Udostępnij za pośrednictwem

Tworzenie użytkowników w czujniku sieci OT i zarządzanie nimi

  • Artykuł

Usługa Microsoft Defender dla IoT udostępnia narzędzia do zarządzania dostępem użytkowników lokalnych w czujniku sieci OT oraz starszej lokalnej konsoli zarządzania. Użytkownicy platformy Azure są zarządzani na poziomie subskrypcji platformy Azure przy użyciu kontroli dostępu opartej na rolach platformy Azure.

W tym artykule opisano sposób zarządzania użytkownikami lokalnymi bezpośrednio w czujniku sieci OT.

Domyślni użytkownicy uprzywilejowani

Domyślnie każdy czujnik sieci OT jest instalowany z uprzywilejowanym użytkownikiem administracyjnym , który ma dostęp do zaawansowanych narzędzi do rozwiązywania problemów i konfigurowania.

Podczas konfigurowania czujnika po raz pierwszy zaloguj się do administratora, utwórz początkowego użytkownika z rolą administratora, a następnie utwórz dodatkowych użytkowników dla analityków zabezpieczeń i użytkowników tylko do odczytu.

Aby uzyskać więcej informacji, zobacz Instalowanie i konfigurowanie czujnika OT i domyślnych uprzywilejowanych użytkowników lokalnych.

Wersje czujników starsze niż 23.1.x obejmują również cyberx i cyberx_host uprzywilejowanych użytkowników. W wersjach 23.1.x i nowszych użytkownicy ci są instalowani, ale nie są domyślnie włączeni.

Aby umożliwić użytkownikom cyberx i cyberx_host w wersjach 23.1.x i nowszych, takich jak używanie ich z interfejsem wiersza polecenia usługi Defender for IoT, zresetuj hasło. Aby uzyskać więcej informacji, zobacz Zmienianie hasła użytkownika czujnika.

Konfigurowanie połączenia usługi Active Directory

Zalecamy skonfigurowanie użytkowników lokalnych na czujniku OT za pomocą usługi Active Directory, aby umożliwić użytkownikom usługi Active Directory logowanie się do czujnika i używanie grup usługi Active Directory z uprawnieniami zbiorczymi przypisanymi do wszystkich użytkowników w grupie.

Na przykład użyj usługi Active Directory, gdy masz dużą liczbę użytkowników, do których chcesz przypisać dostęp tylko do odczytu, i chcesz zarządzać tymi uprawnieniami na poziomie grupy.

Napiwek

Gdy wszystko będzie gotowe do rozpoczęcia zarządzania ustawieniami czujnika OT na dużą skalę, zdefiniuj ustawienia usługi Active Directory w witrynie Azure Portal. Po zastosowaniu ustawień z witryny Azure Portal ustawienia w konsoli czujnika są tylko do odczytu. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień czujnika OT w witrynie Azure Portal (publiczna wersja zapoznawcza).

Aby zintegrować z usługą Active Directory:

  1. Zaloguj się do czujnika OT i wybierz pozycję Integracja ustawień>systemowych z usługą>Active Directory.

  2. Włącz opcję Integracja z usługą Active Directory.

  3. Wprowadź następujące wartości dla serwera usługi Active Directory:

    Nazwa/nazwisko opis
    Nazwa FQDN kontrolera domeny W pełni kwalifikowana nazwa domeny (FQDN), dokładnie tak, jak jest wyświetlana na serwerze LDAP. Na przykład wprowadź host1.subdomain.contoso.com.

    Jeśli wystąpi problem z integracją przy użyciu nazwy FQDN, sprawdź konfigurację DNS. Podczas konfigurowania integracji można również wprowadzić jawny adres IP serwera LDAP zamiast nazwy FQDN.
    Port kontrolera domeny Port, na którym skonfigurowano protokół LDAP. Na przykład użyj portu 636 dla połączeń LDAPS (SSL).
    Domena podstawowa Nazwa domeny, taka jak subdomain.contoso.com, a następnie wybierz typ połączenia dla konfiguracji LDAP.

    Obsługiwane typy połączeń obejmują: LDAPS/NTLMv3 (zalecane), LDAP/NTLMv3 lub LDAP/SASL-MD5
    Grupy usługi Active Directory Wybierz pozycję + Dodaj , aby dodać grupę usługi Active Directory do każdego z wymienionych poziomów uprawnień zgodnie z potrzebami.

    Po wprowadzeniu nazwy grupy upewnij się, że wprowadzasz nazwę grupy dokładnie tak, jak zdefiniowano ją w konfiguracji usługi Active Directory na serwerze LDAP. Użyj tych nazw grup podczas dodawania nowych użytkowników czujników z usługą Active Directory.

    Obsługiwane poziomy uprawnień obejmują tylko do odczytu, analityk zabezpieczeń, administrator i zaufane domeny.

    Ważne

    Podczas wprowadzania parametrów LDAP:

    • Zdefiniuj wartości dokładnie tak, jak są wyświetlane w usłudze Active Directory, z wyjątkiem przypadku.
    • Tylko małe litery użytkownika, nawet jeśli konfiguracja w usłudze Active Directory używa wielkich liter.
    • Nie można skonfigurować protokołu LDAP i LDAPS dla tej samej domeny. Można jednak skonfigurować każdą z nich w różnych domenach, a następnie używać ich w tym samym czasie.

  4. Aby dodać kolejny serwer usługi Active Directory, wybierz pozycję + Dodaj serwer w górnej części strony i zdefiniuj te wartości serwera.

  5. Po dodaniu wszystkich serwerów usługi Active Directory wybierz pozycję Zapisz.

    Na przykład:

    Zrzut ekranu przedstawiający konfigurację integracji usługi Active Directory w czujniku.

Dodawanie nowych użytkowników czujników OT

W tej procedurze opisano sposób tworzenia nowych użytkowników dla określonego czujnika sieciowego OT.

Wymagania wstępne: Ta procedura jest dostępna dla administratorów, cyberx i cyberx_host użytkowników oraz dowolnego użytkownika z rolą administratora.

Aby dodać użytkownika:

  1. Zaloguj się do konsoli czujnika i wybierz pozycję Użytkownicy>+ Dodaj użytkownika.

  2. Na stronie Tworzenie użytkownika | Strona Użytkownicy wprowadź następujące szczegóły:

    Nazwa/nazwisko opis
    Nazwa użytkownika Wprowadź zrozumiałą nazwę użytkownika.
    Poczta e-mail Wprowadź adres e-mail użytkownika.
    Imię Wprowadź imię użytkownika.
    Nazwisko Wprowadź nazwisko użytkownika.
    Rola Wybierz jedną z następujących ról użytkownika: Administrator, Analityk zabezpieczeń lub Tylko do odczytu. Aby uzyskać więcej informacji, zobacz Role użytkowników lokalnych.
    Hasło Wybierz typ użytkownika — Użytkownik lokalny lub Active Directory.

    W przypadku użytkowników lokalnych wprowadź hasło użytkownika. Wymagania dotyczące hasła obejmują:
    - Co najmniej osiem znaków
    - Zarówno małe litery, jak i wielkie znaki alfabetyczne
    - Co najmniej jedna liczba
    - Co najmniej jeden symbol

    Hasła użytkowników lokalnych można modyfikować tylko przez użytkowników administracyjnych .

    Napiwek

    Integracja z usługą Active Directory umożliwia kojarzenie grup użytkowników z określonymi poziomami uprawnień. Jeśli chcesz utworzyć użytkowników przy użyciu usługi Active Directory, najpierw skonfiguruj połączenie usługi Active Directory, a następnie wróć do tej procedury.

  3. Wybierz Zapisz, gdy skończysz.

Nowy użytkownik zostanie dodany i wyświetlony na stronie Użytkownicy czujnika.

Aby edytować użytkownika, wybierz ikonę Edytuj dla użytkownika, który chcesz edytować, i zmień wszystkie wartości zgodnie z potrzebami.

Aby usunąć użytkownika, wybierz przycisk Usuń dla użytkownika, który chcesz usunąć.

Zmienianie hasła użytkownika czujnika

W tej procedurze opisano sposób, w jaki użytkownicy administracyjni mogą zmieniać hasła użytkowników lokalnych. Użytkownicy administracyjni mogą zmieniać hasła dla siebie lub innych użytkowników analityków zabezpieczeń lub tylko do odczytu. Uprzywilejowani użytkownicy mogą zmieniać własne hasła i hasła użytkowników administracyjnych .

Napiwek

Jeśli chcesz odzyskać dostęp do uprzywilejowanego konta użytkownika, zobacz Odzyskiwanie uprzywilejowanego dostępu do czujnika.

Wymagania wstępne: Ta procedura jest dostępna tylko dla użytkowników cyberx, administratorów lub cyberx_host lub użytkowników z rolą administratora.

Aby zmienić hasło użytkownika na czujniku:

  1. Zaloguj się do czujnika i wybierz pozycję Użytkownicy.

  2. Na stronie Użytkownicy czujnika znajdź użytkownika, którego hasło należy zmienić.

  3. Po prawej stronie tego wiersza użytkownika wybierz menu >Opcje (...), Aby otworzyć okienko użytkownika.

  4. W okienku użytkownika po prawej stronie w obszarze Zmień hasło wprowadź i potwierdź nowe hasło. Jeśli zmieniasz własne hasło, musisz również wprowadzić bieżące hasło.

    Wymagania dotyczące hasła obejmują:

    • Co najmniej osiem znaków
    • Zarówno małe litery, jak i wielkie znaki alfabetyczne
    • Co najmniej jedna liczba
    • Co najmniej jeden symbol

  5. Wybierz Zapisz, gdy skończysz.

Odzyskiwanie uprzywilejowanego dostępu do czujnika

Ta procedura umożliwia odzyskanie uprzywilejowanego dostępu do czujnika, dla użytkowników cyberx, administrator lub cyberx_host . Aby uzyskać więcej informacji, zobacz Domyślne uprzywilejowane użytkowników lokalnych.

Wymagania wstępne: Ta procedura jest dostępna tylko dla użytkowników cyberx, administratorów lub cyberx_host.

Aby odzyskać uprzywilejowany dostęp do czujnika:

  1. Rozpocznij logowanie do czujnika sieciowego OT. Na ekranie logowania wybierz link Resetuj. Na przykład:

    Zrzut ekranu przedstawiający ekran logowania czujnika z linkiem Resetowanie hasła.

  2. W oknie dialogowym Resetowanie hasła z menu Wybierz użytkownika wybierz użytkownika, którego hasło jest odzyskiwane, cyberx, administrator lub CyberX_host.

  3. Skopiuj unikatowy kod identyfikatora wyświetlany w schowku Resetuj identyfikator hasła. Na przykład:

    Zrzut ekranu przedstawiający okno dialogowe Resetowanie hasła w czujniku OT.

  4. Przejdź do strony Witryny i czujniki usługi Defender for IoT w witrynie Azure Portal. Możesz otworzyć witrynę Azure Portal na nowej karcie lub oknie przeglądarki, zachowując otwartą kartę czujnika.

    W ustawieniach >witryny Azure Portal Katalogi i subskrypcje upewnij się, że wybrano subskrypcję, w której czujnik został dołączony do usługi Defender for IoT.

  5. Na stronie Witryny i czujniki znajdź czujnik, z którym pracujesz, i wybierz menu opcji (...) po prawej stronie >Odzyskaj moje hasło. Na przykład:

    Zrzut ekranu przedstawiający opcję Odzyskaj moje hasło na stronie Witryny i czujniki.

  6. W wyświetlonym oknie dialogowym Odzyskiwanie wprowadź unikatowy identyfikator skopiowany do schowka z czujnika i wybierz pozycję Odzyskaj. Plik password_recovery.zip jest automatycznie pobierany.

    Wszystkie pliki pobrane z witryny Azure Portal są podpisane przez katalog główny zaufania, aby maszyny używały tylko podpisanych zasobów.

  7. Po powrocie na kartę czujnika na ekranie odzyskiwania hasła wybierz pozycję Wybierz plik. Przejdź do witryny Azure Portal i przekaż pobrany wcześniej plik password_recovery.zip .

    Uwaga

    Jeśli zostanie wyświetlony komunikat o błędzie wskazujący, że plik jest nieprawidłowy, być może w ustawieniach witryny Azure Portal wybrano nieprawidłową subskrypcję.

    Wróć do platformy Azure i wybierz ikonę ustawień na górnym pasku narzędzi. Na stronie Katalogi i subskrypcje upewnij się, że wybrano subskrypcję, w której czujnik został dołączony do usługi Defender for IoT. Następnie powtórz kroki na platformie Azure, aby pobrać plik password_recovery.zip i przekazać go ponownie do czujnika.

  8. Wybierz Dalej. Zostanie wyświetlone hasło wygenerowane przez system dla czujnika, które będzie używane dla wybranego użytkownika. Pamiętaj, aby zapisać hasło, ponieważ nie będzie ono wyświetlane ponownie.

  9. Ponownie wybierz przycisk Dalej , aby zalogować się do czujnika przy użyciu nowego hasła.

Definiowanie maksymalnej liczby logowanych zakończonych niepowodzeniem

Użyj dostępu interfejsu wiersza polecenia czujnika OT, aby zdefiniować liczbę maksymalnych nieudanych logowania się, zanim czujnik OT uniemożliwia użytkownikowi ponowne zalogowanie się z tego samego adresu IP.

Aby uzyskać więcej informacji, zobacz Defender for IoT CLI users and access (Użytkownicy interfejsu wiersza polecenia usługi Defender for IoT i dostęp).

Wymagania wstępne: ta procedura jest dostępna tylko dla użytkownika cyberx.

  1. Zaloguj się do czujnika OT za pośrednictwem protokołu SSH i uruchom polecenie:

    nano /var/cyberx/components/xsense-web/cyberx_web/settings.py

  2. W pliku settings.py ustaw "MAX_FAILED_LOGINS" wartość na maksymalną liczbę nieudanych logów, które chcesz zdefiniować. Upewnij się, że rozważasz liczbę równoczesnych użytkowników w systemie.

  3. Zamknij plik i uruchom polecenie sudo monit restart all , aby zastosować zmiany.

Następne kroki

Aby uzyskać więcej informacji, zobacz Inspekcja aktywności użytkowników.