Utrzymywanie lokalnej konsoli zarządzania (wersja klasyczna)

Artykuł
08/07/2023

Ważny

Usługa Defender for IoT zaleca teraz używanie usług w chmurze firmy Microsoft lub istniejącej infrastruktury IT do centralnego monitorowania i zarządzania czujnikami, a planuje wycofanie lokalnej konsoli zarządzania1 stycznia 2025 r..

Aby uzyskać więcej informacji, zobacz Zarządzanie czujnikami OT w trybie hybrydowym lub odizolowanym od sieci.

W tym artykule opisano dodatkowe lokalne działania konsoli zarządzania, które można wykonać poza większym procesem wdrażania.

Ostrożność

Tylko udokumentowane parametry konfiguracji w czujniku sieci OT są obsługiwane w przypadku konfiguracji klienta. Nie zmieniaj żadnych nieudokumentowanych parametrów konfiguracji ani właściwości systemu, ponieważ zmiany mogą powodować nieoczekiwane zachowanie i błędy systemu.

Usunięcie pakietów z czujnika bez zatwierdzenia przez firmę Microsoft może spowodować nieoczekiwane wyniki. Wszystkie pakiety zainstalowane na czujniku są wymagane do poprawnej funkcjonalności czujnika.

Warunki wstępne

Przed wykonaniem procedur opisanych w tym artykule upewnij się, że masz następujące elementy:

Lokalna konsola zarządzania zainstalowana i aktywowana .
Dostęp do lokalnej konsoli zarządzania jako użytkownik administrator. Wybrane procedury i dostęp do interfejsu wiersza polecenia także wymagają uprzywilejowanego użytkownika. Aby uzyskać więcej informacji, zobacz lokalni użytkownicy i role do monitorowania OT za pomocą usługi Defender for IoT.
certyfikat SSL/TLS przygotowany, jeśli musisz zaktualizować certyfikat czujnika.
Jeśli dodajesz dodatkową kartę sieciową, będziesz potrzebować dostępu do wiersza polecenia jako uprzywilejowany użytkownik.

Pobieranie oprogramowania dla lokalnej konsoli zarządzania

Może być konieczne pobranie oprogramowania dla lokalnej konsoli zarządzania, jeśli zainstalowanie oprogramowania Defender for IoT na własnych urządzeniach lub aktualizowanie wersji oprogramowania.

W usłudze Defender for IoT w witrynie Azure Portal użyj jednej z następujących opcji:

W przypadku nowej instalacji lub aktualizacji autonomicznej wybierz pozycję Wprowadzenie do lokalnej konsoli zarządzania>.
- W przypadku nowej instalacji wybierz wersję w obszarze Kup urządzenie i zainstaluj oprogramowanie w obszarze, a następnie wybierz pozycję Pobierz.
- W przypadku aktualizacji wybierz scenariusz aktualizacji w obszarze lokalnej konsoli zarządzania, a następnie wybierz Pobierz.
Jeśli aktualizujesz lokalną konsolę zarządzania wraz z połączonymi czujnikami OT, użyj opcji w menu >Aktualizacja czujnika (wersja zapoznawcza) na stronie witryny i czujniki.

Dodaj dodatkową kartę sieciową po instalacji

Zwiększ bezpieczeństwo lokalnej konsoli zarządzania, dodając dodatkową kartę sieciową dedykowaną dla dołączonych czujników w zakresie adresów IP. W przypadku korzystania z dodatkowej karty sieciowej, pierwsza służy użytkownikom końcowym, a dodatkowa obsługuje konfigurację bramy dla sieci routowanych.

W tej procedurze opisano sposób dodawania dodatkowej karty sieciowej (NIC) po zainstalowaniu lokalnej konsoli zarządzania.

