Zařízení PowerProtect řady DP: Protection Storage: Data Domain: Postup řešení účtu bezpečnostního pracovníka

Co je bezpečnostní pracovník?

• Uživatel s bezpečnostní rolí, označovaný také jako bezpečnostní pracovník, může spravovat další bezpečnostní pracovníky, schvalovat postupy, které vyžadují schválení bezpečnostním pracovníkem, poskytovat dohled nad zničením dat a provádět všechny úkoly, které jsou pro uživatele bezpečnostní role podporovány.
• Role zabezpečení je poskytována za účelem splnění nařízení WORM (Write-Once-Read-Many). Toto nařízení vyžaduje, aby elektronicky uchovávaná podniková data byla uchovávána v nezměněném původním stavu pro účely, jako je e-Discovery, auditování a protokolování.
• V typickém scénáři uživatel s rolí správce vydá příkaz, a pokud je vyžadováno schválení bezpečnostním pracovníkem, systém zobrazí výzvu ke schválení. Bezpečnostní pracovník musí zadat své uživatelské jméno a heslo na stejné konzoli, na které byl příkaz spuštěn, aby mohl pokračovat v původní úloze.
• Pokud systém rozpozná přihlašovací údaje bezpečnostního pracovníka, postup je autorizován. Pokud ne, vygeneruje se výstraha zabezpečení. 

Účel:
Vzhledem k předpisům o dodržování předpisů vyžaduje většina příkazů pro správu citlivých operací přihlašovací údaje a oprávnění bezpečnostního pracovníka (SO).

Níže je uvedeno několik příkladů téhož:

• K přechodu do režimu SE jsou vyžadovány přihlašovací údaje SO (pouze v režimu SE lze provádět více operací, například změny registru). Další podrobnosti o příkazech režimu SE naleznete v části Řešení plochy.)
• Šifrování
• Zajišťovací zámek
• Systémové heslové heslo 
• Povolení FIPS
• Zničit souborový systém
• Vymazání vrstvy cloudu atd.

Další podrobnosti o operacích, které vyžadují bezpečnostní pověření, naleznete v příručce pro správu DD OS pro příslušný operační systém z aplikace Solve Desktop.


Jak vytvořit bezpečnostního pracovníka:

• Chcete-li vytvořit první účet bezpečnostního pracovníka (SO), postupujte podle níže uvedeného článku znalostní databáze Dell 198128 nechat si účet vytvořit z ACM:

Zařízení PowerProtect řady DP: Protection Storage: Alert: Musí být vytvořen uživatelský účet bezpečnostního pracovníka.

Pokyny:

• Pokud bezpečnostního pracovníka vytvoříte přímo z Data Domain, a nikoli z ACM, není bezpečnostní autorizace automaticky povolena.
• Chcete-li povolit zásady autorizace, musí se bezpečnostní pracovník přihlásit nebo přihlásit pomocí SSH do systému Data Domain a povolit zásady autorizace, jak je uvedeno níže.

Sec_Officer01@dd4400>authorization policy show 
Sec_Officer01@dd4400>authorization policy set security-officer enabled
Sec_Officer01@dd4400>authorization policy show

• Po vytvoření prvního bezpečnostního pracovníka může další účet bezpečnostního pracovníka vytvořit pouze on.

Potíže s účtem bezpečnostního pracovníka:

• V případech, kdy uživatel bezpečnostního pracovníka existuje, ale nemůže se přihlásit kvůli uzamčení bezpečnostního uživatelského účtu nebo ztrátě, zapomenutí nebo vypršení platnosti hesla, je třeba provést níže uvedené kroky v uvedeném pořadí.

 

1. možnost:

Přihlaste se do zařízení DDR pomocí uživatelského účtu s oprávněními správce, například "sysadmin", a spusťte následující příkaz, abyste nejprve zjistili správné uživatelské jméno role zabezpečení:

# user show list

 

Otevřete další relaci SSH do systému Data Domain a přihlaste se pomocí uživatele Security Officer (SO). Pokud platnost hesla vypršela, automaticky se zobrazí výzva k nastavení nového hesla.

 

2. možnost:

Pokud výše uvedený případ neplatí, můžete se pokusit přihlásit pomocí výchozího nebo běžného hesla pro IDPA.
Pokud je to to, co bylo nastaveno při vytváření uživatele bezpečnostního pracovníka, pak by to fungovalo.
Poznámka: Od verze IDPA 2.7 je důrazně nutné nenastavovat heslo sSecurity Officer stejné jako běžné heslo. Lze se však pokusit o postup uvedený i u starších verzí.

 

3. možnost:

Pokud problém přetrvává, ověřte pomocí výstupu dříve spuštěného příkazu "user show list", zda existuje nějaký další uživatel bezpečnostního pracovníka. Pouze jiný bezpečnostní uživatel, pokud existuje, má oprávnění změnit nebo odemknout uzamčený účet bezpečnostního pracovníka.

Pokud existuje jiný účet bezpečnostního pracovníka (SO), proveďte podle následujících kroků následující kroky:

• Je-li požadována změna hesla:

Přihlaste se nebo se přihlaste pomocí SSH do Data Domain pomocí druhého uživatelského jména SO a změňte heslo pomocí následujícího příkazu:

# user change password [< SO username>]

 

• Pokud je požadavkem pouze odemknutí účtu:

Poznámka:

• Po třech neúspěšných pokusech o přihlášení dojde k uzamknutí uživatelského účtu bezpečnostního pracovníka. To je v souladu se standardem STIG.
• Jakmile je uživatelský účet bezpečnostního pracovníka uzamčen, uživatel MUSÍ počkat na vypršení časového limitu odemknutí (výchozí 120 sekund), aby se mohl znovu přihlásit.

sysadmin@DD# adminaccess option show
Option                 Value
--------------------   --------
login-unlock-timeout   120
login-max-attempts     3
..
…..
--------------------   --------

 

• Důležité: Uchovávejte přihlašovací údaje bezpečnostního pracovníka v bezpečí a změňte heslo dříve, než vyprší jeho platnost, protože pouze jiný bezpečnostní pracovník (pokud existuje) má oprávnění změnit nebo resetovat účet bezpečnostního pracovníka. Další účet bezpečnostního pracovníka může vytvořit pouze existující bezpečnostní pracovník.