Criar e gerenciar usuários em um console de gerenciamento local (herdado)
Importante
O Defender para IoT agora recomenda o uso de serviços de nuvem da Microsoft ou infraestrutura de TI existente para monitoramento central e gerenciamento de sensores, e planeja desativar o console de gerenciamento local em 1º de janeiro de 2025.
Para obter mais informações, consulte Implantar o gerenciamento de sensores OT híbridos ou com cobertura de ar.
O Microsoft Defender para IoT fornece ferramentas para gerenciar o acesso do usuário local no sensor de rede OT e no console de gerenciamento local. Os usuários do Azure são gerenciados no nível da assinatura do Azure por meio do RBAC do Azure.
Este artigo descreve como gerenciar os usuários locais diretamente em um console de gerenciamento local.
Usuários com privilégios padrão
Por padrão, cada console de gerenciamento local é instalado com os usuários privilegiados suporte e cyberx, que têm acesso a ferramentas avançadas para solução de problemas e configuração.
Ao configurar um console de gerenciamento local pela primeira vez, entre com um desses usuários privilegiados, crie um usuário inicial com a função Administrador e crie usuários extras para analistas de segurança e usuários somente leitura.
Para obter mais informações, confira Instalar um software de monitoramento de OT em um console de gerenciamento local e Usuários locais com privilégios padrão.
Adicionar novos usuários do console de gerenciamento local
Este procedimento descreve como criar usuários para um console de gerenciamento local.
Pré-requisitos: Este procedimento está disponível para os usuários suporte e cyberx, e qualquer usuário com a função Admin.
Para adicionar um usuário:
Entre no console de gerenciamento local e selecione Usuários>+ Adicionar usuário.
Selecione Criar usuário e defina os seguintes valores:
Nome Descrição Nome de usuário Digite um nome de usuário. Email Insira o endereço de email do usuário. First Name Insira o nome do usuário. Last Name Insira o sobrenome do usuário. Função Selecione uma função de usuário. Para obter mais informações, confira Funções de usuário local. Grupo de Acesso a Sites Remotos Disponível somente para o console de gerenciamento local.
Selecione Todos para atribuir o usuário a todos os grupos de acesso globais ou Específico para atribuí-lo apenas a um grupo específico e escolha o grupo na lista suspensa.
Para obter mais informações, confira Definir a permissão de acesso global para usuários locais.Senha Escolha o tipo de usuário, Local ou Usuário do Active Directory.
Para os usuários locais, insira uma senha para o usuário. Os requisitos de senha incluem:
– Pelo menos oito caracteres
– Caracteres alfabéticos minúsculos e maiúsculos
– Pelo menos um número
– Pelo menos um símboloDica
A integração ao Active Directory permite associar grupos de usuários a níveis de permissão específicos. Caso deseje criar usuários usando o Active Directory, primeiro, configure o Active Directory no console de gerenciamento local e, depois, volte a esse procedimento.
Selecione Salvar ao terminar.
O novo usuário será adicionado e estará listado na página Usuários do sensor.
Para editar um usuário, selecione o botão Editar
no usuário que deseja editar e altere os valores conforme necessário.
Para excluir um usuário, selecione o botão Excluir
no usuário que deseja excluir.
Alterar a senha de um usuário
Este procedimento descreve como os usuários Administradores podem alterar senhas de usuário local. Os usuários Administradores podem alterar as senhas para si mesmos ou para outros usuários Analistas de segurança ou Somente Leitura. Os usuários privilegiados podem alterar as respectivas senhas e as senhas de usuários Administradores.
Dica
Caso precise recuperar o acesso a uma conta de usuário privilegiada, confira Recuperar o acesso privilegiado a um console de gerenciamento local.
Pré-requisitos: Este procedimento está disponível apenas para usuários suporte ou cyberx, ou para usuários com a função Admin.
Para redefinir a senha de um usuário no console de gerenciamento local:
Entre no console de gerenciamento local e selecione Usuários.
Na página Usuários, localize o usuário cuja senha precisa ser alterada.
À direita dessa linha de usuário, selecione o botão Editar
.No painel Editar usuário que será exibido, role a página para baixo até a seção Alterar senha. Insira e confirme a nova senha.
