Обслуживание локальной консоль управления (устаревшая версия)

Важно!

Defender для Интернета вещей теперь рекомендует использовать облачные службы Майкрософт или существующую ИТ-инфраструктуру для централизованного мониторинга и управления датчиками, а также планирует выйти из локальной консоль управления1 января 2025 г.

Дополнительные сведения см. в статье "Развертывание гибридного или воздушного управления датчиком OT".

В этой статье описаны дополнительные локальные консоль управления действия, которые могут выполняться за пределами более крупного процесса развертывания.

Внимание

Для настройки клиента поддерживаются только задокументированные параметры конфигурации на сетевом датчике OT и локальных консоль управления. Не изменяйте никакие незадокументированные параметры конфигурации или системные свойства, так как изменения могут вызвать непредвиденные сбои поведения и системы.

Удаление пакетов с датчика без утверждения Майкрософт может привести к непредвиденным результатам. Для правильной функциональности датчика требуются все пакеты, установленные на датчике.

Необходимые компоненты

Прежде чем выполнять процедуры в этой статье, убедитесь, что у вас есть:

• Локальный консоль управления установлен и активирован.

• Доступ к локальному консоль управления как Администратор пользователю. Для выбранных процедур и доступа cli также требуется привилегированный пользователь. Дополнительные сведения см. в разделе локальных пользователей и ролей для мониторинга OT с помощью Defender для Интернета вещей.

• Сертификат SSL/TLS, подготовленный, если необходимо обновить сертификат датчика.

• Если вы добавляете дополнительный сетевой адаптер, вам потребуется доступ к CLI в качестве привилегированного пользователя.

Скачивание программного обеспечения для локальной консоли управления

Возможно, вам потребуется скачать программное обеспечение для локального консоль управления, если вы устанавливаете программное обеспечение Defender для Интернета вещей на собственных (модуль) или обновляете версии программного обеспечения.

В Defender для Интернета вещей в портал Azure используйте один из следующих вариантов:

• Для новой установки или автономного обновления выберите "Приступая к работе>с локальными консоль управления".

  • Для новой установки выберите версию в области покупки (модуль) и установите программное обеспечение, а затем нажмите кнопку "Скачать".
  • Для обновления выберите сценарий обновления в локальной консоль управления области, а затем нажмите кнопку "Скачать".

• Если вы обновляете локальные консоль управления вместе с подключенными датчиками OT, используйте параметры в меню "Сайты и датчики" (обновление датчика (>предварительная версия).

Добавление вторичной сетевой карты после установки

Повышение безопасности локальной консоль управления путем добавления дополнительного сетевого адаптера, выделенного для подключенных датчиков в диапазоне IP-адресов. При использовании дополнительной сетевой карты первая будет выделена для конечных пользователей, в то время как вторая будет использоваться для поддержки конфигурации шлюза для маршрутизируемых сетей.

В этой процедуре описывается, как добавить дополнительный сетевой адаптер после установки локального консоль управления.

Чтобы добавить дополнительный сетевой адаптер, выполните приведенные далее действия.

1. Войдите в локальную консоль управления через SSH для доступа к ИНТЕРФЕЙСу командной строки и выполните следующие действия:

   sudo cyberx-management-network-reconfigure
   

2. Введите следующие ответы на вопросы:

   

   Параметры	Ответ на ввод
   Management Network IP address (IP-адрес сети управления)	N
   Маска подсети	N
   DNS	N
   Default gateway IP Address (IP-адрес шлюза по умолчанию)	N
   Интерфейс мониторинга датчика Необязательно. Применимо, если датчики находятся в разных сегментах сети.	Y и выберите возможное значение
   IP-адрес для интерфейса мониторинга датчика	Y и введите IP-адрес, доступный датчикам
   Маска подсети для интерфейса мониторинга датчика	Y и введите IP-адрес, доступный датчикам
   Hostname	Введите имя узла

3. Проверьте все выбранные варианты и введите Y, чтобы принять изменения. Система перезагрузится.

Отправка нового файла активации

Вы активировали локальные консоль управления в рамках развертывания.

Возможно, потребуется повторно активировать локальные консоль управления в рамках процедур обслуживания, например, если общее количество отслеживаемых устройств превышает количество лицензированных устройств.

Чтобы отправить новый файл активации в локальную консоль управления:

1. В Defender для Интернета вещей в портал Azure выберите Планы и цены.

2. Выберите план и нажмите кнопку "Скачать локальный консоль управления файл активации".

   Сохраните скачанный файл в расположении, доступном из локальной консоль управления.

   Все файлы, скачанные с портала Azure, заверяются с помощью корня доверия, чтобы компьютеры использовали только подписанные ресурсы.

3. Войдите в локальную консоль управления и выберите System Параметры> Activation.

4. В диалоговом окне активации выберите SELECT FILE и перейдите к файлу активации, который вы скачали ранее.

5. Нажмите кнопку "Закрыть" , чтобы сохранить изменения.

Управление сертификатами SSL/TLS.

Если вы работаете с рабочей средой, вы развернули сертификат SSL/TLS с подписью ЦС в рамках локального развертывания консоль управления. Мы рекомендуем использовать самозаверяемые сертификаты только для тестирования.

В следующих процедурах описывается, как развернуть обновленные СЕРТИФИКАТЫ SSL/TLS, например, если срок действия сертификата истек.

Развертывание подписанного ЦС сертификата

Чтобы развернуть подписанный ЦС сертификат:

1. Войдите в локальную консоль управления и выберите системные сертификаты Параметры> SSL/TLS.

2. В диалоговом окне ssl/TLS Certificates выберите +Добавить сертификат и введите следующие значения:

   Параметр	Описание
   Имя сертификата	Введите имя сертификата.
   Парольная фраза - необязательный	Введите парольную фразу.
   Закрытый ключ (ФАЙЛ KEY)	Отправка закрытого ключа (KEY-файл).
   Сертификат (CRT-файл)	Отправка сертификата (CRT-файл).
   Цепочка сертификатов (PEM-файл) - Необязательно	Отправка цепочки сертификатов (PEM-файл).

   Например:

   

   Если отправка завершается ошибкой, обратитесь к администратору безопасности или ИТ-администратору. Дополнительные сведения см. в статье о требованиях к сертификату SSL/TLS для локальных ресурсов и создании сертификатов SSL/TLS для (модуль) OT.

3. Выберите параметр "Включить проверку сертификатов", чтобы включить проверку на уровне системы для сертификатов SSL/TLS с помощью выдаваемых центров сертификации и списков отзыва сертификатов.

   Если этот параметр включен и проверка завершается ошибкой, связь между соответствующими компонентами останавливается, а на датчике отображается ошибка проверки. Дополнительные сведения см. в разделе "Требования к файлам CRT".

4. Выберите Сохранить, чтобы сохранить изменения.

Создание и развертывание самозаверяющего сертификата

Каждый локальный консоль управления устанавливается с самозаверяющим сертификатом, который рекомендуется использовать только для тестирования. В рабочих средах рекомендуется всегда использовать подписанный ЦС сертификат.

Самозаверяемые сертификаты приводят к менее безопасной среде, так как владелец сертификата не может быть проверен и безопасность системы не может быть сохранена.

Чтобы создать самозаверяющий сертификат, скачайте файл сертификата из локальной консоль управления, а затем используйте платформу управления сертификатами для создания файлов сертификатов, которые необходимо отправить обратно в локальную консоль управления.

Чтобы создать самозаверяющий сертификат:

Перейдите по IP-адресу локальной консоль управления в браузере, а затем:

1. Выберите оповещение "Незащищенное" в адресной строке веб-браузера, а затем щелкните > значок рядом с предупреждением "Подключение к этому сайту не безопасно". Например:

   

2. Щелкните значок "Показать сертификат", чтобы просмотреть сертификат безопасности для этого веб-сайта.

3. В области просмотра сертификатов выберите вкладку "Сведения", а затем выберите "Экспорт", чтобы ввести имя экспортированного файла и сохранить его на локальном компьютере.

4. Используйте платформу управления сертификатами, чтобы создать следующие типы файлов сертификатов SSL/TLS:

   Тип файла	Description
   .crt: файл контейнера сертификата	Файл .pemили .der файл с другим расширением для поддержки в Windows Обозреватель.
   .key: файл закрытого ключа	Файл ключа находится в том же формате, что .pem и файл, с другим расширением для поддержки в Windows Обозреватель.
   .pem: файл контейнера сертификата (необязательно)	Необязательно. Текстовый файл с кодировкой Base64 текста сертификата и верхним и нижним колонтитулов обычного текста, чтобы пометить начало и конец сертификата.

   Например:

   1. Откройте скачанный файл сертификата и выберите вкладку >"Сведения" в файл, чтобы запустить мастер экспорта сертификатов.

   2. В мастере экспорта сертификатов выберите в кодировке Next>DER двоичный файл X.509 (). CER)> и нажмите кнопку "Далее".

   3. На экране "Файл для экспорта" нажмите кнопку "Обзор", выберите расположение для хранения сертификата и нажмите кнопку "Далее".

   4. Нажмите кнопку "Готово ", чтобы экспортировать сертификат.

Примечание.

Существующие типы файлов может потребоваться преобразовать в поддерживаемые типы.

По завершении используйте следующие процедуры для проверки файлов сертификатов:

• Проверка доступа к серверу CRL
• Импорт ssl/TLS-сертификата в доверенное хранилище
• Проверка сертификатов SSL/TLS

Чтобы развернуть самозаверяющий сертификат, выполните приведенные действия.

1. Войдите в локальную консоль управления и выберите параметры>системы SSL/TLS Certificates.

2. В диалоговом окне ssl/TLS Certificates оставьте выбранный по умолчанию локальный самозаверяющий сертификат (небезопасный, не рекомендуется).

3. Выберите "Подтвердить" , чтобы подтвердить предупреждение.

4. Выберите параметр "Включить проверку сертификата", чтобы проверить сертификат на сервере CRL. Сертификат проверка один раз во время импорта.

   Если этот параметр включен и проверка завершается ошибкой, связь между соответствующими компонентами останавливается, а на датчике отображается ошибка проверки. Дополнительные сведения см. в разделе "Требования к файлам CRT".

5. Нажмите кнопку "Сохранить", чтобы сохранить параметры сертификата.

Устранение ошибок отправки сертификата

Вы не сможете отправлять сертификаты на датчики OT или локальные консоль управления, если сертификаты не созданы должным образом или недопустимы. Используйте следующую таблицу, чтобы понять, как выполнить действия, если отправка сертификата завершается ошибкой, и отображается сообщение об ошибке:

Ошибки при проверке сертификата	Рекомендация
Парольная фраза не соответствует ключу	Убедитесь, что у вас есть правильная парольная фраза. Если устранить проблему не удается, попробуйте повторно создать сертификат с помощью правильной парольной фразы. Дополнительные сведения см. в разделе "Поддерживаемые символы" для ключей и парольной фразы.
Не удается проверить цепочку доверия. Указанный сертификат и корневой ЦС не соответствуют.	Убедитесь, .pem что файл коррелирует с файлом .crt . Если проблема продолжается, попробуйте восстановить сертификат с помощью правильной цепочки доверия, как определено .pem в файле.
Срок действия SSL-сертификата истек и не считается допустимым.	Создайте новый сертификат с допустимыми датами.
Этот сертификат был отозван списком отзыва сертификатов и не может быть доверенным для безопасного подключения	Создайте новый сертификат, который не был отозван.
Расположение списка отзыва сертификатов (CRL) недоступно. Проверьте возможность доступа к URL-адресу с этого устройства.	Убедитесь, что конфигурация сети позволяет датчику или локальному консоль управления связаться с сервером CRL, определенным в сертификате. Дополнительные сведения см. в разделе "Проверка доступа к серверу CRL".
Сбой проверки сертификата	Указывает на общую ошибку на устройстве. Обратитесь в службу поддержки Майкрософт.

