الحفاظ على وحدة تحكم الإدارة المحلية (قديم)
هام
يوصي Defender for IoT الآن باستخدام خدمات Microsoft السحابية أو البنية الأساسية الحالية ل تكنولوجيا المعلومات للمراقبة المركزية وإدارة أجهزة الاستشعار، ويخطط لإيقاف وحدة التحكم بالإدارة المحلية في 1 يناير 2025.
لمزيد من المعلومات، راجع نشر إدارة مستشعر OT المختلط أو المكيف الهواء.
توضح هذه المقالة أنشطة وحدة تحكم الإدارة المحلية الإضافية التي قد تقوم بها خارج عملية نشر أكبر.
تنبيه
يتم دعم معلمات التكوين الموثقة فقط على مستشعر شبكة OT ووحدة تحكم الإدارة المحلية لتكوين العميل. لا تقم بتغيير أي معلمات تكوين غير مستندة أو خصائص النظام، حيث قد تتسبب التغييرات في حدوث سلوك غير متوقع وفشل في النظام.
يمكن أن تؤدي إزالة الحزم من أداة الاستشعار دون موافقة Microsoft إلى نتائج غير متوقعة. جميع الحزم المثبتة على أداة الاستشعار مطلوبة لوظائف المستشعر الصحيحة.
المتطلبات الأساسية
قبل تنفيذ الإجراءات الواردة في هذه المقالة، تأكد من أن لديك:
وحدة تحكم إدارة محلية مثبتة ومنشطة.
الوصول إلى وحدة تحكم الإدارة المحلية كمستخدم مسؤول. تتطلب الإجراءات المحددة والوصول إلى CLI أيضا مستخدما متميزا. لمزيد من المعلومات، راجع المستخدمين المحليين والأدوار لمراقبة OT باستخدام Defender for IoT.
تم إعداد شهادة SSL/TLS إذا كنت بحاجة إلى تحديث شهادة المستشعر.
إذا كنت تضيف NIC ثانويا، فستحتاج إلى الوصول إلى CLI كمستخدم متميز.
تنزيل البرامج لوحدة التحكم بالإدارة الداخلية
قد تحتاج إلى تنزيل برنامج لوحدة التحكم بالإدارة المحلية إذا كنت تقوم بتثبيت برنامج Defender for IoT على أجهزتك الخاصة، أو تحديث إصدارات البرامج.
في Defender for IoT في مدخل Microsoft Azure، استخدم أحد الخيارات التالية:
للحصول على تثبيت جديد أو تحديث مستقل، حدد Getting started>On-premises management console.
- لتثبيت جديد، حدد إصدارا في منطقة شراء جهاز وتثبيت البرنامج ، ثم حدد تنزيل.
- للحصول على تحديث، حدد سيناريو التحديث في منطقة وحدة تحكم الإدارة المحلية ثم حدد تنزيل.
إذا كنت تقوم بتحديث وحدة التحكم بالإدارة المحلية الخاصة بك مع مستشعرات OT المتصلة، فاستخدم الخيارات الموجودة في قائمة تحديث المستشعر (معاينة) لصفحة >المواقع وأجهزة الاستشعار.
إضافة NIC ثانوي بعد التثبيت
قم بتحسين الأمان لوحدة التحكم بالإدارة المحلية الخاصة بك عن طريق إضافة NIC ثانوي مخصص لأجهزة الاستشعار المرفقة ضمن نطاق عناوين IP. عند استخدام NIC ثانوي، يتم تخصيص الأساسي للمستخدمين، ويدعم الثانوي تكوين بوابة للشبكات التي تم توجيهها.
يصف هذا الإجراء كيفية إضافة NIC ثانوي بعد تثبيت وحدة تحكم الإدارة المحلية.
لإضافة بطاقة NIC ثانوية:
سجل الدخول إلى وحدة التحكم بالإدارة المحلية عبر SSH للوصول إلى CLI، وقم بتشغيل:
sudo cyberx-management-network-reconfigure
أدخل الإجابات التالية على الأسئلة التالية:
المعلمات الإجابات التي يتم إدخالها عنوان IP لشبكة الإدارة N
قناع الشبكة الفرعية N
Dns N
عنوان IP للبوابة الافتراضية N
واجهة مراقبة أداة الاستشعار
اختياري. ذات صلة عندما تكون أدوات الاستشعار على مقطع شبكة مختلف.Y
، وحدد قيمة محتملةعنوان IP لواجهة مراقبة أداة الاستشعار Y
، وأدخل عنوان IP الذي يمكن الوصول إليه بواسطة أدوات الاستشعارقناع شبكة فرعية لواجهة مراقبة أداة الاستشعار Y
، وأدخل عنوان IP الذي يمكن الوصول إليه بواسطة أدوات الاستشعاراسم المضيف إدخال اسم المضيف راجع جميع الخيارات وأدخل
Y
لقبول التغييرات. يتم إعادة تشغيل النظام.
تحميل ملف تنشيط جديد
لقد قمت بتنشيط وحدة التحكم بالإدارة المحلية كجزء من عملية النشر الخاصة بك.
قد تحتاج إلى إعادة تنشيط وحدة التحكم بالإدارة المحلية كجزء من إجراءات الصيانة، مثل ما إذا كان العدد الإجمالي للأجهزة المراقبة يتجاوز عدد الأجهزة التي تم ترخيصك لها.
لتحميل ملف تنشيط جديد إلى وحدة تحكم الإدارة المحلية:
في Defender for IoT على مدخل Microsoft Azure، حدد الخطط والتسعير.
حدد خطتك ثم حدد تنزيل ملف تنشيط وحدة تحكم الإدارة المحلية.
احفظ الملف الذي تم تنزيله في موقع يمكن الوصول إليه من وحدة التحكم بالإدارة المحلية.
يتم توقيع جميع الملفات التي تم تنزيلها من مدخل Microsoft Azure بواسطة جذر الثقة بحيث تستخدم أجهزتك الأصول المُوقَّعة فقط.
سجل الدخول إلى وحدة التحكم بالإدارة المحلية وحدد النظام الإعدادات> Activation.
في مربع الحوار التنشيط ، حدد CHOOSE FILE واستعرض للوصول إلى ملف التنشيط الذي قمت بتنزيله سابقا.
حدد إغلاق لحفظ التغييرات.
إدارة شهادات SSL/TLS
إذا كنت تعمل مع بيئة إنتاج، فنشرت شهادة SSL/TLS موقعة من CA كجزء من نشر وحدة تحكم الإدارة المحلية. نوصي باستخدام الشهادات الموقعة ذاتيا فقط لأغراض الاختبار.
تصف الإجراءات التالية كيفية نشر شهادات SSL/TLS المحدثة، مثل ما إذا انتهت صلاحية الشهادة.
لنشر شهادة موقعة من CA:
سجل الدخول إلى وحدة التحكم بالإدارة المحلية وحدد شهادات النظام الإعدادات> SSL/TLS.
في مربع الحوار SSL/TLS Certificates ، حدد + Add Certificate وأدخل القيم التالية:
المعلمة الوصف اسم الشهادة أدخل اسم الشهادة. عبارة المرور اختيارية - أدخل عبارة مرور. المفتاح الخاص (ملف المفتاح) تحميل مفتاح خاص (ملف مفتاح). الشهادة (ملف CRT) تحميل شهادة (ملف CRT). سلسلة الشهادات (ملف PEM) - اختياري تحميل سلسلة شهادات (ملف PEM). على سبيل المثال:
إذا فشل التحميل، فاتصل بمسؤول الأمان أو تكنولوجيا المعلومات. لمزيد من المعلومات، راجع متطلبات شهادة SSL/TLS للموارد المحلية وإنشاء شهادات SSL/TLS لأجهزة OT.
