PowerProtect DP serie: Beschermingsstorage: Alert: Er moet een security officer-gebruikersaccount worden gemaakt

De onderstaande waarschuwing kan worden weergegeven op Protection Storage na het upgraden van IDPA naar 2.7:

Deze waarschuwing wordt weergegeven als gevolg van een nieuwe audit voor beveiligingsnaleving die is geïntroduceerd in DDOS 7.5.x en hoger. In deze DDOS-versies vraagt het systeem om een Security Officer-gebruikersaccount aan te maken als deze niet bestaat.

Aangezien IDPA 2.7 DDOS 7.6 heeft, wordt deze waarschuwing weergegeven na de upgrade op systemen waarvoor geen Security Office-gebruikersaccount bestaat.

Opmerking: Verbeterde beveiligingsverharding in DDOS 7.5 of hoger omvat een vereiste voor security officer-gebruikersautorisatie in aanvulling op DD-beheerdersautorisatie voordat u opdrachten met hoge impact uitvoert, zoals:

• Bestandsysteem vernietigen
• Cloud Tier Destroy
• GC-opschoning

Zodra het Security Officer-gebruikersaccount is gemaakt, wordt de waarschuwing zelfstandig gewist.

Als u de First Security Officer-gebruikersaccount wilt maken:

1. Meld u aan bij ACM. 
2. Blader naar protection storage component en klik op het tandwielpictogram.
3. Klik op Create First Security Officer en doorloop de criteria voor gebruikersnaam en wachtwoord voordat u deze maakt.
4. Scrol omlaag om nieuwe beveiligingsgebruikersnaam en -wachtwoord in te voeren.

Opmerking: Wanneer het eerste Security Officer-gebruikersaccount wordt gemaakt vanuit ACM volgens de bovenstaande stappen, wordt de beveiligingsautorisatie automatisch ook ingeschakeld.

1. Zodra de Security Officer-gebruiker is gemaakt, AAH naar Data Domain met behulp van nieuw gemaakte security officer-referenties om hetzelfde te verifiëren:

Sec_Officer01@dd4400> authorization policy show
Runtime authorization policy is enabled

2. Het security officer-gebruikerswachtwoord verloopt elke 90 dagen volgens het standaardwachtwoordveroudering. Wachtwoordveroudering kan worden gecontroleerd en gewijzigd zoals hieronder aangegeven, afhankelijk van de vereisten:

Sec_Officer01@dd4400> user password aging show

User                Password       Minimum Days     Maximum Days     Warn Days       Disable Days   Status
                    Last Changed   Between Change   Between Change   Before Expire   After Expire
-----------------   ------------   --------------   --------------   -------------   ------------   --------

Sec_Officer01       Apr 07, 2022   0                90               7               never          enabled

sysadmin            Mar 25, 2022   0                99999            7               never          enabled
-----------------   ------------   --------------   --------------   -------------   ------------   --------

 

Voorbeeld:
Gebruik de onderstaande opdracht om wachtwoordveroudering in te stellen voor de beveiligingsgebruiker als 120 dagen in plaats van standaard 90 dagen:

Sec_Officer01@dd4400> user password aging set Sec_Officer01 max-days-between-change 120

 

Opmerking:
Het is belangrijk om de beveiligingsreferenties veilig te houden en het wachtwoord te wijzigen voordat het verloopt, omdat alleen een andere beveiligingsmedewerker (indien aanwezig) de toestemming heeft om het verlopen of vergrendelde security officer-account te wijzigen of opnieuw in te stellen. Alleen een bestaande beveiligingsmedewerker kan een andere security officer-account maken.