Изменение имени локальной консоли управления

Имя локальной консоль управления по умолчанию — консоль управления и отображается в локальных консоль управления графическом интерфейсе и журналах устранения неполадок.

Чтобы изменить имя локального консоль управления, выполните следующие действия.

1. Войдите в локальную консоль управления и выберите имя в левом нижнем углу, чуть выше номера версии.

2. В диалоговом окне "Изменить консоль управления конфигурации" введите новое имя. Имя должно содержать не более 25 символов. Например:

   

3. Выберите Сохранить, чтобы сохранить изменения.

Восстановление пароля привилегированного пользователя

Если у вас больше нет доступа к локальному консоль управления в качестве привилегированного пользователя, восстановите доступ из портал Azure.

Чтобы восстановить привилегированный доступ пользователей, выполните следующие действия.

1. Перейдите на страницу входа для локального консоль управления и выберите "Восстановление паролей".

2. Выберите пользователя, для которого требуется восстановить доступ, или пользователь службы поддержки или CyberX .

3. Скопируйте идентификатор, отображаемый в диалоговом окне восстановления паролей, в безопасное расположение.

4. Перейдите в Defender для Интернета вещей в портал Azure и убедитесь, что вы просматриваете подписку, которая использовалась для подключения датчиков OT, подключенных к локальной консоль управления.

5. Выберите сайты и датчики>Дополнительные действия>восстановления локального консоль управления пароля.

6. Введите идентификатор секрета, скопированный ранее из локального консоль управления, и нажмите кнопку "Восстановить".

   password_recovery.zip Файл скачан из браузера.

   Все файлы, скачанные с портала Azure, заверяются с помощью корня доверия, чтобы компьютеры использовали только подписанные ресурсы.

7. В диалоговом окне восстановления паролей в локальной консоль управления выберите "Отправить" и выберите скачанный password_recovery.zip файл.

Отображаются новые учетные данные.

Изменение имени узла

Локальное имя узла консоль управления должно соответствовать имени узла, настроенного на DNS-сервере организации.

Чтобы изменить имя узла, сохраненное в локальной консоль управления, выполните следующие действия.

1. Войдите в локальную консоль управления и выберите System Параметры.

2. В области сети консоли управления выберите "Сеть".

3. Введите новое имя узла и нажмите кнопку SAVE , чтобы сохранить изменения.

Определение имен виртуальных ЛС

Имена VLAN не синхронизируются между датчиком OT и локальным консоль управления. Если вы определили имена VLAN на датчике OT, рекомендуется определить идентичные имена виртуальных ЛС в локальной консоль управления.

Чтобы определить имена VLAN, выполните следующее:

1. Войдите в локальную консоль управления и выберите System Параметры.

2. В области сети консоли управления выберите виртуальную локальную сеть.

3. В диалоговом окне "Изменение конфигурации виртуальной локальной сети" выберите "Добавить виртуальную локальную сеть", а затем введите идентификатор и имя виртуальной локальной сети одновременно.

4. Нажмите кнопку SAVE, чтобы сохранить изменения.

Настройка параметров почтового сервера SMTP

Определите параметры почтового сервера SMTP в локальной консоль управления, чтобы настроить локальный консоль управления для отправки данных на другие серверы и партнерские службы.

Например, вам потребуется SMTP-почтовый сервер, настроенный для настройки пересылки почты и настройки правил генерации оповещений.

Необходимые условия:

Убедитесь, что вы можете связаться с SMTP-сервером из локальной консоль управления.

Чтобы настроить SMTP-сервер в локальной консоль управления, выполните следующие действия.

1. Войдите в локальную консоль управления в качестве привилегированного пользователя через SSH/Telnet.

2. Запустить:

   nano /var/cyberx/properties/remote-interfaces.properties
   

3. Введите следующие сведения о SMTP-сервере по запросу:

   • mail.smtp_server
   • mail.port. По умолчанию используется порт 25.
   • mail.sender

Дальнейшие действия

Дополнительные сведения см. в разделе:

• Обновление системного программного обеспечения OT
• Управление датчиками с консоли управления
• Устранение неполадок с локальными консоль управления