Безопасность АТС 3CX - сброс паролей / учетных данных

Рекомендации по усилению безопасности вашей АТС

Введение

Учитывая непростую ситуацию с атаками на цепочки поставок ПО, рекомендуем выполнить несколько действий, чтобы усилить безопасность АТС 3CX.

Рекомендация 1: Измените учетные данные аккаунта Root/Admin

В настоящее время нет признаков того, что пароль интерфейса управления 3CX был скомпрометирован.

В системах 3CX есть обычные пользователи с добавочными номерами, но также есть и root аккаунт “полного” администратора АТС. Root аккаунт обычно используется сторонними IT-специалистами (например, партнером 3CX) для администрирования вашей системы. Если вы поменяли привязанного партнера или не знаете, когда в последний раз менялся пароль root, его стоит сменить.

Безопасность АТС Измените учетные данные аккаунта Root/Admin

Для смены пароля root:

  1. Зайдите в интерфейс управления 3CX с аккаунтом admin/root.
  2. В левой панели перейдите в раздел Security > Root Credentials”.
  3. В поле Old Password введите ваш текущий пароль.
  4. Введите новый пароль в полях New Password и Confirm Password, а затем нажмите “OK”. Пароль должен иметь не менее 10 символов без пробелов и содержать строчную букву, заглавную букву и цифру.
  5. После этого произойдет выход из интерфейса управления. Войдите в интерфейс с новыми учетными данными.

Потеряли учетные данные root?

Если вы потеряли учетные данные Root, их можно отправить на e-mail администратора АТС:

  1. Перейдите на экран входа в интерфейс управления.
  2. Нажмите кнопку "Login" несколько раз, указав правильное имя пользователя, но неверный пароль.
  3. Нажмите на появившуюся опцию "Forgot password?".
  4. Учетные данные root будут автоматически отправлены на e-mail администратора, который был указан при установке системы.
  5. Используйте полученные учетные данные для входа в интерфейс управления. Затем сбросьте пароль, как указано выше.

Рекомендация 2: Установите роль System Owner

Безопасность АТС Установите роль System Owner

Начиная с V18 Update 6, 3CX вводит роль System Owner (Владелец системы), которая может быть назначена любому настроенному пользователю. Теперь администратор 3CX одновременно будет и пользователем системы. При новой инсталляции первый настроенный пользователь получает роль System Owner по умолчанию. Но если вы недавно обновили систему, вверху интерфейса появится предупреждение о необходимости назначить какому-либо пользователю роль System Owner.

  1. Чтобы назначить роль ‘System Owner’ зайдите в интерфейс управления и перейдите в раздел “Users”.
  2. В параметрах пользователя, который должен стать System Owner, перейдите на вкладку ‘Rights’.
  3. В разделе ‘Group Membership’ выберите роль “System Owner”.
  4. Когда роль будет установлена, пользователь сможет заходить в веб-клиент и интерфейс управления с учетными данными, указанными в Приветственном письме. Если у пользователя нет учетных данных, выберите его в интерфейсе управления и нажмите кнопку отправки Приветственного письма.

Рекомендация 3: Ограничьте доступ по IP к интерфейсу управления и разделу Admin веб-клиента

Безопасность АТС Ограничьте доступ по IP к интерфейсу управления и разделу Admin веб-клиента

Хорошим способом защиты АТС является ограничение доступа к интерфейсу администрирования АТС по IP-адресу (например, вашего офиса или локации администратора 3CX). Для этого:

 

  1. Зайдите в интерфейс управления
  2. В левой панели перейдите в раздел ‘Security > Console Restriction’.
  3. Выберите опцию Allow Access from specific IP Addresses only.
  4. Нажмите кнопку “+Add” button” и добавьте IP-адрес.

Безопасность АТС Прежде чем нажать ОК, убедитесь, что видите синее подтверждение того, что ваш текущий IP-адрес разрешен.

  1. Внимание! Прежде чем нажать ОК, убедитесь, что видите синее подтверждение того, что ваш текущий IP-адрес разрешен.

Безопасность АТС Если вы видите красное предупреждение, значит вы не добавили IP-адрес текущей локации. Если вы нажмете ОК, доступ к интерфейсу управления и разделу Admin веб-клиента будет для вашего IP заблокирован.

  1. Если вы видите красное предупреждение, значит вы не добавили IP-адрес текущей локации. Если вы нажмете ОК, доступ к интерфейсу управления и разделу Admin веб-клиента будет для вашего IP заблокирован.
  2. Убедитесь, что у вас используется статический IP! Если у вас динамический адрес, доступ к интерфейсу управления может быть внезапно заблокирован.

Рекомендация 4: Сброс учетных данных пользователя на вкладке Admin веб-клиента

Безопасность АТС Сброс учетных данных пользователя на вкладке Admin веб-клиента

Сбросить учетные данные любого пользователя, в том числе с ролью System Owner, можно на вкладке Admin веб-клиента 3CX:

  1. Зайдите в веб-клиент с аккаунтом System Owner и перейдите в раздел “Admin > Users”.
  2. Выберите пользователя, которому необходимо изменить учетные данные, и нажмите кнопку “Reset Password”. Это приведет к сбросу пароля и автоматической отправке Приветственного письма с ссылкой для смены пароля.

Групповой сброс учетных данных пользователей

Безопасность АТС Групповой сброс учетных данных пользователей

Для группового сброса учетных данных пользователей АТС выполните следующие действия:

  1. Зайдите в интерфейс управления с аккаунтом Root или System Owner и перейдите в раздел ‘Users’.
  2. Выберите всех пользователей, для которых нужно сбросить учетные данные, и нажмите Regenerate”.
  3. В окне Regenerate Passwords выберите учетные данные, которые нужно сбросить, и нажмите “Proceed”.
  4. Как правило, достаточно сбросить пароль на вход в веб-клиент.
  5. Убедитесь, что выбрана опция “Resend Welcome email to the selected extensions”, чтобы все выбранные пользователи получили ссылку для смены пароля.

Безопасность АТС Убедитесь, что выбрана опция <b>“Resend Welcome email to the selected extensions”</b>, чтобы все выбранные пользователи получили ссылку для смены пароля.

Обратите внимание!

Если выбран сброс следующих параметров, необходимо заново настроить все IP-телефоны или приложения, используемые данным пользователем.

  • SIP ID и Authentication Password
  • Voicemail PIN
  • IP Phone Web Password
  • Обновление QR-кода и файла автонастройки для приложений 3CX

Если необходимо сбросить только учетные данные интерфейса управления / веб-клиента, выбирайте опцию "Web Client Password".

Попросите пользователей самостоятельно изменить свои учетные данные

Безопасность АТС Попросите пользователей самостоятельно изменить свои учетные данные

В системе также есть возможность пользователю самостоятельного сбросить свои учетные данные. Это делается в веб-клиенте 3CX:

  1. Убедитесь, что данная опция разрешена в интерфейсе управления.
  2. Войдите в интерфейс управления с аккаунтом Root или ролью System Owner.
  3. Перейдите в раздел “Settings > Options” и отключите опцию Hide Change Passwords for 3CX Apps.
  4. Теперь у каждого пользователя есть возможность самостоятельно сбросить свои учетные данные.
  5. Сообщите пользователям, что они должны зайти в веб-клиент, перейти в раздел "Settings > General" и нажать кнопку "Change Password".
  6. В следующем окне в поле Old Password введите свой текущий пароль.
  7. Введите новый пароль в поля "New Password" и "Confirm New Password", и нажмите "Save". Пароль должен иметь не менее 10 символов без пробелов и содержать строчную букву, заглавную букву и цифру.
  8. Пароль будет изменен, а пользователь выйдет из веб-клиента. После этого он сможет войти, используя новые учетные данные.

Безопасность АТС Сообщите пользователям, что они должны зайти в веб-клиент, перейти в раздел "Settings > General" и нажать кнопку "Change Password".

Рекомендация 5: Подключите SSO Google или Microsoft 365

Еще один хороший способ защитить систему - подключить SSO. Теперь можно использовать свой аккаунт Google или Microsoft 365 для входа в АТС. Это позволит не только использовать единый аккаунт, но и задействовать  двухфакторную аутентификацию, если она была настроена.

Подробнее о настройке SSO для 3CX в этих руководствах.

Версия документа

Последнее обновление документа 8 мая 2023

https://www.3cx.ru/docs/pbx-security-credentials/