Compartir vía


Mantenimiento de la consola de administración local (heredado)

Importante

Defender para IoT recomienda ahora el uso de servicios en la nube de Microsoft o la infraestructura de TI existente para la supervisión central y la administración de sensores, y planea retirar la consola de administración local el 1 de enero de 2025.

Para obtener más información, consulte Implementación de la administración de sensores de OT híbridos o con disponibilidad inalámbrica.

En este artículo se describen las actividades adicionales de la consola de administración local que puede realizar fuera de un proceso de implementación mayor.

Precaución

Solo se admiten parámetros de configuración documentados en el sensor de red de OT y la consola de administración local para la configuración del cliente. No cambie ningún parámetro de configuración no documentado o sistemas de propiedades, ya que los cambios pueden provocar comportamientos inesperados y errores del sistema.

La eliminación de paquetes del sensor sin aprobación de Microsoft puede provocar resultados inesperados. Todos los paquetes instalados en el sensor son necesarios para su correcto funcionamiento.

Requisitos previos

Antes de realizar los procedimientos de este artículo, asegúrese de que tiene:

Descarga de software para la consola de administración local

Es posible que tenga que descargar software para la consola de administración local si va a instalar el software de Defender para IoT en sus propios dispositivos o si va a actualizar versiones de software.

En Defender para IoT en Azure Portal, use una de las siguientes opciones:

  • Para una nueva instalación o una actualización independiente, seleccione Comenzar en>consola de administración local.

    • Para una nueva instalación, seleccione una versión en el área Comprar un dispositivo e instalar software y, a continuación, seleccione Descargar.
    • Para una actualización, seleccione el escenario de actualización en el área Consola de administración local y, a continuación, seleccione Descargar.
  • Si va a actualizar la consola de administración local junto con sensores de OT conectados, use las opciones del menú Sitios y sensores de la página >Actualización del sensor (versión preliminar).

Adición de una NIC secundaria tras la instalación

Mejore la seguridad en la consola de administración local agregando una NIC secundaria dedicada para los sensores conectados dentro de un intervalo de direcciones IP. Cuando use una NIC secundaria, la primera se dedica a los usuarios finales y la secundaria admite la configuración de una puerta de enlace para redes enrutadas.

En este procedimiento se describe cómo agregar una NIC secundaria después de instalar la consola de administración local.

Para agregar una NIC secundaria:

  1. Inicie sesión en la consola de administración local a través de SSH para acceder a la CLI y, a continuación, ejecute:

    sudo cyberx-management-network-reconfigure
    
  2. Escriba las siguientes respuestas a las siguientes preguntas:

    Screenshot of the required answers to configure your appliance.

    Parámetros Respuesta para escribir
    Management Network IP address N
    Máscara de subred N
    DNS N
    Default gateway IP Address N
    Interfaz de supervisión de sensores
    Opcional. Relevante cuando los sensores están en un segmento de red diferente.
    Y, y seleccione un valor posible
    Una dirección IP para la interfaz de supervisión de sensores Y y escriba una dirección IP a la que puedan acceder los sensores.
    Una máscara de subred para la interfaz de supervisión de sensores Y y escriba una dirección IP a la que puedan acceder los sensores.
    Nombre de host Escriba el nombre de host.
  3. Revise todas las opciones y escriba Y para aceptar los cambios. El sistema se reinicia.

Cargar un nuevo archivo de activación

Activaría la consola de administración local como parte de la implementación.

Es posible que tenga que reactivar la consola de administración local como parte de los procedimientos de mantenimiento, como si el número total de dispositivos supervisados supera el número de dispositivos para los que tiene licencia.

Para cargar un nuevo archivo de activación en la consola de administración local:

  1. En Defender for IoT en el portal de Azure, seleccione Planes y precios.

  2. Seleccione su plan y, a continuación, elija Descargar archivo de activación de la consola de gestión local.

    Guarde el archivo descargado en una ubicación a la que se pueda acceder desde la consola de administración local.

    Todos los archivos descargados de Azure Portal están firmados por la raíz de confianza para que las máquinas solo usen recursos firmados.

  3. Inicie sesión en la consola de administración local y seleccione Configuración del sistema>Activación.

  4. En el cuadro de diálogo Activación, seleccione ELEGIR ARCHIVO y navegue hasta el archivo de activación que ha descargado previamente.

  5. Seleccione Cerrar para guardar los cambios.

Administrar certificados SSL/TLS

Si trabaja con un entorno de producción, implementaría un certificado SSL/TLS firmado por CA como parte de la implementación de la consola de administración local. Se recomienda usar certificados autofirmados solo para propósitos de prueba.

En los procedimientos siguientes se describe cómo implementar certificados SSL/TLS actualizados, como si el certificado ha expirado.

Para implementar un certificado firmado por una entidad de certificación:

  1. Inicie sesión en la consola de administración local y seleccione Configuración del sistema>Certificados SSL/TLS.

  2. En el cuadro de diálogo Certificados SSL/TLS, seleccione + Agregar certificado y escriba los valores siguientes:

    Parámetro Descripción
    Nombre del certificado Escriba el nombre del certificado.
    Frase de contraseña - Opcional Especifique una frase de contraseña.
    Clave privada (archivo KEY) Cargue una clave privada (archivo KEY).
    Certificado (archivo CRT) Cargue un certificado (archivo CRT).
    Cadena de certificados (archivo PEM) - Opcional Cargue una cadena de certificados (archivo PEM).

    Por ejemplo:

    Screenshot of importing a trusted CA certificate.

    Si aparece el error en una carga, póngase en contacto con el administrador de TI o de seguridad. Para más información, consulte Requisitos de certificados SSL/TLS para recursos locales y Creación de certificados SSL/TLS para dispositivos OT.

  3. Seleccione la opción Habilitar validación de certificados para activar la validación en todo el sistema de los certificados SSL/TLS con la entidad de certificación emisora y las listas de revocación de certificados.

    Si esta opción se activa y produce un error en la validación, se detiene la comunicación entre los componentes pertinentes y se muestra un error de validación en el sensor. Para obtener más información, consulte Requisitos de archivos de CRT.

  4. Haga clic en Guardar para guardar los cambios.

Solución de problemas de errores de carga de certificados

No podrá cargar certificados en los sensores de OT ni en las consolas de administración locales si los certificados no se crean correctamente o no son válidos. Use la siguiente tabla para saber cómo actuar si falla la carga del certificado y se muestra un mensaje de error:

Error de validación de certificado Recomendación
La frase de contraseña no coincide con la clave Asegúrese de tener la frase de contraseña correcta. Si el problema continúa, intente volver a crear el certificado con la frase de contraseña correcta. Para obtener más información, vea Caracteres admitidos para claves y frases de contraseña.
No se puede validar la cadena de confianza. El certificado y la CA raíz proporcionados no coinciden. Asegúrese de que un archivo .pem se correlaciona con el archivo .crt.
Si el problema persiste, intente volver a crear el certificado usando la cadena de confianza correcta, tal y como se define en el archivo .pem.
Este certificado SSL ha expirado y no se considera válido. Cree un certificado nuevo con fechas válidas.
La CRL ha revocado este certificado y no se puede confiar en él para una conexión segura Cree un nuevo certificado sin revocar.
No se puede acceder a la ubicación de la CRL (lista de revocación de certificados). Compruebe que se puede acceder a la dirección URL desde este dispositivo Asegúrese de que la configuración de su red permite que el sensor o la consola de administración local puedan llegar al servidor CRL definido en el certificado.
Para más información, consulte Comprobar el acceso al servidor CRL.
Error de validación de certificado Esto indica un error general en el dispositivo.
Póngase en contacto con Soporte técnico de Microsoft.

