Серія PowerProtect DP: Захист сховища: Домен даних: Шлях вирішення проблеми облікового запису співробітника служби безпеки

Хто такий охоронець?

• Користувач ролі безпеки, який може називатися співробітником безпеки, може керувати іншими спеціалістами безпеки, авторизувати процедури, які потребують схвалення спеціаліста з безпеки, забезпечувати нагляд за знищенням даних і виконувати всі завдання, які підтримуються користувачами ролі безпеки.
• Роль безпеки надається відповідно до правил «Записуй один раз і читай-багато» (WORM). Цей регламент вимагає, щоб корпоративні дані, що зберігаються в електронному вигляді, зберігалися в незмінному первісному стані для таких цілей, як електронне витребування, аудит і ведення журналів.
• У типовому сценарії користувач ролі адміністратора віддає команду, і, якщо потрібне схвалення спеціаліста з безпеки, система відображає запит на затвердження. Співробітник служби безпеки повинен ввести свій логін і пароль на тій же консолі, на якій була виконана команда, щоб продовжити виконання початкового завдання.
• Якщо система розпізнає облікові дані співробітника служби безпеки, процедура авторизована. Якщо ні, генерується сповіщення системи безпеки. 

Призначення:
У зв'язку з правилами відповідності, більшість варіантів команд для адміністрування конфіденційних операцій вимагають облікових даних та дозволу офіцера безпеки (SO).

Нижче наведено кілька прикладів таких самих:

• Для переходу в режим SE потрібні облікові дані SO (Існує кілька операцій, які можна виконувати лише в режимі SE, наприклад, зміни реєстру. Щоб дізнатися більше про команди режиму SE, див. Розв'язання проблеми робочого столу.)
• Шифрування
• Фіксатор утримання
• Системна парольна фраза 
• Увімкнення FIPS
• Знищення файлової системи
• Руйнування рівня хмари і так далі

Щоб отримати докладнішу інформацію про операції, для яких потрібні облікові дані безпеки, перегляньте посібник із адміністрування DD OS для відповідної операційної системи від Solve Desktop.


Як створити Security Officer:

• Щоб створити перший обліковий запис Security Officer (SO), дотримуйтесь наведеної нижче статті Dell KB 198128 створення облікового запису з ACM:

Серія PowerProtect DP: Захист сховища: Оповіщення: Необхідно створити обліковий запис користувача співробітника служби безпеки.

Принципи:

• Якщо Security Officer створюється безпосередньо з Data Domain, а не з ACM, то авторизація безпеки не включається автоматично.
• Щоб увімкнути політику авторизації, співробітник служби безпеки повинен увійти в систему або SSH до Data Domain і активувати політику авторизації, як показано нижче.

Sec_Officer01@dd4400>authorization policy show 
Sec_Officer01@dd4400>authorization policy set security-officer enabled
Sec_Officer01@dd4400>authorization policy show

• Після створення першого співробітника служби безпеки лише інший обліковий запис може створити лише співробітник служби безпеки.

Проблеми з обліковим записом Security Officer:

• У випадках, коли користувач служби безпеки існує, але не може увійти в систему через заблокований обліковий запис користувача безпеки або пароль, який втрачено, забуто чи термін дії минув, необхідно послідовно виконати наведені нижче дії.

 

Варіант 1:

Увійдіть у DDR за допомогою облікового запису користувача, який має права адміністратора, такі як "sysadmin", і спочатку запустіть команду нижче, щоб дізнатися правильне ім'я користувача Security Role:

# user show list

 

Відкрийте ще один сеанс SSH у Data Domain і авторизуйтесь за допомогою користувача Security Officer (SO), якщо термін дії пароля закінчився, він автоматично попросить встановити новий пароль.

 

Варіант 2:

Якщо це не так, ви можете спробувати увійти в систему, використовуючи стандартний або загальний пароль для IDPA.
Якщо це те, що було встановлено під час створення користувача Security Officer, то це спрацює.
Примітка: Починаючи з IDPA 2.7, існує жорстка вимога не встановлювати пароль sSecurity Officer так само, як і звичайний пароль. Однак вищезазначене можна спробувати використати для більш ранніх випусків.

 

Варіант 3:

Якщо проблема не зникає, перевірте, чи існує інший користувач Security Officer з виводу команди «список показів користувачів», яка була запущена раніше. Лише інший користувач безпеки, якщо він існує, має дозвіл на зміну або розблокування заблокованого облікового запису Security Officer.

Якщо існує інший обліковий запис співробітника служби безпеки (SO), виконайте наведені нижче дії відповідно до вимог:

• Якщо необхідно змінити пароль:

Увійдіть або SSH до Data Domain, використовуючи це друге ім'я користувача SO, і скористайтеся наведеною нижче командою, щоб змінити пароль:

# user change password [< SO username>]

 

• Якщо вимога полягає лише в розблокуванні облікового запису:

Примітка:

• Обліковий запис користувача Security Officer блокується після трьох невдалих спроб входу. Це відповідає STIG.
• Як тільки обліковий запис користувача Security Officer заблоковано, користувач ПОВИНЕН дочекатися тайм-ауту розблокування (за замовчуванням 120 секунд), щоб знову увійти в систему.

sysadmin@DD# adminaccess option show
Option                 Value
--------------------   --------
login-unlock-timeout   120
login-max-attempts     3
..
…..
--------------------   --------

 

• Важливий: Зберігайте облікові дані співробітника безпеки в безпеці та змінюйте пароль до його закінчення, оскільки лише інший співробітник служби безпеки (за наявності) має дозвіл на зміну або скидання облікового запису співробітника безпеки. Лише наявний співробітник служби безпеки може створити інший обліковий запис Офіцера безпеки.