De beheerconsole voor on-premises onderhouden (klassiek)

Artikel
08/07/2023

Belangrijk

Defender for IoT raadt aan Microsoft-cloudservices of bestaande IT-infrastructuur te gebruiken voor centraal bewakings- en sensorbeheer, en is van plan de on-premises beheerconsole buiten gebruik te stellen op 1 januari 2025.

Zie Hybride of lucht-gapped OT-sensorbeheer implementerenvoor meer informatie.

In dit artikel worden extra on-premises beheerconsoleactiviteiten beschreven die u buiten een groter implementatieproces kunt uitvoeren.

Voorzichtigheid

Alleen gedocumenteerde configuratieparameters op de OT-netwerksensor worden ondersteund voor de configuratie van de klant. Wijzig geen niet-gedocumenteerde configuratieparameters of systeemeigenschappen, omdat wijzigingen onverwacht gedrag en systeemfouten kunnen veroorzaken.

Het verwijderen van pakketten uit uw sensor zonder Goedkeuring van Microsoft kan onverwachte resultaten veroorzaken. Alle pakketten die op de sensor zijn geïnstalleerd, zijn vereist voor de juiste sensorfunctionaliteit.

Voorwaarden

Voordat u de procedures in dit artikel uitvoert, moet u ervoor zorgen dat u het volgende hebt:

Een on-premises beheerconsole geïnstalleerd en geactiveerd.
Toegang tot de on-premises beheerconsole als -beheerder gebruiker. Voor geselecteerde procedures en CLI-toegang is ook een bevoegde gebruiker vereist. Zie On-premises gebruikers en rollen voor OT-bewaking met Defender for IoTvoor meer informatie.
Een SSL/TLS-certificaat staat klaar als u het certificaat van uw sensor moet bijwerken.
Als u een secundaire NIC toevoegt, hebt u toegang tot de CLI nodig als een bevoegde gebruiker.

Software downloaden voor de on-premises beheerconsole

Mogelijk moet u software voor uw on-premises beheerconsole downloaden als u Defender for IoT-software installeert op uw eigen apparaten of als u softwareversiesbijwerkt.

Gebruik in Defender for IoT in Azure Portal een van de volgende opties:

Voor een nieuwe installatie of zelfstandige update selecteert u Aan de slag>On-premises beheerconsole.
- Voor een nieuwe installatie selecteert u een versie in de Een apparaat aanschaffen en software installeren sectie en selecteert u vervolgens Downloaden.
- Voor een update selecteert u uw updatescenario in de On-premises beheerconsole en vervolgens selecteert u downloaden.
Als u uw on-premises beheerconsole samen met verbonden OT-sensoren bijwerkt, gebruikt u de opties in de Sites en sensoren pagina >Sensorupdate (Preview) menu.

Een secundaire NIC toevoegen na de installatie

Verbeter de beveiliging voor uw on-premises beheerconsole door een secundaire NIC toe te voegen die is toegewezen aan gekoppelde sensoren binnen een IP-adresbereik. Wanneer u een secundaire NIC gebruikt, is de eerste toegewezen voor eindgebruikers en ondersteunt de secundaire de configuratie van een gateway voor gerouteerde netwerken.

In deze procedure wordt beschreven hoe u een secundaire NIC toevoegt nadat de on-premises beheerconsole hebt geïnstalleerd.

Een secundaire NIC-toevoegen:

Meld u via SSH aan bij uw on-premises beheerconsole voor toegang tot de CLI-en voer het volgende uit:
```
sudo cyberx-management-network-reconfigure
```

Voer de volgende antwoorden in op de volgende vragen:

Schermopname van de vereiste antwoorden voor het configureren van uw apparaat.

Parameters	Antwoord om in te voeren
Beheernetwerk IP-adres	`N`
Subnetmasker	`N`
DNS	`N`
STANDAARD-GATEWAY-IP-adres	`N`
sensorbewakingsinterface Facultatief. Relevant wanneer sensoren zich in een ander netwerksegment bevinden.	`Y`en selecteer een mogelijke waarde
Een IP-adres voor de sensorbewakingsinterface	`Y`en voer een IP-adres in dat toegankelijk is voor de sensoren
Een subnetmasker voor de sensorbewakingsinterface	`Y`en voer een IP-adres in dat toegankelijk is voor de sensoren
hostnaam	Voer de hostnaam in

Bekijk alle opties en voer Y in om de wijzigingen te accepteren. Het systeem wordt opnieuw opgestart.

