Share via

Skapa och hantera användare på en OT-nätverkssensor

  • Artikel

Microsoft Defender för IoT innehåller verktyg för att hantera lokal användaråtkomst i OT-nätverkssensorn och den äldre lokala hanteringskonsolen. Azure-användare hanteras på Azure-prenumerationsnivå med hjälp av Azure RBAC.

Den här artikeln beskriver hur du hanterar lokala användare direkt på en OT-nätverkssensor.

Standardprivilegierade användare

Som standard installeras varje OT-nätverkssensor med den privilegierade supportanvändaren , som har åtkomst till avancerade verktyg för felsökning och installation.

När du konfigurerar en sensor för första gången loggar du in supportanvändaren, skapar en första användare med en administratörsroll och skapar sedan extra användare för säkerhetsanalytiker och skrivskyddade användare.

Mer information finns i Installera och konfigurera din OT-sensor och Standardprivilegierade lokala användare.

Sensorversioner tidigare än 23.1.x omfattar även cyberx - och cyberx_host privilegierade användare. I version 23.1.x och senare installeras dessa användare, men aktiveras inte som standard.

Återställ lösenordet för att aktivera cyberx - och cyberx_host-användare i version 23.1.x och senare, till exempel för att använda dem med Defender for IoT CLI. Mer information finns i Ändra en sensoranvändares lösenord.

Konfigurera en Active Directory-anslutning

Vi rekommenderar att du konfigurerar lokala användare på din OT-sensor med Active Directory, så att Active Directory-användare kan logga in på sensorn och använda Active Directory-grupper, med kollektiva behörigheter tilldelade till alla användare i gruppen.

Använd till exempel Active Directory när du har ett stort antal användare som du vill tilldela skrivskyddad åtkomst till och du vill hantera dessa behörigheter på gruppnivå.

Dricks

När du är redo att börja hantera dina OT-sensorinställningar i stor skala definierar du Active Directory-inställningar från Azure-portalen. När du har tillämpat inställningar från Azure-portalen är inställningarna i sensorkonsolen skrivskyddade. Mer information finns i Konfigurera INSTÄLLNINGAR för OT-sensor från Azure-portalen (offentlig förhandsversion).

Så här integrerar du med Active Directory:

  1. Logga in på ot-sensorn och välj System Inställningar> Integrations>Active Directory.

  2. Växla på alternativet Active Directory-integrering aktiverat .

  3. Ange följande värden för Active Directory-servern:

    Name beskrivning
    FQDN för domänkontrollant Det fullständigt kvalificerade domännamnet (FQDN), precis som det visas på LDAP-servern. Ange till exempel host1.subdomain.contoso.com.

    Om du stöter på ett problem med integreringen med hjälp av FQDN kontrollerar du DNS-konfigurationen. Du kan också ange den explicita IP-adressen för LDAP-servern i stället för det fullständiga domännamnet när du konfigurerar integreringen.
    Domänkontrollantport Porten där din LDAP har konfigurerats. Använd till exempel port 636 för LDAPS-anslutningar (SSL).
    Primär domän Domännamnet, till exempel subdomain.contoso.com, och välj sedan anslutningstypen för LDAP-konfigurationen.

    Anslutningstyper som stöds är: LDAPS/NTLMv3 (rekommenderas), LDAP/NTLMv3 eller LDAP/SASL-MD5
    Active Directory-grupper Välj + Lägg till för att lägga till en Active Directory-grupp till varje behörighetsnivå som visas efter behov.

    När du anger ett gruppnamn kontrollerar du att du anger gruppnamnet exakt som det definieras i Active Directory-konfigurationen på LDAP-servern. Använd dessa gruppnamn när du lägger till nya sensoranvändare med Active Directory.

    Behörighetsnivåer som stöds är skrivskyddade, säkerhetsanalytiker, administratör och betrodda domäner.

    Viktigt!

    När du anger LDAP-parametrar:

    • Definiera värden exakt som de visas i Active Directory, förutom för fallet.
    • Endast användarinvändartecken, även om konfigurationen i Active Directory använder versaler.
    • LDAP och LDAPS kan inte konfigureras för samma domän. Du kan dock konfigurera var och en i olika domäner och sedan använda dem samtidigt.

  4. Om du vill lägga till en annan Active Directory-server väljer du + Lägg till server överst på sidan och definierar dessa servervärden.

  5. När du har lagt till alla Active Directory-servrar väljer du Spara.

    Till exempel:

    Screenshot of the active directory integration configuration on the sensor.

Lägga till nya OT-sensoranvändare

Den här proceduren beskriver hur du skapar nya användare för en specifik OT-nätverkssensor.

Krav: Den här proceduren är tillgänglig för cyberx-, support- och cyberx_host-användare och alla användare med administratörsrollen.

Så här lägger du till en användare:

  1. Logga in på sensorkonsolen och välj Användare>+ Lägg till användare.

  2. På skapa en användare | På sidan Användare anger du följande information:

    Name beskrivning
    Användarnamn Ange ett beskrivande användarnamn för användaren.
    E-post Ange användarens e-postadress.
    Förnamn Ange användarens förnamn.
    Efternamn Ange användarens efternamn.
    Roll Välj någon av följande användarroller: Administratör, Säkerhetsanalytiker eller Skrivskyddad. Mer information finns i Lokala användarroller.
    Lösenord Välj användartyp, antingen Lokal eller Active Directory-användare.

    För lokala användare anger du ett lösenord för användaren. Lösenordskrav omfattar:
    - Minst åtta tecken
    - Både gemener och versaler alfabetiska tecken
    - Minst ett nummer
    - Minst en symbol

    Lokala användarlösenord kan bara ändras av administratörsanvändare .

    Dricks

    Genom att integrera med Active Directory kan du associera grupper av användare med specifika behörighetsnivåer. Om du vill skapa användare med Hjälp av Active Directory konfigurerar du först en Active Directory-anslutning och återgår sedan till den här proceduren.

  3. Välj Spara när du är klar.

Den nya användaren läggs till och visas på sidan Användare för sensorn.

Om du vill redigera en användare väljer du ikonen Redigera för den användare som du vill redigera och ändrar eventuella värden efter behov.

Om du vill ta bort en användare väljer du knappen Ta bort för den användare som du vill ta bort.

Ändra en sensoranvändares lösenord

Den här proceduren beskriver hur administratörsanvändare kan ändra lokala användarlösenord. Administratörsanvändare kan ändra lösenord för sig själva eller för andra säkerhetsanalytiker eller skrivskyddade användare. Privilegierade användare kan ändra sina egna lösenord och lösenord för administratörsanvändare .

Dricks

Om du behöver återställa åtkomsten till ett privilegierat användarkonto kan du läsa Återställa privilegierad åtkomst till en sensor.

Krav: Den här proceduren är endast tillgänglig för cyberx-, support- eller cyberx_host-användare eller för användare med administratörsrollen.

Så här ändrar du en användares lösenord på en sensor:

  1. Logga in på sensorn och välj Användare.

  2. Leta reda på den användare vars lösenord måste ändras på sensorns sida Användare .

  3. Till höger om användarraden väljer du alternativmenyn >(...) Redigera för att öppna användarfönstret.

  4. I användarfönstret till höger i området Ändra lösenord anger du och bekräftar det nya lösenordet. Om du ändrar ditt eget lösenord måste du också ange ditt aktuella lösenord.

    Lösenordskrav omfattar:

    • Minst åtta tecken
    • Både gemener och versaler alfabetiska tecken
    • Minst ett tal
    • Minst en symbol

  5. Välj Spara när du är klar.

Återställa privilegierad åtkomst till en sensor

Den här proceduren beskriver hur du återställer privilegierad åtkomst till en sensor, för cyberx, support eller cyberx_host användare. Mer information finns i Standardprivilegierade lokala användare.

Förutsättningar: Den här proceduren är endast tillgänglig för cyberx-, support- eller cyberx_host-användare.

Så här återställer du privilegierad åtkomst till en sensor:

  1. Börja logga in på OT-nätverkssensorn. På inloggningsskärmen väljer du länken Återställ . Till exempel:

    Screenshot of the sensor sign-in screen with the Reset password link.

  2. I dialogrutan Återställ lösenord går du till menyn Välj användare och väljer den användare vars lösenord du återställer, antingen Cyberx, Support eller CyberX_host.

  3. Kopiera den unika identifierarkod som visas i återställningslösenordidentifieraren till Urklipp. Till exempel:

    Screenshot of the Reset password dialog on the OT sensor.

  4. Gå till sidan Defender för IoT-webbplatser och sensorer i Azure-portalen. Du kanske vill öppna Azure-portalen på en ny webbläsarflik eller ett nytt fönster och hålla sensorfliken öppen.

    I inställningarna >för Azure-portalen Kataloger + prenumerationer kontrollerar du att du har valt den prenumeration där sensorn registrerades i Defender för IoT.

  5. På sidan Webbplatser och sensorer letar du upp sensorn som du arbetar med och väljer alternativmenyn (...) till höger >Återställ mitt lösenord. Till exempel:

    Screenshot of the Recover my password option on the Sites and sensors page.

  6. I dialogrutan Återställ som öppnas anger du den unika identifierare som du har kopierat till Urklipp från sensorn och väljer Återställ. En password_recovery.zip-fil laddas ned automatiskt.

    Alla filer som laddas ned från Azure-portalen signeras av roten av förtroende så att dina datorer endast använder signerade tillgångar.

  7. På sensorfliken går du till skärmen Lösenordsåterställning och väljer Välj fil. Gå till och ladda upp filen password_recovery.zip som du laddade ned tidigare från Azure-portalen.

    Kommentar

    Om ett felmeddelande visas som anger att filen är ogiltig kan du ha valt en felaktig prenumeration i inställningarna för Azure-portalen.

    Gå tillbaka till Azure och välj inställningsikonen i det övre verktygsfältet. På sidan Kataloger + prenumerationer kontrollerar du att du har valt den prenumeration där sensorn registrerades i Defender för IoT. Upprepa sedan stegen i Azure för att ladda ned filen password_recovery.zip och ladda upp den på sensorn igen.

  8. Välj Nästa. Ett systemgenererat lösenord för sensorn visas som du kan använda för den valda användaren. Skriv ned lösenordet eftersom det inte visas igen.

  9. Välj Nästa igen för att logga in på sensorn med det nya lösenordet.

Definiera maximalt antal misslyckade inloggningar

Använd OT-sensorns CLI-åtkomst för att definiera antalet maximala misslyckade inloggningar innan en OT-sensor hindrar användaren från att logga in igen från samma IP-adress.

Mer information finns i Defender för IoT CLI-användare och åtkomst.

Förutsättningar: Den här proceduren är endast tillgänglig för cyberx-användaren.

  1. Logga in på ot-sensorn via SSH och kör:

    nano /var/cyberx/components/xsense-web/cyberx_web/settings.py

  2. I filen settings.py anger du "MAX_FAILED_LOGINS" värdet till det maximala antalet misslyckade inloggningar som du vill definiera. Se till att du överväger antalet samtidiga användare i systemet.

  3. Avsluta filen och kör sudo monit restart all för att tillämpa ändringarna.

Kontrollera tidsgränser för användarsessioner

Som standard loggas lokala användare ut från sina sessioner efter 30 minuters inaktivitet. Administratörsanvändare kan använda den lokala CLI-åtkomsten för att antingen aktivera eller inaktivera den här funktionen eller för att justera tröskelvärdena för inaktivitet. Mer information finns i Defender för IoT CLI-användare och åtkomst- och CLI-kommandoreferens från OT-nätverkssensorer.

Kommentar

Ändringar som görs i tidsgränser för användarsessioner återställs till standardvärden när du uppdaterar OT-övervakningsprogramvaran.

Förutsättningar: Den här proceduren är endast tillgänglig för cyberx-, support- och cyberx_host-användare.

Så här kontrollerar du tidsgränser för sensoranvändares sessioner:

  1. Logga in på sensorn via en terminal och kör:

    sudo nano /var/cyberx/properties/authentication.properties

    Följande utdata visas:

    infinity_session_expiration=true
session_expiration_default_seconds=0
session_expiration_admin_seconds=1800
session_expiration_security_analyst_seconds=1800
session_expiration_read_only_users_seconds=1800
certifcate_validation=false
crl_timeout_secounds=3
crl_retries=1
cm_auth_token=

  2. Gör något av följande:

    • Om du vill inaktivera tidsgränser för användarsessioner helt och hållet ändrar du infinity_session_expiration=true till infinity_session_expiration=false. Ändra tillbaka den för att aktivera den igen.

    • Om du vill justera en tidsgräns för inaktivitet justerar du något av följande värden till den tid som krävs i sekunder:

      • session_expiration_default_seconds för alla användare
      • session_expiration_admin_secondsendast för administratörsanvändare
      • session_expiration_security_analyst_secondsendast för användare av säkerhetsanalytiker
      • session_expiration_read_only_users_seconds endast för skrivskyddade användare

Nästa steg

Mer information finns i Granska användaraktivitet.