الحفاظ على وحدة تحكم الإدارة المحلية (قديم)

هام

يوصي Defender for IoT الآن باستخدام خدمات Microsoft السحابية أو البنية الأساسية الحالية ل تكنولوجيا المعلومات للمراقبة المركزية وإدارة أجهزة الاستشعار، ويخطط لإيقاف وحدة التحكم بالإدارة المحلية في 1 يناير 2025.

لمزيد من المعلومات، راجع نشر إدارة مستشعر OT المختلط أو المكيف الهواء.

توضح هذه المقالة أنشطة وحدة تحكم الإدارة المحلية الإضافية التي قد تقوم بها خارج عملية نشر أكبر.

تنبيه

يتم دعم معلمات التكوين الموثقة فقط على مستشعر شبكة OT ووحدة تحكم الإدارة المحلية لتكوين العميل. لا تقم بتغيير أي معلمات تكوين غير مستندة أو خصائص النظام، حيث قد تتسبب التغييرات في حدوث سلوك غير متوقع وفشل في النظام.

يمكن أن تؤدي إزالة الحزم من أداة الاستشعار دون موافقة Microsoft إلى نتائج غير متوقعة. جميع الحزم المثبتة على أداة الاستشعار مطلوبة لوظائف المستشعر الصحيحة.

المتطلبات الأساسية

قبل تنفيذ الإجراءات الواردة في هذه المقالة، تأكد من أن لديك:

• وحدة تحكم إدارة محلية مثبتة ومنشطة.

• الوصول إلى وحدة تحكم الإدارة المحلية كمستخدم مسؤول. تتطلب الإجراءات المحددة والوصول إلى CLI أيضا مستخدما متميزا. لمزيد من المعلومات، راجع المستخدمين المحليين والأدوار لمراقبة OT باستخدام Defender for IoT.

• تم إعداد شهادة SSL/TLS إذا كنت بحاجة إلى تحديث شهادة المستشعر.

• إذا كنت تضيف NIC ثانويا، فستحتاج إلى الوصول إلى CLI كمستخدم متميز.

تنزيل البرامج لوحدة التحكم بالإدارة الداخلية

قد تحتاج إلى تنزيل برنامج لوحدة التحكم بالإدارة المحلية إذا كنت تقوم بتثبيت برنامج Defender for IoT على أجهزتك الخاصة، أو تحديث إصدارات البرامج.

في Defender for IoT في مدخل Microsoft Azure، استخدم أحد الخيارات التالية:

• للحصول على تثبيت جديد أو تحديث مستقل، حدد Getting started>On-premises management console.

  • لتثبيت جديد، حدد إصدارا في منطقة شراء جهاز وتثبيت البرنامج ، ثم حدد تنزيل.
  • للحصول على تحديث، حدد سيناريو التحديث في منطقة وحدة تحكم الإدارة المحلية ثم حدد تنزيل.

• إذا كنت تقوم بتحديث وحدة التحكم بالإدارة المحلية الخاصة بك مع مستشعرات OT المتصلة، فاستخدم الخيارات الموجودة في قائمة تحديث المستشعر (معاينة) لصفحة >المواقع وأجهزة الاستشعار.

إضافة NIC ثانوي بعد التثبيت

قم بتحسين الأمان لوحدة التحكم بالإدارة المحلية الخاصة بك عن طريق إضافة NIC ثانوي مخصص لأجهزة الاستشعار المرفقة ضمن نطاق عناوين IP. عند استخدام NIC ثانوي، يتم تخصيص الأساسي للمستخدمين، ويدعم الثانوي تكوين بوابة للشبكات التي تم توجيهها.

يصف هذا الإجراء كيفية إضافة NIC ثانوي بعد تثبيت وحدة تحكم الإدارة المحلية.