Een nieuw activeringsbestand uploaden

U hebt uw on-premises beheerconsole geactiveerd als onderdeel van uw implementatie.

Mogelijk moet u uw on-premises beheerconsole opnieuw activeren als onderdeel van onderhoudsprocedures, bijvoorbeeld als het totale aantal bewaakte apparaten groter is dan het aantal apparaten waarvoor u een licentie hebt voor.

Een nieuw activeringsbestand uploaden naar uw on-premises beheerconsole:

Selecteer in Defender for IoT op de Azure Portal Abonnementen en prijzen.
Selecteer uw plan en selecteer vervolgens Activeringsbestand voor de on-premises beheerconsole downloaden.

Sla het gedownloade bestand op op een locatie die toegankelijk is vanuit de on-premises beheerconsole.

Alle bestanden die vanuit het Azure portal worden gedownload, zijn ondertekend door een vertrouwde root, zodat uw computers alleen ondertekende middelen gebruiken.
Meld u aan bij uw on-premises beheerconsole en selecteer Systeeminstellingen>Activering.
Selecteer in het dialoogvenster Activering de optie CHOOSE FILE en blader naar het activeringsbestand dat u eerder hebt gedownload.
Selecteer sluiten om uw wijzigingen op te slaan.

SSL/TLS-certificaten beheren

Als u met een productieomgeving werkt, hebt u een met ca-ondertekend SSL/TLS-certificaat geïmplementeerd als onderdeel van de implementatie van uw on-premises beheerconsole. U wordt aangeraden zelfondertekende certificaten alleen te gebruiken voor testdoeleinden.

In de volgende procedures wordt beschreven hoe u bijgewerkte SSL/TLS-certificaten implementeert, bijvoorbeeld als het certificaat is verlopen.

een door een CA ondertekend certificaat implementeren
een zelfondertekend certificaat maken en implementeren

Een door een CA ondertekend certificaat implementeren:

Meld u aan bij uw on-premises beheerconsole en selecteer Systeeminstellingen>SSL/TLS-certificaten.

Selecteer in het dialoogvenster SSL/TLS-certificaten+ Certificaat toevoegen en voer de volgende waarden in:

Parameter	Beschrijving
certificaatnaam	Voer uw certificaatnaam in.
wachtwoordzin - Optionele	Voer een wachtwoordzin in.
persoonlijke sleutel (KEY-bestand)	Een persoonlijke sleutel (KEY-bestand) uploaden.
certificaat (CRT-bestand)	Een certificaat (CRT-bestand) uploaden.
PEM-bestand (Certificate Chain) - Optionele	Een PEM-bestand (Certificate Chain) uploaden.

Bijvoorbeeld:

Als het uploaden mislukt, neemt u contact op met uw beveiligings- of IT-beheerder. Zie SSL/TLS-certificaatvereisten voor on-premises resources en SSL/TLS-certificaten maken voor OT-apparatenvoor meer informatie.

Selecteer de optie Certificaatvalidatie inschakelen om systeembrede validatie in te schakelen voor SSL/TLS-certificaten met de uitgevende certificeringsinstantie en certificaatintrekkingslijsten.

Als deze optie is ingeschakeld en de validatie mislukt, wordt de communicatie tussen relevante onderdelen gestopt en wordt er een validatiefout weergegeven op de sensor. Zie CRT-bestandsvereistenvoor meer informatie.
Selecteer Opslaan om uw wijzigingen op te slaan.

Elke on-premises beheerconsole wordt geïnstalleerd met een zelfondertekend certificaat dat u alleen voor testdoeleinden kunt gebruiken. In productieomgevingen raden we u aan altijd een door een CA ondertekend certificaat te gebruiken.

Zelfondertekende certificaten leiden tot een minder veilige omgeving, omdat de eigenaar van het certificaat niet kan worden gevalideerd en de beveiliging van uw systeem niet kan worden onderhouden.

Als u een zelfondertekend certificaat wilt maken, downloadt u het certificaatbestand vanuit uw on-premises beheerconsole en gebruikt u vervolgens een certificaatbeheerplatform om de certificaatbestanden te maken die u moet uploaden naar de on-premises beheerconsole.

