Серия PowerProtect DP. Платформа защиты данных. Data Domain. Путь разрешения учетной записи сотрудника службы безопасности

Что такое сотрудник службы безопасности?

• Пользователь с ролью безопасности, который может называться сотрудником службы безопасности, может управлять другими сотрудниками службы безопасности, авторизовать процедуры, требующие утверждения сотрудником службы безопасности, осуществлять надзор за уничтожением данных и выполнять все задачи, поддерживаемые пользователями с ролью пользователя.
• Роль безопасности обеспечивает соответствие требованиям правил WORM (однократная запись, многократное чтение). В соответствии с этой нормой корпоративные данные, хранящиеся в электронном виде, должны храниться в неизмененном исходном состоянии для таких целей, как e-Discovery, аудит и ведение журналов.
• В типичном сценарии пользователь с ролью администратора выполняет команду, и если требуется утверждение сотрудника службы безопасности, система отображает запрос на утверждение. Сотрудник службы безопасности должен ввести имя пользователя и пароль в той же консоли, где была выполнена команда, чтобы продолжить выполнение исходной задачи.
• Если система распознает учетные данные сотрудника службы безопасности, процедура будет авторизована. В противном случае генерируется оповещение системы безопасности. 

Цель.
В соответствии с нормативными требованиями для большинства командных вариантов администрирования конфиденциальных операций требуются учетные данные и авторизация сотрудника службы безопасности (SO).

Ниже приведены несколько примеров того же:

• Для перехода в режим SE требуются учетные данные SO (существует несколько операций, которые могут выполняться только в режиме SE, например, изменения реестра. Подробнее о командах режима SE см. в SolVe Desktop.)
• Шифрование
• Блокировка хранения
• Фраза-пароль системы 
• Включение FIPS
• Уничтожение файловой системы
• Уничтожение уровня облака и т. д.

Дополнительные сведения об операциях, требующих учетных данных безопасности, см. в руководстве по администрированию DD OS для соответствующей операционной системы на странице SolVe Desktop.


Как создать сотрудника службы безопасности.

• Для создания первой учетной записи сотрудника службы безопасности (SO) выполните действия, описанные в статье базы знаний Dell 198128, чтобы создать учетную запись из ACM:

Серия PowerProtect DP. Платформа защиты данных. Оповещение. Security officer user account must be created.

Рекомендации.

• Если сотрудник службы безопасности создается непосредственно из Data Domain, а не из ACM, авторизация безопасности не включается автоматически.
• Чтобы включить политику авторизации, сотрудник службы безопасности должен войти в систему Data Domain или подключиться по SSH и включить политику авторизации, как описано ниже.

Sec_Officer01@dd4400>authorization policy show 
Sec_Officer01@dd4400>authorization policy set security-officer enabled
Sec_Officer01@dd4400>authorization policy show

• После создания первого сотрудника службы безопасности только сотрудники службы безопасности могут создавать другие учетные записи сотрудников службы безопасности.

Проблемы с учетной записью сотрудника службы безопасности.

• В случаях, когда сотрудник службы безопасности существует, но не может войти в систему из-за того, что учетная запись сотрудника службы безопасности заблокирована, пароль потерян, забыт или просрочен, необходимо последовательно выполнить следующие действия.

 

Вариант 1.

Войдите в DDR с учетной записью пользователя с правами администратора, например «sysadmin», и выполните следующую команду, чтобы сначала узнать правильное имя пользователя роли безопасности:

# user show list

 

Откройте еще один сеанс SSH в системе Data Domain и войдите в систему в качестве сотрудника службы безопасности (SO). Если срок действия пароля истек, система автоматически запросит задать новый пароль.

 

Вариант 2.

В противном случае можно попытаться войти в систему с помощью пароля по умолчанию или общего пароля для IDPA.
Если это было установлено при создании сотрудника службы безопасности, то это будет работать.
Примечание. В IDPA 2.7 есть жесткое требование, чтобы пароль сотрудника службы безопасности отличался от общего пароля. Тем не менее, такого требования нет в более ранних версиях.

 

Вариант 3.

Если проблема не устранена, проверьте, существует ли другой сотрудник службы безопасности в выводе команды «user show list», которая была выполнена ранее. Только другой сотрудник службы безопасности, если он существует, имеет право изменять или разблокировать заблокированную учетную запись сотрудника службы безопасности.

Если существует другая учетная запись сотрудника службы безопасности (SO), выполните следующие действия в соответствии с требованиями.

• Если требуется изменить пароль.

Войдите в систему Data Domain или подключитесь по SSH с помощью имени пользователя второго SO используйте следующую команду для изменения пароля.

# user change password [< SO username>]

 

• Если требуется только разблокировать учетную запись.

Примечание.

• Учетная запись сотрудника службы безопасности блокируется после трех неудачных попыток входа. Это соответствует требованиям STIG.
• После блокировки учетной записи сотрудника службы безопасности пользователь ДОЛЖЕН подождать необходимое время для разблокировки (по умолчанию 120 секунд), чтобы снова войти в систему.

sysadmin@DD# adminaccess option show
Option                 Value
--------------------   --------
login-unlock-timeout   120
login-max-attempts     3
..
…..
--------------------   --------

 

• Важно! Обеспечьте безопасность учетных данных и измените пароль до истечения срока действия, так как только другой сотрудник службы безопасности (если он существует) имеет разрешение на изменение или сброс просроченной или заблокированной учетной записи сотрудника службы безопасности. Только существующий сотрудник службы безопасности может создать другую учетную запись сотрудника службы безопасности.