Aby dodać pomocniczą kartę sieciową:

Zaloguj się do lokalnej konsoli zarządzania za pośrednictwem protokołu SSH, aby uzyskać dostęp do interfejsu wiersza poleceniai uruchomić polecenie:
```
sudo cyberx-management-network-reconfigure
```

Wprowadź następujące odpowiedzi na następujące pytania:

Zrzut ekranu przedstawiający wymagane odpowiedzi na potrzeby konfigurowania urządzenia.

Parametry	Odpowiedź na wprowadzenie
adres IP sieci zarządzania	`N`
maska podsieci	`N`
DNS	`N`
domyślny adres IP bramy	`N`
interfejs monitorowania czujnika Fakultatywny. Istotne, gdy czujniki znajdują się w innym segmencie sieci.	`Y`i wybierz możliwą wartość
adres IP interfejsu monitorowania czujnika	`Y`i wprowadź adres IP dostępny dla czujników
maska podsieci interfejsu monitorowania czujników	`Y`i wprowadź adres IP dostępny dla czujników
nazwa hosta	Wprowadź nazwę hosta

Przejrzyj wszystkie opcje i wprowadź Y, aby zaakceptować zmiany. System zostanie uruchomiony ponownie.

Prześlij nowy plik aktywacji

Twoja lokalna konsola zarządzania została aktywowana w ramach wdrożenia.

Może być konieczne ponowne aktywowanie lokalnej konsoli zarządzania w ramach procedur konserwacyjnych, na przykład, jeśli całkowita liczba monitorowanych urządzeń przekracza liczbę urządzeń, na które masz licencję.

Aby przekazać nowy plik aktywacji do lokalnej konsoli zarządzania:

W usłudze Defender for IoT na portalu Azure, wybierz Plany i cennik.
Wybierz plan, a następnie wybierz pozycję Pobierz plik aktywacji lokalnej konsoli zarządzania.

Zapisz pobrany plik w lokalizacji dostępnej z lokalnej konsoli zarządzania.

Wszystkie pliki pobrane z portalu Azure są podpisane przez korzeń zaufania, co zapewnia, że maszyny używają tylko podpisanych zasobów.
Zaloguj się do lokalnej konsoli zarządzania i wybierz pozycję Ustawienia systemu >Aktywacja.
W oknie dialogowym aktywacji wybierz pozycję WYBIERZ plik i przejdź do pobranego wcześniej pliku aktywacji.
Wybierz pozycję Zamknij, aby zapisać zmiany.

Zarządzanie certyfikatami SSL/TLS

Jeśli pracujesz ze środowiskiem produkcyjnym, musiałeś wdrożyć certyfikat SSL/TLS podpisany przez urząd certyfikacji w ramach lokalnego wdrożenia konsoli zarządzania. Zalecamy używanie certyfikatów z podpisem własnym tylko do celów testowych.

Poniższe procedury opisują sposób wdrażania zaktualizowanych certyfikatów SSL/TLS, na przykład gdy certyfikat wygasł.

Wdrażanie certyfikatu podpisanego przez urząd certyfikacji
Tworzenie i wdrażanie certyfikatu z podpisem własnym

Aby wdrożyć certyfikat podpisany przez urząd certyfikacji:

Zaloguj się do lokalnej konsoli zarządzania i wybierz Ustawienia systemu>Certyfikaty SSL/TLS.

W oknie dialogowym certyfikatów SSL/TLS wybierz opcję + Dodaj certyfikat i wprowadź następujące wartości:

Parametr	Opis
nazwa certyfikatu	Wprowadź nazwę certyfikatu.
hasło - opcjonalne	Wprowadź hasło .
klucz prywatny (plik KEY)	Przekaż klucz prywatny (plik KEY).
Certyfikat (plik CRT)	Przekaż certyfikat (plik CRT).
łańcuch certyfikatów (plik PEM) - opcjonalne	Przekaż łańcuch certyfikatów (plik PEM).

Na przykład:

Jeśli przekazywanie zakończy się niepowodzeniem, skontaktuj się z administratorem zabezpieczeń lub IT. Aby uzyskać więcej informacji, zobacz wymagania dotyczące certyfikatów SSL/TLS dla zasobów lokalnych i Tworzenie certyfikatów SSL/TLS dla urządzeń OT.

Wybierz opcję Włącz weryfikację certyfikatów, aby uruchomić globalną weryfikację certyfikatów SSL/TLS z wystawcą Certyfikatów i Listami odwołania certyfikatów .

Jeśli ta opcja jest włączona i walidacja zakończy się niepowodzeniem, komunikacja między odpowiednimi składnikami zostanie zatrzymana, a na czujniku zostanie wyświetlony błąd weryfikacji. Aby uzyskać więcej informacji, zobacz wymagania dotyczące plików CRT.
Wybierz Zapisz, aby zachować zmiany.

Każda lokalna konsola zarządzania jest instalowana z certyfikatem z podpisem własnym, który zalecamy używać tylko do celów testowych. W środowiskach produkcyjnych zalecamy, aby zawsze używać certyfikatu podpisanego przez urząd certyfikacji.

Certyfikaty z podpisem własnym prowadzą do mniej bezpiecznego środowiska, ponieważ nie można zweryfikować właściciela certyfikatu i nie można zachować zabezpieczeń systemu.

Aby utworzyć certyfikat z podpisem własnym, pobierz plik certyfikatu z lokalnej konsoli zarządzania, a następnie użyj platformy zarządzania certyfikatami, aby utworzyć pliki certyfikatów, które należy przekazać z powrotem do lokalnej konsoli zarządzania.

Aby utworzyć certyfikat z podpisem własnym:

Przejdź do lokalnego adresu IP konsoli zarządzania w przeglądarce, a następnie:

Wybierz alert Niezabezpieczony na pasku adresu przeglądarki internetowej, a następnie wybierz ikonę > obok komunikatu ostrzegawczego "Połączenie z tą witryną nie jest bezpieczne". Na przykład:
Wybierz ikonę Pokaż certyfikat, aby wyświetlić certyfikat zabezpieczeń dla tej witryny internetowej.
W okienku przeglądarki certyfikatów wybierz kartę Szczegóły , a następnie wybierz Eksportuj, aby wprowadzić nazwę wyeksportowanego pliku i zapisać go na komputerze lokalnym.

Użyj platformy zarządzania certyfikatami, aby utworzyć następujące typy plików certyfikatów SSL/TLS:

Typ pliku	Opis
.crt — plik kontenera certyfikatów	Plik `.pem`lub `.der` z innym rozszerzeniem do obsługi w Eksploratorze Windows.
.key — plik klucza prywatnego	Plik klucza jest w tym samym formacie co plik `.pem` z innym rozszerzeniem do obsługi w Eksploratorze Windows.
.pem — plik kontenera certyfikatów (opcjonalnie)	Fakultatywny. Plik tekstowy z kodowaniem Base64 tekstu certyfikatu oraz nagłówkiem i stopką w postaci zwykłego tekstu, aby oznaczyć początek i koniec certyfikatu.

Na przykład:

Otwórz pobrany plik certyfikatu i wybierz kartę Szczegóły >Kopiuj do pliku, aby uruchomić Kreatora eksportu certyfikatów .
W Kreatorze eksportu certyfikatów wybierz pozycję Dalej>kodowane binarnie X.509 DER (.CER)>, a następnie ponownie wybierz pozycję Dalej.
Na ekranie Plik do eksportu wybierz Przeglądaj, wybierz lokalizację do przechowywania certyfikatu, a następnie wybierz Dalej.
Wybierz opcję Zakończ, aby wyeksportować certyfikat.

Notatka

Może być konieczne przekonwertowanie istniejących typów plików na obsługiwane typy.

Gdy skończysz, użyj następujących procedur, aby zweryfikować pliki certyfikatów:

Aby wdrożyć certyfikat z podpisem własnym:

Zaloguj się do lokalnej konsoli zarządzania i wybierz ustawienia systemu>certyfikaty SSL/TLS.
W oknie dialogowym certyfikatów SSL/TLS pozostaw wybraną opcję domyślnego certyfikatu z podpisem lokalnym (niezabezpieczony, niezalecane).
Wybierz POTWIERDŹ, aby potwierdzić ostrzeżenie.
Wybierz opcję Włącz weryfikację certyfikatu, aby zweryfikować certyfikat na serwerze CRL . Certyfikat jest sprawdzany raz podczas procesu importowania.

Jeśli ta opcja jest włączona i walidacja zakończy się niepowodzeniem, komunikacja między odpowiednimi składnikami zostanie zatrzymana, a na czujniku zostanie wyświetlony błąd weryfikacji. Aby uzyskać więcej informacji, zobacz wymagania dotyczące plików CRT.
Wybierz pozycję Zapisz, aby zapisać ustawienia certyfikatu.

Rozwiązywanie problemów z błędami przesyłania certyfikatów

Nie będzie można przekazać certyfikatów do czujników OT, jeśli certyfikaty nie zostały utworzone prawidłowo lub są nieprawidłowe. Skorzystaj z poniższej tabeli, aby dowiedzieć się, jak podjąć działania, jeśli przekazywanie certyfikatu zakończy się niepowodzeniem i zostanie wyświetlony komunikat o błędzie:

błąd weryfikacji certyfikatu	Zalecenie
hasło nie jest zgodne z kluczem	Upewnij się, że masz poprawne hasło. Jeśli problem będzie nadal występować, spróbuj ponownie utworzyć certyfikat przy użyciu poprawnego hasła. Aby uzyskać więcej informacji, zobacz Obsługiwane znaki dla kluczy i haseł.
Nie można zweryfikować łańcucha zaufania. Podany certyfikat i główny urząd certyfikacji nie są zgodne.	Upewnij się, że plik `.pem` jest skorelowany z plikiem `.crt`. Jeśli problem będzie się powtarzać, spróbuj ponownie utworzyć certyfikat przy użyciu poprawnego łańcucha zaufania, zgodnie z definicją w pliku `.pem`.
Ten certyfikat SSL wygasł i nie jest uznawany za prawidłowy.	Utwórz nowy certyfikat z prawidłowymi datami.
Ten certyfikat został odwołany przez listę CRL i nie może być zaufany dla bezpiecznego połączenia	Utwórz nowy niezwołany certyfikat.
Lokalizacja listy CRL (lista odwołania certyfikatów) nie jest osiągalna. Sprawdź, czy adres URL można uzyskać z tego urządzenia	Upewnij się, że konfiguracja sieci umożliwia czujnikowi dotarcie do serwera CRL zdefiniowanego w certyfikacie. Aby uzyskać więcej informacji, zobacz Weryfikowanie dostępu do serwera listy CRL.
Sprawdzanie poprawności certyfikatu nie powiodło się	Oznacza to ogólny błąd w urządzeniu. Skontaktuj się z pomocą techniczną Microsoft.

Zmienianie nazwy lokalnej konsoli zarządzania

Domyślna nazwa lokalnej konsoli zarządzania to Konsola Zarządzaniai jest wyświetlana w graficznym interfejsie użytkownika konsoli zarządzania oraz w dziennikach rozwiązywania problemów.

Aby zmienić nazwę lokalnej konsoli zarządzania:

Zaloguj się do lokalnej konsoli zarządzania i wybierz nazwę w lewym dolnym rogu, tuż nad numerem wersji.
W oknie dialogowym Edytowanie konfiguracji konsoli zarządzania wprowadź nową nazwę. Nazwa musi mieć maksymalnie 25 znaków. Na przykład:
Wybierz Zapisz, aby zapisać zmiany.

Odzyskiwanie hasła uprzywilejowanego użytkownika

Jeśli nie masz już dostępu do lokalnej konsoli zarządzania jako uprzywilejowanego użytkownika, odzyskaj dostęp z witryny Azure Portal.

Aby odzyskać dostęp uprzywilejowanego użytkownika:

Przejdź do strony logowania lokalnej konsoli zarządzania i wybierz pozycję Password Recovery.
Wybierz użytkownika, dla którego chcesz odzyskać dostęp: Support albo CyberX.
Skopiuj identyfikator wyświetlany w oknie dialogowym odzyskiwania haseł do bezpiecznej lokalizacji.
Przejdź do usługi Defender for IoT w witrynie Azure Portal i upewnij się, że wyświetlasz subskrypcję, która została użyta do dołączenia czujników OT połączonych obecnie z lokalną konsolą zarządzania.
Wybierz pozycję lokacje i czujniki >Więcej akcji>Odzyskaj hasło lokalnej konsoli zarządzania.
Podaj skopiowany wcześniej tajny identyfikator z lokalnej konsoli zarządzania i wybierz pozycję Odzyskaj.

Plik password_recovery.zip jest pobierany z przeglądarki.

Wszystkie pliki pobrane z Azure Portal są podpisane przez główne źródło zaufania, aby maszyny używały tylko podpisanych zasobów.
W oknie dialogowym Odzyskiwanie haseł w lokalnej konsoli zarządzania wybierz opcję Przekaż i wybierz pobrany plik password_recovery.zip.

Zostaną wyświetlone nowe poświadczenia.

Edytowanie nazwy hosta

Nazwa hosta lokalnej konsoli zarządzania musi być zgodna z nazwą hosta skonfigurowaną na serwerze DNS organizacji.

Aby edytować nazwę hosta zapisaną w lokalnej konsoli zarządzania:

Zaloguj się do lokalnej konsoli zarządzania i wybierz pozycję Ustawienia systemowe.
W obszarze sieci konsoli zarządzania wybierz pozycję Network.
Wprowadź nową nazwę hosta i wybierz ZAPISZ, aby zapisać zmiany.

Definiowanie nazw sieci VLAN

Nazwy sieci VLAN nie są synchronizowane między czujnikiem OT i lokalną konsolą zarządzania. Jeśli zdefiniowano nazwy sieci VLAN wczujnika OT, zalecamy zdefiniowanie identycznych nazw sieci VLAN w lokalnej konsoli zarządzania.

Aby zdefiniować nazwy sieci VLAN:

Zaloguj się do lokalnej konsoli zarządzania i wybierz pozycję Ustawienia systemowe.
W obszarze sieci konsoli zarządzania wybierz pozycję sieci VLAN.
W oknie dialogowym Edytuj konfigurację VLAN wybierz Dodaj VLAN, a następnie wprowadź swój identyfikator VLAN i nazwę VLAN, jeden po drugim.
Wybierz pozycję ZAPISZ, aby zapisać zmiany.

Konfigurowanie ustawień serwera poczty SMTP

Zdefiniuj ustawienia serwera poczty SMTP w lokalnej konsoli zarządzania, aby skonfigurować lokalną konsolę zarządzania tak, aby wysyłała dane do innych serwerów i usług partnerskich.

Na przykład potrzebny jest serwer poczty SMTP skonfigurowany do przekazywania poczty e-mail i ustanawiania reguł alertów przesyłania dalej .

wymagania wstępne:

Upewnij się, że możesz uzyskać dostęp do serwera SMTP z lokalnej konsoli zarządzania.

Aby skonfigurować serwer SMTP w lokalnej konsoli zarządzania:

Zaloguj się do lokalnej konsoli zarządzania jako użytkownik uprzywilejowany za pośrednictwem protokołu SSH/Telnet.

Biegać:

nano /var/cyberx/properties/remote-interfaces.properties

Wprowadź następujące szczegóły serwera SMTP zgodnie z instrukcją:
- mail.smtp_server
- mail.port. Domyślny port to 25.
- mail.sender

Następne kroki

Aby uzyskać więcej informacji, zobacz:

Udostępnij za pośrednictwem