PowerProtect serie DP: Almacenamiento con protección: Data Domain: Ruta de resolución de cuentas del jefe de seguridad

¿Qué es el jefe de seguridad?;

• Un usuario con función de seguridad, al que se le puede denominar jefe de seguridad, puede administrar otros jefes de seguridad, autorizar procedimientos que requieren la aprobación del jefe de seguridad, proporcionar supervisión de destrucción de datos y realizar todas las tareas soportadas por los usuarios de funciones de seguridad.
• La función de seguridad se proporciona para cumplir con la normativa una sola escritura y múltiples lecturas (WORM). Esta normativa requiere que los datos corporativos almacenados de forma electrónica se mantengan en un estado original sin cambios para fines como el descubrimiento electrónico, la auditoría y el registro.
• En un caso típico, un usuario con función de administrador emite un comando y, si se requiere la aprobación del jefe de seguridad, el sistema muestra un indicador de aprobación. El jefe de seguridad debe ingresar su nombre de usuario y contraseña en la misma consola en la que se ejecutó el comando para continuar con la tarea original.
• Si el sistema reconoce las credenciales del jefe de seguridad, el procedimiento está autorizado. De lo contrario, se genera una alerta de seguridad. 

Propósito:
Debido a las normativas de cumplimiento, la mayoría de las opciones de comandos para administrar operaciones confidenciales requieren credenciales y autorización del jefe de seguridad (SO).

A continuación, se muestran algunos ejemplos de ello:

• Las credenciales de SO son necesarias para entrar en el modo SE (hay varias operaciones que se pueden realizar solo en el modo SE, como cambios en el registro. Para obtener más detalles sobre los comandos del modo SE, consulte SolVe Desktop).
• Cifrado
• Bloqueo de retención
• Frase de contraseña del sistema 
• Habilitar FIPS
• Eliminación del sistema de archivos
• Eliminación del nivel de nube, etc.

Para obtener más detalles sobre las operaciones que requieren credenciales de seguridad, consulte la guía de administración del DD OS en el sistema operativo correspondiente desde SolVe Desktop.


Cómo crear un jefe de seguridad:

• Para crear la primera cuenta de jefe de seguridad (SO), consulte el siguiente artículo de la base de conocimientos de Dell 198128 a fin de crear la cuenta desde ACM:

PowerProtect serie DP: Almacenamiento con protección: Alerta: Se debe crear una cuenta de usuario de jefe de seguridad.

Pautas:

• Si el jefe de seguridad se crea directo desde Data Domain y no desde ACM, la autorización de seguridad no se habilita de forma automática.
• Para habilitar la política de autorización, un jefe de seguridad debe iniciar sesión o acceder mediante SSH en Data Domain y habilitar la política de autorización como se muestra a continuación.

Sec_Officer01@dd4400>authorization policy show 
Sec_Officer01@dd4400>authorization policy set security-officer enabled
Sec_Officer01@dd4400>authorization policy show

• Después de que se crea el primer jefe de seguridad, solo un jefe de seguridad puede crear otra cuenta de jefe de seguridad.

Problemas con la cuenta del jefe de seguridad:

• En instancias en las que existe un usuario jefe de seguridad, pero no puede iniciar sesión debido a una cuenta de usuario de seguridad bloqueada o a una contraseña perdida, olvidada o vencida, se deben intentar los siguientes pasos en secuencia.

 

Opción 1:

Inicie sesión en DDR con una cuenta de usuario que tenga privilegios de administrador, como “sysadmin” y ejecute el siguiente comando para conocer primero el nombre de usuario correcto de la función de seguridad:

# user show list

 

Abra otra sesión mediante SSH en Data Domain e inicie sesión con el usuario del jefe de seguridad (SO). Si la contraseña venció, esta solicita establecer una nueva contraseña de forma automática.

 

Opción 2:

Si no es el caso anterior, puede intentar iniciar sesión con una contraseña predeterminada o común para IDPA.
Si eso es lo que se estableció durante la creación del usuario jefe de seguridad, entonces funcionaría.
Nota: A partir de IDPA 2.7, es obligatorio no establecer la contraseña del jefe de seguridad como la contraseña común. Sin embargo, se puede intentar lo anterior para versiones anteriores.

 

Opción 3:

Si el problema persiste, verifique si existe algún otro usuario jefe de seguridad a partir de la salida del comando “user show list” que se ejecutó antes. Solo otro usuario de seguridad, si existe, tiene permiso para cambiar o desbloquear la cuenta de jefe de seguridad bloqueada.

Si existe otra cuenta de jefe de seguridad (SO), realice lo siguiente según sea necesario:

• Si es necesario cambiar la contraseña:

Inicie sesión o acceda mediante el protocolo SSH a Data Domain con ese segundo nombre de usuario de SO y utilice el siguiente comando para cambiar la contraseña:

# user change password [< SO username>]

 

• Si solo es necesario desbloquear la cuenta:

Nota:

• La cuenta de usuario de jefe de seguridad se bloquea después de tres intentos de inicio de sesión fallidos. Esto cumple con la STIG.
• Una vez que la cuenta de usuario de jefe de seguridad está bloqueada, el usuario DEBE esperar a que se agote el tiempo de espera de desbloqueo (el valor predeterminado son 120 segundos) para volver a iniciar sesión.

sysadmin@DD# adminaccess option show
Option                 Value
--------------------   --------
login-unlock-timeout   120
login-max-attempts     3
..
…..
--------------------   --------

 

• Importante: Mantenga seguras las credenciales de jefe de seguridad y cambie la contraseña antes de que venza, ya que solo otro jefe de seguridad (si existe) tiene permiso para cambiar o restablecer una cuenta de jefe de seguridad. Solo un jefe de seguridad existente puede crear otra cuenta de jefe de seguridad.