لإضافة بطاقة NIC ثانوية:

1. سجل الدخول إلى وحدة التحكم بالإدارة المحلية عبر SSH للوصول إلى CLI، وقم بتشغيل:

   sudo cyberx-management-network-reconfigure
   

2. أدخل الإجابات التالية على الأسئلة التالية:

   

   المعلمات	الإجابات التي يتم إدخالها
   عنوان IP لشبكة الإدارة	N
   قناع الشبكة الفرعية	N
   Dns	N
   عنوان IP للبوابة الافتراضية	N
   واجهة مراقبة أداة الاستشعار اختياري. ذات صلة عندما تكون أدوات الاستشعار على مقطع شبكة مختلف.	Y، وحدد قيمة محتملة
   عنوان IP لواجهة مراقبة أداة الاستشعار	Y، وأدخل عنوان IP الذي يمكن الوصول إليه بواسطة أدوات الاستشعار
   قناع شبكة فرعية لواجهة مراقبة أداة الاستشعار	Y، وأدخل عنوان IP الذي يمكن الوصول إليه بواسطة أدوات الاستشعار
   اسم المضيف	إدخال اسم المضيف

3. راجع جميع الخيارات وأدخل Y لقبول التغييرات. يتم إعادة تشغيل النظام.

تحميل ملف تنشيط جديد

لقد قمت بتنشيط وحدة التحكم بالإدارة المحلية كجزء من عملية النشر الخاصة بك.

قد تحتاج إلى إعادة تنشيط وحدة التحكم بالإدارة المحلية كجزء من إجراءات الصيانة، مثل ما إذا كان العدد الإجمالي للأجهزة المراقبة يتجاوز عدد الأجهزة التي تم ترخيصك لها.

لتحميل ملف تنشيط جديد إلى وحدة تحكم الإدارة المحلية:

1. في Defender for IoT على مدخل Microsoft Azure، حدد الخطط والتسعير.

2. حدد خطتك ثم حدد تنزيل ملف تنشيط وحدة تحكم الإدارة المحلية.

   احفظ الملف الذي تم تنزيله في موقع يمكن الوصول إليه من وحدة التحكم بالإدارة المحلية.

   يتم توقيع جميع الملفات التي تم تنزيلها من مدخل Microsoft Azure بواسطة جذر الثقة بحيث تستخدم أجهزتك الأصول المُوقَّعة فقط.

3. سجل الدخول إلى وحدة التحكم بالإدارة المحلية وحدد النظام الإعدادات> Activation.

4. في مربع الحوار التنشيط ، حدد CHOOSE FILE واستعرض للوصول إلى ملف التنشيط الذي قمت بتنزيله سابقا.

5. حدد إغلاق لحفظ التغييرات.

إدارة شهادات SSL/TLS

إذا كنت تعمل مع بيئة إنتاج، فنشرت شهادة SSL/TLS موقعة من CA كجزء من نشر وحدة تحكم الإدارة المحلية. نوصي باستخدام الشهادات الموقعة ذاتيا فقط لأغراض الاختبار.

تصف الإجراءات التالية كيفية نشر شهادات SSL/TLS المحدثة، مثل ما إذا انتهت صلاحية الشهادة.

نشر شهادة موقعة من CA

لنشر شهادة موقعة من CA:

1. سجل الدخول إلى وحدة التحكم بالإدارة المحلية وحدد شهادات النظام الإعدادات> SSL/TLS.

2. في مربع الحوار SSL/TLS Certificates ، حدد + Add Certificate وأدخل القيم التالية:

   المعلمة	‏‏الوصف‬
   اسم الشهادة	أدخل اسم الشهادة.
   عبارة المرور اختيارية -	أدخل عبارة مرور.
   المفتاح الخاص (ملف المفتاح)	تحميل مفتاح خاص (ملف مفتاح).
   الشهادة (ملف CRT)	تحميل شهادة (ملف CRT).
   سلسلة الشهادات (ملف PEM) - اختياري	تحميل سلسلة شهادات (ملف PEM).

   على سبيل المثال:

   

   إذا فشل التحميل، فاتصل بمسؤول الأمان أو تكنولوجيا المعلومات. لمزيد من المعلومات، راجع متطلبات شهادة SSL/TLS للموارد المحلية وإنشاء شهادات SSL/TLS لأجهزة OT.

