PowerProtect DP-serien: Beskyttelseslager: Data Domain: Løsningssti til kontoløsning for sikkerhedsansvarlig

Hvad er sikkerhedsansvarlig?

• En bruger med sikkerhedsrollen, muligvis kaldet en sikkerhedsansvarlig, kan administrere andre sikkerhedsansvarlige, godkende procedurer, der kræver godkendelse af en sikkerhedsansvarlig, overvåge datadestruktion og udføre alle de opgaver, der understøttes for brugere med sikkerhedsrollen.
• Sikkerhedsrollen er angivet for at overholde WORM-forordningen (Write-Once-Read-Many). Denne forordning kræver, at elektronisk lagrede virksomhedsdata opbevares i uændret, original tilstand til formål som e-opdagelse, revision og logning.
• I et typisk scenarie udsteder en bruger med administratorrollen en kommando, og hvis der kræves godkendelse fra en sikkerhedsansvarlig, viser systemet en meddelelse om godkendelse. Den sikkerhedsansvarlige skal indtaste brugernavn og adgangskode på den konsol, hvor kommandoen blev kørt, for at fortsætte med den oprindelige opgave.
• Hvis systemet genkender den sikkerhedsansvarliges legitimationsoplysninger, er proceduren godkendt. Hvis ikke, genereres der en sikkerhedsadvarsel. 

Formål:
På grund af overholdelsesbestemmelser kræver de fleste kommandomuligheder til administration af følsomme operationer sikkerhedsofficer (SO) legitimationsoplysninger og autorisation.

Nedenfor er et par eksempler på det samme:

• Der kræves SO-legitimationsoplysninger for at komme i SE-tilstand (Der er flere handlinger, der kun kan udføres i SE-tilstand, f.eks. ændringer i registreringsdatabasen. Du kan finde flere oplysninger om SE-tilstandskommandoer under Solløs skrivebord.)
• Kryptering
• Fastholdelseslås
• Systemadgangsudtryk 
• Aktivering af FIPS
• Ødelæggelse af filsystem
• Cloud Tier Destroy, og så videre

Du kan finde flere oplysninger om handlinger, der kræver sikkerhedslegitimationsoplysninger, i DD OS-administrationsvejledningen for det respektive operativsystem fra SolVe Desktop.


Sådan oprettes en sikkerhedsansvarlig:

• For at oprette den første Security Officer-konto (SO) skal du følge nedenstående Dell KB-artikel 198128 for at få kontoen oprettet fra ACM:

PowerProtect DP-serien: Beskyttelseslager: Advarsel: Den sikkerhedsansvarliges brugerkonto skal oprettes.

Retningslinjer:

• Hvis den sikkerhedsansvarlige oprettes direkte fra Data Domain og ikke fra ACM, aktiveres sikkerhedsgodkendelse ikke automatisk.
• For at aktivere godkendelsespolitikken skal en sikkerhedsansvarlig logge på eller SSH på Data Domain og aktivere godkendelsespolitikken som nedenfor.

Sec_Officer01@dd4400>authorization policy show 
Sec_Officer01@dd4400>authorization policy set security-officer enabled
Sec_Officer01@dd4400>authorization policy show

• Når den første sikkerhedsansvarlige er oprettet, er det kun en sikkerhedsansvarlig, der kan oprette en ny sikkerhedsansvarligs konto.

Har du problemer med Security Officer Account:

• I tilfælde, hvor brugeren af den sikkerhedsansvarlige findes, men ikke kan logge på på grund af en sikkerhedsbrugerkonto, der er låst, eller en adgangskode, der er mistet, glemt eller udløbet, skal nedenstående trin forsøges i rækkefølge.

 

Valgmulighed 1:

Log på DDR med en brugerkonto, der har administratorrettigheder, f.eks. "sysadmin", og kør nedenstående kommando for først at finde det korrekte brugernavn til sikkerhedsrollen:

# user show list

 

Åbn en anden SSH-session til Data Domain, og log på ved hjælp af Security Officer (SO) bruger, hvis adgangskoden er udløbet, bliver du automatisk bedt om at indstille en ny adgangskode.

 

Valgmulighed 2:

Hvis ovenstående ikke er tilfældet, kan du forsøge at logge ind ved hjælp af en standardadgangskode eller almindelig adgangskode til IDPA.
Hvis det er det, der blev indstillet, mens du oprettede Security Officer-brugeren, ville det fungere.
Seddel: Fra IDPA 2.7 er der et hårdt krav om ikke at indstille sSecurity Officer-adgangskode samme som almindelig adgangskode. Ovenstående kan dog forsøges ved tidligere versioner.

 

Valgmulighed 3:

Hvis problemet fortsætter, skal du kontrollere, om der findes en anden Security Officer-bruger fra outputtet af kommandoen "user show list", der blev kørt tidligere. Kun en anden sikkerhedsbruger, hvis den findes, har tilladelse til at ændre eller låse den låste Security Officer-konto op.

Hvis der findes en anden Security Officer-konto (SO), skal du gøre nedenstående i henhold til kravene:

• Hvis det er nødvendigt at ændre adgangskoden:

Log på eller SSH på Data Domain med det andet SO-brugernavn, og brug nedenstående kommando til at ændre adgangskoden:

# user change password [< SO username>]

 

• Hvis kravet er kun at låse kontoen op:

Bemærk:

• Security Officer-brugerkontoen er låst efter tre mislykkede loginforsøg. Dette er i overensstemmelse med STIG.
• Når den sikkerhedsansvarliges brugerkonto er låst, SKAL brugeren vente på, at der opstår timeout for oplåsning (som standard 120 sekunder), før brugeren logger på igen.

sysadmin@DD# adminaccess option show
Option                 Value
--------------------   --------
login-unlock-timeout   120
login-max-attempts     3
..
…..
--------------------   --------

 

• Vigtigt: Beskyt den sikkerhedsansvarliges loginoplysninger, og rediger adgangskoden, før den udløber, da kun en anden sikkerhedsansvarlig (hvis den findes) har tilladelse til at ændre eller nulstille en sikkerhedsansvarligs konto. Kun en eksisterende sikkerhedsansvarlig kan oprette en ny sikkerhedsansvarligs konto.