Obsługa lokalnej konsoli zarządzania (starsza wersja)

Ważne

Usługa Defender for IoT zaleca teraz używanie usług w chmurze firmy Microsoft lub istniejącej infrastruktury IT do centralnego monitorowania i zarządzania czujnikami oraz planuje wycofanie lokalnej konsoli zarządzania w dniu 1 stycznia 2025 r.

Aby uzyskać więcej informacji, zobacz Wdrażanie hybrydowego lub rozerwanego powietrza zarządzania czujnikami OT.

W tym artykule opisano dodatkowe lokalne działania konsoli zarządzania, które można wykonać poza większym procesem wdrażania.

Uwaga

Tylko udokumentowane parametry konfiguracji w czujniku sieci OT i lokalnej konsoli zarządzania są obsługiwane w przypadku konfiguracji klienta. Nie zmieniaj żadnych nieudokumentowanych parametrów konfiguracji ani właściwości systemu, ponieważ zmiany mogą powodować nieoczekiwane zachowanie i błędy systemu.

Usunięcie pakietów z czujnika bez zatwierdzenia przez firmę Microsoft może spowodować nieoczekiwane wyniki. Wszystkie pakiety zainstalowane na czujniku są wymagane do poprawnej funkcjonalności czujnika.

Wymagania wstępne

Przed wykonaniem procedur opisanych w tym artykule upewnij się, że masz następujące elementy:

• Zainstalowana i aktywowana lokalna konsola zarządzania.

• Dostęp do lokalnej konsoli zarządzania jako użytkownik Administracja. Wybrane procedury i dostęp interfejsu wiersza polecenia również wymagają uprzywilejowanego użytkownika. Aby uzyskać więcej informacji, zobacz Temat Użytkownicy i role lokalne na potrzeby monitorowania ot za pomocą usługi Defender dla IoT.

• Certyfikat SSL/TLS przygotowany , jeśli musisz zaktualizować certyfikat czujnika.

• Jeśli dodajesz dodatkową kartę sieciową, musisz mieć dostęp do interfejsu wiersza polecenia jako użytkownik uprzywilejowany.

Pobieranie oprogramowania dla lokalnej konsoli zarządzania

Może być konieczne pobranie oprogramowania dla lokalnej konsoli zarządzania, jeśli instalujesz oprogramowanie defender for IoT na własnych urządzeniach lub aktualizujesz wersje oprogramowania.

W usłudze Defender for IoT w witrynie Azure Portal użyj jednej z następujących opcji:

• W przypadku nowej instalacji lub autonomicznej aktualizacji wybierz pozycję Wprowadzenie>do lokalnej konsoli zarządzania.

  • W przypadku nowej instalacji wybierz wersję w obszarze Zakup urządzenia i zainstaluj oprogramowanie , a następnie wybierz pozycję Pobierz.
  • W przypadku aktualizacji wybierz scenariusz aktualizacji w obszarze lokalnej konsoli zarządzania, a następnie wybierz pozycję Pobierz.

• Jeśli aktualizujesz lokalną konsolę zarządzania razem z połączonymi czujnikami OT, użyj opcji w menu Lokacje i czujniki strony >Aktualizacja czujnika (wersja zapoznawcza).

Dodawanie pomocniczej karty sieciowej po instalacji

Zwiększ bezpieczeństwo lokalnej konsoli zarządzania, dodając dodatkową kartę sieciową dedykowaną dla dołączonych czujników w zakresie adresów IP. W przypadku korzystania z pomocniczej karty sieciowej pierwsza jest przeznaczona dla użytkowników końcowych, a pomocnicza obsługuje konfigurację bramy dla sieci trasowanych.

W tej procedurze opisano sposób dodawania pomocniczej karty sieciowej po zainstalowaniu lokalnej konsoli zarządzania.

Aby dodać pomocniczą kartę sieciową:

1. Zaloguj się do lokalnej konsoli zarządzania za pośrednictwem protokołu SSH, aby uzyskać dostęp do interfejsu wiersza polecenia, i uruchom następujące polecenie:

   sudo cyberx-management-network-reconfigure
   

2. Wprowadź następujące odpowiedzi na następujące pytania:

   

   Parametry	Odpowiedź na wprowadzenie
   Adres IP sieci zarządzania	N
   Maska podsieci	N
   DNS	N
   Domyślny adres IP bramy	N
   Interfejs monitorowania czujników Opcjonalny. Istotne, gdy czujniki znajdują się w innym segmencie sieci.	Yi wybierz możliwą wartość
   Adres IP interfejsu monitorowania czujnika	Yi wprowadź adres IP dostępny dla czujników
   Maska podsieci dla interfejsu monitorowania czujników	Yi wprowadź adres IP dostępny dla czujników
   Nazwa hosta	Wprowadź nazwę hosta

3. Przejrzyj wszystkie opcje i wprowadź, Y aby zaakceptować zmiany. System zostanie uruchomiony ponownie.

Przekazywanie nowego pliku aktywacji

Twoja lokalna konsola zarządzania została aktywowana w ramach wdrożenia.

Może być konieczne ponowne aktywowanie lokalnej konsoli zarządzania w ramach procedur konserwacji, takich jak całkowita liczba monitorowanych urządzeń przekracza liczbę urządzeń, dla których masz licencję.

Aby przekazać nowy plik aktywacji do lokalnej konsoli zarządzania:

1. W usłudze Defender dla IoT w witrynie Azure Portal wybierz pozycję Plany i cennik.

2. Wybierz plan, a następnie wybierz pozycję Pobierz plik aktywacji lokalnej konsoli zarządzania.

   Zapisz pobrany plik w lokalizacji dostępnej z lokalnej konsoli zarządzania.

   Wszystkie pliki pobrane z witryny Azure Portal są podpisane przez katalog główny zaufania, aby maszyny używały tylko podpisanych zasobów.

3. Zaloguj się do lokalnej konsoli zarządzania i wybierz pozycję System Ustawienia> Aktywacja.

4. W oknie dialogowym Aktywacja wybierz pozycję WYBIERZ PLIK i przejdź do pobranego wcześniej pliku aktywacji.

5. Wybierz pozycję Zamknij , aby zapisać zmiany.

Zarządzanie certyfikatami SSL/TLS

Jeśli pracujesz ze środowiskiem produkcyjnym, wdrożono certyfikat SSL/TLS z podpisem urzędu certyfikacji w ramach lokalnego wdrożenia konsoli zarządzania. Zalecamy używanie certyfikatów z podpisem własnym tylko do celów testowych.

Poniższe procedury opisują sposób wdrażania zaktualizowanych certyfikatów SSL/TLS, takich jak wygaśnięcie certyfikatu.

Wdrażanie certyfikatu podpisanego przez urząd certyfikacji

Aby wdrożyć certyfikat z podpisem urzędu certyfikacji:

1. Zaloguj się do lokalnej konsoli zarządzania i wybierz pozycję System Ustawienia> SSL/TLS Certificates.

2. W oknie dialogowym Certyfikaty SSL/TLS wybierz pozycję + Dodaj certyfikat i wprowadź następujące wartości:

   Parametr	Opis
   Nazwa certyfikatu	Wprowadź nazwę certyfikatu.
   - Hasło opcjonalne	Wprowadź hasło.
   Klucz prywatny (plik KEY)	Przekaż klucz prywatny (plik KEY).
   Certyfikat (plik CRT)	Przekaż certyfikat (plik CRT).
   Łańcuch certyfikatów (plik PEM) - Opcjonalny	Przekaż łańcuch certyfikatów (plik PEM).

   Na przykład:

   

   Jeśli przekazywanie zakończy się niepowodzeniem, skontaktuj się z administratorem zabezpieczeń lub IT. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące certyfikatów SSL/TLS dla zasobów lokalnych i Tworzenie certyfikatów SSL/TLS dla urządzeń OT.

3. Wybierz opcję Włącz weryfikację certyfikatu, aby włączyć weryfikację dla certyfikatów SSL/TLS dla całego systemu z wystawiającym urzędem certyfikacji i listami odwołania certyfikatów.

   Jeśli ta opcja jest włączona i walidacja zakończy się niepowodzeniem, komunikacja między odpowiednimi składnikami zostanie zatrzymana, a na czujniku zostanie wyświetlony błąd weryfikacji. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące plików CRT.

4. Wybierz Zapisz, aby zapisać zmiany.

Tworzenie i wdrażanie certyfikatu z podpisem własnym

Każda lokalna konsola zarządzania jest instalowana z certyfikatem z podpisem własnym, który zalecamy używać tylko do celów testowych. W środowiskach produkcyjnych zalecamy, aby zawsze używać certyfikatu podpisanego przez urząd certyfikacji.

Certyfikaty z podpisem własnym prowadzą do mniej bezpiecznego środowiska, ponieważ nie można zweryfikować właściciela certyfikatu i nie można zachować zabezpieczeń systemu.

Aby utworzyć certyfikat z podpisem własnym, pobierz plik certyfikatu z lokalnej konsoli zarządzania, a następnie użyj platformy zarządzania certyfikatami, aby utworzyć pliki certyfikatów, które należy przekazać z powrotem do lokalnej konsoli zarządzania.

Aby utworzyć certyfikat z podpisem własnym:

Przejdź do lokalnego adresu IP konsoli zarządzania w przeglądarce, a następnie:

1. Wybierz na pasku adresu przeglądarki internetowej niezabezpieczony alert, a następnie wybierz > ikonę obok komunikatu ostrzegawczego "Połączenie z tą witryną nie jest bezpieczne". Na przykład:

   

2. Wybierz ikonę Pokaż certyfikat, aby wyświetlić certyfikat zabezpieczeń dla tej witryny internetowej.

3. W okienku Podgląd certyfikatów wybierz kartę Szczegóły , a następnie wybierz pozycję Eksportuj , aby wprowadzić nazwę wyeksportowanego pliku i zapisać go na komputerze lokalnym.

4. Użyj platformy zarządzania certyfikatami, aby utworzyć następujące typy plików certyfikatów SSL/TLS:

   Typ pliku	opis
   .crt — plik kontenera certyfikatów	Plik .pemlub .der z innym rozszerzeniem do obsługi w Eksploratorze Windows.
   .key — plik klucza prywatnego	Plik klucza jest w tym samym formacie co .pem plik z innym rozszerzeniem do obsługi w Eksploratorze Windows.
   .pem — plik kontenera certyfikatów (opcjonalnie)	Opcjonalny. Plik tekstowy z kodowaniem Base64 tekstu certyfikatu oraz nagłówkiem i stopką w postaci zwykłego tekstu, aby oznaczyć początek i koniec certyfikatu.

   Na przykład:

   1. Otwórz pobrany plik certyfikatu i wybierz kartę> Szczegóły Kopiuj do pliku, aby uruchomić Kreatora eksportu certyfikatów.

   2. W Kreatorze eksportu certyfikatów wybierz pozycję Next>DER encoded binary X.509 (. CER),> a następnie ponownie wybierz przycisk Dalej.

   3. Na ekranie Plik do eksportu wybierz pozycję Przeglądaj, wybierz lokalizację do przechowywania certyfikatu, a następnie wybierz przycisk Dalej.

   4. Wybierz pozycję Zakończ , aby wyeksportować certyfikat.

Uwaga

Może być konieczne przekonwertowanie istniejących typów plików na obsługiwane typy.

Gdy skończysz, użyj następujących procedur, aby zweryfikować pliki certyfikatów:

• Weryfikowanie dostępu do serwera listy CRL
• Importowanie certyfikatu SSL/TLS do zaufanego magazynu
• Testowanie certyfikatów SSL/TLS

Aby wdrożyć certyfikat z podpisem własnym:

1. Zaloguj się do lokalnej konsoli zarządzania i wybierz pozycję Ustawienia>systemu SSL/TLS Certificates.

2. W oknie dialogowym Certyfikaty SSL/TLS pozostaw wybraną opcję Certyfikaty z podpisem lokalnym (niezabezpieczony, niezalecane).

3. Wybierz pozycję POTWIERDŹ, aby potwierdzić ostrzeżenie.

4. Wybierz opcję Włącz walidację certyfikatu, aby zweryfikować certyfikat na serwerze listy CRL. Certyfikat jest sprawdzany raz podczas procesu importowania.

   Jeśli ta opcja jest włączona i walidacja zakończy się niepowodzeniem, komunikacja między odpowiednimi składnikami zostanie zatrzymana, a na czujniku zostanie wyświetlony błąd weryfikacji. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące plików CRT.

5. Wybierz pozycję Zapisz , aby zapisać ustawienia certyfikatu.

Rozwiązywanie problemów z błędami przekazywania certyfikatów

Nie będzie można przekazać certyfikatów do czujników OT ani lokalnych konsol zarządzania, jeśli certyfikaty nie zostały prawidłowo utworzone lub są nieprawidłowe. Skorzystaj z poniższej tabeli, aby dowiedzieć się, jak podjąć działania, jeśli przekazywanie certyfikatu zakończy się niepowodzeniem i zostanie wyświetlony komunikat o błędzie:

Błąd weryfikacji certyfikatu	Zalecenie
Hasło nie jest zgodne z kluczem	Upewnij się, że masz poprawne hasło. Jeśli problem będzie nadal występować, spróbuj ponownie utworzyć certyfikat przy użyciu poprawnego hasła. Aby uzyskać więcej informacji, zobacz Obsługiwane znaki dla kluczy i haseł.
Nie można zweryfikować łańcucha zaufania. Podany certyfikat i główny urząd certyfikacji nie są zgodne.	Upewnij się, że .pem plik jest skorelowany z plikiem .crt . Jeśli problem będzie się powtarzać, spróbuj ponownie utworzyć certyfikat przy użyciu poprawnego łańcucha zaufania, zgodnie z definicją w .pem pliku.
Ten certyfikat SSL wygasł i nie jest uznawany za prawidłowy.	Utwórz nowy certyfikat z prawidłowymi datami.
Ten certyfikat został odwołany przez listę CRL i nie może być zaufany dla bezpiecznego połączenia	Utwórz nowy niezwołany certyfikat.
Lokalizacja listy CRL (lista odwołania certyfikatów) nie jest osiągalna. Sprawdź, czy adres URL można uzyskać z tego urządzenia	Upewnij się, że konfiguracja sieci umożliwia czujnikowi lub lokalnej konsoli zarządzania dotarcie do serwera listy CRL zdefiniowanego w certyfikacie. Aby uzyskać więcej informacji, zobacz Weryfikowanie dostępu do serwera listy CRL.
Sprawdzanie poprawności certyfikatu nie powiodło się	Oznacza to ogólny błąd w urządzeniu. Skontaktuj się z pomoc techniczna firmy Microsoft.

Zmienianie nazwy lokalnej konsoli zarządzania

Domyślną nazwą lokalnej konsoli zarządzania jest konsola zarządzania i jest wyświetlana w lokalnym graficznym interfejsie użytkownika konsoli zarządzania i dziennikach rozwiązywania problemów.

Aby zmienić nazwę lokalnej konsoli zarządzania:

1. Zaloguj się do lokalnej konsoli zarządzania i wybierz nazwę w lewym dolnym rogu, tuż nad numerem wersji.

2. W oknie dialogowym Edytowanie konfiguracji konsoli zarządzania wprowadź nową nazwę. Nazwa musi mieć maksymalnie 25 znaków. Na przykład:

   

3. Wybierz Zapisz, aby zapisać zmiany.

Odzyskiwanie hasła uprzywilejowanego użytkownika

Jeśli nie masz już dostępu do lokalnej konsoli zarządzania jako użytkownik uprzywilejowany, odzyskaj dostęp z witryny Azure Portal.

Aby odzyskać dostęp uprzywilejowanego użytkownika:

1. Przejdź do strony logowania dla lokalnej konsoli zarządzania i wybierz pozycję Odzyskiwanie hasła.

2. Wybierz użytkownika, dla którego chcesz odzyskać dostęp— pomoc techniczną lub cyberx .

3. Skopiuj identyfikator wyświetlany w oknie dialogowym Odzyskiwanie hasła do bezpiecznej lokalizacji.

4. Przejdź do usługi Defender for IoT w witrynie Azure Portal i upewnij się, że wyświetlasz subskrypcję, która została użyta do dołączenia czujników OT połączonych obecnie z lokalną konsolą zarządzania.

5. Wybierz pozycję Lokacje>i czujniki Więcej akcji>Odzyskaj hasło lokalnej konsoli zarządzania.

6. Wprowadź identyfikator wpisu tajnego skopiowany wcześniej z lokalnej konsoli zarządzania i wybierz pozycję Odzyskaj.

   Plik password_recovery.zip jest pobierany z przeglądarki.

   Wszystkie pliki pobrane z witryny Azure Portal są podpisane przez katalog główny zaufania, aby maszyny używały tylko podpisanych zasobów.

7. W oknie dialogowym Odzyskiwanie hasła w lokalnej konsoli zarządzania wybierz pozycję Przekaż i wybierz password_recovery.zip pobrany plik.

Zostaną wyświetlone nowe poświadczenia.

Edytowanie nazwy hosta

Nazwa hosta lokalnej konsoli zarządzania musi być zgodna z nazwą hosta skonfigurowaną na serwerze DNS organizacji.

Aby edytować nazwę hosta zapisaną w lokalnej konsoli zarządzania:

1. Zaloguj się do lokalnej konsoli zarządzania i wybierz pozycję System Ustawienia.

2. W obszarze Sieć konsoli zarządzania wybierz pozycję Sieć.

3. Wprowadź nową nazwę hosta i wybierz pozycję ZAPISZ , aby zapisać zmiany.

Definiowanie nazw sieci VLAN

Nazwy sieci VLAN nie są synchronizowane między czujnikiem OT i lokalną konsolą zarządzania. Jeśli zdefiniowano nazwy sieci VLAN na czujniku OT, zalecamy zdefiniowanie identycznych nazw sieci VLAN w lokalnej konsoli zarządzania.

Aby zdefiniować nazwy sieci VLAN:

1. Zaloguj się do lokalnej konsoli zarządzania i wybierz pozycję System Ustawienia.

2. W obszarze Sieć konsoli zarządzania wybierz pozycję VLAN.

3. W oknie dialogowym Edytowanie konfiguracji sieci VLAN wybierz pozycję Dodaj sieć VLAN, a następnie wprowadź identyfikator i nazwę sieci VLAN pojedynczo.

4. Wybierz pozycję ZAPISZ , aby zapisać zmiany.

Konfigurowanie ustawień serwera poczty SMTP

Zdefiniuj ustawienia serwera poczty SMTP w lokalnej konsoli zarządzania, aby skonfigurować lokalną konsolę zarządzania tak, aby wysyłała dane do innych serwerów i usług partnerskich.

Na przykład potrzebny jest serwer poczty SMTP skonfigurowany do konfigurowania przesyłania dalej poczty i konfigurowania reguł alertów przesyłania dalej.

Wymagania wstępne:

Upewnij się, że możesz uzyskać dostęp do serwera SMTP z lokalnej konsoli zarządzania.

Aby skonfigurować serwer SMTP w lokalnej konsoli zarządzania:

1. Zaloguj się do lokalnej konsoli zarządzania jako użytkownik uprzywilejowany za pośrednictwem protokołu SSH/Telnet.

2. Uruchom:

   nano /var/cyberx/properties/remote-interfaces.properties
   

3. Wprowadź następujące szczegóły serwera SMTP po wyświetleniu monitu:

   • mail.smtp_server
   • mail.port. Domyślnym portem jest 25.
   • mail.sender

Następne kroki

Aby uzyskać więcej informacji, zobacz:

• Aktualizowanie oprogramowania systemowego OT
• Zarządzanie czujnikami z konsoli zarządzania
• Rozwiązywanie problemów z lokalną konsolą zarządzania