As senhas precisam ter, pelo menos, 16 caracteres, conter caracteres alfabéticos minúsculos e maiúsculos, números e um dos seguintes símbolos: #%*+,-./:=?@[]^_{}~
Selecione Atualizar quando terminar.
Recuperar o acesso privilegiado a um console de gerenciamento local
Este procedimento descreve como recuperar a senha do usuário suporte ou cyberx em um console de gerenciamento local. Para obter mais informações, confira Usuários locais com privilégios padrão.
Pré-requisitos: Este procedimento está disponível apenas para usuários suporte e cyberx.
Para recuperar o acesso privilegiado a um console de gerenciamento local:
Comece entrando no console de gerenciamento local. Na tela de entrada, nos campos Nome de usuário e Senha, selecione Recuperação de senha.
Na caixa de diálogo Recuperação de Senha, selecione CyberX ou Support no menu suspenso e copie o código do identificador exclusivo exibido na área de transferência.
Acesse a página Sites e sensores do Defender para IoT no portal do Azure. O ideal é abrir o portal do Azure em uma nova guia ou janela do navegador, mantendo o console de gerenciamento local aberto.
Nas configurações do portal do Azure >Diretórios + assinaturas, verifique se você selecionou a assinatura em que os sensores foram integrados ao Defender para IoT.
Na página Sites e sensores, escolha o menu suspenso Mais Ações e >Recuperar senha do console de gerenciamento local.
Na caixa de diálogo Recuperar que será aberta, insira o identificador exclusivo que você copiou para a área de transferência do console de gerenciamento local e selecione Recuperar. Um arquivo password_recovery.zip será baixado automaticamente.
Todos os arquivos baixados do portal do Azure são assinados por raiz de confiança para que seus computadores usem somente ativos assinados.
De volta à guia do console de gerenciamento local, na caixa de diálogo Recuperação de senha, escolha Carregar. Procure um upload do arquivo password_recovery.zip que você baixou do portal do Azure.
Observação
Se uma mensagem de erro for exibida, indicando que o arquivo é inválido, você poderá ter uma assinatura incorreta selecionada nas configurações do portal do Azure.
Volte ao Azure e escolha o ícone de configurações na barra de ferramentas superior. Na página Diretórios + assinaturas, verifique se você selecionou a assinatura em que os sensores foram integrados ao Defender para IoT. Em seguida, repita as etapas no Azure para baixar o arquivo password_recovery.zip e carregá-lo no console de gerenciamento local novamente.
Selecione Avançar. Uma senha gerada pelo sistema para o console de gerenciamento local é exibida para você usar para o usuário selecionado. Lembre-se de anotar a senha, pois ela não será mostrada novamente.
Selecione Avançar novamente para entrar no console de gerenciamento local.
Integrar usuários ao Active Directory
Configure uma integração entre o console de gerenciamento local e o Active Directory para:
- Permitir que os usuários do Active Directory entrem no console de gerenciamento local
- Usar grupos do Active Directory, com permissões coletivas atribuídas a todos os usuários do grupo
Por exemplo, use o Active Directory quando tiver um grande número de usuários aos quais deseja atribuir o acesso Somente Leitura e quiser gerenciar essas permissões no nível do grupo.
Para obter mais informações, confira Suporte ao Microsoft Entra ID em sensores e consoles de gerenciamento locais.
Pré-requisitos: Este procedimento está disponível apenas para usuários suporte e cyberx, ou qualquer usuário com função Admin.
Para a integração ao Active Directory:
Entre no console de gerenciamento local e selecione Configurações do Sistema.
Role a página para baixo até a área Integrações do console de gerenciamento à direita e escolha Active Directory.
Selecione a opção Integração do Active Directory Habilitada e insira os seguintes valores para um servidor do Active Directory:
Campo Descrição FQDN do Controlador de Domínio O FQDN (nome de domínio totalmente qualificado) exatamente como ele aparece no servidor LDAP. Por exemplo, insira host1.subdomain.contoso.com.
Se você encontrar um problema com a integração usando o FQDN, verifique sua configuração de DNS. Você também pode inserir o IP explícito do servidor LDAP em vez do FQDN ao configurar a integração.Portas do Controlador de Domínio A porta na qual o LDAP está configurado. Domínio primário O nome de domínio, como subdomain.contoso.com, e selecione o tipo de conexão para a configuração do LDAP.
Os tipos de conexão com suporte incluem: LDAPS/NTLMv3 (recomendado), LDAP/NTLMv3 ou LDAP/SASL-MD5Grupos do Active Directory Selecione + Adicionar para adicionar um grupo do Active Directory a cada nível de permissão listado, conforme necessário.
Ao inserir um nome de grupo, insira-o conforme definido na configuração do Active Directory no servidor LDAP. Em seguida, use esses grupos ao criar usuários do sensor no Active Directory.
Os níveis de permissão com suporte incluem Somente leitura, Analista de Segurança, Administrador e Domínios Confiáveis.
Adicione grupos como Pontos de extremidade confiáveis em uma linha separada dos outros grupos do Active Directory. Para adicionar um domínio confiável, adicione o nome de domínio e o tipo de conexão de um domínio confiável. Você pode configurar pontos de extremidade confiáveis somente para usuários que foram definidos em usuários.Selecione + Adicionar Servidor para adicionar outro servidor, insira os valores conforme necessário e Salvar quando terminar.
Importante
Ao inserir parâmetros LDAP:
- Defina os valores exatamente como eles aparecem no Active Directory, com exceção das maiúsculas e minúsculas.
- Use somente letras minúsculas, mesmo que a configuração no Active Directory use maiúsculas.
- O LDAP e o LDAPS não podem ser configurados para o mesmo domínio. No entanto, você pode configurar cada um em domínios diferentes e usá-los ao mesmo tempo.
Por exemplo:
Crie regras de grupo de acesso para os usuários do console de gerenciamento local.
Se você configurar grupos do Active Directory para usuários do console de gerenciamento local, também precisará criar uma regra de grupo de acesso para cada grupo do Active Directory. As credenciais do Active Directory não funcionarão para os usuários do console de gerenciamento local sem uma regra de grupo de acesso correspondente.
Para obter mais informações, confira Definir a permissão de acesso global para usuários locais.
Definir a permissão de acesso global para os usuários locais
Em geral, as grandes organizações têm um modelo complexo de permissões de usuário com base nas estruturas organizacionais globais. Para gerenciar os usuários locais do Defender para IoT, recomendamos que você use uma topologia de negócios global baseada em unidades de negócios, regiões e sites e, em seguida, defina as permissões de acesso do usuário em relação a essas entidades.
Crie grupos de acesso do usuário para estabelecer o controle de acesso global entre os recursos locais do Defender para IoT. Cada grupo de acesso inclui regras sobre os usuários que podem acessar entidades específicas na topologia de negócios, incluindo unidades de negócios, regiões e sites.
Para obter mais informações, confira Grupos de acesso global locais.
Pré-requisitos:
Este procedimento está disponível para os usuários suporte e cyberx, e qualquer usuário com função Admin.
Antes de criar os grupos de acesso, recomendamos também que você:
Planeje quais usuários serão associados aos grupos de acesso que você criar. Duas opções estão disponíveis para atribuir usuários a grupos de acesso:
Atribua grupos do Active Directory: verifique se você configurou uma instância do Active Directory para integração ao console de gerenciamento local.
Atribua usuários locais: verifique se você criou usuários locais.
Os usuários com as funções Administrador têm acesso a todas as entidades da topologia de negócios por padrão e não podem ser atribuídos aos grupos de acesso.
Configure cuidadosamente sua topologia de negócios. Para que uma regra seja aplicada com êxito, você deve atribuir sensores a zonas na janela Gerenciamento de site. Para obter mais informações, confira Criar sites e zonas de OT em um console de gerenciamento local.
Para criar grupos de acesso:
Entre no console de gerenciamento local como usuário com uma função Administrador.
Selecione Grupos de Acesso no menu de navegação à esquerda e escolha Adicionar
.Na caixa de diálogo Adicionar Grupo de Acesso, insira um nome significativo para o grupo de acesso, com, no máximo, 64 caracteres.
Selecione ADICIONAR REGRA e escolha as opções de topologia de negócios que deseja incluir no grupo de acesso. As opções exibidas na caixa de diálogo Adicionar Regra são as entidades que você criou nas páginas Exibição Corporativa e Gerenciamento de Site. Por exemplo:
Se ainda não existirem, as unidades de negócios e as regiões globais padrão serão criadas para o primeiro grupo que você criar. Se você não selecionar nenhuma unidade de negócios ou região, os usuários do grupo de acesso terão acesso a todas as entidades da topologia de negócios.
Cada regra pode incluir apenas um elemento por tipo. Por exemplo, você pode atribuir uma unidade de negócios, uma região e um site para cada regra. Se você quiser que os mesmos usuários tenham acesso a várias unidades de negócios, em diferentes regiões, crie mais regras para o grupo. Quando um grupo de acesso contém várias regras, a lógica da regra agrega todas as regras usando uma lógica AND.
Todas as regras criadas são listadas na caixa de diálogo Adicionar Grupo de Acesso, na qual você pode editá-las ainda mais ou excluí-las conforme necessário. Por exemplo:
Adicione usuários com um ou ambos os seguintes métodos:
Se a opção Atribuir um grupo do Active Directory for exibida, atribua um grupo de usuários do Active Directory a esse grupo de acesso, conforme necessário. Por exemplo:
Se a opção não for exibida e você quiser incluir grupos do Active Directory em grupos de acesso, verifique se você incluiu seu grupo do Active Directory na integração do Active Directory. Para obter mais informações, confira Integrar usuários locais ao Active Directory.
Adicione usuários locais aos seus grupos editando os usuários existentes na página Usuários. Na página Usuários, selecione o botão Editar no usuário que deseja atribuir ao grupo e atualize o valor grupo de Acesso de Sites Remotos do usuário selecionado. Para obter mais informações, confira Adicionar novos usuários do console de gerenciamento local.
Alterações nas entidades de topologia
Se, posteriormente, você modificar uma entidade de topologia e a alteração afetar a lógica da regra, a regra será excluída automaticamente.
Se as modificações feitas nas entidades de topologia afetarem a lógica da regra, de modo que todas as regras sejam excluídas, o grupo de acesso permanecerá, mas os usuários não poderão entrar no console de gerenciamento local. Nesse caso, os usuários recebem uma notificação para entrar em contato com o administrador do console de gerenciamento local solicitando ajuda com a conexão. Atualize as configurações desses usuários para que eles não façam mais parte do grupo de acesso herdado.
Controlar os tempos limite da sessão do usuário
Por padrão, os usuários locais são desconectados das sessões após 30 minutos de inatividade. Os usuários administradores podem usar a CLI local para ativar ou desativar esse recurso ou ajustar os limites de inatividade. Para obter mais informações, confira Trabalhar com os comandos da CLI do Defender para IoT.
Observação
Todas as alterações feitas em tempos limite de sessão do usuário são redefinidas para padrões quando você atualiza o software de monitoramento de OT.
Pré-requisitos: Este procedimento está disponível apenas para usuários suporte e cyberx.
Para controlar os tempos limite de sessão do usuário do sensor:
Entre no sensor por meio de um terminal e execute:
sudo nano /var/cyberx/properties/authentication.propertiesO seguinte resultado é exibido:
infinity_session_expiration = true session_expiration_default_seconds = 0 # half an hour in seconds session_expiration_admin_seconds = 1800 session_expiration_security_analyst_seconds = 1800 session_expiration_read_only_users_seconds = 1800 certifcate_validation = true CRL_timeout_secounds = 3 CRL_retries = 1Realize um dos seguintes procedimentos:
Para desativar por completo os tempos limite de sessão do usuário, altere
infinity_session_expiration = trueparainfinity_session_expiration = false. Altere-o novamente para ativá-lo de novo.Para ajustar um período de tempo limite de inatividade, ajuste um dos seguintes valores para o tempo necessário, em segundos:
session_expiration_default_secondspara todos os usuáriossession_expiration_admin_secondssomente para usuários Administradoressession_expiration_security_analyst_secondssomente para usuários Analistas de segurançasession_expiration_read_only_users_secondssomente para usuários Somente Leitura
Próximas etapas
Para obter mais informações, consulte: