Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Bloqueo de acceso de usuarios

10/14/2025 Colaboradores

PDF

Una vez que se detecta un ataque, Workload Security puede detenerlo bloqueando el acceso del usuario al sistema de archivos. El acceso se puede bloquear automáticamente, mediante políticas de respuesta automatizadas o manualmente desde las páginas de alerta o detalles del usuario.

Al bloquear el acceso de usuarios, debe definir un período de tiempo de bloqueo. Una vez finalizado el período de tiempo seleccionado, el acceso del usuario se restablece automáticamente. El bloqueo de acceso es compatible con los protocolos SMB y NFS.

El usuario está bloqueado directamente para SMB y la dirección IP de las máquinas host que provocan el ataque se bloqueará para NFS. A esas direcciones IP de máquinas se les bloqueará el acceso a cualquiera de las máquinas virtuales de almacenamiento (SVM) monitoreadas por Workload Security.

Por ejemplo, supongamos que Workload Security administra 10 SVM y la Política de respuesta automática está configurada para cuatro de esas SVM. Si el ataque se origina en una de las cuatro SVM, el acceso del usuario se bloqueará en las 10 SVM. Aún se toma una instantánea en el SVM de origen.

Si hay cuatro SVM con un SVM configurado para SMB, uno configurado para NFS y los dos restantes configurados para NFS y SMB, todos los SVM se bloquearán si el ataque se origina en cualquiera de los cuatro SVM.

Requisitos previos para el bloqueo del acceso de usuarios

Se necesitan credenciales de nivel de clúster para que esta característica funcione.

Si está utilizando credenciales de administración del clúster, no se necesitan permisos nuevos.

Si está utilizando un usuario personalizado (por ejemplo, csuser) con permisos otorgados al usuario, siga los pasos a continuación para otorgar permisos a Workload Security para bloquear al usuario.

Para csuser con credenciales de clúster, haga lo siguiente desde la línea de comando de ONTAP :

security login role create -role csrole -cmddirname "vserver export-policy rule" -access all
security login role create -role csrole -cmddirname set -access all
security login role create -role csrole -cmddirname "vserver cifs session" -access all
security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all
security login role create -role csrole -cmddirname "vserver name-mapping" -access all

Asegúrese de revisar la sección Permisos del"Configuración del recopilador de datos ONTAP SVM" página también.

¿Cómo habilitar la función?

En Seguridad de la carga de trabajo, navegue a Seguridad de la carga de trabajo > Políticas > Políticas de respuesta automatizada. Seleccione +Política de ataque.
Seleccione (marque) Bloquear acceso a archivos de usuario.

¿Cómo configurar el bloqueo automático de acceso de usuarios?

Cree una nueva política de ataque o edite una política de ataque existente.
Seleccione las SVM en las que se debe monitorear la política de ataque.
Haga clic en la casilla de verificación “Bloquear acceso a archivos de usuario”. La función se habilitará cuando se seleccione esta opción.
En “Periodo de tiempo” seleccione el tiempo hasta el cual debe aplicarse el bloqueo.
Para probar el bloqueo automático de usuarios, puedes simular un ataque a través de un"guión simulado" .

¿Cómo saber si hay usuarios bloqueados en el sistema?

En la página de listas de alertas, se mostrará un banner en la parte superior de la pantalla en caso de que algún usuario esté bloqueado.
Al hacer clic en el banner accederá a la página “Usuarios”, donde podrá ver la lista de usuarios bloqueados.
En la página “Usuarios”, hay una columna llamada “Acceso de usuario/IP”. En esa columna se mostrará el estado actual del bloqueo del usuario.

Restringir y administrar el acceso de usuarios manualmente

Puede ir a la pantalla de detalles de alerta o detalles de usuario y luego bloquear o restaurar manualmente un usuario desde esas pantallas.

Historial de limitaciones de acceso de usuarios

En la página de detalles de alerta y detalles de usuario, en el panel de usuario, puede ver una auditoría del historial de limitación de acceso del usuario: Tiempo, Acción (Bloquear, Desbloquear), duración, acción realizada por, manual/automática e IP afectadas para NFS.

¿Cómo deshabilitar la función?

En cualquier momento, puedes desactivar la función. Si hay usuarios restringidos en el sistema, primero debe restaurar su acceso.

En Seguridad de la carga de trabajo, navegue a Seguridad de la carga de trabajo > Políticas > Políticas de respuesta automatizada. Seleccione +Política de ataque.
Desmarque la opción Bloquear acceso a archivos de usuario.

La función estará oculta en todas las páginas.

Restaurar manualmente direcciones IP para NFS

Utilice los siguientes pasos para restaurar manualmente cualquier IP de ONTAP si su prueba de Workload Security vence o si el agente/recopilador no funciona.

Enumere todas las políticas de exportación en un SVM.

contrail-qa-fas8020:> export-policy rule show -vserver <svm name>
             Policy          Rule    Access   Client                RO
Vserver      Name            Index   Protocol Match                 Rule
------------ --------------- ------  -------- --------------------- ---------
svm0        default         1       nfs3,    cloudsecure_rule,     never
                                    nfs4,    10.11.12.13
                                    cifs
svm1        default         4       cifs,    0.0.0.0/0             any
                                    nfs
svm2        test            1       nfs3,    cloudsecure_rule,     never
                                    nfs4,    10.11.12.13
                                    cifs
svm3        test            3       cifs,    0.0.0.0/0             any
                                    nfs,
                                    flexcache
4 entries were displayed.

Elimine las reglas en todas las políticas de la SVM que tengan “cloudsecure_rule” como Coincidencia de cliente especificando su RuleIndex respectivo. La regla de seguridad de la carga de trabajo normalmente estará en 1.

 contrail-qa-fas8020:*> export-policy rule delete -vserver <svm name> -policyname * -ruleindex 1
. Asegúrese de que la regla de seguridad de carga de trabajo se elimine (paso opcional para confirmar).

contrail-qa-fas8020:*> export-policy rule show -vserver <svm name>
             Policy          Rule    Access   Client                RO
Vserver      Name            Index   Protocol Match                 Rule
------------ --------------- ------  -------- --------------------- ---------
svm0         default         4       cifs,    0.0.0.0/0             any
                                    nfs
svm2         test            3       cifs,    0.0.0.0/0             any
                                    nfs,
                                    flexcache
2 entries were displayed.

Restaurar usuarios manualmente para SMB

Utilice los siguientes pasos para restaurar manualmente cualquier usuario de ONTAP si su prueba de Workload Security vence o si el agente/recopilador no funciona.

Puede obtener la lista de usuarios bloqueados en Workload Security desde la página de lista de usuarios.

Inicie sesión en el clúster ONTAP (donde desea desbloquear usuarios) con las credenciales del clúster admin. (Para Amazon FSx, inicie sesión con las credenciales de FSx).

Ejecute el siguiente comando para enumerar todos los usuarios bloqueados por Workload Security para SMB en todas las SVM:

vserver name-mapping show -direction win-unix -replacement " "

Vserver:   <vservername>
Direction: win-unix
Position Hostname         IP Address/Mask
-------- ---------------- ----------------
1       -                 -                   Pattern: CSLAB\\US040
                                         Replacement:
2       -                 -                   Pattern: CSLAB\\US030
                                         Replacement:
2 entries were displayed.

En la salida anterior, se bloquearon 2 usuarios (US030, US040) con el dominio CSLAB.

Una vez que identifiquemos la posición de la salida anterior, ejecute el siguiente comando para desbloquear al usuario:

 vserver name-mapping delete -direction win-unix -position <position>
. Confirme que los usuarios estén desbloqueados ejecutando el comando:

vserver name-mapping show -direction win-unix -replacement " "

No se deben mostrar entradas de los usuarios previamente bloqueados.

Solución de problemas

Problema	Prueba esto
Algunos de los usuarios no están restringidos, aunque hay un ataque.	1. Asegúrese de que el recopilador de datos y el agente de las SVM estén en estado En ejecución. Workload Security no podrá enviar comandos si el recopilador de datos y el agente están detenidos. 2. Esto se debe a que es posible que el usuario haya accedido al almacenamiento desde una máquina con una nueva IP que no se ha utilizado antes. La restricción se realiza a través de la dirección IP del host a través del cual el usuario accede al almacenamiento. Consulte en la interfaz de usuario (Detalles de alerta > Historial de limitaciones de acceso para este usuario > IP afectadas) la lista de direcciones IP que están restringidas. Si el usuario accede al almacenamiento desde un host que tiene una IP diferente de las IP restringidas, entonces el usuario aún podrá acceder al almacenamiento a través de la IP no restringida. Si el usuario intenta acceder desde los hosts cuyas IP están restringidas, entonces no será accesible el almacenamiento.
Al hacer clic manualmente en Restringir acceso, aparece el mensaje “Las direcciones IP de este usuario ya han sido restringidas”.	La IP que se va a restringir ya está siendo restringida por otro usuario.
No se pudo modificar la política. Motivo: no autorizado para ese comando.	Verifique si al usar csuser, se otorgan permisos al usuario como se mencionó anteriormente.
El bloqueo de usuarios (dirección IP) para NFS funciona, pero para SMB/CIFS veo un mensaje de error: “Error en la transformación de SID a nombre de dominio”. Motivo del tiempo de espera: el socket no está establecido”	Esto puede suceder si csuser no tiene permiso para ejecutar ssh. (Asegure la conexión a nivel de clúster y luego asegúrese de que el usuario pueda realizar ssh). El rol csuser requiere estos permisos. https://docs.netapp.com/us-en/cloudinsights/cs_restrict_user_access.html#prerequisites-for-user-access-blocking Para csuser con credenciales de clúster, haga lo siguiente desde la línea de comandos de ONTAP : security login role create -role csrole -cmddirname "vserver export-policy rule" -access all security login role create -role csrole -cmddirname set -access all security login role create -role csrole -cmddirname "vserver cifs session" -access all security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all security login role create -role csrole -cmddirname "vserver name-mapping" -access all Si no se utiliza csuser y se utiliza el usuario administrador en el nivel de clúster, asegúrese de que el usuario administrador tenga permiso ssh para ONTAP.
Recibo el mensaje de error Error en la traducción de SID, Motivo: 255: Error: el comando falló: no está autorizado para ese comando. Error: "access-check" no es un comando reconocido, cuando un usuario debería haber sido bloqueado.	Esto puede suceder cuando csuser no tiene los permisos correctos. Ver "Requisitos previos para el bloqueo del acceso de usuarios" Para más información. Después de aplicar los permisos, se recomienda reiniciar el recopilador de datos de ONTAP y el recopilador de datos del Directorio de usuarios. Los comandos de permisos necesarios se enumeran a continuación. ---- rol de inicio de sesión de seguridad crear -role csrole -cmddirname "regla de política de exportación de vserver" -acceso a todos rol de inicio de sesión de seguridad crear -role csrole -cmddirname set -acceso a todos rol de inicio de sesión de seguridad crear -role csrole -cmddirname "sesión cifs de vserver" -acceso a todos rol de inicio de sesión de seguridad crear -role csrole -cmddirname "traducción de autenticación de comprobación de acceso a servicios de vserver" -acceso a todos rol de inicio de sesión de seguridad crear -role csrole -cmddirname "asignación de nombres de vserver" -acceso a todos ----

Problema

Prueba esto

Algunos de los usuarios no están restringidos, aunque hay un ataque.

1. Asegúrese de que el recopilador de datos y el agente de las SVM estén en estado En ejecución. Workload Security no podrá enviar comandos si el recopilador de datos y el agente están detenidos. 2. Esto se debe a que es posible que el usuario haya accedido al almacenamiento desde una máquina con una nueva IP que no se ha utilizado antes. La restricción se realiza a través de la dirección IP del host a través del cual el usuario accede al almacenamiento. Consulte en la interfaz de usuario (Detalles de alerta > Historial de limitaciones de acceso para este usuario > IP afectadas) la lista de direcciones IP que están restringidas. Si el usuario accede al almacenamiento desde un host que tiene una IP diferente de las IP restringidas, entonces el usuario aún podrá acceder al almacenamiento a través de la IP no restringida. Si el usuario intenta acceder desde los hosts cuyas IP están restringidas, entonces no será accesible el almacenamiento.

Al hacer clic manualmente en Restringir acceso, aparece el mensaje “Las direcciones IP de este usuario ya han sido restringidas”.

La IP que se va a restringir ya está siendo restringida por otro usuario.

No se pudo modificar la política. Motivo: no autorizado para ese comando.

Verifique si al usar csuser, se otorgan permisos al usuario como se mencionó anteriormente.

El bloqueo de usuarios (dirección IP) para NFS funciona, pero para SMB/CIFS veo un mensaje de error: “Error en la transformación de SID a nombre de dominio”. Motivo del tiempo de espera: el socket no está establecido”

Esto puede suceder si csuser no tiene permiso para ejecutar ssh. (Asegure la conexión a nivel de clúster y luego asegúrese de que el usuario pueda realizar ssh). El rol csuser requiere estos permisos. https://docs.netapp.com/us-en/cloudinsights/cs_restrict_user_access.html#prerequisites-for-user-access-blocking Para csuser con credenciales de clúster, haga lo siguiente desde la línea de comandos de ONTAP : security login role create -role csrole -cmddirname "vserver export-policy rule" -access all security login role create -role csrole -cmddirname set -access all security login role create -role csrole -cmddirname "vserver cifs session" -access all security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all security login role create -role csrole -cmddirname "vserver name-mapping" -access all Si no se utiliza csuser y se utiliza el usuario administrador en el nivel de clúster, asegúrese de que el usuario administrador tenga permiso ssh para ONTAP.

Recibo el mensaje de error Error en la traducción de SID, Motivo: 255: Error: el comando falló: no está autorizado para ese comando. Error: "access-check" no es un comando reconocido, cuando un usuario debería haber sido bloqueado.

Esto puede suceder cuando csuser no tiene los permisos correctos. Ver "Requisitos previos para el bloqueo del acceso de usuarios" Para más información. Después de aplicar los permisos, se recomienda reiniciar el recopilador de datos de ONTAP y el recopilador de datos del Directorio de usuarios. Los comandos de permisos necesarios se enumeran a continuación. ---- rol de inicio de sesión de seguridad crear -role csrole -cmddirname "regla de política de exportación de vserver" -acceso a todos rol de inicio de sesión de seguridad crear -role csrole -cmddirname set -acceso a todos rol de inicio de sesión de seguridad crear -role csrole -cmddirname "sesión cifs de vserver" -acceso a todos rol de inicio de sesión de seguridad crear -role csrole -cmddirname "traducción de autenticación de comprobación de acceso a servicios de vserver" -acceso a todos rol de inicio de sesión de seguridad crear -role csrole -cmddirname "asignación de nombres de vserver" -acceso a todos ----