简体中文版经机器翻译而成，仅供参考。如与英语版出现任何冲突，应以英语版为准。

阻止用户访问

10/14/2025 贡献者

PDF

一旦检测到攻击，Workload Security 可以通过阻止用户访问文件系统来阻止攻击。可以使用自动响应策略自动阻止访问，也可以从警报或用户详细信息页面手动阻止访问。

当阻止用户访问时，应该定义一个阻止时间段。选定的时间段结束后，用户访问权限将自动恢复。 SMB 和 NFS 协议均支持访问阻止。

用户的 SMB 访问将被直接阻止，而引发攻击的主机的 IP 地址的 NFS 访问将被阻止。这些机器 IP 地址将被阻止访问由工作负载安全监控的任何存储虚拟机 (SVM)。

例如，假设工作负载安全管理 10 个 SVM，并且为其中 4 个 SVM 配置了自动响应策略。如果攻击源自四个 SVM 中的一个，则用户的访问将在所有 10 个 SVM 中被阻止。仍在原始 SVM 上拍摄快照。

如果有四个 SVM，其中一个 SVM 配置为 SMB，一个 SVM 配置为 NFS，其余两个 SVM 同时配置为 NFS 和 SMB，则如果攻击源自四个 SVM 中的任何一个，则所有 SVM 都将被阻止。

用户访问阻止的先决条件

此功能需要集群级别凭证才能运行。

如果您使用集群管理凭据，则不需要新的权限。

如果您正在使用具有指定权限的自定义用户（例如，csuser），请按照以下步骤向 Workload Security 授予阻止用户的权限。

对于具有集群凭据的 csuser，请从ONTAP命令行执行以下操作：

security login role create -role csrole -cmddirname "vserver export-policy rule" -access all
security login role create -role csrole -cmddirname set -access all
security login role create -role csrole -cmddirname "vserver cifs session" -access all
security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all
security login role create -role csrole -cmddirname "vserver name-mapping" -access all

请务必查看"配置ONTAP SVM 数据收集器"页面也是如此。

如何启用该功能？

在工作负载安全中，导航到*工作负载安全>策略>自动响应策略*。选择*+攻击策略*。
选择（选中）阻止用户文件访问。

如何设置自动用户访问阻止？

创建新的攻击策略或编辑现有的攻击策略。
选择应监控攻击策略的 SVM。
点击复选框“阻止用户文件访问”。选择此项后，该功能将被启用。
在“时间段”下选择应用阻止的时间。
要测试自动用户阻止，您可以通过以下方式模拟攻击"模拟脚本"。

如何知道系统中是否有被阻止的用户？

在警报列表页面中，如果有任何用户被阻止，屏幕顶部将显示横幅。
点击横幅将带您进入“用户”页面，您可以在此查看被阻止用户的列表。
在“用户”页面中，有一个名为“用户/IP访问”的列。在该列中将显示用户阻止的当前状态。

手动限制和管理用户访问

您可以转到警报详细信息或用户详细信息屏幕，然后从这些屏幕手动阻止或恢复用户。

用户访问限制历史记录

在警报详细信息和用户详细信息页面的用户面板中，您可以查看用户访问限制历史记录的审核：时间、操作（阻止、解除阻止）、持续时间、采取的操作、手动/自动以及受影响的 NFS IP。

如何禁用该功能？

您可以随时禁用该功能。如果系统中有受限用户，则必须先恢复他们的访问权限。

在工作负载安全中，导航到*工作负载安全>策略>自动响应策略*。选择*+攻击策略*。
取消选择（取消选中）阻止用户文件访问。

该功能将在所有页面中隐藏。

手动恢复 NFS 的 IP

如果您的 Workload Security 试用版已过期，或者代理/收集器已关闭，请按照以下步骤从ONTAP手动恢复任何 IP。

列出 SVM 上的所有导出策略。

contrail-qa-fas8020:> export-policy rule show -vserver <svm name>
             Policy          Rule    Access   Client                RO
Vserver      Name            Index   Protocol Match                 Rule
------------ --------------- ------  -------- --------------------- ---------
svm0        default         1       nfs3,    cloudsecure_rule,     never
                                    nfs4,    10.11.12.13
                                    cifs
svm1        default         4       cifs,    0.0.0.0/0             any
                                    nfs
svm2        test            1       nfs3,    cloudsecure_rule,     never
                                    nfs4,    10.11.12.13
                                    cifs
svm3        test            3       cifs,    0.0.0.0/0             any
                                    nfs,
                                    flexcache
4 entries were displayed.

通过指定相应的 RuleIndex，删除 SVM 上所有将“cloudsecure_rule”作为客户端匹配的策略中的规则。工作负载安全规则通常为 1。

 contrail-qa-fas8020:*> export-policy rule delete -vserver <svm name> -policyname * -ruleindex 1
. 确保工作负载安全规则已被删除（可选步骤以确认）。

contrail-qa-fas8020:*> export-policy rule show -vserver <svm name>
             Policy          Rule    Access   Client                RO
Vserver      Name            Index   Protocol Match                 Rule
------------ --------------- ------  -------- --------------------- ---------
svm0         default         4       cifs,    0.0.0.0/0             any
                                    nfs
svm2         test            3       cifs,    0.0.0.0/0             any
                                    nfs,
                                    flexcache
2 entries were displayed.

手动恢复 SMB 用户

如果您的 Workload Security 试用版已过期，或者代理/收集器已关闭，请按照以下步骤从ONTAP手动恢复任何用户。

您可以从用户列表页面获取工作负载安全中被阻止的用户列表。

使用集群_admin_凭据登录到ONTAP集群（您想要解除用户阻止的位置）。（对于Amazon FSx，使用 FSx 凭证登录）。

运行以下命令列出所有 SVM 中被 Workload Security for SMB 阻止的所有用户：

vserver name-mapping show -direction win-unix -replacement " "

Vserver:   <vservername>
Direction: win-unix
Position Hostname         IP Address/Mask
-------- ---------------- ----------------
1       -                 -                   Pattern: CSLAB\\US040
                                         Replacement:
2       -                 -                   Pattern: CSLAB\\US030
                                         Replacement:
2 entries were displayed.

在上面的输出中，有 2 个用户 (US030、US040) 被域 CSLAB 阻止。

一旦我们从上面的输出中识别出位置，运行以下命令来解除对用户的阻止：

 vserver name-mapping delete -direction win-unix -position <position>
. 通过运行以下命令确认用户已解除阻止：

vserver name-mapping show -direction win-unix -replacement " "

对于之前被阻止的用户，不应显示任何条目。

故障排除

问题	尝试一下
尽管发生了攻击，但一些用户并未受到限制。	1.确保 SVM 的数据收集器和代理处于_正在运行_状态。如果数据收集器和代理停止，工作负载安全将无法发送命令。2.这是因为用户可能从具有以前未使用过的新 IP 的机器访问了存储。限制是通过用户访问存储的主机的 IP 地址进行的。在 UI（警报详细信息 > 此用户的访问限制历史记录 > 受影响的 IP）中检查受限制的 IP 地址列表。如果用户从具有不同于受限 IP 的 IP 的主机访问存储，则用户仍然能够通过非受限 IP 访问存储。如果用户尝试从 IP 受限的主机进行访问，则存储将无法访问。
手动点击“限制访问”会出现“此用户的 IP 地址已被限制”的情况。	需要限制的 IP 已被其他用户限制。
无法修改策略。原因：未授权执行该命令。	检查是否使用 csuser，是否如上所述授予用户权限。
NFS 的用户（IP 地址）阻止有效，但对于 SMB/CIFS，我看到一条错误消息：“SID 到域名转换失败。原因超时：套接字未建立”	如果 csuser 没有执行 ssh 的权限，则可能会发生这种情况。（确保集群级别的连接，然后确保用户可以执行 ssh）。 csuser 角色需要这些权限。 https://docs.netapp.com/us-en/cloudinsights/cs_restrict_user_access.html#prerequisites-for-user-access-blocking对于具有集群凭据的 csuser，请从ONTAP命令行执行以下操作： security login role create -role csrole -cmddirname "vserver export-policy rule" -access all security login role create -role csrole -cmddirname set -access all security login role create -role csrole -cmddirname "vserver cifs session" -access all security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all security login role create -role csrole -cmddirname "vserver name-mapping" -access all 如果未使用 csuser 并且使用集群级别的管理员用户，请确保管理员用户具有ONTAP的 ssh 权限。
我收到错误消息 SID 转换失败。原因：255：错误：命令失败：未授权执行该命令错误：“access-check”不是可识别的命令，而用户应该被阻止。	当 csuser 没有正确的权限时，就会发生这种情况。看"用户访问阻止的先决条件"了解更多信息。应用权限后，建议重新启动ONTAP数据收集器和用户目录数据收集器。所需的权限命令如下所示。 ---- 安全登录角色创建 -role csrole -cmddirname“vserver export-policy rule”-access all 安全登录角色创建 -role csrole -cmddirname 设置 -access all 安全登录角色创建 -role csrole -cmddirname“vserver cifs session”-access all 安全登录角色创建 -role csrole -cmddirname“vserver services access-check authentication translate”-access all 安全登录角色创建 -role csrole -cmddirname“vserver name-mapping”-access all ----

问题

尝试一下

尽管发生了攻击，但一些用户并未受到限制。

1.确保 SVM 的数据收集器和代理处于_正在运行_状态。如果数据收集器和代理停止，工作负载安全将无法发送命令。2.这是因为用户可能从具有以前未使用过的新 IP 的机器访问了存储。限制是通过用户访问存储的主机的 IP 地址进行的。在 UI（警报详细信息 > 此用户的访问限制历史记录 > 受影响的 IP）中检查受限制的 IP 地址列表。如果用户从具有不同于受限 IP 的 IP 的主机访问存储，则用户仍然能够通过非受限 IP 访问存储。如果用户尝试从 IP 受限的主机进行访问，则存储将无法访问。

手动点击“限制访问”会出现“此用户的 IP 地址已被限制”的情况。

需要限制的 IP 已被其他用户限制。

无法修改策略。原因：未授权执行该命令。

检查是否使用 csuser，是否如上所述授予用户权限。

NFS 的用户（IP 地址）阻止有效，但对于 SMB/CIFS，我看到一条错误消息：“SID 到域名转换失败。原因超时：套接字未建立”

如果 csuser 没有执行 ssh 的权限，则可能会发生这种情况。（确保集群级别的连接，然后确保用户可以执行 ssh）。 csuser 角色需要这些权限。 https://docs.netapp.com/us-en/cloudinsights/cs_restrict_user_access.html#prerequisites-for-user-access-blocking对于具有集群凭据的 csuser，请从ONTAP命令行执行以下操作： security login role create -role csrole -cmddirname "vserver export-policy rule" -access all security login role create -role csrole -cmddirname set -access all security login role create -role csrole -cmddirname "vserver cifs session" -access all security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all security login role create -role csrole -cmddirname "vserver name-mapping" -access all 如果未使用 csuser 并且使用集群级别的管理员用户，请确保管理员用户具有ONTAP的 ssh 权限。

我收到错误消息 SID 转换失败。 原因：255：错误：命令失败：未授权执行该命令错误：“access-check”不是可识别的命令，而用户应该被阻止。

当 csuser 没有正确的权限时，就会发生这种情况。看"用户访问阻止的先决条件"了解更多信息。应用权限后，建议重新启动ONTAP数据收集器和用户目录数据收集器。所需的权限命令如下所示。 ---- 安全登录角色创建 -role csrole -cmddirname“vserver export-policy rule”-access all 安全登录角色创建 -role csrole -cmddirname 设置 -access all 安全登录角色创建 -role csrole -cmddirname“vserver cifs session”-access all 安全登录角色创建 -role csrole -cmddirname“vserver services access-check authentication translate”-access all 安全登录角色创建 -role csrole -cmddirname“vserver name-mapping”-access all ----