PowerProtect DP Serie: Datenschutzspeicher: Data Domain: Lösungspfad für Sicherheitsbeauftragtenkonto

Was ist ein/e Sicherheitsbeauftragte/r?

• Ein/e SicherheitsrollennutzerIn, der/die auch als Sicherheitsbeauftragte/r bezeichnet werden kann, kann andere Sicherheitsbeauftragte verwalten, Verfahren autorisieren, die eine Genehmigung des/der Sicherheitsbeauftragten erfordern, einen Überblick über die Datenvernichtung bereitstellen und alle Aufgaben ausführen, die für SicherheitsrollennutzerInnen unterstützt werden.
• Die Sicherheitsrolle wird bereitgestellt, um die WORM-Bestimmungen (Write-Once-Read-Many) einzuhalten. Diese Bestimmungen verlangen, dass elektronisch gespeicherte Unternehmensdaten für Zwecke wie e-Discovery, Auditing und Protokollierung in einem unveränderten Originalzustand aufbewahrt werden.
• In einem typischen Szenario gibt ein/e AdministratorrollennutzerIn einen Befehl aus und wenn eine Genehmigung des/der Sicherheitsbeauftragten erforderlich ist, zeigt das System eine Aufforderung zur Genehmigung an. Der/die Sicherheitsbeauftragte muss seinen/ihren Nutzernamen und das Kennwort auf derselben Konsole eingeben, auf der der Befehl eingegeben wurde, um mit der ursprünglichen Aufgabe fortzufahren.
• Wenn das System die Sicherheitsbeauftragten-Zugangsdaten erkennt, ist das Verfahren autorisiert. Andernfalls wird eine Sicherheitswarnmeldung erzeugt. 

Zweck:
Aufgrund von Compliance-Bestimmungen erfordern die meisten Befehlsoptionen für die Verwaltung sensibler Vorgänge die Zugangsdaten und Autorisierung von Sicherheitsbeauftragten.

Im Folgenden finden Sie einige Beispiele dafür:

• Sicherheitsbeauftragten-Zugangsdaten sind erforderlich, um in den SE-Modus zu gelangen (es gibt mehrere Vorgänge, die nur im SE-Modus durchgeführt werden können, z. B. Registrierungsänderungen. Weitere Informationen zu SE-Modusbefehlen finden Sie unter SolVe Desktop).
• Verschlüsselung
• Aufbewahrungssperre
• System-Passphrase 
• Aktivieren von FIPS
• Dateisystemlöschung
• Cloud Tier-Löschung usw.

Weitere Informationen zu Vorgängen, die Sicherheitszugangsdaten erfordern, finden Sie im DD OS-Administrationshandbuch für das entsprechende Betriebssystem auf SolVe Desktop.


So erstellen Sie eine/n Sicherheitsbeauftragte/n:

• Um das erste Sicherheitsbeauftragtenkonto zu erstellen, befolgen Sie den nachfolgenden Dell Wissensdatenbank-Artikel 198128, um das Konto aus ACM zu erstellen:

PowerProtect DP Serie: Datenschutzspeicher: Achtung: Das Sicherheitsbeauftragten-Nutzerkonto muss erstellt werden.

Richtlinien:

• Wenn der/die Sicherheitsbeauftragte direkt aus Data Domain und nicht aus ACM erstellt wird, wird die Sicherheitsautorisierung nicht automatisch aktiviert.
• Um die Autorisierungsrichtlinie zu aktivieren, muss sich ein/e Sicherheitsbeauftragte/r bei Data Domain anmelden oder eine SSH-Verbindung zu Data Domain herstellen und die Autorisierungsrichtlinie wie unten beschrieben aktivieren.

Sec_Officer01@dd4400>authorization policy show 
Sec_Officer01@dd4400>authorization policy set security-officer enabled
Sec_Officer01@dd4400>authorization policy show

• Nachdem der/die erste Sicherheitsbeauftragte erstellt wurde, kann nur ein/e Sicherheitsbeauftragte/r ein weiteres Sicherheitsbeauftragtenkonto erstellen.

Probleme mit dem Sicherheitsbeauftragtenkonto:

• In Fällen, in denen der/die SicherheitsbeauftragtennutzerIn vorhanden ist, sich aber aufgrund eines gesperrten Sicherheitsnutzerkontos oder eines verlorenen, vergessenen oder abgelaufenen Kennworts nicht anmelden kann, müssen die folgenden Schritte nacheinander versucht werden.

 

Option 1:

Melden Sie sich bei DDR mit einem Nutzerkonto an, das über Administratorrechte verfügt, wie z. B. „sysadmin“, und führen Sie den folgenden Befehl aus, um zunächst den korrekten Nutzernamen der Sicherheitsrolle abzurufen:

# user show list

 

Eröffnen Sie eine weitere SSH-Sitzung zu Data Domain und melden Sie sich mit dem Sicherheitsbeauftragtennutzer an. Wenn das Kennwort abgelaufen ist, werden Sie automatisch aufgefordert, ein neues Kennwort festzulegen.

 

Option 2:

Wenn das oben genannte nicht zutrifft, können Sie versuchen, sich mit einem Standardkennwort oder einem gemeinsamen Kennwort für IDPA anzumelden.
Wenn dies bei der Erstellung des Sicherheitsbeauftragtennutzers festgelegt wurde, sollte dies funktionieren.
Hinweis: Ab IDPA 2.7 gibt es die strikte Anforderung, dass das Sicherheitsbeauftragten-Kennwort nicht mit dem gemeinsamen Kennwort übereinstimmen darf. Die oben genannten Schritte können jedoch für frühere Versionen versucht werden.

 

Option 3:

Wenn das Problem weiterhin besteht, überprüfen Sie anhand der Ausgabe des Befehls „user show list“, der zuvor ausgeführt wurde, ob ein/e andere/r SicherheitsbeauftragtennutzerIn vorhanden ist. Nur ein/e andere/r SicherheitsnutzerIn hat, falls vorhanden, die Berechtigung, das gesperrte Sicherheitsbeauftragtenkonto zu ändern oder zu entsperren.

Wenn ein anderes Sicherheitsbeauftragtenkonto vorhanden ist, führen Sie die folgenden Schritte nach Bedarf aus:

• Wenn das Kennwort geändert werden muss:

Melden Sie sich mit dem Nutzernamen des/der zweiten Sicherheitsbeauftragten bei Data Domain an oder stellen Sie eine SSH-Verbindung her, um mit dem folgenden Befehl das Kennwort zu ändern:

# user change password [< SO username>]

 

• Wenn das Konto nur entsperrt werden muss:

Hinweis:

• Das Sicherheitsbeauftragten-Nutzerkonto wird nach drei fehlgeschlagenen Anmeldeversuchen gesperrt. Dies entspricht den STIG-Vorgaben.
• Sobald das Sicherheitsbeauftragten-Nutzerkonto gesperrt ist, MUSS der/die NutzerIn ein Entsperrzeitintervall abwarten (standardmäßig 120 Sekunden), um sich erneut anzumelden.

sysadmin@DD# adminaccess option show
Option                 Value
--------------------   --------
login-unlock-timeout   120
login-max-attempts     3
..
…..
--------------------   --------

 

• Wichtig: Bewahren Sie die Sicherheitsbeauftragten-Zugangsdaten sicher auf und ändern Sie das Kennwort, bevor es abläuft, da nur ein/e andere/r Sicherheitsbeauftragte/r (falls vorhanden) über die Berechtigung zum Ändern oder Zurücksetzen eines Sicherheitsbeauftragtenkontos verfügt. Nur ein/e vorhandene/r Sicherheitsbeauftragte/r kann ein anderes Sicherheitsbeauftragtenkonto erstellen.