Создание пользователей и управление ими с помощью сетевого датчика OT

  • Статья
  • Чтение занимает 7 мин

Microsoft Defender для Интернета вещей предоставляет средства для управления доступом локальных пользователей с помощью сетевого датчика OT и локальной консоли управления. Управление пользователями Azure осуществляется на уровне подписки Azure с помощью Azure RBAC.

В этой статье описывается, как управлять локальными пользователями непосредственно на сетевом датчике OT.

Привилегированные пользователи по умолчанию

По умолчанию каждый сетевой датчик OT устанавливается с привилегированными пользователями cyberx, поддержкой и cyberx_host , которые имеют доступ к расширенным средствам для устранения неполадок и настройки.

При первой настройке датчика войдите с помощью одного из этих привилегированных пользователей, создайте начального пользователя с ролью Администратор, а затем создайте дополнительных пользователей для аналитиков безопасности и пользователей только для чтения.

Дополнительные сведения см. в разделах Установка программного обеспечения для мониторинга OT на датчиках OT и Привилегированные локальные пользователи по умолчанию.

Добавление новых пользователей датчика OT

В этой процедуре описывается создание пользователей для определенного сетевого датчика OT.

Предварительные требования. Эта процедура доступна для пользователей cyberx, поддержки и cyberx_host, а также для всех пользователей с ролью Администратор.

Чтобы добавить пользователя, выполните приведенные далее действия.

  1. Войдите в консоль датчика и выберите Пользователи>+ Добавить пользователя.

  2. В | Создание пользователя На странице Пользователи введите следующие сведения:

    Имя Описание
    User name Введите понятное имя пользователя.
    Электронная почта Введите адрес электронной почты пользователя.
    First Name Введите имя пользователя.
    Фамилия Введите фамилию пользователя.
    Роль Выберите одну из следующих ролей пользователей: Администратор, аналитик безопасности или только для чтения. Дополнительные сведения см. в статье Локальные роли пользователей.
    Пароль Выберите тип пользователя: Локальный или Пользователь Active Directory.

    Для локальных пользователей введите пароль для пользователя. Требования к паролю включают:
    — Не менее восьми символов
    — Буквы в нижнем и верхнем регистре
    — По крайней мере одно число
    — По крайней мере один символ

    Пароли локальных пользователей могут изменяться только Администратор пользователями.

    Совет

    Интеграция с Active Directory позволяет связать группы пользователей с определенными уровнями разрешений. Если вы хотите создать пользователей с помощью Active Directory, сначала настройте Active Directory на датчике , а затем вернитесь к этой процедуре.

  3. После завершения щелкните Сохранить.

Добавлен новый пользователь, который отображается на странице "Пользователи датчика ".

Чтобы изменить пользователя, щелкните значок Изменить для пользователя, которого вы хотите изменить, и при необходимости измените все значения.

Чтобы удалить пользователя, нажмите кнопку Удалить для пользователя, которого нужно удалить.

Интеграция пользователей датчика OT с Active Directory

Настройте интеграцию между датчиком и Active Directory, чтобы:

  • Разрешить пользователям Active Directory входить в датчик
  • Использование групп Active Directory с общими разрешениями, назначенными всем пользователям в группе

Например, используйте Active Directory, если у вас есть большое количество пользователей, которым требуется назначить доступ только для чтения, и вы хотите управлять этими разрешениями на уровне группы.

Дополнительные сведения см. в статье Поддержка Active Directory на датчиках и локальных консолях управления.

Предварительные требования. Эта процедура доступна для пользователей cyberx и поддержки, а также для всех пользователей с ролью Администратор.

Чтобы выполнить интеграцию с Active Directory, выполните приведенные далее действия.

  1. Войдите в датчик OT и выберите Параметры> системыИнтеграции>Active Directory.

  2. Переключение на параметр Active Directory Integration Enabled (Включена интеграция Active Directory ).

  3. Введите следующие значения для сервера Active Directory:

    Имя Описание
    Полное доменное имя контроллера домена Полное доменное имя (FQDN) в точности так, как оно отображается на сервере LDAP. Например, введите host1.subdomain.contoso.com.

    Если возникла проблема с интеграцией с использованием полного доменного имени, проверьте конфигурацию DNS. При настройке интеграции можно также ввести явный IP-адрес сервера LDAP вместо полного доменного имени.
    Порт контроллера домена Порт, для которого настроен протокол LDAP.
    Основной домен Доменное имя, например subdomain.contoso.com, а затем выберите тип подключения для конфигурации LDAP.

    Поддерживаемые типы подключений: LDAPS/NTLMv3 (рекомендуется), LDAP/NTLMv3 или LDAP/SASL-MD5.
    Группы Active Directory Выберите + Добавить , чтобы при необходимости добавить группу Active Directory к каждому указанному уровню разрешений.

    При вводе имени группы убедитесь, что вы вводите имя группы точно так, как оно определено в конфигурации Active Directory на сервере LDAP. Эти имена групп будут использоваться при добавлении новых пользователей датчика с помощью Active Directory.

    Поддерживаемые уровни разрешений: только для чтения, аналитик безопасности, Администратор и доверенные домены.

    Важно!

    При вводе параметров LDAP:

    • Определите значения точно так, как они отображаются в Active Directory, за исключением случая.
    • Пользовательские символы только в нижнем регистре, даже если в конфигурации в Active Directory используются прописные буквы.
    • Протоколы LDAP и LDAPS нельзя настроить для одного домена. Однако вы можете настроить каждый из них в разных доменах, а затем использовать их одновременно.

  4. Чтобы добавить другой сервер Active Directory, выберите + Добавить сервер в верхней части страницы и определите эти значения сервера.

  5. После добавления всех серверов Active Directory нажмите кнопку Сохранить.

    Пример:

    Снимок экрана: конфигурация интеграции Active Directory на датчике.

Изменение пароля пользователя датчика

В этой процедуре описывается, как Администратор пользователи могут изменять пароли локальных пользователей. Администратор пользователи могут изменять пароли для себя, для других пользователей аналитика безопасности или только для чтения. Привилегированные пользователи могут изменять собственные пароли и пароли для Администратор пользователей.

Совет

Если вам нужно восстановить доступ к привилегированной учетной записи пользователя, см. раздел Восстановление привилегированного доступа к датчику.

Предварительные требования. Эта процедура доступна только для пользователей cyberx, поддержки или cyberx_host, а также для пользователей с Администратор ролью.

Чтобы изменить пароль пользователя на датчике, выполните следующие действия.

  1. Войдите в датчик и выберите Пользователи.

  2. На странице Пользователи датчика найдите пользователя, пароль которого необходимо изменить.

  3. Справа от этой строки пользователя выберите меню> параметров (...), чтобы открыть панель пользователя.

  4. В области пользователя справа в области Изменение пароля введите и подтвердите новый пароль. Если вы изменяете свой пароль, вам также потребуется ввести текущий пароль.

    Требования к паролю включают:

    • Не менее восьми символов
    • Буквы нижнего и верхнего регистра
    • По крайней мере одно число
    • По крайней мере один символ

  5. После завершения щелкните Сохранить.

Восстановление привилегированного доступа к датчику

Эта процедура описывает, как восстановить привилегированный доступ к датчику для пользователей cyberx, поддержки или cyberx_host . Дополнительные сведения см. в разделе Привилегированные локальные пользователи по умолчанию.

Предварительные требования. Эта процедура доступна только для пользователей cyberx, поддержки или cyberx_host .

Чтобы восстановить привилегированный доступ к датчику, выполните следующие действия.

  1. Начните вход в сетевой датчик OT. На экране входа щелкните ссылку Сброс . Пример:

    Снимок экрана: экран входа датчика со ссылкой Сброс пароля.

  2. В диалоговом окне Сброс пароля в меню Выбор пользователя выберите пользователя, пароль которого вы восстанавливаете: Cyberx, Support или CyberX_host.

  3. Скопируйте уникальный код идентификатора, показанный в разделе Сброс идентификатора пароля , в буфер обмена. Пример:

    Снимок экрана: диалоговое окно сброса пароля на датчике OT.

  4. Перейдите на страницу Сайтов и датчиков Defender для Интернета вещей в портал Azure. Вы можете открыть портал Azure на новой вкладке или окне браузера, не закрывая вкладку датчика.

    В параметрах > портал Azure Каталоги и подписки убедитесь, что выбрана подписка, в которой датчик был подключен к Defender для Интернета вещей.

  5. На странице Сайты и датчики найдите датчик, с которым вы работаете, и выберите меню параметров (...) справа >Восстановить пароль. Пример:

    Снимок экрана: параметр

  6. В открывшемся диалоговом окне Восстановление введите уникальный идентификатор, скопированный в буфер обмена с датчика, и нажмите кнопку Восстановить. Файлpassword_recovery.zip загружается автоматически.

    Все файлы, скачанные с портала Azure, заверяются с помощью корня доверия, чтобы компьютеры использовали только подписанные ресурсы.

  7. Вернитесь на вкладку датчика и на экране Восстановления пароля выберите Выбрать файл. Перейдите к и отправьте файлpassword_recovery.zip, скачанный ранее из портал Azure.

    Примечание

    Если появится сообщение об ошибке, указывающее, что файл является недопустимым, возможно, в параметрах портал Azure выбрана неправильная подписка.

    Вернитесь в Azure и щелкните значок параметров на верхней панели инструментов. На странице Каталоги и подписки убедитесь, что выбрана подписка, в которой датчик был подключен к Defender для Интернета вещей. Затем повторите действия в Azure, чтобы скачать файлpassword_recovery.zip и снова отправить его на датчик.

  8. Выберите Далее. Появится созданный системой пароль для датчика, который вы будете использовать для выбранного пользователя. Обязательно запишите пароль, так как он больше не будет отображаться.

  9. Нажмите кнопку Далее еще раз, чтобы войти в датчик с новым паролем.

Определение максимального числа неудачных попыток входа

Используйте доступ к интерфейсу командной строки датчика OT, чтобы определить максимальное количество неудачных попыток входа, прежде чем датчик OT запретит пользователю повторно войти с того же IP-адреса.

Дополнительные сведения см. в статье Пользователи и доступ к интерфейсу командной строки Defender для Интернета вещей.

Предварительные требования. Эта процедура доступна только для пользователя cyberx .

  1. Войдите в датчик OT по протоколу SSH и выполните следующую команду:

    nano /var/cyberx/components/xsense-web/cyberx_web/settings.py

  2. В файле settings.py задайте "MAX_FAILED_LOGINS" максимальное число неудачных попыток входа, которое вы хотите определить. Убедитесь, что учитывается количество одновременных пользователей в системе.

  3. Выйдите из файла и выполните команду sudo monit restart all , чтобы применить изменения.

Управление временем ожидания сеанса пользователя

По умолчанию локальные пользователи выходят из своих сеансов через 30 минут бездействия. Администратор пользователи могут использовать доступ к локальному интерфейсу командной строки, чтобы включить или отключить эту функцию или настроить пороговые значения бездействия. Дополнительные сведения см. в разделах Пользователи и доступ к интерфейсу командной строки Defender для Интернета вещей иСправочник по командам CLI с сетевых датчиков OT.

Примечание

Все изменения, внесенные в время ожидания сеанса пользователя, сбрасываются до значений по умолчанию при обновлении программного обеспечения для мониторинга OT.

Предварительные требования. Эта процедура доступна только для пользователей cyberx, поддержки и cyberx_host .

Чтобы управлять временем ожидания сеанса пользователя датчика, выполните следующие действия.

  1. Войдите в датчик через терминал и выполните следующую команду:

    sudo nano /var/cyberx/properties/authentication.properties

    Отображаются следующие результаты:

    infinity_session_expiration=true
session_expiration_default_seconds=0
session_expiration_admin_seconds=1800
session_expiration_security_analyst_seconds=1800
session_expiration_read_only_users_seconds=1800
certifcate_validation=false
crl_timeout_secounds=3
crl_retries=1
cm_auth_token=

  2. Выполните одно из следующих действий.

    • Чтобы полностью отключить время ожидания сеанса пользователя, измените на infinity_session_expiration=trueinfinity_session_expiration=false. Измените его, чтобы снова включить его.

    • Чтобы настроить период времени ожидания бездействия, измените одно из следующих значений на требуемое время в секундах:

      • session_expiration_default_seconds для всех пользователей
      • session_expiration_admin_secondsТолько для пользователей Администратор
      • session_expiration_security_analyst_secondsТолько для пользователей аналитика безопасности
      • session_expiration_read_only_users_secondsтолько для пользователей только для чтения

Дальнейшие действия

Дополнительные сведения см. в разделе: