Gebruikers maken en beheren in een on-premises beheerconsole (verouderd)
Belangrijk
Defender for IoT raadt nu aan om Microsoft-cloudservices of bestaande IT-infrastructuur te gebruiken voor centraal bewakings- en sensorbeheer en is van plan om de on-premises beheerconsole op 1 januari 2025 buiten gebruik te stellen.
Zie Hybride of lucht-gapped OT-sensorbeheer implementeren voor meer informatie.
Microsoft Defender voor IoT biedt hulpprogramma's voor het beheren van on-premises gebruikerstoegang in de OT-netwerksensor en de on-premises beheerconsole. Azure-gebruikers worden beheerd op het niveau van het Azure-abonnement met behulp van Azure RBAC.
In dit artikel wordt beschreven hoe u on-premises gebruikers rechtstreeks op een on-premises beheerconsole beheert.
Standaard bevoegde gebruikers
Standaard wordt elke on-premises beheerconsole geïnstalleerd met de bevoegde ondersteuning en cyberx-gebruikers , die toegang hebben tot geavanceerde hulpprogramma's voor probleemoplossing en installatie.
Wanneer u een on-premises beheerconsole voor het eerst instelt, meldt u zich aan met een van deze bevoegde gebruikers, maakt u een initiële gebruiker met een Beheer rol en maakt u vervolgens extra gebruikers voor beveiligingsanalisten en alleen-lezengebruikers.
Zie OT-bewakingssoftware installeren in een on-premises beheerconsole en standaard bevoegde on-premises gebruikers voor meer informatie.
Nieuwe gebruikers van de on-premises beheerconsole toevoegen
In deze procedure wordt beschreven hoe u nieuwe gebruikers maakt voor een on-premises beheerconsole.
Vereisten: deze procedure is beschikbaar voor de ondersteunings- en cyberxgebruikers, en elke gebruiker met de rol Beheer.
Een gebruiker toevoegen:
Meld u aan bij de on-premises beheerconsole en selecteer Users>+ Add user.
Selecteer Gebruiker maken en definieer vervolgens de volgende waarden:
Name Beschrijving Gebruikersnaam Voer een gebruikersnaam in. E-mailadres Voer het e-mailadres van de gebruiker in. Voornaam Voer de voornaam van de gebruiker in. Achternaam Voer de achternaam van de gebruiker in. - Rol Selecteer een gebruikersrol. Zie On-premises gebruikersrollen voor meer informatie. Toegangsgroep voor externe sites Alleen beschikbaar voor de on-premises beheerconsole.
Selecteer Alle om de gebruiker toe te wijzen aan alle globale toegangsgroepen of Alleen specifiek om ze toe te wijzen aan een specifieke groep en selecteer vervolgens de groep in de vervolgkeuzelijst.
Zie Globale toegangsmachtigingen definiëren voor on-premises gebruikers voor meer informatie.Wachtwoord Selecteer het gebruikerstype, lokaal of Active Directory-gebruiker.
Voer voor lokale gebruikers een wachtwoord in voor de gebruiker. Wachtwoordvereisten zijn onder andere:
- Ten minste acht tekens
- Zowel kleine letters als alfabetische hoofdletters
- Ten minste één getal
- Ten minste één symboolTip
Als u integreert met Active Directory, kunt u groepen gebruikers koppelen aan specifieke machtigingsniveaus. Als u gebruikers wilt maken met Active Directory, configureert u eerst Active Directory in de on-premises beheerconsole en gaat u vervolgens terug naar deze procedure.
Kies Opslaan wanneer u klaar bent.
Uw nieuwe gebruiker wordt toegevoegd en wordt weergegeven op de pagina Sensorgebruikers.
Als u een gebruiker wilt bewerken, selecteert u de knop Bewerken
voor de gebruiker die u wilt bewerken en wijzigt u de waarden indien nodig.
Als u een gebruiker wilt verwijderen, selecteert u de knop Verwijderen
voor de gebruiker die u wilt verwijderen.
Het wachtwoord van een gebruiker wijzigen
In deze procedure wordt beschreven hoe Beheer gebruikers lokale gebruikerswachtwoorden kunnen wijzigen. Beheer gebruikers kunnen wachtwoorden voor zichzelf of voor andere beveiligingsanalisten of alleen-lezengebruikers wijzigen. Bevoegde gebruikers kunnen hun eigen wachtwoorden en de wachtwoorden voor Beheer gebruikers wijzigen.
Tip
Als u de toegang tot een bevoegde gebruikersaccount wilt herstellen, raadpleegt u Bevoegde toegang tot een on-premises beheerconsole herstellen.
Vereisten: deze procedure is alleen beschikbaar voor de ondersteunings- of cyberxgebruikers, of voor gebruikers met de rol Beheer.
Het wachtwoord van een gebruiker opnieuw instellen op de on-premises beheerconsole:
Meld u aan bij de on-premises beheerconsole en selecteer Gebruikers.
Zoek op de pagina Gebruikers de gebruiker waarvan het wachtwoord moet worden gewijzigd.
Selecteer rechts van die gebruikersrij de knop Bewerken
.Schuif in het deelvenster Gebruiker bewerken dat wordt weergegeven omlaag naar de sectie Wachtwoord wijzigen. Voer het nieuwe wachtwoord in en bevestig het.
Wachtwoorden moeten ten minste 16 tekens bevatten, kleine letters en alfabetische hoofdletters, cijfers en een van de volgende symbolen: #%*+,-./:=?@[]^_{}~
Selecteer Bijwerken wanneer u klaar bent.
Bevoegde toegang tot een on-premises beheerconsole herstellen
In deze procedure wordt beschreven hoe u het ondersteunings - of cyberx-gebruikerswachtwoord herstelt op een on-premises beheerconsole. Zie Voor meer informatie standaard bevoegde on-premises gebruikers.
Vereisten: deze procedure is alleen beschikbaar voor de ondersteuning en cyberxgebruikers.
Bevoegde toegang tot een on-premises beheerconsole herstellen:
Meld u aan bij uw on-premises beheerconsole. Selecteer wachtwoordherstel in het aanmeldingsscherm onder de velden Gebruikersnaam en Wachtwoord.
Selecteer in het dialoogvenster Wachtwoordherstel CyberX of Ondersteuning in de vervolgkeuzelijst en kopieer de unieke id-code die wordt weergegeven naar het klembord.
Ga naar de pagina Defender for IoT-sites en -sensoren in Azure Portal. Mogelijk wilt u Azure Portal openen in een nieuw browsertabblad of -venster, zodat uw on-premises beheerconsole geopend blijft.
Zorg ervoor dat u in de Azure-portal-instellingen >directory's en abonnementen hebt geselecteerd waarin uw sensoren zijn toegevoegd aan Defender for IoT.
Selecteer op de pagina Sites en sensoren het vervolgkeuzemenu >Meer acties om het wachtwoord van de on-premises beheerconsole te herstellen.
Voer in het dialoogvenster Herstellen dat wordt geopend de unieke id in die u hebt gekopieerd naar het klembord vanuit uw on-premises beheerconsole en selecteer Herstellen. Er wordt automatisch een password_recovery.zip-bestand gedownload.
Alle bestanden die vanuit Azure Portal worden gedownload, worden ondertekend door de hoofdmap van vertrouwen, zodat uw computers alleen ondertekende assets gebruiken.
Ga terug naar het tabblad on-premises beheerconsole en selecteer Uploaden in het dialoogvenster Wachtwoordherstel. Blader naar een upload van het password_recovery.zip-bestand dat u hebt gedownload vanuit Azure Portal.
Notitie
Als er een foutbericht wordt weergegeven waarin wordt aangegeven dat het bestand ongeldig is, hebt u mogelijk een onjuist abonnement geselecteerd in de instellingen van de Azure-portal.
Ga terug naar Azure en selecteer het instellingenpictogram op de bovenste werkbalk. Zorg ervoor dat u op de pagina Directory's en abonnementen het abonnement hebt geselecteerd waarop uw sensoren zijn toegevoegd aan Defender for IoT. Herhaal vervolgens de stappen in Azure om het password_recovery.zip-bestand te downloaden en het opnieuw te uploaden op de on-premises beheerconsole.
Selecteer Volgende. Er wordt een door het systeem gegenereerd wachtwoord voor uw on-premises beheerconsole weergegeven, zodat u deze kunt gebruiken voor de geselecteerde gebruiker. Noteer het wachtwoord omdat het niet opnieuw wordt weergegeven.
Selecteer Volgende opnieuw om u aan te melden bij uw on-premises beheerconsole.
Gebruikers integreren met Active Directory
Configureer een integratie tussen uw on-premises beheerconsole en Active Directory voor:
- Active Directory-gebruikers toestaan zich aan te melden bij uw on-premises beheerconsole
- Active Directory-groepen gebruiken, waarbij collectieve machtigingen zijn toegewezen aan alle gebruikers in de groep
Gebruik bijvoorbeeld Active Directory wanneer u een groot aantal gebruikers hebt waaraan u alleen-lezentoegang wilt toewijzen en u deze machtigingen op groepsniveau wilt beheren.
Zie Microsoft Entra ID-ondersteuning voor sensoren en on-premises beheerconsoles voor meer informatie.
Vereisten: deze procedure is alleen beschikbaar voor de ondersteuning en cyberxgebruikers, of voor elke gebruiker met een Beheer rol.
Integreren met Active Directory:
Meld u aan bij uw on-premises beheerconsole en selecteer System Instellingen.
Schuif omlaag naar het gebied voor beheerconsoleintegraties aan de rechterkant en selecteer Vervolgens Active Directory.
Selecteer de optie Active Directory-integratie ingeschakeld en voer de volgende waarden in voor een Active Directory-server:
Veld Beschrijving FQDN van domeincontroller De FQDN (Fully Qualified Domain Name), precies zoals deze op uw LDAP-server wordt weergegeven. Voer bijvoorbeeld host1.subdomain.contoso.comin.
Als u een probleem ondervindt met de integratie met behulp van de FQDN, controleert u uw DNS-configuratie. U kunt ook het expliciete IP-adres van de LDAP-server invoeren in plaats van de FQDN bij het instellen van de integratie.Poort van domeincontroller De poort waarop uw LDAP is geconfigureerd. Primair domein De domeinnaam, zoals subdomain.contoso.comen selecteer vervolgens het verbindingstype voor uw LDAP-configuratie.
Ondersteunde verbindingstypen zijn: LDAPS/NTLMv3 (aanbevolen), LDAP/NTLMv3 of LDAP/SASL-MD5Active Directory-groepen Selecteer + Toevoegen om indien nodig een Active Directory-groep toe te voegen aan elk vermeld machtigingsniveau.
Wanneer u een groepsnaam invoert, moet u ervoor zorgen dat u de groepsnaam invoert zoals deze is gedefinieerd in uw Active Directory-configuratie op de LDAP-server. Zorg er vervolgens voor dat u deze groepen gebruikt bij het maken van nieuwe sensorgebruikers uit Active Directory.
Ondersteunde machtigingsniveaus zijn alleen-lezen, beveiligingsanalist, Beheer en vertrouwde domeinen.
Voeg groepen toe als vertrouwde eindpunten in een aparte rij van de andere Active Directory-groepen. Als u een vertrouwd domein wilt toevoegen, voegt u de domeinnaam en het verbindingstype van een vertrouwd domein toe. U kunt alleen vertrouwde eindpunten configureren voor gebruikers die zijn gedefinieerd onder gebruikers.Selecteer + Server toevoegen om een andere server toe te voegen en voer indien nodig de waarden in en Sla op wanneer u klaar bent.
Belangrijk
Bij het invoeren van LDAP-parameters:
- Definieer waarden precies zoals ze worden weergegeven in Active Directory, met uitzondering van het geval.
- Alleen kleine letters van de gebruiker, zelfs als de configuratie in Active Directory hoofdletters gebruikt.
- LDAP en LDAPS kunnen niet worden geconfigureerd voor hetzelfde domein. U kunt echter elk in verschillende domeinen configureren en deze vervolgens tegelijkertijd gebruiken.
Voorbeeld:
Maak toegangsgroepsregels voor gebruikers van de on-premises beheerconsole.
Als u Active Directory-groepen configureert voor on-premises beheerconsolegebruikers, moet u ook een toegangsgroepregel maken voor elke Active Directory-groep. Active Directory-referenties werken niet voor on-premises beheerconsolegebruikers zonder een bijbehorende regel voor toegangsgroepen.
Zie Globale toegangsmachtigingen definiëren voor on-premises gebruikers voor meer informatie.
Globale toegangsmachtiging definiëren voor on-premises gebruikers
Grote organisaties hebben vaak een complex gebruikersmachtigingsmodel op basis van globale organisatiestructuren. Als u uw on-premises Defender for IoT-gebruikers wilt beheren, raden we u aan een globale bedrijfstopologie te gebruiken die is gebaseerd op bedrijfseenheden, regio's en sites en vervolgens machtigingen voor gebruikerstoegang rond deze entiteiten te definiëren.
Maak gebruikerstoegangsgroepen om globaal toegangsbeheer tot stand te brengen in on-premises Defender for IoT-resources. Elke toegangsgroep bevat regels over de gebruikers die toegang hebben tot specifieke entiteiten in uw bedrijfstopologie, waaronder bedrijfseenheden, regio's en sites.
Zie On-premises globale toegangsgroepen voor meer informatie.
Vereisten:
Deze procedure is beschikbaar voor de ondersteunings- en cyberxgebruikers, en elke gebruiker met de rol Beheer.
Voordat u toegangsgroepen maakt, raden we u ook aan het volgende te doen:
Plan welke gebruikers zijn gekoppeld aan de toegangsgroepen die u maakt. Er zijn twee opties beschikbaar voor het toewijzen van gebruikers aan groepen:
Groepen Active Directory-groepen toewijzen: Controleer of u een Active Directory-exemplaar instelt om te integreren met de on-premises beheerconsole.
Lokale gebruikers toewijzen: Controleer of u lokale gebruikers hebt gemaakt.
Gebruikers met Beheer rollen hebben standaard toegang tot alle bedrijfstopologieentiteiten en kunnen niet worden toegewezen aan toegangsgroepen.
Stel uw bedrijfstopologie zorgvuldig in. Als u een regel wilt toepassen, moet u sensoren toewijzen aan zones in het venster Sitebeheer . Zie OT-sites en -zones maken op een on-premises beheerconsole voor meer informatie.
Toegangsgroepen maken:
Meld u als gebruiker aan bij de on-premises beheerconsole met een Beheer rol.
Selecteer Access-groepen in het linkernavigatiemenu en selecteer vervolgens Toevoegen
.Voer in het dialoogvenster Toegangsgroep toevoegen een betekenisvolle naam in voor de toegangsgroep, met maximaal 64 tekens.
Selecteer REGEL TOEVOEGEN en selecteer vervolgens de opties voor bedrijfstopologie die u wilt opnemen in de toegangsgroep. De opties die worden weergegeven in het dialoogvenster Regel toevoegen, zijn de entiteiten die u hebt gemaakt op de pagina's Ondernemingsweergave en Sitebeheer . Voorbeeld:
Als ze nog niet bestaan, worden standaard globale bedrijfseenheden en regio's gemaakt voor de eerste groep die u maakt. Als u geen bedrijfseenheden of regio's selecteert, hebben gebruikers in de toegangsgroep toegang tot alle bedrijfstopologieentiteiten.
Elke regel kan slechts één element per type bevatten. U kunt bijvoorbeeld één bedrijfseenheid, één regio en één site toewijzen voor elke regel. Als u wilt dat dezelfde gebruikers toegang hebben tot meerdere bedrijfseenheden, maakt u in verschillende regio's meer regels voor de groep. Wanneer een toegangsgroep verschillende regels bevat, worden met de regellogica alle regels samengevoegd met behulp van een AND-logica.