Cambio del nombre de la consola de administración local

El nombre predeterminado de la consola de administración local es la consola de administración y se muestra en la GUI de la consola de administración local y los registros de solución de problemas.

Para cambiar el nombre de la consola de administración local:

  1. Inicie sesión en la consola de administración local y seleccione el nombre en la parte inferior izquierda, justo encima del número de versión.

  2. En el diálogo Editar la configuración de la consola de administración, escriba el nuevo nombre. El nombre debe tener un máximo de 25 caracteres. Por ejemplo:

    Screenshot of how to change the name of your on-premises management console.

  3. Haga clic en Guardar para guardar los cambios.

Recuperación de una contraseña de usuario con privilegios

Si ya no tiene acceso a la consola de administración local como usuario con privilegios, recupere el acceso desde el Azure Portal.

Para recuperar el acceso de usuario con privilegios:

  1. Vaya a la página de inicio de sesión de la consola de administración local y seleccione Recuperación de contraseñas.

  2. Seleccione el usuario para el que desea recuperar el acceso, ya sea el usuario Soporte técnico o CyberX.

  3. Copie el identificador que se muestra en el cuadro de diálogo Recuperación de contraseñas en una ubicación segura.

  4. Vaya a Defender para IoT en la Azure Portal y asegúrese de que está viendo la suscripción que se usó para incorporar los sensores de OT conectados actualmente a la consola de administración local.

  5. Seleccione Sitios y sensores>Más acciones>Recuperar una contraseña de consola de administración local.

  6. Escriba el identificador de secreto que copió anteriormente de la consola de administración local y seleccione Recuperar.

    Se descarga un archivo password_recovery.zip desde el explorador.

    Todos los archivos descargados de Azure Portal están firmados por la raíz de confianza para que las máquinas solo usen recursos firmados.

  7. En el cuadro de diálogo Recuperación de contraseñas de la consola de administración local, seleccione Cargar y seleccione el archivo password_recovery.zip que ha descargado.

Se muestran las nuevas credenciales.

Edición del nombre de host

El nombre de host de la consola de administración local debe coincidir con el nombre de host configurado en el servidor DNS organizativo.

Para editar el nombre de host guardado en la consola de administración local:

  1. Inicie sesión en la consola de administración local y seleccione Configuración del sistema.

  2. En el área Redes de la consola de administración, seleccione Red.

  3. Escriba el nuevo nombre de host y seleccione GUARDAR para guardar los cambios.

Definición de nombres de VLAN

Los nombres de VLAN no se sincronizan entre el sensor de OT y la consola de administración local. Si ha definido nombres de VLAN en el sensor de OT, se recomienda definir nombres de VLAN idénticos en la consola de administración local.

Para definir nombres de VLAN:

  1. Inicie sesión en la consola de administración local y seleccione Configuración del sistema.

  2. En el área Redes de la consola de administración, seleccione VLAN.

  3. En el cuadro de diálogo Editar configuración de VLAN, seleccione Agregar VLAN y escriba el identificador y el nombre de la VLAN, de uno en uno.

  4. Seleccione Guardar para guardar los cambios.

Configuración del servidor de correo SMTP

Defina la configuración del servidor de correo SMTP en la consola de administración local para configurar la consola de administración local para enviar datos a otros servidores y servicios de asociados.

Por ejemplo, necesitará un servidor de correo SMTP configurado para configurar el reenvío de correo y configurar reglas de alertas de reenvío.

Requisitos previos:

Asegúrese de que puede acceder al servidor SMTP desde la consola de administración local.

Para configurar un servidor SMTP en la consola de administración local:

  1. Inicie sesión en la consola de administración local como usuario con privilegios a través de SSH/Telnet.

  2. Ejecute:

    nano /var/cyberx/properties/remote-interfaces.properties
    
  3. Escriba los siguientes detalles del servidor SMTP como se le solicite:

    • mail.smtp_server
    • mail.port. El puerto predeterminado es 25.
    • mail.sender

Pasos siguientes

Para más información, consulte: