Seria PowerProtect DP: Protection Storage: Data Domain: Ścieżka rozwiązywania problemów z kontem Security Officer

Co to jest Security Officer?

• Użytkownik z rolą Security, nazywany również Security Officer, może zarządzać innymi użytkownikami Security Officer, autoryzować procedury, które wymagają zatwierdzenia użytkownika Security Officer, nadzorować niszczenie danych i przeprowadzać wszystkie zadania, które są obsługiwane dla użytkowników z rolą Security.
• Rola Security zapewnia zgodność z regulacją typu „Write-Once-Read-Many” (WORM). Regulacja ta wymaga, aby dane firmowe przechowywane w formie elektronicznej były przechowywane w niezatwierdzonym, oryginalnym stanie do celów takich jak e-Discovery, audyty i rejestrowanie.
• W typowym scenariuszu użytkownik z rolą administratora wydaje polecenie, a jeśli wymagane jest zatwierdzenie przez użytkownika Security Officer, system wyświetla monit o zatwierdzenie. Aby kontynuować pierwotne zadanie, użytkownik Security Officer musi wprowadzić nazwę użytkownika i hasło w tej samej konsoli, w której zostało uruchomione polecenie.
• Jeśli system rozpozna poświadczenia użytkownika Security Officer, procedura zostanie autoryzowana. Jeśli nie, zostanie wygenerowany alert zabezpieczeń. 

Cel:
ze względu na regulacje dotyczące zgodności większość opcji poleceń do administrowania wrażliwymi operacjami wymaga poświadczeń i autoryzacji użytkownika Security Officer (SO).

Poniżej przedstawiono kilka przykładów tej samej sytuacji:

• Poświadczenia SO są wymagane, aby przejść do trybu SE (istnieje wiele operacji, które można wykonać tylko w trybie SE, takie jak zmiany w rejestrze. Aby uzyskać więcej informacji na temat poleceń trybu SE, zobacz Solve Desktop).
• Szyfrowanie
• Blokada retencji
• Hasło systemowe 
• Włączanie protokołu FIPS
• Niszczenie systemu plików
• Niszczenie na warstwie chmury itp.

Aby uzyskać więcej informacji na temat operacji wymagających poświadczeń zabezpieczeń, zapoznaj się z podręcznikiem administratora systemu operacyjnego DD dla odpowiedniego systemu operacyjnego z Solve Desktop.


Tworzenie użytkownika Security Officer:

• Aby utworzyć pierwsze konto Security Officer (SO), postępuj zgodnie z instrukcjami zawartymi w poniższym artykule KB firmy Dell 198128 w celu utworzenia konta z ACM:

Seria PowerProtect DP: Protection Storage: Alert: Security officer user account must be created.

Wytyczne:

• Jeśli użytkownik Security Officer zostanie utworzony bezpośrednio z Data Domain, a nie z ACM, autoryzacja zabezpieczeń nie zostanie włączona automatycznie.
• Aby włączyć zasady autoryzacji, użytkownik Security Officer musi zalogować się lub użyć przekierowania SSH do Data Domain i włączyć zasady autoryzacji, jak pokazano poniżej.

Sec_Officer01@dd4400>authorization policy show 
Sec_Officer01@dd4400>authorization policy set security-officer enabled
Sec_Officer01@dd4400>authorization policy show

• Po utworzeniu pierwszego użytkownika Security Officer tylko użytkownik Security Officer może utworzyć kolejne konto Security Officer.

Problemy z kontem Security Officer:

• W przypadkach, gdy użytkownik Security Officer istnieje, ale nie może się zalogować ze względu na zablokowanie konta użytkownika Security Officer albo zgubienia, zapomnienia lub wygaśnięcia hasła, należy wykonać poniższe czynności w podanej kolejności.

 

Opcja 1:

Zaloguj się do DDR przy użyciu konta użytkownika z uprawnieniami administratora, takimi jak „sysadmin”, i uruchom poniższe polecenie, aby najpierw poznać poprawną nazwę użytkownika z rolą Security:

# user show list

 

Otwórz kolejną sesję SSH do Data Domain i zaloguj się przy użyciu użytkownika Security Officer (SO). Jeśli hasło wygasło, system automatycznie poprosi o ustawienie nowego hasła.

 

Opcja 2:

Jeśli powyższe rozwiązanie nie ma zastosowania, można spróbować zalogować się przy użyciu domyślnego lub wspólnego hasła do IDPA.
Jeśli zostało ono ustawione podczas tworzenia użytkownika Security Officer, rozwiązanie zadziała.
Uwaga: w IDPA 2.7 istnieje twardy wymóg, aby nie ustawiać takiego samego hasła Security Officer i hasła wspólnego. Jednakże w przypadku wcześniejszych wersji można spróbować wykonać powyższe czynności.

 

Opcja 3:

Jeśli problem nie ustąpi, sprawdź, czy inny użytkownik Security Officer istnieje, na podstawie danych wyjściowych polecenia „user show list”, które zostało uruchomione wcześniej. Tylko inny użytkownik Security, jeśli taki istnieje, może zmienić lub odblokować zablokowane konto Security Officer.

Jeśli istnieje inne konto Security Officer (SO), wykonaj poniższe czynności zgodnie z wymaganiami:

• Jeśli wymagana jest zmiana hasła:

Zaloguj się lub SSH do domeny danych przy użyciu drugiej nazwy użytkownika SO i użyj poniższego polecenia, aby zmienić hasło:

# user change password [< SO username>]

 

• Jeśli wymagane jest tylko odblokowanie konta:

Uwaga:

• Konto użytkownika Security Officer zostanie zablokowane po trzech nieudanych próbach logowania. Jest to zgodne ze STIG.
• Po zablokowaniu konta użytkownika Security Officer użytkownik MUSI poczekać, aż upłynie czas do odblokowania (domyślnie 120 sekund), aby zalogować się ponownie.

sysadmin@DD# adminaccess option show
Option                 Value
--------------------   --------
login-unlock-timeout   120
login-max-attempts     3
..
…..
--------------------   --------

 

• Ważne: ważne jest, aby zapewnić bezpieczeństwo poświadczeń bezpieczeństwa konta Security Officer i zmienić hasło przed jego wygaśnięciem, ponieważ tylko inny użytkownik Security Officer (jeśli taki istnieje) ma zezwolenie na zmianę lub zresetowanie wygasłego lub zablokowanego konta Security Officer. Tylko obecny użytkownik Security Officer może utworzyć inne konto Security Officer.