Создание пользователей и управление ими на сетевом датчике OT

Microsoft Defender для Интернета вещей предоставляет средства для управления локальным доступом пользователей на сетевом датчике OT и устаревшими локальными консоль управления. Пользователи Azure управляются на уровне подписки Azure с помощью Azure RBAC.

В этой статье описывается, как управлять локальными пользователями непосредственно на сетевом датчике OT.

Привилегированные пользователи по умолчанию

По умолчанию каждый сетевой датчик OT устанавливается с привилегированным пользователем администратора , который имеет доступ к расширенным средствам для устранения неполадок и настройки.

При первом настройке датчика войдите в систему администратора , создайте начального пользователя с ролью администратора , а затем создайте дополнительных пользователей для аналитиков безопасности и пользователей только для чтения.

Дополнительные сведения см. в статье "Установка и настройка датчика OT" и привилегированных пользователей по умолчанию.

Версии датчика раньше 23.1.x также включают киберкс и cyberx_host привилегированных пользователей. В версиях 23.1.x и более поздних версиях эти пользователи устанавливаются, но не включены по умолчанию.

Чтобы включить киберкс и cyberx_host пользователей в версиях 23.1.x и более поздних версиях, например использовать их с интерфейсом командной строки Defender для Интернета вещей, сбросьте пароль. Дополнительные сведения см. в разделе "Изменение пароля пользователя датчика".

Настройка подключения Active Directory

Мы рекомендуем настроить локальных пользователей на датчике OT с помощью Active Directory, чтобы разрешить пользователям Active Directory войти в датчик и использовать группы Active Directory с коллективными разрешениями, назначенными всем пользователям в группе.

Например, используйте Active Directory, если у вас есть большое количество пользователей, которым требуется назначить доступ только для чтения, и вы хотите управлять этими разрешениями на уровне группы.

Совет

Когда вы будете готовы к управлению параметрами датчика OT в масштабе, определите параметры Active Directory из портал Azure. После применения параметров из портал Azure параметры на консоли датчика доступны только для чтения. Дополнительные сведения см. в разделе "Настройка параметров датчика OT" из портал Azure (общедоступная предварительная версия).

Интеграция с Active Directory:

  1. Войдите в датчик OT и выберите "Интеграция параметров>системы">Active Directory.

  2. Переключатель в параметре "Включена интеграция Active Directory".

  3. Введите следующие значения для сервера Active Directory:

    Имя Описание
    Полное доменное имя контроллера домена Полное доменное имя (FQDN) точно так же, как оно отображается на сервере LDAP. Например, введите host1.subdomain.contoso.com.

    Если возникла проблема с интеграцией с полным доменным именем, проверьте конфигурацию DNS. Вы также можете ввести явный IP-адрес сервера LDAP вместо полного доменного имени при настройке интеграции.
    Порт контроллера домена Порт, в котором настроен протокол LDAP. Например, используйте порт 636 для подключений LDAPS (SSL).
    Основной домен Доменное имя, например subdomain.contoso.com, и выберите тип подключения для конфигурации LDAP.

    Поддерживаемые типы подключений: LDAPS/NTLMv3 (рекомендуется), LDAP/NTLMv3 или LDAP/SASL-MD5
    Группы Active Directory Выберите + Добавить, чтобы добавить группу Active Directory на каждый уровень разрешений, указанный по мере необходимости.

    При вводе имени группы убедитесь, что введите имя группы точно так же, как оно определено в конфигурации Active Directory на сервере LDAP. Используйте эти имена групп при добавлении новых пользователей датчика в Active Directory.

    Поддерживаемые уровни разрешений включают только чтение, аналитик безопасности, администратор и доверенные домены.

    Внимание

    При вводе параметров LDAP:

    • Определите значения точно так же, как они отображаются в Active Directory, за исключением случая.
    • Только строчные символы пользователя, даже если конфигурация в Active Directory использует верхний регистр.
    • Протокол LDAP и LDAPS не могут быть настроены для одного домена. Однако вы можете настроить каждый из разных доменов, а затем использовать их одновременно.
  4. Чтобы добавить другой сервер Active Directory, нажмите кнопку +Добавить сервер в верхней части страницы и определите эти значения сервера.

  5. После добавления всех серверов Active Directory нажмите кнопку "Сохранить".

    Например:

    Снимок экрана: конфигурация интеграции Active Directory на датчике.

Добавление новых пользователей датчика OT

В этой процедуре описывается создание новых пользователей для определенного сетевого датчика OT.

Предварительные требования. Эта процедура доступна для администраторов, кибер-клиентов и cyberx_host пользователей и всех пользователей с ролью администратора .

Чтобы добавить пользователя, выполните действия.

  1. Войдите в консоль датчика и выберите "Пользователи>+ Добавить пользователя".

  2. Создание пользователя | Страница "Пользователи" введите следующие сведения:

    Имя Описание
    Имя пользователя Введите понятное имя пользователя.
    Эл. почта Введите адрес электронной почты пользователя.
    Имя Введите имя пользователя.
    Фамилия Введите фамилию пользователя.
    Роль Выберите одну из следующих ролей пользователя: администратор, аналитик безопасности или только чтение. Дополнительные сведения см. в разделе "Локальные роли пользователей".
    Пароль Выберите тип пользователя , локальный или пользователь Active Directory.

    Для локальных пользователей введите пароль для пользователя. К требованиям к паролям относятся:
    - По крайней мере восемь символов
    — как строчные, так и прописные буквы
    - По крайней мере одно число
    - По крайней мере один символ

    Пароли локальных пользователей могут изменяться только пользователями администратора .

    Совет

    Интеграция с Active Directory позволяет связать группы пользователей с определенными уровнями разрешений. Если вы хотите создать пользователей с помощью Active Directory, сначала настройте подключение Active Directory, а затем вернитесь к этой процедуре.

  3. Выберите Сохранить, когда вы закончите.

Новый пользователь добавляется и отображается на странице "Пользователи датчика".

Чтобы изменить пользователя, выберите значок "Изменить" для пользователя, которого вы хотите изменить, и измените все значения по мере необходимости.

Чтобы удалить пользователя, нажмите кнопку "Удалить " для пользователя, которого вы хотите удалить.

Изменение пароля пользователя датчика

В этой процедуре описывается, как пользователи администратора могут изменять пароли локальных пользователей. Администраторы могут изменять пароли для себя или других аналитиков безопасности или только для чтения пользователей. Привилегированные пользователи могут изменять свои пароли и пароли для пользователей администратора .

Совет

Если вам нужно восстановить доступ к привилегированной учетной записи пользователя, см. статью "Восстановление привилегированного доступа к датчику".

Необходимые условия: эта процедура доступна только для киберксов, администраторов или cyberx_host пользователей или для пользователей с ролью администратора.

Чтобы изменить пароль пользователя на датчике, выполните следующее:

  1. Войдите в датчик и выберите "Пользователи".

  2. На странице "Пользователи датчика " найдите пользователя, пароль которого необходимо изменить.

  3. Справа от этой строки пользователя выберите меню >"Изменить", чтобы открыть панель пользователя.

  4. В области пользователя справа в области "Изменить пароль" введите и подтвердите новый пароль. Если вы изменяете свой пароль, вам также потребуется ввести текущий пароль.

    К требованиям к паролям относятся:

    • По крайней мере восемь символов
    • Строчные и прописные буквы
    • По крайней мере одно число
    • По крайней мере один символ
  5. Выберите Сохранить, когда вы закончите.

Восстановление привилегированного доступа к датчику

В этой процедуре описано, как восстановить привилегированный доступ к датчику, для киберксов, администраторов или cyberx_host пользователей. Дополнительные сведения см. в разделе "Привилегированные пользователи по умолчанию".

Предварительные требования. Эта процедура доступна только для пользователей киберксов, администраторов или cyberx_host пользователей.

Чтобы восстановить привилегированный доступ к датчику, выполните следующие действия.

  1. Начните вход в датчик сети OT. На экране входа выберите ссылку "Сброс ". Например:

    Снимок экрана: экран входа датчика с ссылкой

  2. В диалоговом окне сброса пароля в меню "Выбор пользователя" выберите пользователя, пароль которого вы восстанавливаете, киберкс, администратор или CyberX_host.

  3. Скопируйте код уникального идентификатора, показанный в идентификаторе пароля сброса в буфер обмена. Например:

    Снимок экрана: диалоговое окно сброса пароля на датчике OT.

  4. Перейдите на страницу "Сайты и датчики Defender для Интернета вещей" в портал Azure. Возможно, вы хотите открыть портал Azure на новой вкладке браузера или окне, сохраняя вкладку датчика открытой.

    В портал Azure каталоги >и подписки убедитесь, что выбрана подписка, в которой был подключен датчик к Defender для Интернета вещей.

  5. На странице "Сайты и датчики" найдите датчик, с которым вы работаете, и выберите меню параметров (...) в правой области >восстановления пароля. Например:

    Снимок экрана: параметр

  6. В открывшемся диалоговом окне восстановления введите уникальный идентификатор, скопированный в буфер обмена с датчика, и нажмите кнопку "Восстановить". Автоматически загружается файл password_recovery.zip.

    Все файлы, скачанные с портала Azure, заверяются с помощью корня доверия, чтобы компьютеры использовали только подписанные ресурсы.

  7. Вернитесь на вкладку датчика на экране восстановления паролей, выберите " Выбрать файл". Перейдите к файлу password_recovery.zip, который вы скачали ранее из портал Azure.

    Примечание.

    Если появится сообщение об ошибке, указывающее, что файл недопустим, возможно, в параметрах портал Azure выбрана неправильная подписка.

    Вернитесь в Azure и выберите значок параметров на верхней панели инструментов. На странице каталогов и подписок убедитесь, что выбрана подписка, в которой был подключен датчик к Defender для Интернета вещей. Затем повторите действия в Azure, чтобы скачать файл password_recovery.zip и снова отправить его на датчик.

  8. Выберите Далее. Появится системный пароль для датчика, который будет использоваться для выбранного пользователя. Не забудьте записать пароль, так как он не будет отображаться снова.

  9. Нажмите кнопку "Далее ", чтобы войти в датчик с помощью нового пароля.

Определение максимального числа неудачных входов

Используйте доступ к интерфейсу командной строки датчика OT, чтобы определить количество максимальных неудачных входов, прежде чем датчик OT не позволит пользователю снова войти с того же IP-адреса.

Дополнительные сведения см. в разделе "Пользователи и доступ в Defender для Интернета вещей CLI".

Предварительные требования. Эта процедура доступна только для пользователя cyberx .

  1. Войдите в датчик OT с помощью SSH и выполните следующую команду:

    nano /var/cyberx/components/xsense-web/cyberx_web/settings.py
    
  2. В файле settings.py задайте "MAX_FAILED_LOGINS" для значения максимальное количество неудачных входов, которые требуется определить. Убедитесь, что вы считаете количество одновременных пользователей в системе.

  3. Выйдите из файла и запустите sudo monit restart all , чтобы применить изменения.

Следующие шаги

Дополнительные сведения см. в разделе "Аудит действий пользователей".