3. حدد الخيار تمكين التحقق من صحة الشهادة لتشغيل التحقق على مستوى النظام لشهادات SSL/TLS مع المرجع المصدق المصدر وقوائم إبطال الشهادات.

   إذا تم تشغيل هذا الخيار وفشل التحقق من الصحة، يتم إيقاف الاتصال بين المكونات ذات الصلة، ويتم عرض خطأ التحقق من الصحة على أداة الاستشعار. لمزيد من المعلومات، راجع متطلبات ملف CRT.

4. حدد حفظ لحفظ التغييرات الخاصة بك.

إنشاء شهادة موقعة ذاتيا ونشرها

يتم تثبيت كل وحدة تحكم إدارة محلية مع شهادة موقعة ذاتيا نوصي باستخدامها فقط لأغراض الاختبار. في بيئات الإنتاج، نوصي دائما باستخدام شهادة موقعة من CA.

تؤدي الشهادات الموقعة ذاتيا إلى بيئة أقل أمانا، حيث لا يمكن التحقق من صحة مالك الشهادة ولا يمكن الحفاظ على أمان النظام الخاص بك.

لإنشاء شهادة موقعة ذاتيا، قم بتنزيل ملف الشهادة من وحدة التحكم بالإدارة المحلية ثم استخدم نظام أساسي لإدارة الشهادات لإنشاء ملفات الشهادات التي ستحتاج إلى تحميلها مرة أخرى إلى وحدة التحكم بالإدارة المحلية.

لإنشاء شهادة موقعة ذاتيا:

انتقل إلى عنوان IP لوحدة تحكم الإدارة المحلية في مستعرض ثم:

1. حدد تنبيه غير آمن في شريط العناوين في مستعرض الويب، ثم حدد الأيقونة > الموجودة بجانب رسالة التحذير "اتصالك بهذا الموقع غير آمن". على سبيل المثال:

   

2. حدد أيقونة إظهار الشهادة لعرض شهادة الأمان لموقع الويب هذا.

3. في جزء عارض الشهادة، حدد علامة التبويب تفاصيل ، ثم حدد تصدير لإدخال اسم للملف الذي تم تصديره وحفظه على جهازك المحلي.

4. استخدم نظام أساسي لإدارة الشهادات لإنشاء الأنواع التالية من ملفات شهادات SSL/TLS:

   نوع الملف	‏‏الوصف
   .crt – ملف حاوية الشهادة	.pemملف أو .der ، مع ملحق مختلف للدعم في مستكشف Windows.
   .key – ملف المفتاح الخاص	يكون الملف الرئيسي بتنسيق الملف نفسه .pem ، مع ملحق مختلف للدعم في مستكشف Windows.
   .pem – ملف حاوية الشهادة (اختياري)	اختياري. ملف نصي مع ترميز Base64 لنص الشهادة، ورأس وتذييل نص عادي لوضع علامة على بداية الشهادة ونهاتها.

   على سبيل المثال:

   1. افتح ملف الشهادة الذي تم تنزيله وحدد علامة التبويب >Details Copy to file لتشغيل معالج تصدير الشهادة.

   2. في معالج تصدير الشهادة، حدد Next>DER encoded binary X.509 (. CER)> ثم حدد التالي مرة أخرى.

   3. في شاشة ملف للتصدير ، حدد استعراض، واختر موقعا لتخزين الشهادة، ثم حدد التالي.

   4. حدد إنهاء لتصدير الشهادة.

إشعار

قد تحتاج إلى تحويل أنواع الملفات الموجودة إلى أنواع معتمدة.

عند الانتهاء، استخدم الإجراءات التالية للتحقق من صحة ملفات الشهادة:

• التحقق من الوصول إلى خادم CRL
• استيراد شهادة SSL/TLS إلى مخزن موثوق به
• اختبار شهادات SSL/TLS

لنشر شهادة موقعة ذاتيا:

1. سجل الدخول إلى وحدة التحكم بالإدارة المحلية وحدد System settings>SSL/TLS Certificates.

2. في مربع الحوار شهادات SSL/TLS، احتفظ بالخيار الافتراضي للشهادة الموقعة ذاتيا التي تم إنشاؤها محليا (غير آمنة، غير مستحسنة).

3. حدد I CONFIRM للإقرار بالتحذير.

4. حدد الخيار Enable certificate validation للتحقق من صحة الشهادة مقابل خادم CRL. يتم التحقق من الشهادة مرة واحدة أثناء عملية الاستيراد.

   إذا تم تشغيل هذا الخيار وفشل التحقق من الصحة، يتم إيقاف الاتصال بين المكونات ذات الصلة، ويتم عرض خطأ التحقق من الصحة على أداة الاستشعار. لمزيد من المعلومات، راجع متطلبات ملف CRT.

5. حدد حفظ لحفظ إعدادات الشهادة.

استكشاف أخطاء تحميل الشهادة وإصلاحها

لن تتمكن من تحميل الشهادات إلى مستشعرات OT أو وحدات تحكم الإدارة المحلية إذا لم يتم إنشاء الشهادات بشكل صحيح أو كانت غير صالحة. استخدم الجدول التالي لفهم كيفية اتخاذ إجراء إذا فشل تحميل الشهادة وتظهر رسالة خطأ:

خطأ في التحقق من صحة الشهادة	التوصية
عبارة المرور غير متطابقة مع المفتاح	تأكد من أن لديك عبارة المرور الصحيحة. إذا استمرت المشكلة، فحاول إعادة إنشاء الشهادة باستخدام عبارة المرور الصحيحة. لمزيد من المعلومات، راجع الأحرف المعتمدة للمفاتيح وعبارات المرور.
يتعذر التحقق من صحة سلسلة الثقة. الشهادة المتوفرة و المرجع المصدق الجذر غير متطابقين.	تأكد من ارتباط .pem ملف بالملف .crt . إذا استمرت المشكلة، فحاول إعادة إنشاء الشهادة باستخدام سلسلة الثقة الصحيحة، كما هو محدد بواسطة .pem الملف.
انتهت صلاحية شهادة SSL هذه ولا تعتبر صالحة.	إنشاء شهادة جديدة مع تواريخ صالحة.
تم إبطال هذه الشهادة بواسطة CRL ولا يمكن الوثوق بها للاتصال الآمن	إنشاء شهادة جديدة غير ملغاة.
موقع CRL (قائمة إبطال الشهادات) غير قابل للوصول. تحقق من إمكانية الوصول إلى عنوان URL من هذا الجهاز	تأكد من أن تكوين الشبكة يسمح لجهاز الاستشعار أو وحدة التحكم بالإدارة المحلية بالوصول إلى خادم CRL المحدد في الشهادة. لمزيد من المعلومات، راجع التحقق من وصول خادم CRL.
فشل التحقق من صحة الشهادة	يشير هذا إلى خطأ عام في الجهاز. تواصل مع Microsoft Support.

تغيير اسم وحدة التحكم في الإدارة الداخلية

الاسم الافتراضي لوحدة التحكم بالإدارة المحلية هو وحدة تحكم الإدارة، ويظهر في واجهة المستخدم الرسومية لوحدة تحكم الإدارة المحلية وسجلات استكشاف الأخطاء وإصلاحها.

لتغيير اسم وحدة التحكم بالإدارة المحلية:

1. سجل الدخول إلى وحدة التحكم بالإدارة المحلية وحدد الاسم في أسفل اليسار، أعلى رقم الإصدار تماما.

2. في مربع الحوار تحرير تكوين وحدة تحكم الإدارة، أدخل اسمك الجديد. يجب أن يكون الاسم بحد أقصى 25 حرفا. على سبيل المثال:

   

3. حدد حفظ لحفظ التغييرات الخاصة بك.

استرداد كلمة مرور مستخدم مميزة

إذا لم يعد لديك حق الوصول إلى وحدة التحكم بالإدارة المحلية كمستخدم متميز، فاسترد الوصول من مدخل Microsoft Azure.

لاسترداد وصول المستخدم المتميز:

1. انتقل إلى صفحة تسجيل الدخول لوحدة التحكم بالإدارة المحلية وحدد استرداد كلمة المرور.

