Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Defender для Интернета вещей предоставляет средства для управления локальным доступом пользователей в сетевом датчике OT. Azure пользователи управляются на уровне подписки Azure с помощью Azure RBAC.
В этой статье описывается, как управлять локальными пользователями непосредственно с помощью сетевого датчика OT.
Привилегированные пользователи по умолчанию
По умолчанию каждый сетевой датчик OT устанавливается с привилегированным администратором, который имеет доступ к расширенным средствам для устранения неполадок и настройки.
При первой настройке датчика войдите в систему администратора, создайте начального пользователя с ролью Администратор, а затем создайте дополнительных пользователей для аналитиков безопасности и пользователей только для чтения.
Дополнительные сведения см. в разделах Установка и настройка датчика OT и привилегированных локальных пользователей по умолчанию.
Версии датчика, предшествующие версии 23.1.x, также включают cyberx и cyberx_host привилегированных пользователей. В версиях 23.1.x и более поздних эти пользователи устанавливаются, но не включены по умолчанию.
Чтобы включить cyberx и cyberx_host пользователей в версиях 23.1.x и более поздних, например использовать их с интерфейсом командной строки Defender для Интернета вещей, сбросьте пароль. Дополнительные сведения см. в разделе Изменение пароля пользователя датчика.
Настройка подключения Active Directory
Мы рекомендуем настроить локальных пользователей на датчике OT с помощью Active Directory, чтобы позволить пользователям Active Directory входить в датчик и использовать группы Active Directory с коллективными разрешениями, назначенными всем пользователям в группе.
Например, используйте Active Directory, если у вас есть большое количество пользователей, которым требуется назначить доступ только для чтения, и вы хотите управлять этими разрешениями на уровне группы.
Совет
Когда вы будете готовы приступить к управлению параметрами датчика OT в большом масштабе, определите параметры Active Directory из портал Azure. После применения параметров из портал Azure параметры в консоли датчика будут доступны только для чтения. Дополнительные сведения см. в разделе Настройка параметров датчика OT из портал Azure (общедоступная предварительная версия).
Чтобы интегрироваться с Active Directory, выполните приведенные далее действия.
Войдите в датчик OT и выберите Системные параметры Интеграции>>Active Directory.
Выберите параметр Active Directory Integration Enabled (Включена интеграция Active Directory ).
Введите следующие значения для сервера Active Directory:
Имя Описание Полное доменное имя контроллера домена Полное доменное имя (FQDN) точно так, как оно отображается на сервере LDAP. Например, введите host1.subdomain.contoso.com.
Если возникла проблема с интеграцией с использованием полного доменного имени, проверка конфигурацию DNS. При настройке интеграции можно также ввести явный IP-адрес сервера LDAP вместо полного доменного имени.Порт контроллера домена Порт, на котором настроен протокол LDAP. Например, используйте порт 636 для подключений LDAPS (SSL). Основной домен Доменное имя, например subdomain.contoso.com, и выберите тип подключения для конфигурации LDAP.
Поддерживаемые типы подключений: LDAPS/NTLMv3 (рекомендуется), LDAP/NTLMv3 или LDAP/SASL-MD5Группы Active Directory Выберите + Добавить , чтобы добавить группу Active Directory к каждому указанному уровню разрешений при необходимости.
При вводе имени группы убедитесь, что вы вводите имя группы точно так, как оно определено в конфигурации Active Directory на ldap-сервере. Используйте эти имена групп при добавлении новых пользователей датчика в Active Directory.
Поддерживаемые уровни разрешений включают только чтение, аналитик безопасности, Администратор и доверенные домены.Важно!
При вводе параметров LDAP:
- Определите значения точно так, как они отображаются в Active Directory, за исключением случая.
- Пользователь содержит только символы в нижнем регистре, даже если в конфигурации в Active Directory используются прописные буквы.
- Ldap и LDAPS не могут быть настроены для одного домена. Однако можно настроить каждый из них в разных доменах, а затем использовать их одновременно.
Чтобы добавить другой сервер Active Directory, выберите + Добавить сервер в верхней части страницы и определите эти значения сервера.
После добавления всех серверов Active Directory нажмите кнопку Сохранить.
Например, вы можете:
Добавление новых пользователей датчика OT
В этой процедуре описывается создание новых пользователей для определенного сетевого датчика OT.
Предварительные требования. Эта процедура доступна для администраторов, кибер- и cyberx_host пользователей, а также для всех пользователей с ролью Администратор.
Чтобы добавить пользователя, выполните приведенные далее действия.
Войдите в консоль датчика и выберите Пользователи>+ Добавить пользователя.
На странице Создание пользователя | На странице Пользователи введите следующие сведения:
Имя Описание Имя пользователя Введите понятное имя пользователя. Электронная почта Введите адрес электронной почты пользователя. Имя Введите имя пользователя. Фамилия Введите фамилию пользователя. Роль Выберите одну из следующих ролей пользователей: Администратор, Аналитик безопасности или Только чтение. Дополнительные сведения см. в разделе Локальные роли пользователей. Password Выберите тип пользователя Локальный или Пользователь Active Directory.
Для локальных пользователей введите пароль для пользователя. Требования к паролю:
— не менее восьми символов.
— буквы в нижнем и верхнем регистре
— по крайней мере одно число
— по крайней мере один символ
Пароли локальных пользователей могут изменяться только Администратор пользователями.Совет
Интеграция с Active Directory позволяет связать группы пользователей с определенными уровнями разрешений. Если вы хотите создать пользователей с помощью Active Directory, сначала настройте подключение Active Directory , а затем вернитесь к этой процедуре.
Когда закончите, нажмите кнопку Сохранить.
Новый пользователь будет добавлен и отображается на странице Пользователи датчика.
Чтобы изменить пользователя, щелкните значок Изменить
для пользователя, которого вы хотите изменить, и измените все значения при необходимости.
Чтобы удалить пользователя, нажмите кнопку Удалить для пользователя, которого вы хотите удалить.
Изменение пароля пользователя датчика
В этой процедуре описывается, как пользователи Администратор могут изменять пароли локальных пользователей. Администратор пользователи могут изменять пароли для себя, для других пользователей аналитика безопасности или только для чтения. Привилегированные пользователи могут изменять собственные пароли и пароли для Администратор пользователей.
Совет
Если вам нужно восстановить доступ к привилегированной учетной записи пользователя, см. раздел Восстановление привилегированного доступа к датчику.
Предварительные требования. Эта процедура доступна только для кибер-пользователей, администраторов или cyberx_host или для пользователей с ролью Администратор.
Чтобы изменить пароль пользователя на датчике, выполните следующие действия:
Войдите в датчик и выберите Пользователи.
На странице Пользователи датчика найдите пользователя, пароль которого необходимо изменить.
В правой части этой строки пользователя выберите меню параметров (...), >чтобы открыть область пользователя.
В области пользователя справа в области Изменение пароля введите и подтвердите новый пароль. Если вы изменяете собственный пароль, вам также потребуется ввести текущий пароль.
Требования к паролю:
- Не менее восьми символов
- Буквы в нижнем и верхнем регистре
- По крайней мере одно число
- По крайней мере один символ
Когда закончите, нажмите кнопку Сохранить.
Восстановление привилегированного доступа к датчику
В этой процедуре описывается восстановление привилегированного доступа к датчику для кибер-пользователей, администраторов или cyberx_host пользователей. Дополнительные сведения см. в статье Привилегированные локальные пользователи по умолчанию.
Предварительные требования. Эта процедура доступна только для кибер-пользователей, администраторов или cyberx_host пользователей.
Чтобы восстановить привилегированный доступ к датчику, выполните следующие действия.
Начните вход в сетевой датчик OT. На экране входа выберите ссылку Сброс . Например, вы можете:
В диалоговом окне Сброс пароля в меню Выбор пользователя выберите пользователя, пароль которого вы восстанавливаете: Cyberx, Администратор или CyberX_host.
Скопируйте уникальный код идентификатора, показанный в разделе Сброс идентификатора пароля , в буфер обмена. Например, вы можете:
Перейдите на страницу Сайтов и датчиков Defender для Интернета вещей в портал Azure. Вы можете открыть портал Azure в новой вкладке или окне браузера, не закрыв вкладку датчика.
В параметрах > портал Azure Каталоги и подписки убедитесь, что выбрана подписка, в которой датчик был подключен к Defender для Интернета вещей.
На странице Сайты и датчики найдите датчик, с которым вы работаете, и выберите меню параметров (...) справа >Восстановить пароль. Например, вы можете:
В открывшемся диалоговом окне Восстановление введите уникальный идентификатор, скопированный в буфер обмена с датчика, и нажмите кнопку Восстановить. Файл password_recovery.zip загружается автоматически.
Все файлы, скачанные из портал Azure, подписываются корневым каталогом доверия, чтобы компьютеры использовали только подписанные ресурсы.
На вкладке датчика на экране восстановления пароля выберите Выбрать файл. Перейдите к и отправьте файлpassword_recovery.zip, скачанный ранее из портал Azure.
Примечание.
Если появляется сообщение об ошибке, указывающее, что файл недопустим, возможно, в параметрах портал Azure выбрана неправильная подписка.
Вернитесь к Azure и щелкните значок параметров на верхней панели инструментов. На странице Каталоги и подписки убедитесь, что выбрана подписка, в которой датчик был подключен к Defender для Интернета вещей. Затем повторите действия, описанные в Azure, чтобы скачать файлpassword_recovery.zip и снова отправить его на датчик.
Нажмите кнопку Далее. Появится созданный системой пароль для датчика, который вы будете использовать для выбранного пользователя. Обязательно запишите пароль, так как он не будет отображаться снова.
Нажмите кнопку Далее еще раз, чтобы войти в датчик с новым паролем.
Определение максимального числа неудачных входов
Используйте доступ к cli датчика OT, чтобы определить количество максимальных неудачных входов, прежде чем датчик OT запретит пользователю повторно войти с того же IP-адреса.
Дополнительные сведения см. в статье Пользователи и доступ к интерфейсам командной строки Defender для Интернета вещей.
Предварительные требования. Эта процедура доступна только для пользователя cyberx .
Войдите в датчик OT по протоколу SSH и выполните следующую команду:
nano /var/cyberx/components/xsense-web/cyberx_web/settings.pyВ файле settings.py задайте
"MAX_FAILED_LOGINS"максимальное число неудачных входов, которые вы хотите определить. Убедитесь, что вы учитываете количество одновременных пользователей в вашей системе.Выйдите из файла и выполните команду
sudo monit restart all, чтобы применить изменения.
Дальнейшие действия
Дополнительные сведения см. в разделе Аудит активности пользователей.