active Directory do każdego z wymienionych poziomów uprawnień zgodnie z potrzebami.

    Po wprowadzeniu nazwy grupy upewnij się, że wprowadzasz nazwę grupy dokładnie tak, jak zdefiniowano ją w konfiguracji usługi Active Directory na serwerze LDAP. Użyj tych nazw grup podczas dodawania nowych użytkowników czujników z usługą Active Directory.

    Obsługiwane poziomy uprawnień obejmują tylko do odczytu, analityk zabezpieczeń, Administracja i zaufane domeny.

    Ważne

    Podczas wprowadzania parametrów LDAP:

    • Zdefiniuj wartości dokładnie tak, jak są wyświetlane w usłudze Active Directory, z wyjątkiem przypadku.
    • Tylko małe litery użytkownika, nawet jeśli konfiguracja w usłudze Active Directory używa wielkich liter.
    • Nie można skonfigurować protokołu LDAP i LDAPS dla tej samej domeny. Można jednak skonfigurować każdą z nich w różnych domenach, a następnie używać ich w tym samym czasie.

  4. Aby dodać kolejny serwer usługi Active Directory, wybierz pozycję + Dodaj serwer w górnej części strony i zdefiniuj te wartości serwera.

  5. Po dodaniu wszystkich serwerów usługi Active Directory wybierz pozycję Zapisz.

    Na przykład:

    Screenshot of the active directory integration configuration on the sensor.

Dodawanie nowych użytkowników czujników OT

W tej procedurze opisano sposób tworzenia nowych użytkowników dla określonego czujnika sieciowego OT.

Wymagania wstępne: Ta procedura jest dostępna dla użytkowników cyberx, pomocy technicznej i cyberx_host oraz dowolnego użytkownika z rolą Administracja.

Aby dodać użytkownika:

  1. Zaloguj się do konsoli czujnika i wybierz pozycję Użytkownicy>+ Dodaj użytkownika.

  2. Na stronie Tworzenie użytkownika | Strona Użytkownicy wprowadź następujące szczegóły:

    Nazwa/nazwisko opis
    Nazwa użytkownika Wprowadź zrozumiałą nazwę użytkownika.
    Poczta e-mail Wprowadź adres e-mail użytkownika.
    Imię Wprowadź imię użytkownika.
    Nazwisko Wprowadź nazwisko użytkownika.
    Rola Wybierz jedną z następujących ról użytkownika: Administracja, Analityk zabezpieczeń lub Tylko do odczytu. Aby uzyskać więcej informacji, zobacz Role użytkowników lokalnych.
    Hasło Wybierz typ użytkownika — Użytkownik lokalny lub Active Directory.

    W przypadku użytkowników lokalnych wprowadź hasło użytkownika. Wymagania dotyczące hasła obejmują:
    - Co najmniej osiem znaków
    - Zarówno małe litery, jak i wielkie znaki alfabetyczne
    - Co najmniej jedna liczba
    - Co najmniej jeden symbol

    Hasła użytkowników lokalnych można modyfikować tylko przez użytkowników Administracja.

    Napiwek

    Integracja z usługą Active Directory umożliwia kojarzenie grup użytkowników z określonymi poziomami uprawnień. Jeśli chcesz utworzyć użytkowników przy użyciu usługi Active Directory, najpierw skonfiguruj połączenie usługi Active Directory, a następnie wróć do tej procedury.

  3. Wybierz Zapisz, gdy skończysz.

Nowy użytkownik zostanie dodany i wyświetlony na stronie Użytkownicy czujnika.

Aby edytować użytkownika, wybierz ikonę Edytuj dla użytkownika, który chcesz edytować, i zmień wszystkie wartości zgodnie z potrzebami.

Aby usunąć użytkownika, wybierz przycisk Usuń dla użytkownika, który chcesz usunąć.

Zmienianie hasła użytkownika czujnika

W tej procedurze opisano, jak Administracja użytkownicy mogą zmieniać hasła użytkowników lokalnych. Administracja użytkownicy mogą zmieniać hasła dla siebie lub innych użytkowników analityków zabezpieczeń lub tylko do odczytu. Uprzywilejowani użytkownicy mogą zmieniać własne hasła oraz hasła użytkowników Administracja.

Napiwek

Jeśli chcesz odzyskać dostęp do uprzywilejowanego konta użytkownika, zobacz Odzyskiwanie uprzywilejowanego dostępu do czujnika.

Wymagania wstępne: Ta procedura jest dostępna tylko dla użytkowników cyberx, pomocy technicznej lub cyberx_host lub użytkowników z rolą Administracja.

Aby zmienić hasło użytkownika na czujniku:

  1. Zaloguj się do czujnika i wybierz pozycję Użytkownicy.

  2. Na stronie Użytkownicy czujnika znajdź użytkownika, którego hasło należy zmienić.

  3. Po prawej stronie tego wiersza użytkownika wybierz menu >Opcje (...), Aby otworzyć okienko użytkownika.

  4. W okienku użytkownika po prawej stronie w obszarze Zmień hasło wprowadź i potwierdź nowe hasło. Jeśli zmieniasz własne hasło, musisz również wprowadzić bieżące hasło.

    Wymagania dotyczące hasła obejmują:

    • Co najmniej osiem znaków
    • Zarówno małe litery, jak i wielkie znaki alfabetyczne
    • Co najmniej jedna liczba
    • Co najmniej jeden symbol

  5. Wybierz Zapisz, gdy skończysz.

Odzyskiwanie uprzywilejowanego dostępu do czujnika

Ta procedura umożliwia odzyskanie uprzywilejowanego dostępu do czujnika w przypadku cyberxu, pomocy technicznej lub cyberx_host użytkowników. Aby uzyskać więcej informacji, zobacz Domyślne uprzywilejowane użytkowników lokalnych.

Wymagania wstępne: Ta procedura jest dostępna tylko dla użytkowników cyberx, pomocy technicznej lub cyberx_host.

Aby odzyskać uprzywilejowany dostęp do czujnika:

  1. Rozpocznij logowanie do czujnika sieciowego OT. Na ekranie logowania wybierz link Resetuj. Na przykład:

    Screenshot of the sensor sign-in screen with the Reset password link.

  2. W oknie dialogowym Resetowanie hasła z menu Wybierz użytkownika wybierz użytkownika, którego hasło jest odzyskiwane, cyberx, pomoc techniczna lub CyberX_host.

  3. Skopiuj unikatowy kod identyfikatora wyświetlany w schowku Resetuj identyfikator hasła. Na przykład:

    Screenshot of the Reset password dialog on the OT sensor.

  4. Przejdź do strony Witryny i czujniki usługi Defender for IoT w witrynie Azure Portal. Możesz otworzyć witrynę Azure Portal na nowej karcie lub oknie przeglądarki, zachowując otwartą kartę czujnika.

    W ustawieniach >witryny Azure Portal Katalogi i subskrypcje upewnij się, że wybrano subskrypcję, w której czujnik został dołączony do usługi Defender for IoT.

  5. Na stronie Witryny i czujniki znajdź czujnik, z którym pracujesz, i wybierz menu opcji (...) po prawej stronie >Odzyskaj moje hasło. Na przykład:

    Screenshot of the Recover my password option on the Sites and sensors page.

  6. W wyświetlonym oknie dialogowym Odzyskiwanie wprowadź unikatowy identyfikator skopiowany do schowka z czujnika i wybierz pozycję Odzyskaj. Plik password_recovery.zip jest automatycznie pobierany.

    Wszystkie pliki pobrane z witryny Azure Portal są podpisane przez katalog główny zaufania, aby maszyny używały tylko podpisanych zasobów.

  7. Po powrocie na kartę czujnika na ekranie odzyskiwania hasła wybierz pozycję Wybierz plik. Przejdź do witryny Azure Portal i przekaż pobrany wcześniej plik password_recovery.zip .

    Uwaga

    Jeśli zostanie wyświetlony komunikat o błędzie wskazujący, że plik jest nieprawidłowy, być może w ustawieniach witryny Azure Portal wybrano nieprawidłową subskrypcję.

    Wróć do platformy Azure i wybierz ikonę ustawień na górnym pasku narzędzi. Na stronie Katalogi i subskrypcje upewnij się, że wybrano subskrypcję, w której czujnik został dołączony do usługi Defender for IoT. Następnie powtórz kroki na platformie Azure, aby pobrać plik password_recovery.zip i przekazać go ponownie do czujnika.

  8. Wybierz Dalej. Zostanie wyświetlone hasło wygenerowane przez system dla czujnika, które będzie używane dla wybranego użytkownika. Pamiętaj, aby zapisać hasło, ponieważ nie będzie ono wyświetlane ponownie.

  9. Ponownie wybierz przycisk Dalej , aby zalogować się do czujnika przy użyciu nowego hasła.

Definiowanie maksymalnej liczby logowanych zakończonych niepowodzeniem

Użyj dostępu interfejsu wiersza polecenia czujnika OT, aby zdefiniować liczbę maksymalnych nieudanych logowania się, zanim czujnik OT uniemożliwia użytkownikowi ponowne zalogowanie się z tego samego adresu IP.

Aby uzyskać więcej informacji, zobacz Defender for IoT CLI users and access (Użytkownicy interfejsu wiersza polecenia usługi Defender for IoT i dostęp).

Wymagania wstępne: ta procedura jest dostępna tylko dla użytkownika cyberx.

  1. Zaloguj się do czujnika OT za pośrednictwem protokołu SSH i uruchom polecenie:

    nano /var/cyberx/components/xsense-web/cyberx_web/settings.py

  2. W pliku settings.py ustaw "MAX_FAILED_LOGINS" wartość na maksymalną liczbę nieudanych logów, które chcesz zdefiniować. Upewnij się, że rozważasz liczbę równoczesnych użytkowników w systemie.

  3. Zamknij plik i uruchom polecenie sudo monit restart all , aby zastosować zmiany.

Kontrolowanie limitów czasu sesji użytkownika

Domyślnie użytkownicy lokalni są wylogowani z sesji po upływie 30 minut braku aktywności. Administracja użytkownicy mogą użyć lokalnego dostępu interfejsu wiersza polecenia, aby włączyć lub wyłączyć tę funkcję albo dostosować progi braku aktywności. Aby uzyskać więcej informacji, zobacz Defender for IoT CLI users and access and CLI command reference from OT network sensors (Dokumentacja poleceń interfejsu wiersza polecenia usługi Defender for IoT i uzyskiwanie dostępu do interfejsu wiersza polecenia z czujników sieci OT).

Uwaga

Wszelkie zmiany wprowadzone w limitach czasu sesji użytkownika są resetowane do wartości domyślnych podczas aktualizowania oprogramowania do monitorowania OT.

Wymagania wstępne: Ta procedura jest dostępna tylko dla użytkowników cyberx, pomocy technicznej i cyberx_host.

Aby kontrolować limity czasu sesji użytkownika czujnika:

  1. Zaloguj się do czujnika za pośrednictwem terminalu i uruchom polecenie:

    sudo nano /var/cyberx/properties/authentication.properties

    Wyświetlane są następujące dane wyjściowe:

    infinity_session_expiration=true
session_expiration_default_seconds=0
session_expiration_admin_seconds=1800
session_expiration_security_analyst_seconds=1800
session_expiration_read_only_users_seconds=1800
certifcate_validation=false
crl_timeout_secounds=3
crl_retries=1
cm_auth_token=

  2. Wykonaj jedną z następujących czynności:

    • Aby całkowicie wyłączyć limity czasu sesji użytkownika, zmień wartość infinity_session_expiration=true na infinity_session_expiration=false. Zmień go z powrotem, aby ponownie włączyć go ponownie.

    • Aby dostosować okres limitu czasu braku aktywności, dostosuj jedną z następujących wartości do wymaganego czasu w sekundach:

      • session_expiration_default_seconds dla wszystkich użytkowników
      • session_expiration_admin_secondstylko dla użytkowników Administracja
      • session_expiration_security_analyst_seconds tylko dla użytkowników analityka zabezpieczeń
      • session_expiration_read_only_users_seconds tylko dla użytkowników tylko do odczytu

Następne kroki

Aby uzyskać więcej informacji, zobacz Inspekcja aktywności użytkowników.