Provádějte údržbu správcovské konzoly (původní verze)

Důležitý

Defender for IoT nyní doporučuje používat služby Microsoft Cloud nebo stávající IT infrastrukturu pro centrální monitorování a správu senzorů a plánuje vyřadit místní konzolu pro správu1. ledna 2025.

Další informace najdete v tématu Nasazení hybridního nebo odděleného řízení senzorů OT.

Tento článek popisuje další aktivity místní konzoly pro správu, které můžete provádět mimo větší proces nasazení.

Opatrnost

Pro konfiguraci zákazníka se podporují pouze zdokumentované parametry konfigurace v síťovém senzoru OT. Neměňte žádné nezdokumentované parametry konfigurace ani systémové vlastnosti, protože změny můžou způsobit neočekávané chování a selhání systému.

Odebrání balíčků ze senzoru bez schválení Microsoftem může způsobit neočekávané výsledky. Všechny balíčky nainstalované na senzoru jsou vyžadovány pro správnou funkčnost senzoru.

Požadavky

Před provedením postupů v tomto článku se ujistěte, že máte:

• Konzola pro místní správu nainstalovaná a aktivovaná.

• Přístup k místní konzole pro správu jako uživatel Admin. Vybrané procedury a přístup k rozhraní příkazového řádku také vyžadují privilegovaného uživatele. Další informace najdete v části uživatelů a rolí v místním prostředí pro monitorování OT v programu Defender for IoT.

• Certifikát SSL/TLS připravený , pokud potřebujete aktualizovat certifikát senzoru.

• Pokud přidáváte sekundární síťovou kartu, budete potřebovat přístup k rozhraní příkazového řádku (CLI) jako privilegovaného uživatele.

Stažení softwaru pro místní konzolu pro správu

Pokud instalaci programu Defender for IoT software na vlastní zařízení nebo aktualizaci verzí softwaru, možná budete muset stáhnout software pro místní konzolu pro správu.

V Defender for IoT na webu Azure Portal použijte jednu z následujících možností:

• Pro novou instalaci nebo samostatnou aktualizaci vyberte Začínáme>Místní konzole pro správu.

  • Pro novou instalaci vyberte v části Koupit zařízení a nainstalovat software verzi a poté zvolte Stáhnout.
  • Pro aktualizaci vyberte scénář aktualizace v místní konzoli pro správu a potom vyberte Stáhnout.

• Pokud aktualizujete místní konzolu pro správu společně s připojenými senzory OT, použijte možnosti na stránce Lokality a senzory v nabídce >Aktualizace senzoru (Preview).

Přidání sekundární síťové karty po instalaci

Vylepšete zabezpečení místní konzoly pro správu přidáním sekundární síťové karty vyhrazené pro připojené senzory v rozsahu IP adres. Při použití sekundární síťové karty je první karta vyhrazena pro koncové uživatele a sekundární karta podporuje konfiguraci brány pro směrované sítě.

Tento postup popisuje, jak přidat sekundární síťovou kartu po instalaci místní konzoly pro správu.

Přidat sekundární síťovou kartu:

1. Přihlaste se do místní konzole pro správu přes SSH, abyste získali přístup k rozhraní příkazového řádku a spusťte:

   sudo cyberx-management-network-reconfigure
   

2. Na následující otázky zadejte následující odpovědi:

   

   Parametry	Odpověď na zadání
   ip adresa sítě pro správu	N
   maska podsítě	N
   DNS	N
   výchozí IP adresa brány	N
   rozhraní pro monitorování snímačů Volitelný. Relevantní, pokud jsou senzory v jiném segmentu sítě.	Ya vyberte možnou hodnotu.
   IP adresa pro rozhraní pro monitorování snímačů	Ya zadejte IP adresu, která je přístupná senzory.
   podsít’ová maska pro rozhraní monitorování snímačů	Ya zadejte IP adresu, která je přístupná senzory.
   název hostitele	Zadejte název hostitele.

3. Zkontrolujte všechny volby a zadejte Y, abyste změny přijali. Systém se restartuje.

Nahrání nového aktivačního souboru

V rámci nasazení jste aktivovali místní konzolu pro správu.

V rámci postupů údržby možná budete muset znovu aktivovat místní konzolu pro správu, například pokud celkový počet monitorovaných zařízení překročí počet zařízení, která máte licenci na.

Nahrání nového aktivačního souboru do místní konzoly pro správu:

1. V programu Defender for IoT na webu Azure Portal vyberte Plány a ceny.

2. Vyberte plán a pak vyberte Stáhnout aktivační soubor konzole pro místní správu.

   Uložte stažený soubor do umístění, které je přístupné z místní konzoly pro správu.

   Všechny soubory stažené z portálu Azure jsou podepsané kořenem důvěry, aby vaše počítače používaly jen podepsané zdroje.

3. Přihlaste se do místní konzole pro správu a vyberte Nastavení systému>Aktivace.

4. V dialogovém okně Aktivace vyberte ZVOLIT SOUBOR a přejděte k aktivačnímu souboru, který jste si stáhli dříve.

5. Vyberte Zavřít a uložte provedené změny.

Správa certifikátů SSL/TLS

Pokud pracujete s produkčním prostředím, nasadili byste certifikát SSL/TLS podepsaný certifikační autoritou jako součást nasazení místní konzoly pro správu. Doporučujeme používat certifikáty podepsané svým držitelem jenom pro účely testování.

Následující postupy popisují, jak nasadit aktualizované certifikáty SSL/TLS, například pokud vypršela platnost certifikátu.

Nasazení certifikátu podepsaného certifikační autoritou

Nasazení certifikátu podepsaného certifikační autoritou:

1. Přihlaste se k místní konzole pro správu a vyberte Nastavení systému>certifikáty SSL/TLS.

2. V dialogovém okně Certifikáty SSL/TLS vyberte možnost + Přidat certifikát a zadejte následující hodnoty:

   Parametr	Popis
   Název certifikátu	Zadejte název certifikátu.
   přístupové fráze - volitelné	Zadejtepřístupové fráze .
   Privátní klíč (soubor KEY)	Nahrajte privátní klíč (soubor KEY).
   Certifikát (soubor CRT)	Nahrajte certifikát (soubor CRT).
   řetěz certifikátů (soubor PEM) - volitelný	Nahrajte řetěz certifikátů (soubor PEM).

   Například:

   

   Pokud se nahrávání nezdaří, obraťte se na správce IT nebo zabezpečení. Další informace najdete v tématu požadavky na certifikát SSL/TLS pro místní prostředky a Vytvoření certifikátů SSL/TLS pro zařízení OT.

3. Vyberte možnost Povolit ověřování certifikátů, pokud chcete zapnout systémové ověřování certifikátů SSL/TLS s vydávající certifikační autoritou a seznamy odvolaných certifikátů .

   Pokud je tato možnost zapnutá a ověření selže, komunikace mezi relevantními komponentami se zastaví a na senzoru se zobrazí chyba ověření. Další informace naleznete v sekci požadavky na soubor CRT.

4. Vyberte Uložit a uložte změny.

Vytvoření a nasazení certifikátu podepsaného svým držitelem

Každá místní konzola pro správu je nainstalovaná s certifikátem podepsaným svým držitelem, který doporučujeme používat jenom pro účely testování. V produkčních prostředích doporučujeme vždy používat certifikát podepsaný certifikační autoritou.

Certifikáty podepsané svým držitelem vedou k méně zabezpečenému prostředí, protože vlastník certifikátu se nedá ověřit a zabezpečení systému není možné udržovat.

Pokud chcete vytvořit certifikát podepsaný svým držitelem, stáhněte si soubor certifikátu z místní konzoly pro správu a pak pomocí platformy pro správu certifikátů vytvořte soubory certifikátů, které budete muset nahrát zpět do místní konzoly pro správu.

Vytvoření certifikátu podepsaného svým držitelem:

V prohlížeči přejděte na IP adresu místní konzoly pro správu a pak:

1. Na panelu Adresa ve webovém prohlížeči vyberte upozornění Nezabezpečeno a pak vyberte ikonu > vedle upozornění "Vaše připojení k tomuto webu není zabezpečené". Například:

   

2. Vyberte ikonu Zobrazit certifikát a zobrazte certifikát zabezpečení pro tento web.

3. V podokně Prohlížeč certifikátů vyberte kartu Podrobnosti a potom vyberte Exportovat zadejte název exportovaného souboru a uložte ho na místním počítači.

4. K vytvoření následujících typů souborů certifikátů SSL/TLS použijte platformu pro správu certifikátů:

   Typ souboru	Popis
   .crt – soubor kontejneru certifikátů	Soubor .pemnebo .der s jinou příponou pro podporu v Průzkumníku Windows.
   .key – souboru privátního klíče	Soubor klíče je ve stejném formátu jako soubor .pem s jinou příponou pro podporu v Průzkumníku Windows.
   .pem – soubor kontejneru certifikátů (volitelné)	Volitelný. Textový soubor s kódováním Base64 textu certifikátu a záhlavím a zápatím prostého textu označující začátek a konec certifikátu.

   Například:

   1. Otevřete stažený soubor certifikátu a vyberte kartu Podrobnosti Kopírovat do souboru a spusťtePrůvodce exportem certifikátu .

   2. Ve Průvodci exportem certifikátuvyberte Další>DER kódovaný binární X.509 (.CER)> a pak znovu vyberte Další.

   3. Na obrazovce Soubor k exportu vyberte Procházet, zvolte umístění pro uložení certifikátu a následně vyberte Pokračovat.

   4. Vyberte Dokončit a exportujte certifikát.

Poznámka

Možná budete muset převést existující typy souborů na podporované typy.

Až budete hotovi, pomocí následujících postupů ověřte soubory certifikátů:

• Ověření přístupu k serveru CRL
• Import certifikátu SSL/TLS do důvěryhodného úložiště
• otestování certifikátů SSL/TLS

Nasadit samopodepsaný certifikát:

1. Přihlaste se k místní konzole pro správu a vyberte Nastavení systému>certifikáty SSL/TLS.

2. V dialogovém okně Certifikáty SSL/TLS ponechte označenou výchozí možnost místně vygenerovaný certifikát podepsaný svým držitelem (nezabezpečený, nedoporučuje se).

3. Pokud chcete upozornění potvrdit, vyberte POTVRDIT.

4. Vyberte možnost Povolit ověření certifikátu pro ověření certifikátu vůči CRL serveru. Certifikát se během procesu importu kontroluje jednou.

   Pokud je tato možnost zapnutá a ověření selže, komunikace mezi relevantními komponentami se zastaví a na senzoru se zobrazí chyba ověření. Další informace naleznete v části Požadavky na soubor CRT.

5. Vyberte Uložit a uložte nastavení certifikátu.

Řešení chyb nahrávání certifikátů

Certifikáty nebudete moct nahrát do senzorů OT, pokud se certifikáty nevytvořily správně nebo jsou neplatné. Následující tabulka vám ukáže, jak provést akci, pokud se nahrávání certifikátu nezdaří a zobrazí se chybová zpráva:

chyba ověření certifikátu	doporučení
přístupové heslo neodpovídá klíči	Ujistěte se, že máte správné heslo. Pokud potíže potrvají, zkuste certifikát vytvořit znovu pomocí správného přístupového hesla. Další informace získáte v tématu Podporované znaky pro klíče a přístupové fráze.
Nelze ověřit řetěz důvěryhodnosti. Zadaný certifikát a kořenová certifikační autorita se neshoduje.	Ujistěte se, že soubor .pem koreluje se souborem .crt. Pokud problém přetrvává, zkuste certifikát vytvořit znovu pomocí správného řetězce důvěryhodnosti, jak je definováno souborem .pem.
Platnost tohoto certifikátu SSL vypršela a nepovažuje se za platný.	Vytvořte nový certifikát s platnými daty.
Tento certifikát byl odvolán CRL a nelze mu důvěřovat k zabezpečenému připojení	Vytvořte nový nevyvolaný certifikát.
Umístění CRL (seznam odvolaných certifikátů) není dostupné. Ověřte, že je adresa URL přístupná z tohoto zařízení.	Ujistěte se, že konfigurace sítě umožňuje senzoru se připojit k serveru CRL definovanému v certifikátu. Další informace naleznete v tématu Ověření přístupu k serveru CRL.
ověření certifikátu selhalo	To značí obecnou chybu v zařízení. Kontaktujte podporu Microsoftu .

Změna názvu místní konzoly pro správu

Výchozí název místní konzoly pro správu je konzola pro správua zobrazuje se v grafickém uživatelském rozhraní místní konzoly pro správu a v protokolech řešení potíží.

Změna názvu místní konzoly pro správu:

1. Přihlaste se k místní konzole pro správu a vyberte název vlevo dole nad číslem verze.

2. V dialogovém okně Upravit konfiguraci konzoly pro správu zadejte nový název. Název musí mít maximálně 25 znaků. Například:

   

3. Vyberte Uložit a uložte změny.

Obnovení privilegovaného uživatelského hesla

Pokud už nemáte přístup k místní konzole pro správu jako privilegovaného uživatele, obnovte přístup z webu Azure Portal.

Obnovení privilegovaného uživatelského přístupu:

1. Přejděte na přihlašovací stránku ke konzoli pro lokální správu a vyberte Obnovení hesla.

2. Vyberte uživatele, pro kterého chcete obnovit přístup, buď uživatele podporu, nebo CyberX.

3. Zkopírujte identifikátor zobrazený v dialogovém okně Obnovení hesla do zabezpečeného umístění.

4. Přejděte do programu Defender for IoT na webu Azure Portal a ujistěte se, že si prohlížíte předplatné, které se použilo k nasazení senzorů OT, které jsou aktuálně připojené k místní konzole pro správu.

5. Vyberte Lokality a senzory>Další akce>Obnovení hesla místní konzoly pro správu.

6. Zadejte identifikátor tajného kódu, který jste zkopírovali dříve z místní konzoly pro správu, a vyberte Obnovit.

   Soubor password_recovery.zip se stáhne z prohlížeče.

   Všechny soubory stažené z portálu Azure jsou podepsané kořenem důvěry, aby vaše počítače používaly pouze podepsané prostředky.

7. V dialogovém okně Obnovení hesla na místní konzoli pro správu vyberte Nahrát a vyberte soubor password_recovery.zip, který jste stáhli.

Zobrazí se vaše nové přihlašovací údaje.

Úprava názvu hostitele

Název hostitele místní konzoly pro správu musí odpovídat názvu hostitele nakonfigurovaného na serveru DNS organizace.

Úprava názvu hostitele uloženého v místní konzole pro správu:

1. Přihlaste se do konzole pro správu na místě a vyberte Nastavení systému.

2. V oblasti sítě konzole pro správu vyberte Síť.

3. Zadejte nový název hostitele a vyberte ULOŽIT, abyste uložili provedené změny.

Definování názvů sítí VLAN

Názvy sítí VLAN se nesynchronují mezi senzorem OT a místní konzolou pro správu. Pokud jste definovali názvy sítí VLAN na senzoru OT, doporučujeme definovat stejné názvy sítí VLAN v místní konzole pro správu.

Definování názvů sítí VLAN:

1. Přihlaste se k místní správní konzoli a vyberte Nastavení systému.

2. V oblasti sítě konzoly pro správu vyberte sítě VLAN .

3. V dialogovém okně Upravit konfiguraci VLAN vyberte Přidat VLAN a potom po jednom zadejte ID a název VLAN.

4. Vyberte ULOŽIT pro uložení změn.

Konfigurace nastavení poštovního serveru SMTP

Definujte nastavení poštovního serveru SMTP v místní konzole pro správu, abyste nakonfigurovali místní konzolu pro správu tak, aby odesílala data do jiných serverů a partnerských služeb.

Budete například potřebovat poštovní server SMTP nakonfigurovaný pro nastavení přeposílání pošty a konfiguraci pravidel upozornění přesměrování.

požadavky:

Ujistěte se, že se můžete připojit k serveru SMTP z místní konzoly pro správu.

Konfigurace serveru SMTP v místní konzole pro správu:

1. Přihlaste se k místní konzole pro správu jako privilegovaný uživatel přes SSH/Telnet.

2. Spusťte:

   nano /var/cyberx/properties/remote-interfaces.properties
   

3. Podle výzvy zadejte následující podrobnosti o serveru SMTP:

   • mail.smtp_server
   • mail.port. Výchozí port je 25.
   • mail.sender

Další kroky

Další informace najdete tady:

• Aktualizace systémového softwaru OT
• spravovat senzory z konzoly pro správu
• řešení potíží s místní konzolou pro správu