حدد الخيار تمكين التحقق من صحة الشهادة لتشغيل التحقق على مستوى النظام لشهادات SSL/TLS مع المرجع المصدق المصدر وقوائم إبطال الشهادات.
إذا تم تشغيل هذا الخيار وفشل التحقق من الصحة، يتم إيقاف الاتصال بين المكونات ذات الصلة، ويتم عرض خطأ التحقق من الصحة على أداة الاستشعار. لمزيد من المعلومات، راجع متطلبات ملف CRT.
حدد حفظ لحفظ التغييرات الخاصة بك.
استكشاف أخطاء تحميل الشهادة وإصلاحها
لن تتمكن من تحميل الشهادات إلى مستشعرات OT أو وحدات تحكم الإدارة المحلية إذا لم يتم إنشاء الشهادات بشكل صحيح أو كانت غير صالحة. استخدم الجدول التالي لفهم كيفية اتخاذ إجراء إذا فشل تحميل الشهادة وتظهر رسالة خطأ:
خطأ في التحقق من صحة الشهادة | التوصية |
---|---|
عبارة المرور غير متطابقة مع المفتاح | تأكد من أن لديك عبارة المرور الصحيحة. إذا استمرت المشكلة، فحاول إعادة إنشاء الشهادة باستخدام عبارة المرور الصحيحة. لمزيد من المعلومات، راجع الأحرف المعتمدة للمفاتيح وعبارات المرور. |
يتعذر التحقق من صحة سلسلة الثقة. الشهادة المتوفرة و المرجع المصدق الجذر غير متطابقين. | تأكد من ارتباط .pem ملف بالملف .crt . إذا استمرت المشكلة، فحاول إعادة إنشاء الشهادة باستخدام سلسلة الثقة الصحيحة، كما هو محدد بواسطة .pem الملف. |
انتهت صلاحية شهادة SSL هذه ولا تعتبر صالحة. | إنشاء شهادة جديدة مع تواريخ صالحة. |
تم إبطال هذه الشهادة بواسطة CRL ولا يمكن الوثوق بها للاتصال الآمن | إنشاء شهادة جديدة غير ملغاة. |
موقع CRL (قائمة إبطال الشهادات) غير قابل للوصول. تحقق من إمكانية الوصول إلى عنوان URL من هذا الجهاز | تأكد من أن تكوين الشبكة يسمح لجهاز الاستشعار أو وحدة التحكم بالإدارة المحلية بالوصول إلى خادم CRL المحدد في الشهادة. لمزيد من المعلومات، راجع التحقق من وصول خادم CRL. |
فشل التحقق من صحة الشهادة | يشير هذا إلى خطأ عام في الجهاز. تواصل مع Microsoft Support. |
تغيير اسم وحدة التحكم في الإدارة الداخلية
الاسم الافتراضي لوحدة التحكم بالإدارة المحلية هو وحدة تحكم الإدارة، ويظهر في واجهة المستخدم الرسومية لوحدة تحكم الإدارة المحلية وسجلات استكشاف الأخطاء وإصلاحها.
لتغيير اسم وحدة التحكم بالإدارة المحلية:
سجل الدخول إلى وحدة التحكم بالإدارة المحلية وحدد الاسم في أسفل اليسار، أعلى رقم الإصدار تماما.
في مربع الحوار تحرير تكوين وحدة تحكم الإدارة، أدخل اسمك الجديد. يجب أن يكون الاسم بحد أقصى 25 حرفا. على سبيل المثال:
حدد حفظ لحفظ التغييرات الخاصة بك.
استرداد كلمة مرور مستخدم مميزة
إذا لم يعد لديك حق الوصول إلى وحدة التحكم بالإدارة المحلية كمستخدم متميز، فاسترد الوصول من مدخل Microsoft Azure.
لاسترداد وصول المستخدم المتميز:
انتقل إلى صفحة تسجيل الدخول لوحدة التحكم بالإدارة المحلية وحدد استرداد كلمة المرور.
حدد المستخدم الذي تريد استرداد الوصول إليه، إما مستخدم الدعم أو CyberX .
انسخ المعرف المعروض في مربع الحوار استرداد كلمة المرور إلى موقع آمن.
انتقل إلى Defender for IoT في مدخل Microsoft Azure، وتأكد من أنك تعرض الاشتراك الذي تم استخدامه لإلحاق مستشعرات OT المتصلة حاليا بوحدة تحكم الإدارة المحلية.
حدد المواقع وأجهزة الاستشعار>مزيد من الإجراءات>استرداد كلمة مرور وحدة تحكم الإدارة المحلية.
أدخل المعرف السري الذي نسخته سابقا من وحدة التحكم بالإدارة المحلية وحدد استرداد.
password_recovery.zip
يتم تنزيل ملف من المستعرض.يتم توقيع جميع الملفات التي تم تنزيلها من مدخل Microsoft Azure بواسطة جذر الثقة بحيث تستخدم أجهزتك الأصول المُوقَّعة فقط.
في مربع الحوار استرداد كلمة المرور على وحدة تحكم الإدارة المحلية، حدد تحميل وحدد الملف الذي
password_recovery.zip
قمت بتنزيله.
يتم عرض بيانات الاعتماد الجديدة.
تحرير اسم المضيف
يجب أن يتطابق اسم مضيف وحدة تحكم الإدارة المحلية مع اسم المضيف الذي تم تكوينه في خادم DNS التنظيمي.
لتحرير اسم المضيف المحفوظ على وحدة تحكم الإدارة المحلية:
سجل الدخول إلى وحدة التحكم بالإدارة المحلية وحدد النظام الإعدادات.
في منطقة Management console networking ، حدد Network.
أدخل اسم المضيف الجديد وحدد حفظ لحفظ التغييرات.
تعريف أسماء VLAN
لا تتم مزامنة أسماء VLAN بين مستشعر OT ووحدة تحكم الإدارة المحلية. إذا قمت بتعريف أسماء VLAN على مستشعر OT، نوصي بتعريف أسماء VLAN متطابقة على وحدة تحكم الإدارة المحلية.
لتعريف أسماء VLAN:
سجل الدخول إلى وحدة التحكم بالإدارة المحلية وحدد النظام الإعدادات.
في منطقة Management console networking ، حدد VLAN.
في مربع الحوار تحرير تكوين VLAN، حدد إضافة VLAN ثم أدخل معرف VLAN واسمه، واحدا تلو الآخر.
حدد حفظ لحفظ التغييرات.
تكوين إعدادات خادم بريد SMTP
حدد إعدادات خادم بريد SMTP على وحدة تحكم الإدارة المحلية بحيث تقوم بتكوين وحدة تحكم الإدارة المحلية لإرسال البيانات إلى خوادم أخرى وخدمات الشركاء.
على سبيل المثال، ستحتاج إلى تكوين خادم بريد SMTP لإعداد إعادة توجيه البريد وتكوين قواعد تنبيه إعادة التوجيه.
المتطلبات الأساسية:
تأكد من أنه يمكنك الوصول إلى خادم SMTP من وحدة تحكم الإدارة المحلية.
لتكوين خادم SMTP على وحدة تحكم الإدارة المحلية:
سجل الدخول إلى وحدة التحكم بالإدارة المحلية كمستخدم متميز عبر SSH/Telnet.
تشغيل:
nano /var/cyberx/properties/remote-interfaces.properties
أدخل تفاصيل خادم SMTP التالية كما هو موجه:
mail.smtp_server
mail.port
. المنفذ الافتراضي هو25
.mail.sender
الخطوات التالية
لمزيد من المعلومات، راجع: