Как да сменим паролата на локален потребител
Sophos постоянно преглежда продуктите си за уязвимости, който може да представляват потенциален риск за нашите клиенти. Като резултат сме идентифицирали XG устройства с локални потребители, на които трябва да се смени паролата. За потребители влизайки чрез LAN или чрез VPN (освен clientless VPN) няма нужда от смяна на паролата. Локални потребители и гости, които не са си подновили паролата от 22:00 UTC на 25-ти Април 2020 ще бъдат блокирани и няма да им се предостави достъп към потребителския портал от WEAN докато не сменят паролата си (това включва и тези клиенти които влизат с букмарк чрез clientless VPN). Локални потребители и гост акаунти се дефинират като потребителски акаунти и се автентикират през защитната стена на Sophos.
Бележка: Потребителски акаунти, които използват услуги за автентикация като активна директория или LDAP не са афектиратни. Тези потребители няма нужда да предприемат допълнителни мерки.
(кликнете тук, за да видите изображението в пълен размер)
В редки случай, в които локалния и гост потребителя са с блокиран достъп до потребителския портал по WAN (или clientless VPN), дори и да са си подновили паролата след 22:00 UTC на 25-ти Април 2020, се предоставя възможност да отмените съответната забрана. Също така предоставяме релевантни команди за администраторите, с които могат да идентифицират и предприемат действия локално за определени акаунти.
Отнася се за следните продукти и версии на Sophos:
Защитна стена Sophos XG версия 17.0, 17.1, 17.5, 18.
Какво да направим като администратор на XG?
Проверете дали имате най-новият hotfix, като потърсите за “HF052220.1”в контролният център на защитната стена. Ще е изписано дали трябва да предприемате други нужни действия.
Допълнително, инспектирайте логовете за да видите дали имате следната аларма.
(кликнете тук, за да видите изображението в пълен размер)
Ако вече сте сменили всички пароли и няма аларма в контролният център
Няма нужда да предприемате допълнителни действия
Във всички други ситуации, ще трябва да достъпите конзолата на защитната стена.
Има два варианта, с който да направите това:
Може да достъпите конзолата от admin → console в горният десен ъгъл на контролният център.
Влезете в конзолата по Telnet или SSH.
Вижте още: https://community.sophos.com/kb/en-us/133678
Ако вече сте сменили всички пароли и все още получавате аларма в контролният център
Отхвърлете забраната за потребители в потребителският портал, като в конзолата на защитната стена въведете следните команди.
console> system localusers userportal_login_WAN [enable | show]
Позволете на локални и гост потребители да достъпят потребителският портал от WAN зоната, без значение дали да си сменили паролата или не. Тази опция също премахва алармата.
Ако все още не сте сменили паролите на локалните потребители
Имате две опции:
(Препоръчана) Обновете паролите за всички локални дефинирани потребители, които не са си сменили паролата от 22:00 UTC на 25-ти Април 2020
(Ако е нужно) Обновете паролата на всички локално дефинираи потребители.
Обновете паролата за всички локални дефинирани потребители, които не са си сменили паролата от 22:00 UTC на 25-ти Април 2020
Направете списък с всички потребители, които които не са си сменили паролата 22:00 UTC на 25-ти Април 2020 като стартирате следната команда:
console> system localuser localuser_list_unchanged_passwords show
За да смените паролата за всички потребители:
console> system localuser set_pin user_unchanged_passwords pin <my4characterpin>
Заменете <my4characterpin> с 4 цифров пин код.
Пример: Старата парола “моятастарапарола” ще бъде променена на “моятастарапарола1234” ако новият ПИН код който въведохте е “1234”.
Бележка: Това е само пример, моля използвайте ваш уникален ПИН код.
Ще получите съобщетние за потвърждение: “This will change passwords for ALL local and guest users who have NOT changed the passwords after 2200 UTC, April 25, 2020”. Are you sure you want to change the passwords for ALL local and guest users? [Y/N]”
Ако изберете Y ще видите следното съобщение за потвърждение “Passwords for zzz users have been changed successfully.” (където "zzz" представлява общият брой от локални и гост потребители, които са получили нова парола).
Списъка с акаунти ще бъде изписан като част от съобщението за потвърждение.
Обновете паролата на всички локално дефинирани и гост акаунти
Изкарайте списък с всички акаунти чрез следната команда:
console> system localusers all_localuser_list show
Сменете паролата на всички акаунти от списъка чрез следната команда:
console> system localuser set_pin all_users pin <моят4цифровпин>
Заменете <my4characterpin> с 4 цифров пин код.
Пример: Старата парола “моятастарапарола” ще бъде променена на “моятастарапарола1234” ако новият ПИН код който въведохте е “1234”.
Бележка: Това е само пример, моля използвайте ваш уникален ПИН код.
Ще получите съобщетние за потвърждение: “This will change passwords for ALL local and guest users who have NOT changed the passwords after 2200 UTC, April 25, 2020”. Are you sure you want to change the passwords for ALL local and guest users? [Y/N]”
Ако изберете Y ще видите следното съобщение за потвърждение “Passwords for zzz users have been changed successfully.” (където "zzz" представлява общият брой от локални и гост потребители, които са получили нова парола).
Списъка с акаунти ще бъде изписан като част от съобщението за потвърждение
Следващата стъпка е да уведомите вашите потребители
Сега когато сте дефинирали временни пароли за вашите потребители, трябва само да им спомените за новата временна парола и да ги помолите да е сменят.
Примерен имейл за вашите потребители:
********
Здравейте Х,
Поради необходими мерки за защита сме ви сменили паролата на Х акаунт в защитната стена Sophos. Това е временна парола и препоръчваме да е смените с по-силна такава.
Времената парола за сегашният Ви акаунт е *сегашната ви парола + ХХХХ”.
Моля при първа възможност да изберете нова и да я смените при следващото си влизане в потребителският портал.
Благодаря Ви,
*******
Ръководство на английски език: Sophos XG Firewall: Local User Password Reset