Создание пользователей и управление ими на сетевом датчике OT

  • Статья

Microsoft Defender для Интернета вещей предоставляет средства для управления локальным доступом пользователей на сетевом датчике OT и устаревшими локальными консоль управления. Пользователи Azure управляются на уровне подписки Azure с помощью Azure RBAC.

В этой статье описывается, как управлять локальными пользователями непосредственно на сетевом датчике OT.

Привилегированные пользователи по умолчанию

По умолчанию каждый сетевой датчик OT устанавливается с привилегированным пользователем поддержки , который имеет доступ к расширенным средствам для устранения неполадок и настройки.

При первом настройке датчика войдите в службу поддержки, создайте начального пользователя с ролью Администратор, а затем создайте дополнительных пользователей для аналитиков безопасности и пользователей только для чтения.

Дополнительные сведения см. в статье "Установка и настройка датчика OT" и привилегированных пользователей по умолчанию.

Версии датчика раньше 23.1.x также включают киберкс и cyberx_host привилегированных пользователей. В версиях 23.1.x и более поздних версиях эти пользователи устанавливаются, но не включены по умолчанию.

Чтобы включить киберкс и cyberx_host пользователей в версиях 23.1.x и более поздних версиях, например использовать их с интерфейсом командной строки Defender для Интернета вещей, сбросьте пароль. Дополнительные сведения см. в разделе "Изменение пароля пользователя датчика".

Настройка подключения Active Directory

Мы рекомендуем настроить локальных пользователей на датчике OT с помощью Active Directory, чтобы разрешить пользователям Active Directory войти в датчик и использовать группы Active Directory с коллективными разрешениями, назначенными всем пользователям в группе.

Например, используйте Active Directory, если у вас есть большое количество пользователей, которым требуется назначить доступ только для чтения, и вы хотите управлять этими разрешениями на уровне группы.

Совет

Когда вы будете готовы к управлению параметрами датчика OT в масштабе, определите параметры Active Directory из портал Azure. После применения параметров из портал Azure параметры на консоли датчика доступны только для чтения. Дополнительные сведения см. в разделе "Настройка параметров датчика OT" из портал Azure (общедоступная предварительная версия).

Интеграция с Active Directory:

  1. Войдите в датчик OT и выберите System Параметры> Integrations>Active Directory.

  2. Переключатель в параметре "Включена интеграция Active Directory".

  3. Введите следующие значения для сервера Active Directory:

    Имя Описание
    Полное доменное имя контроллера домена Полное доменное имя (FQDN) точно так же, как оно отображается на сервере LDAP. Например, введите host1.subdomain.contoso.com.

    Если возникла проблема с интеграцией с помощью полного доменного имени, проверка конфигурации DNS. Вы также можете ввести явный IP-адрес сервера LDAP вместо полного доменного имени при настройке интеграции.
    Порт контроллера домена Порт, в котором настроен протокол LDAP. Например, используйте порт 636 для подключений LDAPS (SSL).
    Основной домен Доменное имя, например subdomain.contoso.com, и выберите тип подключения для конфигурации LDAP.

    Поддерживаемые типы подключений: LDAPS/NTLMv3 (рекомендуется), LDAP/NTLMv3 или LDAP/SASL-MD5
    Группы Active Directory Выберите + Добавить, чтобы добавить группу Active Directory на каждый уровень разрешений, указанный по мере необходимости.

    При вводе имени группы убедитесь, что введите имя группы точно так же, как оно определено в конфигурации Active Directory на сервере LDAP. Используйте эти имена групп при добавлении новых пользователей датчика в Active Directory.

    Поддерживаемые уровни разрешений включают только для чтения, аналитик безопасности, Администратор и доверенные домены.

    Важно!

    При вводе параметров LDAP:

    • Определите значения точно так же, как они отображаются в Active Directory, за исключением случая.
    • Только строчные символы пользователя, даже если конфигурация в Active Directory использует верхний регистр.
    • Протокол LDAP и LDAPS не могут быть настроены для одного домена. Однако вы можете настроить каждый из разных доменов, а затем использовать их одновременно.

  4. Чтобы добавить другой сервер Active Directory, нажмите кнопку +Добавить сервер в верхней части страницы и определите эти значения сервера.

  5. После добавления всех серверов Active Directory нажмите кнопку "Сохранить".

    Например:

    Screenshot of the active directory integration configuration on the sensor.

