Skip to main content
Data Infrastructure Insights
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Blockieren des Benutzerzugriffs

Beitragende netapp-alavoie
PDFs

Sobald ein Angriff erkannt wird, kann Workload Security den Angriff stoppen, indem es den Benutzerzugriff auf das Dateisystem blockiert. Der Zugriff kann automatisch mithilfe automatisierter Antwortrichtlinien oder manuell über die Warn- oder Benutzerdetailseiten blockiert werden.

Beim Sperren des Benutzerzugriffs sollten Sie einen Sperrzeitraum festlegen. Nach Ablauf des ausgewählten Zeitraums wird der Benutzerzugriff automatisch wiederhergestellt. Die Zugriffsblockierung wird sowohl für SMB- als auch für NFS-Protokolle unterstützt.

Der Benutzer wird direkt für SMB blockiert und die IP-Adresse der Host-Computer, die den Angriff verursachen, wird für NFS blockiert. Den IP-Adressen dieser Maschinen wird der Zugriff auf alle von Workload Security überwachten Storage Virtual Machines (SVMs) verweigert.

Nehmen wir beispielsweise an, dass Workload Security 10 SVMs verwaltet und die Richtlinie für automatische Antworten für vier dieser SVMs konfiguriert ist. Wenn der Angriff von einer der vier SVMs ausgeht, wird der Zugriff des Benutzers auf allen 10 SVMs blockiert. Auf der ursprünglichen SVM wird weiterhin ein Snapshot erstellt.

Wenn vier SVMs vorhanden sind und eine SVM für SMB, eine für NFS und die beiden anderen sowohl für NFS als auch für SMB konfiguriert sind, werden alle SVMs blockiert, wenn der Angriff von einer der vier SVMs ausgeht.

Voraussetzungen für die Benutzerzugriffssperre

Damit diese Funktion funktioniert, sind Anmeldeinformationen auf Clusterebene erforderlich.

Wenn Sie Anmeldeinformationen für die Clusterverwaltung verwenden, sind keine neuen Berechtigungen erforderlich.

Wenn Sie einen benutzerdefinierten Benutzer (z. B. csuser) mit dem Benutzer erteilten Berechtigungen verwenden, führen Sie die folgenden Schritte aus, um Workload Security die Berechtigung zum Blockieren des Benutzers zu erteilen.

Führen Sie für csuser mit Cluster-Anmeldeinformationen Folgendes über die ONTAP -Befehlszeile aus:

security login role create -role csrole -cmddirname "vserver export-policy rule" -access all
security login role create -role csrole -cmddirname set -access all
security login role create -role csrole -cmddirname "vserver cifs session" -access all
security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all
security login role create -role csrole -cmddirname "vserver name-mapping" -access all

Lesen Sie unbedingt den Abschnitt „Berechtigungen“ der"Konfigurieren des ONTAP SVM-Datenkollektors" Seite auch.

Wie aktiviere ich die Funktion?

  • Navigieren Sie in Workload Security zu Workload Security > Richtlinien > Richtlinien für automatisierte Antworten. Wählen Sie +Angriffsrichtlinie.

  • Wählen (aktivieren) Sie „Dateizugriff des Benutzers blockieren“.

Wie richte ich die automatische Sperrung des Benutzerzugriffs ein?

  • Erstellen Sie eine neue Angriffsrichtlinie oder bearbeiten Sie eine vorhandene Angriffsrichtlinie.

  • Wählen Sie die SVMs aus, auf denen die Angriffsrichtlinie überwacht werden soll.

  • Klicken Sie auf das Kontrollkästchen „Dateizugriff des Benutzers blockieren“. Die Funktion wird aktiviert, wenn diese Option ausgewählt ist.

  • Wählen Sie unter „Zeitraum“ den Zeitraum aus, bis zu dem die Sperre gelten soll.

  • Um die automatische Benutzerblockierung zu testen, können Sie einen Angriff über eine"simuliertes Skript" .

Wie kann ich feststellen, ob es im System blockierte Benutzer gibt?

  • Auf der Seite mit den Warnlisten wird oben auf dem Bildschirm ein Banner angezeigt, falls ein Benutzer blockiert wird.

  • Durch Klicken auf das Banner gelangen Sie zur Seite „Benutzer“, auf der die Liste der blockierten Benutzer angezeigt wird.

  • Auf der Seite „Benutzer“ gibt es eine Spalte mit der Bezeichnung „Benutzer-/IP-Zugriff“. In dieser Spalte wird der aktuelle Status der Benutzerblockierung angezeigt.

Manuelles Einschränken und Verwalten des Benutzerzugriffs

  • Sie können zum Bildschirm mit den Alarmdetails oder Benutzerdetails gehen und dann von diesen Bildschirmen aus einen Benutzer manuell sperren oder wiederherstellen.

Verlauf der Benutzerzugriffsbeschränkungen

Auf der Seite mit den Alarmdetails und Benutzerdetails im Benutzerbereich können Sie eine Prüfung des Zugriffsbeschränkungsverlaufs des Benutzers anzeigen: Zeit, Aktion (Blockieren, Entsperren), Dauer, durchgeführte Aktion, manuell/automatisch und betroffene IPs für NFS.

Wie deaktiviere ich die Funktion?

Sie können die Funktion jederzeit deaktivieren. Wenn im System eingeschränkte Benutzer vorhanden sind, müssen Sie deren Zugriff zuerst wiederherstellen.

  • Navigieren Sie in Workload Security zu Workload Security > Richtlinien > Richtlinien für automatisierte Antworten. Wählen Sie +Angriffsrichtlinie.

  • Deaktivieren Sie „Benutzerdateizugriff blockieren“.

Die Funktion wird auf allen Seiten ausgeblendet.

Manuelles Wiederherstellen von IPs für NFS

Führen Sie die folgenden Schritte aus, um alle IPs von ONTAP manuell wiederherzustellen, wenn Ihre Workload Security-Testversion abläuft oder der Agent/Collector ausgefallen ist.

  1. Listen Sie alle Exportrichtlinien auf einer SVM auf.

    contrail-qa-fas8020:> export-policy rule show -vserver <svm name>
             Policy          Rule    Access   Client                RO
Vserver      Name            Index   Protocol Match                 Rule
------------ --------------- ------  -------- --------------------- ---------
svm0        default         1       nfs3,    cloudsecure_rule,     never
                                    nfs4,    10.11.12.13
                                    cifs
svm1        default         4       cifs,    0.0.0.0/0             any
                                    nfs
svm2        test            1       nfs3,    cloudsecure_rule,     never
                                    nfs4,    10.11.12.13
                                    cifs
svm3        test            3       cifs,    0.0.0.0/0             any
                                    nfs,
                                    flexcache
4 entries were displayed.

  2. Löschen Sie die Regeln für alle Richtlinien auf der SVM, die „cloudsecure_rule“ als Client-Übereinstimmung haben, indem Sie den entsprechenden RuleIndex angeben. Die Workload-Sicherheitsregel steht normalerweise auf 1.

     contrail-qa-fas8020:*> export-policy rule delete -vserver <svm name> -policyname * -ruleindex 1
. Stellen Sie sicher, dass die Workload-Sicherheitsregel gelöscht ist (optionaler Schritt zur Bestätigung).
    contrail-qa-fas8020:*> export-policy rule show -vserver <svm name>
             Policy          Rule    Access   Client                RO
Vserver      Name            Index   Protocol Match                 Rule
------------ --------------- ------  -------- --------------------- ---------
svm0         default         4       cifs,    0.0.0.0/0             any
                                    nfs
svm2         test            3       cifs,    0.0.0.0/0             any
                                    nfs,
                                    flexcache
2 entries were displayed.

Manuelles Wiederherstellen von Benutzern für SMB

Führen Sie die folgenden Schritte aus, um alle Benutzer von ONTAP manuell wiederherzustellen, wenn Ihre Workload Security-Testversion abläuft oder der Agent/Collector ausgefallen ist.

Sie können die Liste der in Workload Security blockierten Benutzer auf der Benutzerlistenseite abrufen.

  1. Melden Sie sich mit den Cluster-Admin-Anmeldeinformationen beim ONTAP -Cluster an (wo Sie die Blockierung der Benutzer aufheben möchten). (Melden Sie sich bei Amazon FSx mit Ihren FSx-Anmeldeinformationen an.)

  2. Führen Sie den folgenden Befehl aus, um alle von Workload Security für SMB blockierten Benutzer in allen SVMs aufzulisten:

    vserver name-mapping show -direction win-unix -replacement " "
    Vserver:   <vservername>
Direction: win-unix
Position Hostname         IP Address/Mask
-------- ---------------- ----------------
1       -                 -                   Pattern: CSLAB\\US040
                                         Replacement:
2       -                 -                   Pattern: CSLAB\\US030
                                         Replacement:
2 entries were displayed.

In der obigen Ausgabe wurden 2 Benutzer (US030, US040) mit der Domäne CSLAB blockiert.

  1. Sobald wir die Position anhand der obigen Ausgabe identifiziert haben, führen Sie den folgenden Befehl aus, um die Blockierung des Benutzers aufzuheben:

     vserver name-mapping delete -direction win-unix -position <position>
. Bestätigen Sie die Blockierung der Benutzer, indem Sie den folgenden Befehl ausführen:
    vserver name-mapping show -direction win-unix -replacement " "

Für die zuvor gesperrten Benutzer sollen keine Einträge mehr angezeigt werden.

Fehlerbehebung

Problem Versuchen Sie Folgendes

Einige Benutzer werden nicht eingeschränkt, obwohl es einen Angriff gibt.

1. Stellen Sie sicher, dass sich der Datensammler und der Agent für die SVMs im Status „Ausführen“ befinden. Workload Security kann keine Befehle senden, wenn der Datensammler und der Agent gestoppt sind. 2. Dies liegt daran, dass der Benutzer möglicherweise von einem Computer mit einer neuen IP auf den Speicher zugegriffen hat, die zuvor nicht verwendet wurde. Die Einschränkung erfolgt über die IP-Adresse des Hosts, über den der Benutzer auf den Speicher zugreift. Suchen Sie in der Benutzeroberfläche (Alarmdetails > Zugriffsbeschränkungsverlauf für diesen Benutzer > Betroffene IPs) nach der Liste der eingeschränkten IP-Adressen. Wenn der Benutzer auf den Speicher von einem Host aus zugreift, dessen IP-Adresse sich von den eingeschränkten IP-Adressen unterscheidet, kann der Benutzer dennoch über die nicht eingeschränkte IP-Adresse auf den Speicher zugreifen. Wenn der Benutzer versucht, von Hosts aus zuzugreifen, deren IPs eingeschränkt sind, ist der Speicher nicht zugänglich.

Wenn Sie manuell auf „Zugriff einschränken“ klicken, wird die Meldung „Die IP-Adressen dieses Benutzers wurden bereits eingeschränkt“ angezeigt.

Die einzuschränkende IP wird bereits von einem anderen Benutzer eingeschränkt.

Die Richtlinie konnte nicht geändert werden. Grund: Für diesen Befehl nicht autorisiert.

Überprüfen Sie, ob bei Verwendung von csuser dem Benutzer die oben genannten Berechtigungen erteilt wurden.

Die Benutzerblockierung (IP-Adresse) für NFS funktioniert, aber für SMB/CIFS wird eine Fehlermeldung angezeigt: „Die Umwandlung von SID in Domänenname ist fehlgeschlagen.“ Grund für Timeout: Socket ist nicht eingerichtet“

Dies kann passieren, wenn csuser keine Berechtigung zum Ausführen von SSH hat. (Stellen Sie die Verbindung auf Clusterebene sicher und stellen Sie dann sicher, dass der Benutzer SSH ausführen kann.) Die Rolle csuser erfordert diese Berechtigungen. https://docs.netapp.com/us-en/cloudinsights/cs_restrict_user_access.html#prerequisites-for-user-access-blocking Für csuser mit Cluster-Anmeldeinformationen führen Sie Folgendes von der ONTAP Befehlszeile aus: security login role create -role csrole -cmddirname "vserver export-policy rule" -access all security login role create -role csrole -cmddirname set -access all security login role create -role csrole -cmddirname "vserver cifs session" -access all security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all security login role create -role csrole -cmddirname "vserver name-mapping" -access all Wenn csuser nicht verwendet wird und der Administratorbenutzer auf Clusterebene verwendet wird, stellen Sie sicher, dass der Administratorbenutzer über SSH-Berechtigungen für ONTAP verfügt.

Ich erhalte die Fehlermeldung SID-Übersetzung fehlgeschlagen. Grund:255:Fehler: Befehl fehlgeschlagen: für diesen Befehl nicht autorisiert.Fehler: „access-check“ ist kein erkannter Befehl, obwohl ein Benutzer hätte gesperrt werden sollen.

Dies kann passieren, wenn csuser nicht über die richtigen Berechtigungen verfügt. Sehen "Voraussetzungen für die Benutzerzugriffssperre" für weitere Informationen. Nach dem Anwenden der Berechtigungen wird empfohlen, den ONTAP Datensammler und den Benutzerverzeichnis-Datensammler neu zu starten. Die erforderlichen Berechtigungsbefehle sind unten aufgeführt. ---- Sicherheits-Login-Rolle erstellen -role csrole -cmddirname "vServer-Exportrichtlinienregel" -alles zugreifen Sicherheits-Login-Rolle erstellen -role csrole -cmddirname festlegen -alles zugreifen Sicherheits-Login-Rolle erstellen -role csrole -cmddirname "vServer-CIFS-Sitzung" -alles zugreifen Sicherheits-Login-Rolle erstellen -role csrole -cmddirname "vServer-Dienste-Zugriffsprüfung, Authentifizierungsübersetzung" -alles zugreifen Sicherheits-Login-Rolle erstellen -role csrole -cmddirname "vServer-Namenszuordnung" -alles zugreifen ----