Zařízení PowerProtect řady DP: Protection Storage: Alert: Je nutné vytvořit uživatelský účet bezpečnostního pracovníka.
Resumen: Zpráva "Alert: Security officer user account must be created." po upgradu zařízení IDPA na verzi 2.7.
Síntomas
Current Alerts -------------- Id Post Time Severity Class Object Message ----- ------------------------ -------- -------- ------ ------------------------------------------------------------------ m0-21 Mon Mar 22 08:54:24 2021 CRITICAL Security EVT-SECURITY-00029: Security officer user account must be created. ----- ------------------------ -------- -------- ------ ------------------------------------------------------------------ There is 1 active alert
Causa
Vzhledem k tomu, že zařízení IDPA 2.7 má systém DDOS 7.6, zobrazí se tato výstraha po upgradu na systémech, které nemají stávající uživatelský účet sady Security Office.
Poznámka: Vylepšené posílení zabezpečení v systému DDOS 7.5 nebo novějším zahrnuje kromě oprávnění správce DD před prováděním příkazů s vysokým dopadem požadavek na autorizaci uživatele bezpečnostního pracovníka, například:
- File System Destroy
- Cloud Tier Destroy
- Mazání GC
Resolución
Po vytvoření uživatelského účtu bezpečnostního pracovníka se výstraha sama vymaže.
Vytvoření uživatelského účtu prvního bezpečnostního pracovníka:
- Přihlaste se do rozhraní ACM.
- Přejděte na položku Protection Storage a klikněte na její ikonu ozubeného kola.
- Klikněte na možnost Create First Security Officer a před jeho vytvořením projděte kritéria pro uživatelské jméno a heslo.
- Přejděte dolů na položku Zadejte nové bezpečnostní uživatelské jméno a heslo.
Poznámka: Při vytvoření prvního uživatelského účtu bezpečnostního pracovníka v rozhraní ACM podle výše uvedených kroků automaticky povolí také bezpečnostní autorizaci.
- Jakmile je vytvořen uživatel bezpečnostního pracovníka, AAH v systému Data Domain pomocí nově vytvořených pověření bezpečnostního pracovníka k ověření toho samého:
Sec_Officer01@dd4400> authorization policy show Runtime authorization policy is enabled
- Platnost uživatelského hesla bezpečnostního pracovníka vyprší každých 90 dní podle výchozího stárnutí hesla. Stárnutí hesla lze zkontrolovat a upravit níže v závislosti na požadavek:
Sec_Officer01@dd4400> user password aging show User Password Minimum Days Maximum Days Warn Days Disable Days Status Last Changed Between Change Between Change Before Expire After Expire ----------------- ------------ -------------- -------------- ------------- ------------ -------- Sec_Officer01 Apr 07, 2022 0 90 7 never enabled sysadmin Mar 25, 2022 0 99999 7 never enabled ----------------- ------------ -------------- -------------- ------------- ------------ --------
Příklad:
Pokud chcete nastavit stárnutí hesla uživatele zabezpečení na 120 dní namísto výchozích 90 dní, použijte následující příkaz:
Sec_Officer01@dd4400> user password aging set Sec_Officer01 max-days-between-change 120
Poznámka:
Je důležité, aby byly bezpečnostní přihlašovací údaje bezpečné a aby bylo heslo změněno dříve, než vyprší, jelikož pouze další bezpečnostní osoba (pokud existuje) má oprávnění ke změně nebo resetování účtu bezpečnostního pracovníka s ukončenou platností nebo uzamknutého bezpečnostního pracovníka. Jiný účet bezpečnostního pracovníka může vytvořit pouze stávající osoba zabezpečení.