Erstellen und Verwalten von Benutzern auf einem OT-Netzwerksensor

Microsoft Defender für IoT bietet Tools zum Verwalten des lokalen Benutzerzugriffs im OT-Netzwerksensor. Azure Benutzer werden auf Azure Abonnementebene mithilfe Azure RBAC verwaltet.

In diesem Artikel wird beschrieben, wie Sie lokale Benutzer direkt auf einem OT-Netzwerksensor verwalten.

Privilegierte Standardbenutzer

Standardmäßig wird jeder OT-Netzwerksensor mit dem privilegierten Administratorbenutzer installiert, der Zugriff auf erweiterte Tools zur Problembehandlung und Einrichtung hat.

Wenn Sie einen Sensor zum ersten Mal einrichten, melden Sie den Administratorbenutzer an, erstellen Sie einen ersten Benutzer mit einer Admin Rolle, und erstellen Sie dann zusätzliche Benutzer für Sicherheitsanalysten und schreibgeschützte Benutzer.

Weitere Informationen finden Sie unter Installieren und Einrichten Ihres OT-Sensors und unter Privilegierte lokale Standardbenutzer.

Sensorversionen vor 23.1.x enthalten auch die cyberx - und cyberx_host privilegierten Benutzer. In Den Versionen 23.1.x und höher sind diese Benutzer zwar installiert, aber nicht standardmäßig aktiviert.

Setzen Sie das Kennwort zurück, um cyberx und cyberx_host Benutzern in Den Versionen 23.1.x und höher zu ermöglichen, z. B. mit der Defender für IoT CLI zu verwenden. Weitere Informationen finden Sie unter Ändern des Kennworts eines Sensorbenutzers.

Konfigurieren einer Active Directory-Verbindung

Es wird empfohlen, lokale Benutzer auf Ihrem OT-Sensor mit Active Directory zu konfigurieren, damit sich Active Directory-Benutzer bei Ihrem Sensor anmelden und Active Directory-Gruppen verwenden können, wobei allen Benutzern in der Gruppe kollektive Berechtigungen zugewiesen sind.

Verwenden Sie beispielsweise Active Directory, wenn Sie über eine große Anzahl von Benutzern verfügen, denen Sie schreibgeschützten Zugriff zuweisen möchten, und Sie diese Berechtigungen auf Gruppenebene verwalten möchten.

Tipp

Wenn Sie bereit sind, ihre OT-Sensoreinstellungen im großen Stil zu verwalten, definieren Sie Active Directory-Einstellungen aus dem Azure-Portal. Nachdem Sie Einstellungen aus dem Azure-Portal angewendet haben, sind die Einstellungen in der Sensorkonsole schreibgeschützt. Weitere Informationen finden Sie unter Configure OT sensor settings from the Azure-Portal (Public preview).

So integrieren Sie Active Directory:

  1. Melden Sie sich bei Ihrem OT-Sensor an, und wählen Sie Systemeinstellungen>Integrationen>Active Directory aus.

  2. Aktivieren Sie die Option Active Directory-Integration aktiviert .

  3. Geben Sie die folgenden Werte für Ihren Active Directory-Server ein:

    Name Beschreibung
    FQDN des Domänencontrollers Der vollqualifizierte Domänenname (FQDN), genau wie er auf Ihrem LDAP-Server angezeigt wird. Geben Sie beispielsweise host1.subdomain.contoso.com ein.

    Wenn bei der Integration mit dem FQDN ein Problem auftritt, überprüfen Sie Ihre DNS-Konfiguration. Sie können beim Einrichten der Integration auch die explizite IP-Adresse des LDAP-Servers anstelle des FQDN eingeben.
    Domänencontrollerport Der Port, an dem Ihr LDAP konfiguriert ist. Verwenden Sie beispielsweise Port 636 für LDAPS-Verbindungen (SSL).
    Primäre Domäne Der Domänenname, z subdomain.contoso.com. B. , und wählen Sie dann den Verbindungstyp für Ihre LDAP-Konfiguration aus.

    Unterstützte Verbindungstypen sind : LDAPS/NTLMv3 (empfohlen), LDAP/NTLMv3 oder LDAP/SASL-MD5
    Active Directory-Gruppen Wählen Sie + Hinzufügen aus, um jeder aufgeführten Berechtigungsstufe je nach Bedarf eine Active Directory-Gruppe hinzuzufügen.

    Wenn Sie einen Gruppennamen eingeben, stellen Sie sicher, dass Sie den Gruppennamen genau so eingeben, wie er in Ihrer Active Directory-Konfiguration auf dem LDAP-Server definiert ist. Verwenden Sie diese Gruppennamen, wenn Sie neue Sensorbenutzer mit Active Directory hinzufügen.

    Zu den unterstützten Berechtigungsstufen gehören Schreibgeschützt, Sicherheitsanalyst, Admin und vertrauenswürdige Domänen.

    Wichtig

    Bei der Eingabe von LDAP-Parametern:

    • Definieren Sie Werte genau so, wie sie in Active Directory angezeigt werden, mit Ausnahme des Falls.
    • Nur Kleinbuchstaben des Benutzers, auch wenn die Konfiguration in Active Directory Großbuchstaben verwendet.
    • LDAP und LDAPS können nicht für dieselbe Domäne konfiguriert werden. Sie können jedoch jede in verschiedenen Domänen konfigurieren und sie dann gleichzeitig verwenden.

  4. Um einen weiteren Active Directory-Server hinzuzufügen, wählen Sie oben auf der Seite + Server hinzufügen aus, und definieren Sie diese Serverwerte.

  5. Wenn Sie alle Active Directory-Server hinzugefügt haben, wählen Sie Speichern aus.

    Zum Beispiel:

    Screenshot der Active Directory-Integrationskonfiguration auf dem Sensor.

Hinzufügen neuer OT-Sensorbenutzer

In diesem Verfahren wird beschrieben, wie neue Benutzer für einen bestimmten OT-Netzwerksensor erstellt werden.

Voraussetzungen: Dieses Verfahren steht für administratoren-, cyberx- und cyberx_host-Benutzer sowie für alle Benutzer mit der rolle "Admin" zur Verfügung.

So fügen Sie einen Benutzer hinzu:

  1. Melden Sie sich bei der Sensorkonsole an, und wählen Sie Benutzer>+ Benutzer hinzufügen aus.

  2. Auf der Seite Benutzer erstellen | Geben Sie auf der Seite Benutzer die folgenden Details ein:

    Name Beschreibung
    Benutzername Geben Sie einen aussagekräftigen Benutzernamen für den Benutzer ein.
    E-Mail Geben Sie die E-Mail-Adresse des Benutzers ein.
    Vorname Geben Sie den Vornamen des Benutzers ein.
    Nachname Geben Sie den Nachnamen des Benutzers ein.
    Rolle Wählen Sie eine der folgenden Benutzerrollen aus: Admin, Sicherheitsanalyst oder Schreibgeschützt. Weitere Informationen finden Sie unter Lokale Benutzerrollen.
    Password Wählen Sie den Benutzertyp entweder Lokal oder Active Directory-Benutzer aus.

    Geben Sie für lokale Benutzer ein Kennwort für den Benutzer ein. Zu den Kennwortanforderungen gehören:
    – Mindestens acht Zeichen
    – Sowohl Klein- als auch Großbuchstaben
    – Mindestens eine Zahl
    – Mindestens ein Symbol

    Lokale Benutzerkennwörter können nur von Admin Benutzern geändert werden.

    Tipp

    Durch die Integration in Active Directory können Sie Benutzergruppen mit bestimmten Berechtigungsstufen zuordnen. Wenn Sie Benutzer mithilfe von Active Directory erstellen möchten, konfigurieren Sie zunächst eine Active Directory-Verbindung , und kehren Sie dann zu diesem Verfahren zurück.

  3. Wenn Sie fertig sind, klicken Sie auf Speichern.

Ihr neuer Benutzer wird hinzugefügt und auf der Seite Benutzer des Sensors aufgeführt.

Um einen Benutzer zu bearbeiten, wählen Sie das Symbol Bearbeiten für den Benutzer aus, den Sie bearbeiten möchten, und ändern Sie alle Werte nach Bedarf.

Um einen Benutzer zu löschen, wählen Sie die Schaltfläche Löschen für den Benutzer aus, den Sie löschen möchten.

Ändern des Kennworts eines Sensorbenutzers

In diesem Verfahren wird beschrieben, wie Admin Benutzer lokale Benutzerkennwörter ändern können. Admin Können Benutzer Kennwörter für sich selbst oder für andere Sicherheitsanalysten oder schreibgeschützte Benutzer ändern. Privilegierte Benutzer können ihre eigenen Kennwörter und die Kennwörter für Admin Benutzer ändern.

Tipp

Wenn Sie den Zugriff auf ein privilegiertes Benutzerkonto wiederherstellen müssen, lesen Sie Wiederherstellen des privilegierten Zugriffs auf einen Sensor.

Voraussetzungen: Dieses Verfahren ist nur für Cyberx-, Administrator- oder cyberx_host-Benutzer oder für Benutzer mit der rolle "Admin" verfügbar.

So ändern Sie das Kennwort eines Benutzers auf einem Sensor:

  1. Melden Sie sich beim Sensor an, und wählen Sie Benutzer aus.

  2. Suchen Sie auf der Seite Benutzer des Sensors den Benutzer, dessen Kennwort geändert werden muss.

  3. Wählen Sie rechts neben dieser Benutzerzeile die Optionen (...) im Menü >Bearbeiten aus, um den Benutzerbereich zu öffnen.

  4. Geben Sie im Benutzerbereich auf der rechten Seite im Bereich Kennwort ändern das neue Kennwort ein, und bestätigen Sie es. Wenn Sie Ihr eigenes Kennwort ändern, müssen Sie auch Ihr aktuelles Kennwort eingeben.

    Zu den Kennwortanforderungen gehören:

    • Mindestens acht Zeichen
    • Sowohl Klein- als auch Großbuchstaben
    • Mindestens eine Zahl
    • Mindestens ein Symbol

  5. Wenn Sie fertig sind, klicken Sie auf Speichern.

Wiederherstellen des privilegierten Zugriffs auf einen Sensor

In diesem Verfahren wird beschrieben, wie Sie den privilegierten Zugriff auf einen Sensor für Cyberx-, Administrator- oder cyberx_host-Benutzer wiederherstellen. Weitere Informationen finden Sie unter Standardmäßige privilegierte lokale Benutzer.

Voraussetzungen: Dieses Verfahren ist nur für Cyberx-, Administrator- oder cyberx_host-Benutzer verfügbar.

So stellen Sie den privilegierten Zugriff auf einen Sensor wieder her:

  1. Melden Sie sich beim OT-Netzwerksensor an. Wählen Sie auf dem Anmeldebildschirm den Link Zurücksetzen aus. Zum Beispiel:

    Screenshot des Sensoranmeldungsbildschirms mit dem Link Kennwort zurücksetzen.

  2. Wählen Sie im Dialogfeld Kennwort zurücksetzen im Menü Benutzer auswählen den Benutzer aus, dessen Kennwort Sie wiederherstellen möchten, entweder Cyberx, Admin oder CyberX_host.

  3. Kopieren Sie den eindeutigen Bezeichnercode, der unter Kennwortbezeichner zurücksetzen angezeigt wird, in die Zwischenablage. Zum Beispiel:

    Screenshot des Dialogfelds

  4. Wechseln Sie im Azure-Portal zur Seite Websites und Sensoren von Defender für IoT. Möglicherweise möchten Sie die Azure-Portal in einer neuen Browserregisterkarte oder in einem neuen Fenster öffnen, wobei Die Sensorregisterkarte geöffnet bleibt.