Alle regels die u maakt, worden weergegeven in het dialoogvenster Toegangsgroep toevoegen, waar u ze verder kunt bewerken of indien nodig kunt verwijderen. Voorbeeld:
Voeg gebruikers toe met een of beide van de volgende methoden:
Als de optie Een Active Directory-groep toewijzen wordt weergegeven, wijst u indien nodig een Active Directory-groep gebruikers toe aan deze toegangsgroep. Voorbeeld:
Als de optie niet wordt weergegeven en u Active Directory-groepen wilt opnemen in toegangsgroepen, moet u ervoor zorgen dat u uw Active Directory-groep hebt opgenomen in uw Active Directory-integratie. Zie On-premises gebruikers integreren met Active Directory voor meer informatie.
Voeg lokale gebruikers toe aan uw groepen door bestaande gebruikers te bewerken vanaf de pagina Gebruikers . Selecteer op de pagina Gebruikers de knop Bewerken voor de gebruiker die u wilt toewijzen aan de groep en werk vervolgens de waarde van de rastoegangsgroep voor de geselecteerde gebruiker bij. Zie Nieuwe gebruikers van de on-premises beheerconsole toevoegen voor meer informatie.
Wijzigingen in topologieentiteiten
Als u later een topologieentiteit wijzigt en de wijziging van invloed is op de regellogica, wordt de regel automatisch verwijderd.
Als wijzigingen in topologieentiteiten invloed hebben op regellogica, zodat alle regels worden verwijderd, blijft de toegangsgroep behouden, maar kunnen gebruikers zich niet aanmelden bij de on-premises beheerconsole. In plaats daarvan krijgen gebruikers een melding om contact op te leggen met hun on-premises beheerconsolebeheerder voor hulp bij het aanmelden. Werk de instellingen voor deze gebruikers bij zodat ze geen deel meer uitmaken van de verouderde toegangsgroep.
Time-outs voor gebruikerssessies beheren
Standaard worden on-premises gebruikers na 30 minuten inactiviteit afgemeld bij hun sessies. Beheer gebruikers de lokale CLI kunnen gebruiken om deze functie in of uit te schakelen, of om de drempelwaarden voor inactiviteit aan te passen. Zie Werken met Defender for IoT CLI-opdrachten voor meer informatie.
Notitie
Eventuele wijzigingen die zijn aangebracht in time-outs van gebruikerssessies, worden opnieuw ingesteld op standaardwaarden wanneer u de OT-bewakingssoftware bijwerkt.
Vereisten: deze procedure is alleen beschikbaar voor de ondersteuning en cyberxgebruikers.
Time-outs voor sensorgebruikerssessies beheren:
Meld u aan bij uw sensor via een terminal en voer het volgende uit:
sudo nano /var/cyberx/properties/authentication.propertiesDe volgende uitvoer wordt weergegeven:
infinity_session_expiration = true session_expiration_default_seconds = 0 # half an hour in seconds session_expiration_admin_seconds = 1800 session_expiration_security_analyst_seconds = 1800 session_expiration_read_only_users_seconds = 1800 certifcate_validation = true CRL_timeout_secounds = 3 CRL_retries = 1Voer een van de volgende stappen uit:
Als u time-outs voor gebruikerssessies volledig wilt uitschakelen, gaat u naar
infinity_session_expiration = trueinfinity_session_expiration = false. Wijzig deze weer om deze weer in te schakelen.Als u een time-outperiode voor inactiviteit wilt aanpassen, past u een van de volgende waarden aan op de vereiste tijd, in seconden:
session_expiration_default_secondsvoor alle gebruikerssession_expiration_admin_secondsalleen voor Beheer gebruikerssession_expiration_security_analyst_secondsalleen voor gebruikers van beveiligingsanalistensession_expiration_read_only_users_secondsalleen voor alleen-lezengebruikers
Volgende stappen
Zie voor meer informatie: