Verwalten der lokalen Verwaltungskonsole (Legacy)

Wichtig

Defender für IoT empfiehlt jetzt die Verwendung von Microsoft-Clouddiensten oder vorhandener IT-Infrastruktur für die zentrale Überwachung und Sensorverwaltung, und plant, die lokale Verwaltungskonsole am 1. Januar 2025stillzulegen.

Weitere Informationen finden Sie unter Bereitstellen einer hybriden oder luftgespaltenen OT-Sensorverwaltung.

In diesem Artikel werden zusätzliche lokale Verwaltungskonsolenaktivitäten beschrieben, die Sie außerhalb eines größeren Bereitstellungsprozesses ausführen können.

Vorsicht

Nur dokumentierte Konfigurationsparameter auf dem OT-Netzwerksensor werden für die Kundenkonfiguration unterstützt. Ändern Sie keine nicht dokumentierten Konfigurationsparameter oder Systemeigenschaften, da Änderungen zu unerwartetem Verhalten und Systemfehlern führen können.

Das Entfernen von Paketen von Ihrem Sensor ohne Microsoft-Genehmigung kann zu unerwarteten Ergebnissen führen. Alle auf dem Sensor installierten Pakete sind für die korrekte Sensorfunktionalität erforderlich.

Voraussetzungen

Bevor Sie die Verfahren in diesem Artikel ausführen, stellen Sie sicher, dass Sie folgendes haben:

• Eine lokale Verwaltungskonsole installiert und aktiviert.

• Zugriff auf die lokale Verwaltungskonsole als Administrator Benutzer. Ausgewählte Verfahren und CLI-Zugriff erfordern auch einen privilegierten Benutzer. Weitere Informationen siehe lokale Benutzer und Rollen für die OT-Überwachung mit Defender für IoT.

• Wenn Sie das Zertifikat Ihres Sensors aktualisieren müssen, wurde ein SSL/TLS-Zertifikat vorbereitet.

• Wenn Sie eine sekundäre NIC hinzufügen, benötigen Sie Zugriff auf die CLI als privilegierten Benutzer.

Herunterladen von Software für die lokale Verwaltungskonsole

Möglicherweise müssen Sie Software für Ihre lokale Verwaltungskonsole herunterladen, wenn Sie Defender für IoT-Software installieren, auf Ihren eigenen Appliances oder Aktualisieren von Softwareversionen.

Verwenden Sie in Defender für IoT im Azure-Portal eine der folgenden Optionen:

• Wählen Sie für eine neue Installation oder ein eigenständiges Update Erste Schritte>lokale Verwaltungskonsoleaus.

  • Wählen Sie für eine neue Installation eine Version im Kaufen einer Appliance und Installieren von Software Bereich aus, und wählen Sie dann Downloadaus.
  • Wählen Sie für ein Update in der lokalen Verwaltungskonsole Ihr Updateszenario aus, und wählen Sie dann Herunterladenaus.

• Wenn Sie Ihre lokale Verwaltungskonsole zusammen mit verbundenen OT-Sensoren aktualisieren, verwenden Sie die Optionen im Menü Websites und Sensoren Seite >Sensoraktualisierung (Vorschau) Menü.

Nach der Installation eine sekundäre NIC hinzufügen

Verbessern Sie die Sicherheit ihrer lokalen Verwaltungskonsole, indem Sie eine sekundäre NIC hinzufügen, die für angeschlossene Sensoren innerhalb eines IP-Adressbereichs reserviert ist. Wenn Sie eine sekundäre NIC verwenden, ist die erste für Endbenutzer reserviert, und die sekundäre unterstützt die Konfiguration eines Gateways für Routingnetzwerke.

In diesem Verfahren wird beschrieben, wie eine sekundäre NIC hinzugefügt wird, nachdem die lokale Verwaltungskonsoleinstalliert wurde.

Fügen Sie eine sekundäre NIC mit der Kennunghinzu:

1. Melden Sie sich über SSH bei Ihrer lokalen Verwaltungskonsole an, um auf die CLI zuzugreifen (), und führen Sie den folgenden Befehl aus:

   sudo cyberx-management-network-reconfigure
   

2. Geben Sie die folgenden Antworten auf die folgenden Fragen ein:

   

   Parameter	Antwort auf eingabe
   IP-Adresse des Verwaltungsnetzwerks	N
   Subnetzmaske	N
   DNS-	N
   Standardgateway-IP-Adresse	N
   Sensorüberwachungsschnittstelle Wahlfrei. Relevant, wenn sich Sensoren in einem anderen Netzwerksegment befinden.	Y, und wählen Sie einen möglichen Wert aus.
   Eine IP-Adresse für die Sensorüberwachungsschnittstelle	Y, und geben Sie eine IP-Adresse ein, auf die die Sensoren zugreifen können.
   Eine Subnetzmaske für die Sensorüberwachungsschnittstelle	Y, und geben Sie eine IP-Adresse ein, auf die die Sensoren zugreifen können.
   Hostname	Geben Sie den Hostnamen ein.

3. Überprüfen Sie alle Auswahlmöglichkeiten, und geben Sie Y ein, um die Änderungen anzunehmen. Das System startet neu.

Hochladen einer neuen Aktivierungsdatei

Sie haben die On-Premises-Verwaltungskonsole als Teil Ihrer Bereitstellung aktiviert.

Möglicherweise müssen Sie Ihre lokale Verwaltungskonsole im Rahmen von Wartungsprozeduren reaktivieren, z. B. wenn die Gesamtzahl der überwachten Geräte die Anzahl der Geräte überschreitet, die Sie fürlizenziert haben.

So laden Sie eine neue Aktivierungsdatei in Ihre lokale Verwaltungskonsole hoch:

1. Wählen Sie in Defender für IoT im Azure-Portal Pläne und Preiseaus.

2. Wählen Sie Ihren Plan aus, und wählen Sie dann Herunterladen der Aktivierungsdatei für die lokale Verwaltungskonsole.

   Speichern Sie Ihre heruntergeladene Datei an einem Speicherort, auf den über die lokale Verwaltungskonsole zugegriffen werden kann.

   Alle aus dem Azure-Portal heruntergeladenen Dateien werden von einer Root-of-Trust signiert, sodass Ihre Maschinen nur signierte Elemente verwenden.

3. Melden Sie sich bei Ihrer lokalen Verwaltungskonsole an, und wählen Sie Systemeinstellungen>Aktivierungaus.

4. Wählen Sie im Dialogfeld AktivierungDATEI auswählen aus, und navigieren Sie zu der Aktivierungsdatei, die Sie zuvor heruntergeladen haben.

5. Wählen Sie Schließen sie aus, um Ihre Änderungen zu speichern.

Verwalten von SSL/TLS-Zertifikaten

Wenn Sie mit einer Produktionsumgebung arbeiten, haben Sie ein von der Zertifizierungsstelle signiertes SSL/TLS-Zertifikat im Rahmen der Bereitstellung Ihrer lokalen Verwaltungskonsole eingesetzt. Es wird empfohlen, selbstsignierte Zertifikate nur zu Testzwecken zu verwenden.

Die folgenden Verfahren beschreiben, wie aktualisierte SSL/TLS-Zertifikate bereitgestellt werden, z. B. wenn das Zertifikat abgelaufen ist.

Bereitstellen eines von einer Zertifizierungsstelle signierten Zertifikats

So stellen Sie ein von der Zertifizierungsstelle signiertes Zertifikatbereit:

1. Melden Sie sich bei Ihrer lokalen Verwaltungskonsole an, und wählen Sie Systemeinstellungen>SSL/TLS-Zertifikateaus.

2. Wählen Sie im Dialogfeld SSL/TLS-Zertifikate die Option + Zertifikat hinzufügen aus, und geben Sie die folgenden Werte ein:

   Parameter	Beschreibung
   Zertifikatname	Geben Sie Ihren Zertifikatnamen ein.
   Passphrase - Optional	Geben Sie eine Passphraseein.
   Privater Schlüssel (KEY-Datei)	Hochladen eines privaten Schlüssels (KEY-Datei).
   Zertifikat (CRT-Datei)	Hochladen eines Zertifikats (CRT-Datei).
   Zertifikatkette (PEM-Datei) - Optional	Laden Sie eine Zertifikatkette (PEM-Datei) hoch.

   Zum Beispiel:

   

   Wenn der Upload fehlschlägt, wenden Sie sich an Ihren Sicherheits- oder IT-Administrator. Weitere Informationen finden Sie unter SSL/TLS-Zertifikatanforderungen für lokale Ressourcen und Erstellen von SSL/TLS-Zertifikaten für OT-Appliances.

3. Wählen Sie die Option Zertifikatüberprüfung aktivieren, um die systemweite Überprüfung für SSL/TLS-Zertifikate mit der ausstellenden Zertifizierungsstelle und der Zertifikatsperrlistezu aktivieren.

   Wenn diese Option aktiviert ist und die Überprüfung fehlschlägt, wird die Kommunikation zwischen relevanten Komponenten angehalten, und auf dem Sensor wird ein Überprüfungsfehler angezeigt. Weitere Informationen finden Sie in den Anforderungen an CRT-Dateien .

4. Wählen Sie Speichern aus, um Ihre Änderungen zu speichern.

Erstellen und Bereitstellen eines selbstsignierten Zertifikats

Jede lokale Verwaltungskonsole wird mit einem selbstsignierten Zertifikat installiert, das Sie nur zu Testzwecken verwenden sollten. In Produktionsumgebungen empfehlen wir, immer ein CA-signiertes Zertifikat zu verwenden.

Selbstsignierte Zertifikate führen zu einer weniger sicheren Umgebung, da der Besitzer des Zertifikats nicht überprüft werden kann und die Sicherheit Ihres Systems nicht verwaltet werden kann.

Um ein selbstsigniertes Zertifikat zu erstellen, laden Sie die Zertifikatdatei von Ihrer lokalen Verwaltungskonsole herunter, und verwenden Sie dann eine Zertifikatverwaltungsplattform, um die Zertifikatdateien zu erstellen, die Sie zurück in die lokale Verwaltungskonsole hochladen müssen.

So erstellen Sie ein selbstsigniertes Zertifikat:

Wechseln Sie in einem Browser zur IP-Adresse der lokalen Verwaltungskonsole, und gehen Sie dann wie folgt vor:

1. Wählen Sie die Nicht sicher Warnung in der Adressleiste Ihres Webbrowsers aus, und wählen Sie dann das Symbol > neben der Warnmeldung aus, "Ihre Verbindung zu dieser Website ist nicht sicher". Zum Beispiel:

   

2. Wählen Sie das Symbol Zertifikat anzeigen aus, um das Sicherheitszertifikat für diese Website anzuzeigen.

3. Wählen Sie im Bereich Zertifikatanzeige die Registerkarte Details aus, und wählen Sie dann Exportieren aus, um einen Namen für die exportierte Datei einzugeben und auf Ihrem lokalen Computer zu speichern.

4. Verwenden Sie eine Zertifikatverwaltungsplattform, um die folgenden Arten von SSL/TLS-Zertifikatdateien zu erstellen:

   Dateityp	Beschreibung
   .crt – Zertifikatcontainerdatei	Eine .pem- oder .der-Datei mit einer anderen Erweiterung zur Unterstützung des Windows-Explorers.
   .key – Private Schlüsseldatei	Eine Schlüsseldatei befindet sich im gleichen Format wie eine .pem-Datei, jedoch mit einer anderen Erweiterung zur Unterstützung in Windows Explorer.
   .pem – Zertifikatcontainerdatei (optional)	Wahlfrei. Eine Textdatei mit einer Base64-Codierung des Zertifikattexts und einer Nur-Text-Kopf- und Fußzeile, um den Anfang und das Ende des Zertifikats zu markieren.

   Zum Beispiel:

   1. Öffnen Sie die heruntergeladene Zertifikatdatei und wählen Sie die Registerkarte Details aus. Klicken Sie auf >Kopieren in Datei, um den Zertifikatexport-Assistentenauszuführen.

   2. Wählen Sie im Zertifikatexport-Assistentendie Option Weiter>DER-codierte binäre X.509 (.CER)> und wählen Sie dann erneut Weiter aus.

   3. Wählen Sie im Fenster Datei für den ExportDurchsuchenaus, wählen Sie einen Speicherort, an dem das Zertifikat gespeichert werden soll, und wählen Sie dann Weiteraus.

   4. Wählen Sie Fertig stellen aus, um das Zertifikat zu exportieren.

Anmerkung

Möglicherweise müssen Sie vorhandene Dateitypen in unterstützte Typen konvertieren.

Wenn Sie fertig sind, verwenden Sie die folgenden Verfahren, um Ihre Zertifikatdateien zu überprüfen:

• CRL-Server-Zugriff verifizieren
• Importieren des SSL/TLS-Zertifikats in einen vertrauenswürdigen Speicher
• Testen Ihrer SSL/TLS-Zertifikate

So stellen Sie ein selbstsigniertes Zertifikatbereit:

1. Melden Sie sich bei Ihrer lokalen Verwaltungskonsole an, und wählen Sie Systemeinstellungen>SSL/TLS-Zertifikateaus.

2. Behalten Sie im Dialogfeld SSL/TLS-Zertifikate die Standardoption Lokal Generiertes Selbstsigniertes Zertifikat (unsicher, nicht empfohlen) ausgewählt.

3. Wählen Sie ICH BESTÄTIGT aus, um die Warnung zu bestätigen.

4. Wählen Sie die Option Zertifikatüberprüfung aktivieren, um das Zertifikat auf einem CRL-Serverzu überprüfen. Das Zertifikat wird während des Importvorgangs einmal überprüft.

   Wenn diese Option aktiviert ist und die Überprüfung fehlschlägt, wird die Kommunikation zwischen relevanten Komponenten angehalten, und auf dem Sensor wird ein Überprüfungsfehler angezeigt. Weitere Informationen finden Sie unter Anforderungen für CRT-Dateien.

5. Wählen Sie Speichern aus, um Ihre Zertifikateinstellungen zu speichern.

Beheben von Zertifikatuploadfehlern

Sie können keine Zertifikate auf Ihre OT-Sensoren hochladen, wenn die Zertifikate nicht ordnungsgemäß erstellt werden oder ungültig sind. Verwenden Sie die folgende Tabelle, um zu verstehen, wie Sie Maßnahmen ergreifen können, wenn der Zertifikatupload fehlschlägt und eine Fehlermeldung angezeigt wird:

Zertifikatüberprüfungsfehler	Empfehlung
Passphrase stimmt nicht mit dem Schlüssel	Stellen Sie sicher, dass Sie über die richtige Passphrase verfügen. Wenn das Problem weiterhin besteht, versuchen Sie, das Zertifikat mithilfe der richtigen Passphrase neu zu erstellen. Weitere Informationen zu unterstützten Zeichen für Schlüssel und Passphrasen finden Sie unter .
Vertrauenskette kann nicht validiert werden. Die bereitgestellten Zertifikate und die Stammzertifizierungsstellen stimmen nicht überein.	Stellen Sie sicher, dass eine .pem Datei mit der .crt Datei korreliert. Wenn das Problem weiterhin besteht, versuchen Sie, das Zertifikat mithilfe der richtigen Vertrauenskette wie in der .pem Datei definiert neu zu erstellen.
Dieses SSL-Zertifikat ist abgelaufen und gilt nicht als gültig.	Erstellen Sie ein neues Zertifikat mit gültigen Datumsangaben.
Dieses Zertifikat wurde von der Zertifikatsperrliste (CRL) widerrufen und kann nicht für eine sichere Verbindung als vertrauenswürdig angesehen werden	Erstellen Sie ein neues nicht widerrufenes Zertifikat.
Der Speicherort der CRL (Zertifikatsperrliste) ist nicht erreichbar. Überprüfen, ob über diese Appliance auf die URL zugegriffen werden kann	Stellen Sie sicher, dass ihre Netzwerkkonfiguration es dem Sensor ermöglicht, den im Zertifikat definierten CRL-Server zu erreichen. Weitere Informationen finden Sie unter Überprüfen des Zugriffs auf den CRL-Server.
Fehler bei der Zertifikatüberprüfung	Dies weist auf einen allgemeinen Fehler in der Appliance hin. Wenden Sie sich an Microsoft-Support-.

Ändern des Namens der lokalen Verwaltungskonsole

Der Standardname Ihrer lokalen Verwaltungskonsole ist Verwaltungskonsoleund wird in der lokalen Verwaltungskonsolen-GUI und in den Problembehandlungsprotokollen angezeigt.

So ändern Sie den Namen der lokalen Verwaltungskonsole:

1. Melden Sie sich bei Ihrer lokalen Verwaltungskonsole an, und wählen Sie unten links den Namen direkt über der Versionsnummer aus.

2. Geben Sie im Dialogfeld Bearbeitung der Verwaltungskonsolenkonfiguration Ihren neuen Namen ein. Der Name muss maximal 25 Zeichen enthalten. Zum Beispiel:

   

3. Wählen Sie Speichern aus, um Ihre Änderungen zu speichern.

Wiederherstellen eines privilegierten Benutzerkennworts

Wenn Sie keinen Zugriff mehr auf Ihre lokale Verwaltungskonsole als privilegierten Benutzerhaben, können Sie den Zugriff mithilfe des Azure-Portals wiederherstellen.

So stellen Sie privilegierten Benutzerzugriffwieder her:

1. Wechseln Sie zur Anmeldeseite für Ihre lokale Verwaltungskonsole, und wählen Sie Kennwortwiederherstellungaus.

2. Wählen Sie den Benutzer aus, für den Sie den Zugriff wiederherstellen möchten, entweder den Support- oder CyberX- Benutzer.

3. Kopieren Sie den Bezeichner, der im Dialogfeld Kennwortwiederherstellung angezeigt wird, an einen sicheren Speicherort.

4. Wechseln Sie im Azure-Portal zu Defender für IoT, und stellen Sie sicher, dass Sie das Abonnement anzeigen, das zum Onboarding der derzeit mit der lokalen Verwaltungskonsole verbundenen OT-Sensoren verwendet wurde.

5. Wählen Sie Standorte und Sensoren>Weitere Aktionen>, um ein Kennwort der lokalen Verwaltungskonsole wiederherzustellen.

6. Geben Sie die geheime Kennung ein, die Sie zuvor von Ihrer lokalen Verwaltungskonsole kopiert haben, und wählen Sie Wiederherstellenaus.

   Eine password_recovery.zip Datei wird aus Ihrem Browser heruntergeladen.

   Alle aus dem Azure-Portal heruntergeladenen Dateien sind vom Root of Trust signiert, sodass Ihre Computer nur signierte Assets verwenden.

7. Wählen Sie im Dialogfeld Kennwortwiederherstellung auf der lokalen Verwaltungskonsole Hochladen aus, und wählen Sie die password_recovery.zip Datei aus, die Sie heruntergeladen haben.

Ihre neuen Anmeldeinformationen werden angezeigt.

Bearbeiten des Hostnamens

Der Hostname der lokalen Verwaltungskonsole muss mit dem im Organisations-DNS-Server konfigurierten Hostnamen übereinstimmen.

So bearbeiten Sie den Hostnamen, der in der lokalen Verwaltungskonsole gespeichert ist,:

1. Melden Sie sich bei der lokalen Verwaltungskonsole an, und wählen Sie Systemeinstellungenaus.

2. Wählen Sie im Bereich VerwaltungskonsolennetzwerkNetzwerk-aus.

3. Geben Sie den neuen Hostnamen ein, und wählen Sie SPEICHERN aus, um Ihre Änderungen zu speichern.

Definieren von VLAN-Namen

VLAN-Namen werden nicht zwischen einem OT-Sensor und der lokalen Verwaltungskonsole synchronisiert. Wenn Sie VLAN-Namen auf Ihrem OT-Sensordefiniert haben, empfehlen wir, identische VLAN-Namen auf der lokalen Managementkonsole zu definieren.

Zum Definieren von VLAN-Namen:

1. Melden Sie sich bei der lokalen Verwaltungskonsole an, und wählen Sie Systemeinstellungenaus.

2. Wählen Sie im Bereich Netzwerk der Managementkonsole VLANaus.

3. Wählen Sie im Dialogfeld VLAN-Konfiguration bearbeiten VLAN- hinzufügen aus, und geben Sie dann ihre VLAN-ID und ihren Namen einzeln ein.

4. Wählen Sie SPEICHERN aus, um Ihre Änderungen zu speichern.

Konfigurieren von SMTP-E-Mail-Servereinstellungen

Definieren Sie SMTP-Mail-Server-Einstellungen in Ihrer lokalen Verwaltungskonsole, damit Sie die Verwaltungskonsole so konfigurieren, dass Daten an andere Server und Partnerdienste gesendet werden.

Beispielsweise benötigen Sie einen SMTP-E-Mail-Server, der für die E-Mail-Weiterleitung konfiguriert ist, sowie die Weiterleitungsregeln für Warnungen.

Voraussetzungen:

Stellen Sie sicher, dass Sie den SMTP-Server über die lokale Verwaltungskonsole erreichen können.

So konfigurieren Sie einen SMTP-Server in Ihrer lokalen Verwaltungskonsole:

1. Melden Sie sich über SSH/Telnet als privilegierten Benutzer bei Ihrer lokalen On-Premises-Verwaltungskonsole an.

2. Laufen:

   nano /var/cyberx/properties/remote-interfaces.properties
   

3. Geben Sie die folgenden SMTP-Serverdetails wie dazu aufgefordert ein:

   • mail.smtp_server
   • mail.port. Der Standardport ist 25.
   • mail.sender

Nächste Schritte

Weitere Informationen finden Sie unter:

• OT-Systemsoftware aktualisieren
• Verwalten von Sensoren über die Verwaltungskonsole
• Fehlerbehebung bei der lokalen Verwaltungskonsole