    Stellen Sie in Ihren Azure-Portal Einstellungen >Verzeichnisse + Abonnements sicher, dass Sie das Abonnement ausgewählt haben, in dem Ihr Sensor in Defender für IoT integriert wurde.

  5. Suchen Sie auf der Seite Websites und Sensoren den Sensor, mit dem Sie arbeiten, und wählen Sie das Optionsmenü (...) auf der rechten Seite >Mein Kennwort wiederherstellen aus. Zum Beispiel:

    Screenshot der Option

  6. Geben Sie im daraufhin geöffneten Dialogfeld Wiederherstellen den eindeutigen Bezeichner ein, den Sie von Ihrem Sensor in die Zwischenablage kopiert haben, und wählen Sie Wiederherstellen aus. Eine password_recovery.zip Datei wird automatisch heruntergeladen.

    Alle Aus dem Azure-Portal heruntergeladenen Dateien werden vom Vertrauensstamm signiert, sodass Ihre Computer nur signierte Ressourcen verwenden.

  7. Wählen Sie auf der Registerkarte Sensor auf dem Bildschirm Kennwortwiederherstellung die Option Datei auswählen aus. Navigieren Sie zu der password_recovery.zipDatei, die Sie zuvor aus dem Azure-Portal heruntergeladen haben, und laden Sie sie hoch.

    Hinweis

    Wenn eine Fehlermeldung angezeigt wird, die angibt, dass die Datei ungültig ist, haben Sie möglicherweise ein falsches Abonnement in Ihren Azure-Portal Einstellungen ausgewählt.

    Kehren Sie zu Azure zurück, und wählen Sie das Einstellungssymbol auf der oberen Symbolleiste aus. Stellen Sie auf der Seite Verzeichnisse und Abonnements sicher, dass Sie das Abonnement ausgewählt haben, für das Ihr Sensor in Defender für IoT integriert wurde. Wiederholen Sie dann die Schritte in Azure, um die password_recovery.zip-Datei herunterzuladen und erneut auf den Sensor hochzuladen.

  8. Wählen Sie Weiter aus. Ein vom System generiertes Kennwort für Ihren Sensor wird angezeigt, das Sie für den ausgewählten Benutzer verwenden können. Notieren Sie sich das Kennwort, da es nicht mehr angezeigt wird.

  9. Wählen Sie erneut Weiter aus, um sich mit dem neuen Kennwort bei Ihrem Sensor anzumelden.

Definieren der maximalen Anzahl fehlerhafter Anmeldungen

Verwenden Sie den CLI-Zugriff des OT-Sensors, um die Anzahl der maximal fehlgeschlagenen Anmeldungen zu definieren, bevor ein OT-Sensor verhindert, dass sich der Benutzer erneut über dieselbe IP-Adresse anmeldet.

Weitere Informationen finden Sie unter Benutzer und Zugriff auf die Defender für IoT-Befehlszeilenschnittstelle.

Voraussetzungen: Dieses Verfahren ist nur für den Cyberx-Benutzer verfügbar.

  1. Melden Sie sich über SSH bei Ihrem OT-Sensor an, und führen Sie Folgendes aus:

    nano /var/cyberx/components/xsense-web/cyberx_web/settings.py

  2. Legen Sie in der settings.py-Datei den "MAX_FAILED_LOGINS" Wert auf die maximale Anzahl fehlerhafter Anmeldungen fest, die Sie definieren möchten. Stellen Sie sicher, dass Sie die Anzahl der gleichzeitigen Benutzer in Ihrem System berücksichtigen.

  3. Beenden Sie die Datei, und führen Sie aus sudo monit restart all , um Ihre Änderungen anzuwenden.

Nächste Schritte

Weitere Informationen finden Sie unter Überwachen der Benutzeraktivität.

  • Last updated on