2. حدد المستخدم الذي تريد استرداد الوصول إليه، إما مستخدم الدعم أو CyberX .

3. انسخ المعرف المعروض في مربع الحوار استرداد كلمة المرور إلى موقع آمن.

4. انتقل إلى Defender for IoT في مدخل Microsoft Azure، وتأكد من أنك تعرض الاشتراك الذي تم استخدامه لإلحاق مستشعرات OT المتصلة حاليا بوحدة تحكم الإدارة المحلية.

5. حدد المواقع وأجهزة الاستشعار>مزيد من الإجراءات>استرداد كلمة مرور وحدة تحكم الإدارة المحلية.

6. أدخل المعرف السري الذي نسخته سابقا من وحدة التحكم بالإدارة المحلية وحدد استرداد.

   password_recovery.zip يتم تنزيل ملف من المستعرض.

   يتم توقيع جميع الملفات التي تم تنزيلها من مدخل Microsoft Azure بواسطة جذر الثقة بحيث تستخدم أجهزتك الأصول المُوقَّعة فقط.

7. في مربع الحوار استرداد كلمة المرور على وحدة تحكم الإدارة المحلية، حدد تحميل وحدد الملف الذي password_recovery.zip قمت بتنزيله.

يتم عرض بيانات الاعتماد الجديدة.

تحرير اسم المضيف

يجب أن يتطابق اسم مضيف وحدة تحكم الإدارة المحلية مع اسم المضيف الذي تم تكوينه في خادم DNS التنظيمي.

لتحرير اسم المضيف المحفوظ على وحدة تحكم الإدارة المحلية:

1. سجل الدخول إلى وحدة التحكم بالإدارة المحلية وحدد النظام الإعدادات.

2. في منطقة Management console networking ، حدد Network.

3. أدخل اسم المضيف الجديد وحدد حفظ لحفظ التغييرات.

تعريف أسماء VLAN

لا تتم مزامنة أسماء VLAN بين مستشعر OT ووحدة تحكم الإدارة المحلية. إذا قمت بتعريف أسماء VLAN على مستشعر OT، نوصي بتعريف أسماء VLAN متطابقة على وحدة تحكم الإدارة المحلية.

لتعريف أسماء VLAN:

1. سجل الدخول إلى وحدة التحكم بالإدارة المحلية وحدد النظام الإعدادات.

2. في منطقة Management console networking ، حدد VLAN.

3. في مربع الحوار تحرير تكوين VLAN، حدد إضافة VLAN ثم أدخل معرف VLAN واسمه، واحدا تلو الآخر.

4. حدد حفظ لحفظ التغييرات.

تكوين إعدادات خادم بريد SMTP

حدد إعدادات خادم بريد SMTP على وحدة تحكم الإدارة المحلية بحيث تقوم بتكوين وحدة تحكم الإدارة المحلية لإرسال البيانات إلى خوادم أخرى وخدمات الشركاء.

على سبيل المثال، ستحتاج إلى تكوين خادم بريد SMTP لإعداد إعادة توجيه البريد وتكوين قواعد تنبيه إعادة التوجيه.

المتطلبات الأساسية:

تأكد من أنه يمكنك الوصول إلى خادم SMTP من وحدة تحكم الإدارة المحلية.

لتكوين خادم SMTP على وحدة تحكم الإدارة المحلية:

1. سجل الدخول إلى وحدة التحكم بالإدارة المحلية كمستخدم متميز عبر SSH/Telnet.

2. تشغيل:

   nano /var/cyberx/properties/remote-interfaces.properties
   

3. أدخل تفاصيل خادم SMTP التالية كما هو موجه:

   • mail.smtp_server
   • mail.port. المنفذ الافتراضي هو 25.
   • mail.sender

الخطوات التالية

لمزيد من المعلومات، راجع:

• تحديث برنامج نظام OT
• إدارة أجهزة الاستشعار من وحدة التحكم الإدارية
• استكشاف أخطاء وحدة التحكم بالإدارة المحلية وإصلاحها