Безопасность АТС 3CX - сброс паролей / учетных данных
- Введение
- Рекомендация 1: Измените учетные данные аккаунта Root/Admin
- Рекомендация 2: Установите роль System Owner
- Рекомендация 3: Ограничьте доступ по IP к интерфейсу управления и разделу Admin веб-клиента
- Рекомендация 4: Сброс учетных данных пользователя на вкладке Admin веб-клиента
- Групповой сброс учетных данных пользователей
- Попросите пользователей самостоятельно изменить свои учетные данные
- Рекомендация 5: Подключите SSO Google или Microsoft 365
Введение
Учитывая непростую ситуацию с атаками на цепочки поставок ПО, рекомендуем выполнить несколько действий, чтобы усилить безопасность АТС 3CX.
Рекомендация 1: Измените учетные данные аккаунта Root/Admin
В настоящее время нет признаков того, что пароль интерфейса управления 3CX был скомпрометирован.
В системах 3CX есть обычные пользователи с добавочными номерами, но также есть и root аккаунт “полного” администратора АТС. Root аккаунт обычно используется сторонними IT-специалистами (например, партнером 3CX) для администрирования вашей системы. Если вы поменяли привязанного партнера или не знаете, когда в последний раз менялся пароль root, его стоит сменить.
Для смены пароля root:
- Зайдите в интерфейс управления 3CX с аккаунтом admin/root.
- В левой панели перейдите в раздел “Security > Root Credentials”.
- В поле Old Password введите ваш текущий пароль.
- Введите новый пароль в полях New Password и Confirm Password, а затем нажмите “OK”. Пароль должен иметь не менее 10 символов без пробелов и содержать строчную букву, заглавную букву и цифру.
- После этого произойдет выход из интерфейса управления. Войдите в интерфейс с новыми учетными данными.
Потеряли учетные данные root?
Если вы потеряли учетные данные Root, их можно отправить на e-mail администратора АТС:
- Перейдите на экран входа в интерфейс управления.
- Нажмите кнопку "Login" несколько раз, указав правильное имя пользователя, но неверный пароль.
- Нажмите на появившуюся опцию "Forgot password?".
- Учетные данные root будут автоматически отправлены на e-mail администратора, который был указан при установке системы.
- Используйте полученные учетные данные для входа в интерфейс управления. Затем сбросьте пароль, как указано выше.
Рекомендация 2: Установите роль System Owner
Начиная с V18 Update 6, 3CX вводит роль System Owner (Владелец системы), которая может быть назначена любому настроенному пользователю. Теперь администратор 3CX одновременно будет и пользователем системы. При новой инсталляции первый настроенный пользователь получает роль System Owner по умолчанию. Но если вы недавно обновили систему, вверху интерфейса появится предупреждение о необходимости назначить какому-либо пользователю роль System Owner.
- Чтобы назначить роль ‘System Owner’ зайдите в интерфейс управления и перейдите в раздел “Users”.
- В параметрах пользователя, который должен стать System Owner, перейдите на вкладку ‘Rights’.
- В разделе ‘Group Membership’ выберите роль “System Owner”.
- Когда роль будет установлена, пользователь сможет заходить в веб-клиент и интерфейс управления с учетными данными, указанными в Приветственном письме. Если у пользователя нет учетных данных, выберите его в интерфейсе управления и нажмите кнопку отправки Приветственного письма.
Рекомендация 3: Ограничьте доступ по IP к интерфейсу управления и разделу Admin веб-клиента
Хорошим способом защиты АТС является ограничение доступа к интерфейсу администрирования АТС по IP-адресу (например, вашего офиса или локации администратора 3CX). Для этого:
- Зайдите в интерфейс управления
- В левой панели перейдите в раздел ‘Security > Console Restriction’.
- Выберите опцию “Allow Access from specific IP Addresses only”.
- Нажмите кнопку “+Add” button” и добавьте IP-адрес.
- Внимание! Прежде чем нажать ОК, убедитесь, что видите синее подтверждение того, что ваш текущий IP-адрес разрешен.
- Если вы видите красное предупреждение, значит вы не добавили IP-адрес текущей локации. Если вы нажмете ОК, доступ к интерфейсу управления и разделу Admin веб-клиента будет для вашего IP заблокирован.
- Убедитесь, что у вас используется статический IP! Если у вас динамический адрес, доступ к интерфейсу управления может быть внезапно заблокирован.
Рекомендация 4: Сброс учетных данных пользователя на вкладке Admin веб-клиента
Сбросить учетные данные любого пользователя, в том числе с ролью System Owner, можно на вкладке Admin веб-клиента 3CX:
- Зайдите в веб-клиент с аккаунтом System Owner и перейдите в раздел “Admin > Users”.
- Выберите пользователя, которому необходимо изменить учетные данные, и нажмите кнопку “Reset Password”. Это приведет к сбросу пароля и автоматической отправке Приветственного письма с ссылкой для смены пароля.
Групповой сброс учетных данных пользователей
Для группового сброса учетных данных пользователей АТС выполните следующие действия:
- Зайдите в интерфейс управления с аккаунтом Root или System Owner и перейдите в раздел ‘Users’.
- Выберите всех пользователей, для которых нужно сбросить учетные данные, и нажмите “Regenerate”.
- В окне Regenerate Passwords выберите учетные данные, которые нужно сбросить, и нажмите “Proceed”.
- Как правило, достаточно сбросить пароль на вход в веб-клиент.
- Убедитесь, что выбрана опция “Resend Welcome email to the selected extensions”, чтобы все выбранные пользователи получили ссылку для смены пароля.
Обратите внимание!
Если выбран сброс следующих параметров, необходимо заново настроить все IP-телефоны или приложения, используемые данным пользователем.
- SIP ID и Authentication Password
- Voicemail PIN
- IP Phone Web Password
- Обновление QR-кода и файла автонастройки для приложений 3CX
Если необходимо сбросить только учетные данные интерфейса управления / веб-клиента, выбирайте опцию "Web Client Password".
Попросите пользователей самостоятельно изменить свои учетные данные
В системе также есть возможность пользователю самостоятельного сбросить свои учетные данные. Это делается в веб-клиенте 3CX:
- Убедитесь, что данная опция разрешена в интерфейсе управления.
- Войдите в интерфейс управления с аккаунтом Root или ролью System Owner.
- Перейдите в раздел “Settings > Options” и отключите опцию “Hide Change Passwords for 3CX Apps”.
- Теперь у каждого пользователя есть возможность самостоятельно сбросить свои учетные данные.
- Сообщите пользователям, что они должны зайти в веб-клиент, перейти в раздел "Settings > General" и нажать кнопку "Change Password".
- В следующем окне в поле Old Password введите свой текущий пароль.
- Введите новый пароль в поля "New Password" и "Confirm New Password", и нажмите "Save". Пароль должен иметь не менее 10 символов без пробелов и содержать строчную букву, заглавную букву и цифру.
- Пароль будет изменен, а пользователь выйдет из веб-клиента. После этого он сможет войти, используя новые учетные данные.
Рекомендация 5: Подключите SSO Google или Microsoft 365
Еще один хороший способ защитить систему - подключить SSO. Теперь можно использовать свой аккаунт Google или Microsoft 365 для входа в АТС. Это позволит не только использовать единый аккаунт, но и задействовать двухфакторную аутентификацию, если она была настроена.
Подробнее о настройке SSO для 3CX в этих руководствах.
- Настройка SSO для Google
- Настройка SSO для Microsoft 365
Версия документа
Последнее обновление документа 8 мая 2023