La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Blocco dell'accesso utente

10/14/2025 Collaboratori

PDF

Una volta rilevato un attacco, Workload Security può fermarlo bloccando l'accesso dell'utente al file system. L'accesso può essere bloccato automaticamente, utilizzando i criteri di risposta automatica, oppure manualmente dalle pagine degli avvisi o dei dettagli dell'utente.

Quando si blocca l'accesso di un utente, è necessario definire un periodo di tempo di blocco. Una volta trascorso il periodo di tempo selezionato, l'accesso dell'utente verrà ripristinato automaticamente. Il blocco dell'accesso è supportato sia per i protocolli SMB che NFS.

L'utente viene bloccato direttamente per SMB e l'indirizzo IP delle macchine host che causano l'attacco verrà bloccato per NFS. A tali indirizzi IP delle macchine verrà impedito l'accesso a qualsiasi Storage Virtual Machine (SVM) monitorata da Workload Security.

Ad esempio, supponiamo che Workload Security gestisca 10 SVM e che la politica di risposta automatica sia configurata per quattro di queste SVM. Se l'attacco ha origine in una delle quattro SVM, l'accesso dell'utente verrà bloccato in tutte e 10 le SVM. Viene comunque eseguito uno snapshot sull'SVM di origine.

Se sono presenti quattro SVM, di cui una configurata per SMB, una per NFS e le restanti due configurate sia per NFS che per SMB, tutte le SVM verranno bloccate se l'attacco ha origine in una qualsiasi delle quattro SVM.

Prerequisiti per il blocco dell'accesso utente

Per il funzionamento di questa funzionalità sono necessarie le credenziali a livello di cluster.

Se si utilizzano credenziali di amministrazione del cluster, non sono necessarie nuove autorizzazioni.

Se si utilizza un utente personalizzato (ad esempio, csuser) con autorizzazioni concesse all'utente, seguire i passaggi seguenti per concedere a Workload Security le autorizzazioni per bloccare l'utente.

Per csuser con credenziali cluster, procedere come segue dalla riga di comando ONTAP :

security login role create -role csrole -cmddirname "vserver export-policy rule" -access all
security login role create -role csrole -cmddirname set -access all
security login role create -role csrole -cmddirname "vserver cifs session" -access all
security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all
security login role create -role csrole -cmddirname "vserver name-mapping" -access all

Assicurati di rivedere la sezione Autorizzazioni del"Configurazione del raccoglitore dati ONTAP SVM" anche la pagina.

Come abilitare la funzionalità?

In Workload Security, vai a Workload Security > Criteri > Criteri di risposta automatica. Seleziona +Politica di attacco.
Selezionare (selezionare) Blocca accesso file utente.

Come impostare il blocco automatico dell'accesso degli utenti?

Crea una nuova politica di attacco o modifica una politica di attacco esistente.
Selezionare le SVM su cui monitorare la policy di attacco.
Fare clic sulla casella di controllo "Blocca accesso file utente". La funzionalità verrà abilitata quando questa opzione è selezionata.
In “Periodo di tempo” seleziona l’orario fino al quale deve essere applicato il blocco.
Per testare il blocco automatico degli utenti, puoi simulare un attacco tramite un"sceneggiatura simulata" .

Come sapere se ci sono utenti bloccati nel sistema?

Nella pagina degli elenchi di avvisi, verrà visualizzato un banner nella parte superiore dello schermo nel caso in cui un utente venga bloccato.
Cliccando sul banner verrai indirizzato alla pagina “Utenti”, dove potrai vedere l’elenco degli utenti bloccati.
Nella pagina “Utenti”, c’è una colonna denominata “Accesso utente/IP”. In quella colonna verrà visualizzato lo stato attuale del blocco dell'utente.

Limitare e gestire manualmente l'accesso degli utenti

È possibile accedere alla schermata dei dettagli dell'avviso o dei dettagli dell'utente e quindi bloccare o ripristinare manualmente un utente da tali schermate.

Cronologia delle limitazioni di accesso utente

Nella pagina dei dettagli dell'avviso e dei dettagli dell'utente, nel pannello utente, è possibile visualizzare un controllo della cronologia delle limitazioni di accesso dell'utente: ora, azione (blocca, sblocca), durata, azione intrapresa da, manuale/automatica e IP interessati per NFS.

Come disattivare la funzione?

Puoi disattivare questa funzione in qualsiasi momento. Se nel sistema sono presenti utenti con restrizioni, è necessario prima ripristinare il loro accesso.

In Workload Security, vai a Workload Security > Criteri > Criteri di risposta automatica. Seleziona +Politica di attacco.
Deseleziona (deseleziona) Blocca accesso file utente.

La funzionalità verrà nascosta da tutte le pagine.

Ripristina manualmente gli IP per NFS

Per ripristinare manualmente gli IP da ONTAP se il periodo di prova di Workload Security scade o se l'agente/collettore è inattivo, attenersi alla seguente procedura.

Elenca tutte le policy di esportazione su una SVM.

contrail-qa-fas8020:> export-policy rule show -vserver <svm name>
             Policy          Rule    Access   Client                RO
Vserver      Name            Index   Protocol Match                 Rule
------------ --------------- ------  -------- --------------------- ---------
svm0        default         1       nfs3,    cloudsecure_rule,     never
                                    nfs4,    10.11.12.13
                                    cifs
svm1        default         4       cifs,    0.0.0.0/0             any
                                    nfs
svm2        test            1       nfs3,    cloudsecure_rule,     never
                                    nfs4,    10.11.12.13
                                    cifs
svm3        test            3       cifs,    0.0.0.0/0             any
                                    nfs,
                                    flexcache
4 entries were displayed.

Eliminare le regole in tutti i criteri sull'SVM che hanno "cloudsecure_rule" come corrispondenza client specificando il rispettivo RuleIndex. La regola di sicurezza del carico di lavoro sarà solitamente impostata su 1.

 contrail-qa-fas8020:*> export-policy rule delete -vserver <svm name> -policyname * -ruleindex 1
. Assicurarsi che la regola Workload Security sia stata eliminata (passaggio facoltativo per la conferma).

contrail-qa-fas8020:*> export-policy rule show -vserver <svm name>
             Policy          Rule    Access   Client                RO
Vserver      Name            Index   Protocol Match                 Rule
------------ --------------- ------  -------- --------------------- ---------
svm0         default         4       cifs,    0.0.0.0/0             any
                                    nfs
svm2         test            3       cifs,    0.0.0.0/0             any
                                    nfs,
                                    flexcache
2 entries were displayed.

Ripristina manualmente gli utenti per SMB

Per ripristinare manualmente gli utenti da ONTAP se il periodo di prova di Workload Security scade o se l'agente/collector è inattivo, procedere come segue.

È possibile ottenere l'elenco degli utenti bloccati in Workload Security dalla pagina dell'elenco degli utenti.

Accedi al cluster ONTAP (in cui desideri sbloccare gli utenti) con le credenziali admin del cluster. (Per Amazon FSx, accedi con le credenziali FSx).

Eseguire il seguente comando per elencare tutti gli utenti bloccati da Workload Security per SMB in tutte le SVM:

vserver name-mapping show -direction win-unix -replacement " "

Vserver:   <vservername>
Direction: win-unix
Position Hostname         IP Address/Mask
-------- ---------------- ----------------
1       -                 -                   Pattern: CSLAB\\US040
                                         Replacement:
2       -                 -                   Pattern: CSLAB\\US030
                                         Replacement:
2 entries were displayed.

Nell'output sopra riportato, 2 utenti sono stati bloccati (US030, US040) con dominio CSLAB.

Una volta identificata la posizione dall'output sopra, eseguiamo il seguente comando per sbloccare l'utente:

 vserver name-mapping delete -direction win-unix -position <position>
. Per confermare che gli utenti siano sbloccati, eseguire il comando:

vserver name-mapping show -direction win-unix -replacement " "

Non devono essere visualizzate voci per gli utenti precedentemente bloccati.

Risoluzione dei problemi

Problema	Prova questo
Alcuni utenti non sono soggetti a restrizioni, nonostante ci sia un attacco.	1. Assicurarsi che il Data Collector e l'agente per le SVM siano nello stato In esecuzione. Workload Security non sarà in grado di inviare comandi se Data Collector e Agent sono arrestati. 2. Ciò accade perché l'utente potrebbe aver avuto accesso all'archiviazione da una macchina con un nuovo IP mai utilizzato in precedenza. La limitazione avviene tramite l'indirizzo IP dell'host tramite il quale l'utente accede allo storage. Controllare nell'interfaccia utente (Dettagli avviso > Cronologia limitazioni di accesso per questo utente > IP interessati) l'elenco degli indirizzi IP soggetti a restrizioni. Se l'utente accede allo storage da un host con un IP diverso dagli IP con restrizioni, potrà comunque accedere allo storage tramite l'IP senza restrizioni. Se l'utente tenta di accedere dagli host i cui IP sono limitati, l'archiviazione non sarà accessibile.
Cliccando manualmente su Limita accesso si ottiene il messaggio "Gli indirizzi IP di questo utente sono già stati limitati".	L'IP da limitare è già limitato a un altro utente.
La politica non può essere modificata. Motivo: non autorizzato per quel comando.	Controllare se si utilizza csuser, che le autorizzazioni siano concesse all'utente come indicato sopra.
Il blocco dell'utente (indirizzo IP) per NFS funziona, ma per SMB/CIFS vedo un messaggio di errore: "La trasformazione da SID a DomainName non è riuscita. Motivo del timeout: il socket non è stato stabilito”	Ciò può accadere se csuser non ha l'autorizzazione per eseguire ssh. (Assicurarsi che la connessione sia a livello di cluster, quindi assicurarsi che l'utente possa eseguire ssh). Il ruolo csuser richiede queste autorizzazioni. https://docs.netapp.com/us-en/cloudinsights/cs_restrict_user_access.html#prerequisites-for-user-access-blocking Per csuser con credenziali cluster, procedere come segue dalla riga di comando ONTAP : security login role create -role csrole -cmddirname "vserver export-policy rule" -access all security login role create -role csrole -cmddirname set -access all security login role create -role csrole -cmddirname "vserver cifs session" -access all security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all security login role create -role csrole -cmddirname "vserver name-mapping" -access all Se csuser non viene utilizzato e se viene utilizzato l'utente amministratore a livello di cluster, assicurarsi che l'utente amministratore disponga dell'autorizzazione SSH per ONTAP.
Ricevo il messaggio di errore SID translate failed. Reason:255:Error: command failed: not authorized for that commandError: "access-check" is not a recognized command, quando un utente avrebbe dovuto essere bloccato.	Ciò può accadere quando csuser non dispone delle autorizzazioni corrette. Vedere "Prerequisiti per il blocco dell'accesso utente" per maggiori informazioni. Dopo aver applicato le autorizzazioni, si consiglia di riavviare il raccoglitore dati ONTAP e il raccoglitore dati della directory utente. Di seguito sono elencati i comandi di autorizzazione richiesti. ---- creazione ruolo di accesso di sicurezza -role csrole -cmddirname "regola policy di esportazione vserver" -access all creazione ruolo di accesso di sicurezza -role csrole -cmddirname set -access all creazione ruolo di accesso di sicurezza -role csrole -cmddirname "sessione cifs vserver" -access all creazione ruolo di accesso di sicurezza -role csrole -cmddirname "traduzione autenticazione controllo accesso servizi vserver" -access all creazione ruolo di accesso di sicurezza -role csrole -cmddirname "mappatura nome vserver" -access all ----

Problema

Prova questo

Alcuni utenti non sono soggetti a restrizioni, nonostante ci sia un attacco.

1. Assicurarsi che il Data Collector e l'agente per le SVM siano nello stato In esecuzione. Workload Security non sarà in grado di inviare comandi se Data Collector e Agent sono arrestati. 2. Ciò accade perché l'utente potrebbe aver avuto accesso all'archiviazione da una macchina con un nuovo IP mai utilizzato in precedenza. La limitazione avviene tramite l'indirizzo IP dell'host tramite il quale l'utente accede allo storage. Controllare nell'interfaccia utente (Dettagli avviso > Cronologia limitazioni di accesso per questo utente > IP interessati) l'elenco degli indirizzi IP soggetti a restrizioni. Se l'utente accede allo storage da un host con un IP diverso dagli IP con restrizioni, potrà comunque accedere allo storage tramite l'IP senza restrizioni. Se l'utente tenta di accedere dagli host i cui IP sono limitati, l'archiviazione non sarà accessibile.

Cliccando manualmente su Limita accesso si ottiene il messaggio "Gli indirizzi IP di questo utente sono già stati limitati".

L'IP da limitare è già limitato a un altro utente.

La politica non può essere modificata. Motivo: non autorizzato per quel comando.

Controllare se si utilizza csuser, che le autorizzazioni siano concesse all'utente come indicato sopra.

Il blocco dell'utente (indirizzo IP) per NFS funziona, ma per SMB/CIFS vedo un messaggio di errore: "La trasformazione da SID a DomainName non è riuscita. Motivo del timeout: il socket non è stato stabilito”

Ciò può accadere se csuser non ha l'autorizzazione per eseguire ssh. (Assicurarsi che la connessione sia a livello di cluster, quindi assicurarsi che l'utente possa eseguire ssh). Il ruolo csuser richiede queste autorizzazioni. https://docs.netapp.com/us-en/cloudinsights/cs_restrict_user_access.html#prerequisites-for-user-access-blocking Per csuser con credenziali cluster, procedere come segue dalla riga di comando ONTAP : security login role create -role csrole -cmddirname "vserver export-policy rule" -access all security login role create -role csrole -cmddirname set -access all security login role create -role csrole -cmddirname "vserver cifs session" -access all security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all security login role create -role csrole -cmddirname "vserver name-mapping" -access all Se csuser non viene utilizzato e se viene utilizzato l'utente amministratore a livello di cluster, assicurarsi che l'utente amministratore disponga dell'autorizzazione SSH per ONTAP.

Ricevo il messaggio di errore SID translate failed. Reason:255:Error: command failed: not authorized for that commandError: "access-check" is not a recognized command, quando un utente avrebbe dovuto essere bloccato.

Ciò può accadere quando csuser non dispone delle autorizzazioni corrette. Vedere "Prerequisiti per il blocco dell'accesso utente" per maggiori informazioni. Dopo aver applicato le autorizzazioni, si consiglia di riavviare il raccoglitore dati ONTAP e il raccoglitore dati della directory utente. Di seguito sono elencati i comandi di autorizzazione richiesti. ---- creazione ruolo di accesso di sicurezza -role csrole -cmddirname "regola policy di esportazione vserver" -access all creazione ruolo di accesso di sicurezza -role csrole -cmddirname set -access all creazione ruolo di accesso di sicurezza -role csrole -cmddirname "sessione cifs vserver" -access all creazione ruolo di accesso di sicurezza -role csrole -cmddirname "traduzione autenticazione controllo accesso servizi vserver" -access all creazione ruolo di accesso di sicurezza -role csrole -cmddirname "mappatura nome vserver" -access all ----