PowerProtect serie DP: Almacenamiento con protección: Alerta: Se debe crear una cuenta de usuario del director de seguridad

La siguiente alerta se puede ver en el almacenamiento con protección después de actualizar IDPA a 2.7:

Esta alerta aparece debido a la nueva auditoría de cumplimiento de normas de seguridad, que se presentó en DDOS 7.5.x y versiones posteriores. En estas versiones de DDOS, el sistema solicita la creación de la cuenta de usuario del director de seguridad si no existe.

Dado que IDPA 2.7 tiene DDOS 7.6, esta alerta se observa después de la actualización en sistemas que no tienen una cuenta de usuario del director de seguridad existente.

Nota: Un mayor reforzamiento de la seguridad en DDOS 7.5 o versiones posteriores incluye un requisito de autorización del usuario del director de seguridad, además de la autorización del administrador de DD, antes de ejecutar comandos de alto impacto, como los siguientes:

• Eliminación del sistema de archivos
• Eliminación del nivel de nube
• Eliminación de GC

Una vez que se crea la cuenta de usuario del director de seguridad, la alerta se borra por sí sola.

Para crear la primera cuenta de usuario del director de seguridad, haga lo siguiente:

1. Inicie sesión en ACM. 
2. Desplácese hasta Protection Storage component y haga clic en el icono de engranaje.
3. Haga clic en Create First Security Officer y revise los criterios de nombre de usuario y contraseña antes de crearla.
4. Desplácese hacia abajo hasta Input new security Username and password.

Nota: Cuando se crea la primera cuenta de usuario del director de seguridad desde ACM según los pasos anteriores, también se habilita automáticamente la autorización de seguridad.

1. Una vez que se crea el usuario del director de seguridad, AAH a Data Domain con las credenciales de director de seguridad recién creadas para verificarlas:

Sec_Officer01@dd4400> authorization policy show
Runtime authorization policy is enabled

2. La contraseña del usuario del director de seguridad vence cada 90 días según la antigüedad predeterminada de la contraseña. La caducidad de la contraseña se puede comprobar y modificar como se indica a continuación según los requisitos:

Sec_Officer01@dd4400> user password aging show

User                Password       Minimum Days     Maximum Days     Warn Days       Disable Days   Status
                    Last Changed   Between Change   Between Change   Before Expire   After Expire
-----------------   ------------   --------------   --------------   -------------   ------------   --------

Sec_Officer01       Apr 07, 2022   0                90               7               never          enabled

sysadmin            Mar 25, 2022   0                99999            7               never          enabled
-----------------   ------------   --------------   --------------   -------------   ------------   --------

 

Ejemplo:
Si desea establecer la caducidad de la contraseña para el usuario de seguridad en 120 días en lugar de los 90 días predeterminados, utilice el siguiente comando:

Sec_Officer01@dd4400> user password aging set Sec_Officer01 max-days-between-change 120

 

Nota:
Es importante mantener seguras las credenciales de seguridad y cambiar la contraseña antes de que caduque, ya que solo otro director de seguridad (si existe) tiene permiso para cambiar o restablecer una cuenta de director de seguridad vencida o bloqueada. Solo un director de seguridad existente puede crear otra cuenta de director de seguridad.