Добавление новых пользователей датчика OT

В этой процедуре описывается создание новых пользователей для определенного сетевого датчика OT.

Предварительные требования. Эта процедура доступна для киберксов, поддержки и cyberx_host пользователей, а также для всех пользователей с ролью Администратор.

Чтобы добавить пользователя, выполните действия.

  1. Войдите в консоль датчика и выберите "Пользователи>+ Добавить пользователя".

  2. Создание пользователя | Страница "Пользователи" введите следующие сведения:

    Имя Описание
    Имя пользователя Введите понятное имя пользователя.
    Эл. почта Введите адрес электронной почты пользователя.
    Имя Введите имя пользователя.
    Фамилия Введите фамилию пользователя.
    Роль Выберите одну из следующих ролей пользователя: Администратор, аналитик безопасности или только чтение. Дополнительные сведения см. в разделе "Локальные роли пользователей".
    Пароль Выберите тип пользователя , локальный или пользователь Active Directory.

    Для локальных пользователей введите пароль для пользователя. К требованиям к паролям относятся:
    - По крайней мере восемь символов
    — как строчные, так и прописные буквы
    - По крайней мере одно число
    - По крайней мере один символ

    Пароли локальных пользователей могут изменяться только Администратор пользователями.

    Совет

    Интеграция с Active Directory позволяет связать группы пользователей с определенными уровнями разрешений. Если вы хотите создать пользователей с помощью Active Directory, сначала настройте подключение Active Directory, а затем вернитесь к этой процедуре.

  3. Выберите Сохранить, когда вы закончите.

Новый пользователь добавляется и отображается на странице "Пользователи датчика".

Чтобы изменить пользователя, выберите значок "Изменить " для пользователя, которого вы хотите изменить, и измените все значения по мере необходимости.

Чтобы удалить пользователя, нажмите кнопку "Удалить " для пользователя, которого вы хотите удалить.

Изменение пароля пользователя датчика

В этой процедуре описывается, как Администратор пользователи могут изменять пароли локальных пользователей. Администратор пользователи могут самостоятельно изменять пароли или других пользователей аналитика безопасности или только для чтения. Привилегированные пользователи могут изменять свои пароли и пароли для Администратор пользователей.

Совет

Если вам нужно восстановить доступ к привилегированной учетной записи пользователя, см. статью "Восстановление привилегированного доступа к датчику".

Предварительные требования. Эта процедура доступна только для киберксов, поддержки или cyberx_host пользователей или для пользователей с ролью Администратор.

Чтобы изменить пароль пользователя на датчике, выполните следующее:

  1. Войдите в датчик и выберите "Пользователи".

  2. На странице "Пользователи датчика " найдите пользователя, пароль которого необходимо изменить.

  3. Справа от этой строки пользователя выберите меню>"Изменить", чтобы открыть панель пользователя.

  4. В области пользователя справа в области "Изменить пароль" введите и подтвердите новый пароль. Если вы изменяете свой пароль, вам также потребуется ввести текущий пароль.

    К требованиям к паролям относятся:

    • По крайней мере восемь символов
    • Строчные и прописные буквы
    • По крайней мере одно число
    • По крайней мере один символ

  5. Выберите Сохранить, когда вы закончите.

Восстановление привилегированного доступа к датчику

В этой процедуре описано, как восстановить привилегированный доступ к датчику, для киберс, поддержки или cyberx_host пользователей. Дополнительные сведения см. в разделе "Привилегированные пользователи по умолчанию".

Предварительные требования. Эта процедура доступна только для киберксов, поддержки или cyberx_host пользователей.

Чтобы восстановить привилегированный доступ к датчику, выполните следующие действия.

  1. Начните вход в датчик сети OT. На экране входа выберите ссылку "Сброс ". Например:

    Screenshot of the sensor sign-in screen with the Reset password link.

  2. В диалоговом окне "Сброс пароля" в меню "Выбор пользователя" выберите пользователя, пароль которого вы восстанавливаете, cyberx, support или CyberX_host.

  3. Скопируйте код уникального идентификатора, показанный в идентификаторе пароля сброса в буфер обмена. Например:

    Screenshot of the Reset password dialog on the OT sensor.

  4. Перейдите на страницу "Сайты и датчики Defender для Интернета вещей" в портал Azure. Возможно, вы хотите открыть портал Azure на новой вкладке браузера или окне, сохраняя вкладку датчика открытой.

    В портал Azure каталоги >и подписки убедитесь, что выбрана подписка, в которой был подключен датчик к Defender для Интернета вещей.

  5. На странице "Сайты и датчики" найдите датчик, с которым вы работаете, и выберите меню параметров (...) в правой области >восстановления пароля. Например:

    Screenshot of the Recover my password option on the Sites and sensors page.

  6. В открывшемся диалоговом окне восстановления введите уникальный идентификатор, скопированный в буфер обмена с датчика, и нажмите кнопку "Восстановить". Автоматически загружается файл password_recovery.zip.

    Все файлы, скачанные с портала Azure, заверяются с помощью корня доверия, чтобы компьютеры использовали только подписанные ресурсы.

  7. Вернитесь на вкладку датчика на экране восстановления паролей, выберите " Выбрать файл". Перейдите к файлу password_recovery.zip, который вы скачали ранее из портал Azure.

    Примечание.

    Если появится сообщение об ошибке, указывающее, что файл недопустим, возможно, в параметрах портал Azure выбрана неправильная подписка.

    Вернитесь в Azure и выберите значок параметров на верхней панели инструментов. На странице каталогов и подписок убедитесь, что выбрана подписка, в которой был подключен датчик к Defender для Интернета вещей. Затем повторите действия в Azure, чтобы скачать файл password_recovery.zip и снова отправить его на датчик.

  8. Выберите Далее. Появится системный пароль для датчика, который будет использоваться для выбранного пользователя. Не забудьте записать пароль, так как он не будет отображаться снова.

  9. Нажмите кнопку "Далее ", чтобы войти в датчик с помощью нового пароля.

Определение максимального числа неудачных входов

Используйте доступ к интерфейсу командной строки датчика OT, чтобы определить количество максимальных неудачных входов, прежде чем датчик OT не позволит пользователю снова войти с того же IP-адреса.

Дополнительные сведения см. в разделе "Пользователи и доступ в Defender для Интернета вещей CLI".

Предварительные требования. Эта процедура доступна только для пользователя cyberx .

  1. Войдите в датчик OT с помощью SSH и выполните следующую команду:

    nano /var/cyberx/components/xsense-web/cyberx_web/settings.py

  2. В файле settings.py задайте "MAX_FAILED_LOGINS" для значения максимальное количество неудачных входов, которые требуется определить. Убедитесь, что вы считаете количество одновременных пользователей в системе.

  3. Выйдите из файла и запустите sudo monit restart all , чтобы применить изменения.

Управление временем ожидания сеанса пользователя

По умолчанию локальные пользователи выходят из сеансов через 30 минут бездействия. Администратор пользователи могут использовать локальный доступ CLI для включения или отключения этой функции или настройки пороговых значений бездействия. Дополнительные сведения см. в разделе "Пользователи Интерфейса командной строки Defender для Интернета вещей" исправочник по командам CLI из сетевых датчиков OT.

Примечание.

Все изменения, внесенные в время ожидания сеанса пользователя, сбрасываются по умолчанию при обновлении программного обеспечения мониторинга OT.

Предварительные требования. Эта процедура доступна только для киберксов, поддержки и cyberx_host пользователей.

Чтобы управлять временем ожидания сеанса пользователя датчика, выполните следующее:

  1. Войдите в датчик через терминал и выполните следующую команду:

    sudo nano /var/cyberx/properties/authentication.properties

    Отображаются следующие результаты:

    infinity_session_expiration=true
session_expiration_default_seconds=0
session_expiration_admin_seconds=1800
session_expiration_security_analyst_seconds=1800
session_expiration_read_only_users_seconds=1800
certifcate_validation=false
crl_timeout_secounds=3
crl_retries=1
cm_auth_token=

  2. Выполните одно из следующих действий:

    • Чтобы полностью отключить время ожидания сеанса пользователя, измените значение infinity_session_expiration=falseinfinity_session_expiration=true на . Измените его обратно, чтобы снова включить его.

    • Чтобы настроить период времени ожидания бездействия, настройте одно из следующих значений в нужное время в секундах:

      • session_expiration_default_seconds для всех пользователей
      • session_expiration_admin_secondsтолько для Администратор пользователей
      • session_expiration_security_analyst_seconds Только для пользователей аналитиков безопасности
      • session_expiration_read_only_users_secondsтолько для пользователей только для чтения

Следующие шаги

Дополнительные сведения см. в разделе "Аудит действий пользователей".