PowerProtect DP serie: Beschermingsstorage: Data Domain: Beveiligingsmedewerker Account Resolution Path

Wat is beveiligingsbeambte?

• Een gebruiker met een beveiligingsrol, oftewel beveiligingsfunctionaris, kan andere beveiligingsfunctionarissen beheren, toestemming geven voor procedures waarvoor goedkeuring van een beveiligingsfunctionaris is vereist, toezicht houden op datavernietiging en alle taken uitvoeren die worden ondersteund voor gebruikers met een beveiligingsrol.
• De beveiligingsrol wordt geleverd om te voldoen aan de WORM-verordening (Write-Once-Read-Many). Deze verordening vereist dat elektronisch opgeslagen bedrijfsgegevens in een ongewijzigde, oorspronkelijke staat worden bewaard voor doeleinden zoals e-Discovery, auditing en logging.
• In een typisch scenario geeft een gebruiker met de beheerdersrol een opdracht en als goedkeuring van beveiligingsfunctionaris vereist is, geeft het systeem een prompt voor goedkeuring weer. De beveiligingsmedewerker moet zijn gebruikersnaam en wachtwoord invoeren op dezelfde console waarop de opdracht is uitgevoerd om door te gaan met de oorspronkelijke taak.
• Als het systeem de referenties van de beveiligingsfunctionaris herkent, is de procedure geautoriseerd. Zo niet, dan wordt er een beveiligingswaarschuwing gegenereerd. 

Doel:
Vanwege nalevingsvoorschriften vereisen de meeste opdrachtopties voor het uitvoeren van gevoelige bewerkingen referenties en autorisatie van een beveiligingsfunctionaris (SO).

Hieronder staan een paar voorbeelden hiervan:

• SO-referenties zijn vereist om in de SE-modus te komen (er zijn meerdere bewerkingen die alleen in de SE-modus kunnen worden uitgevoerd, zoals registerwijzigingen. Zie Desktop oplossen voor meer informatie over opdrachten in de SE-modus.)
• Versleuteling
• Retentievergrendeling
• Wachtwoordzin van het systeem 
• FIPS inschakelen
• Bestandssysteem vernietigen
• Cloud Tier Destroy, enzovoort

Voor meer informatie over bewerkingen waarvoor beveiligingsreferenties vereist zijn, raadpleegt u de DD OS beheerhandleiding voor het betreffende besturingssysteem van Solve Desktop.


Hoe maak je een beveiligingsmedewerker aan:

• Als u het eerste Security Officer (SO)-account wilt maken, volgt u het onderstaande Dell KB-artikel 198128 u het account kunt laten maken vanuit ACM:

PowerProtect DP serie: Beschermingsstorage: Alert: Er moet een gebruikersaccount voor de beveiligingsmedewerker worden aangemaakt.

Richtsnoeren:

• Als de beveiligingsfunctionaris rechtstreeks vanuit Data Domain is gemaakt en niet vanuit ACM, wordt beveiligingsautorisatie niet automatisch ingeschakeld.
• Om het autorisatiebeleid in te schakelen, moet een beveiligingsmedewerker inloggen of SSH gebruiken bij Data Domain en het autorisatiebeleid inschakelen zoals hieronder beschreven.

Sec_Officer01@dd4400>authorization policy show 
Sec_Officer01@dd4400>authorization policy set security-officer enabled
Sec_Officer01@dd4400>authorization policy show

• Nadat de eerste beveiligingsfunctionaris is gemaakt, kan alleen een beveiligingsmedewerker een ander beveiligingsmedewerkersaccount maken.

Problemen met Security Officer-account:

• In gevallen waarin de gebruiker van de beveiligingsmedewerker bestaat, maar zich niet kan aanmelden vanwege een vergrendeld beveiligingsgebruikersaccount of een wachtwoord dat is verloren, vergeten of verlopen, moeten de onderstaande stappen achtereenvolgens worden uitgevoerd.

 

Optie 1:

Meld u aan bij DDR met een gebruikersaccount met administratorbevoegdheden zoals "sysadmin" en voer de onderstaande opdracht uit om eerst de juiste gebruikersnaam voor de beveiligingsrol te weten:

# user show list

 

Open een andere SSH-sessie naar Data Domain en log in met Security Officer (SO) user. Als het wachtwoord is verlopen, wordt u automatisch gevraagd om een nieuw wachtwoord in te stellen.

 

Optie 2:

Als het bovenstaande niet het geval is, kunt u proberen in te loggen met een standaard of algemeen wachtwoord voor IDPA.
Als dat is wat is ingesteld tijdens het maken van de Security Officer-gebruiker, dan zou het werken.
Notitie: Vanaf IDPA 2.7 is er een harde vereiste om het wachtwoord van de beveiligingsfunctionaris niet hetzelfde in te stellen als het gewone wachtwoord. Het bovenstaande kan echter worden geprobeerd voor eerdere releases.

 

Optie 3:

Als het probleem zich blijft voordoen, controleert u of er een andere gebruiker bestaat met behulp van de uitvoer van de opdracht "user show list" die eerder is uitgevoerd. Alleen een andere beveiligingsgebruiker, als deze bestaat, heeft de toestemming om het vergrendelde beveiligingsmedewerkersaccount te wijzigen of te ontgrendelen.

Als er een ander Security Officer (SO)-account bestaat, doet u het onderstaande volgens de vereisten:

• Als het wachtwoord moet worden gewijzigd:

Meld u aan of SSH bij Data Domain met die tweede SO-gebruikersnaam en gebruik de onderstaande opdracht om het wachtwoord te wijzigen:

# user change password [< SO username>]

 

• Als vereist is om alleen account te ontgrendelen:

Opmerking:

• Het gebruikersaccount van de beveiligingsmedewerker is vergrendeld na drie mislukte aanmeldpogingen. Dit is in overeenstemming met de STIG.
• Zodra het gebruikersaccount van de beveiligingsmedewerker is vergrendeld, MOET de gebruiker wachten op ontgrendelingstime-out (standaard 120 seconden) om zich opnieuw aan te melden.

sysadmin@DD# adminaccess option show
Option                 Value
--------------------   --------
login-unlock-timeout   120
login-max-attempts     3
..
…..
--------------------   --------

 

• Belangrijk: Bewaar de inloggegevens van de beveiligingsfunctionaris veilig en wijzig het wachtwoord voordat het verloopt, aangezien alleen een andere beveiligingsfunctionaris (indien aanwezig) de toestemming heeft om een account van de beveiligingsfunctionaris te wijzigen of opnieuw in te stellen. Alleen een bestaande beveiligingsfunctionaris kan een ander beveiligingsmedewerker-account aanmaken.