Een zelfondertekend certificaat maken:

Ga in een browser naar het IP-adres van de on-premises beheerconsole en ga vervolgens naar:

Selecteer de waarschuwing Niet beveiligd in de adresbalk van uw webbrowser en selecteer vervolgens het > pictogram naast het waarschuwingsbericht 'Uw verbinding met deze site is niet beveiligd'. Bijvoorbeeld:
Selecteer het pictogram Certificaat weergeven om het beveiligingscertificaat voor deze website weer te geven.
Selecteer in het deelvenster Certificaatviewer het tabblad Details en selecteer vervolgens Exporteren om een naam voor het geëxporteerde bestand in te voeren en op uw lokale computer op te slaan.

Gebruik een certificaatbeheerplatform om de volgende typen SSL/TLS-certificaatbestanden te maken:

Bestandstype	Beschrijving
.crt : certificaatcontainerbestand	Een `.pem`- of `.der`-bestand met een andere extensie voor ondersteuning in Windows Verkenner.
.key : persoonlijke sleutelbestand	Een sleutelbestand heeft dezelfde indeling als een `.pem`-bestand, met een andere extensie voor ondersteuning in Windows Verkenner.
.pem - certificaatcontainerbestand (optioneel)	Facultatief. Een tekstbestand met base64-codering van de certificaattekst en een kop- en voettekst zonder opmaak om het begin en einde van het certificaat te markeren.

Bijvoorbeeld:

Open het gedownloade certificaatbestand en selecteer het tabblad Details>Kopiëren naar bestand om de wizard Certificaat exporteren uit te voeren.
In de wizard Certificaat Exporteren, selecteer Volgende>DER-gecodeerd binaire X.509 (.CER)> en selecteer opnieuw Volgende.
In het scherm Bestand dat u wilt exporteren, selecteer Bladeren, kies een locatie om het certificaat op te slaan en selecteer vervolgens Volgende.
Selecteer voltooien om het certificaat te exporteren.

Notitie

Mogelijk moet u bestaande bestandstypen converteren naar ondersteunde typen.

Wanneer u klaar bent, gebruikt u de volgende procedures om uw certificaatbestanden te valideren:

Een zelfondertekend certificaat implementeren:

Meld u aan bij uw on-premises beheerconsole en selecteer Systeeminstellingen>SSL/TLS-certificaten.
Behoud in het dialoogvenster SSL/TLS-certificaten de standaardoptie lokaal gegenereerd zelfondertekend certificaat (onveilig, niet aanbevolen) geselecteerd.
Selecteer ik bevestig om de waarschuwing te bevestigen.
Selecteer de optie Certificaatvalidatie inschakelen om het certificaat te valideren op basis van een CRL-server. Het certificaat wordt eenmaal gecontroleerd tijdens het importproces.

Als deze optie is ingeschakeld en de validatie mislukt, wordt de communicatie tussen relevante onderdelen gestopt en wordt er een validatiefout weergegeven op de sensor. Zie CRT-bestandsvereistenvoor meer informatie.
Selecteer opslaan om de certificaatinstellingen op te slaan.

Fouten bij het uploaden van certificaten oplossen

U kunt geen certificaten uploaden naar uw OT-sensoren als de certificaten niet goed zijn gemaakt of ongeldig zijn. Gebruik de volgende tabel om te begrijpen hoe u actie kunt ondernemen als het uploaden van uw certificaat mislukt en een foutbericht wordt weergegeven:

certificaat-validatiefout	Aanbeveling
wachtwoordzin komt niet overeen met de sleutel	Zorg ervoor dat u de juiste wachtwoordzin hebt. Als het probleem zich blijft voordoen, probeert u het certificaat opnieuw te maken met behulp van de juiste wachtwoordzin. Zie Ondersteunde tekens voor sleutels en wachtwoordzinnenvoor meer informatie.
Kan de vertrouwensketen niet valideren. Het opgegeven certificaat en de basis-CA komen niet overeen.	Zorg ervoor dat een `.pem` bestand overeenkomt met het `.crt`-bestand. Als het probleem zich blijft voordoen, probeert u het certificaat opnieuw te maken met behulp van de juiste vertrouwensketen, zoals gedefinieerd door het `.pem`-bestand.
Dit SSL-certificaat is verlopen en niet als geldig wordt beschouwd.	Maak een nieuw certificaat met geldige datums.
Dit certificaat is ingetrokken door de CRL en kan niet worden vertrouwd voor een beveiligde verbinding	Maak een nieuw niet-herroepen certificaat.
De locatie CRL (Certificaatintrekkingslijst) is niet bereikbaar. Controleer of de URL toegankelijk is vanaf dit apparaat	Zorg ervoor dat de netwerkconfiguratie de sensor toestaat de CRL-server te bereiken die is gedefinieerd in het certificaat. Zie CRL-servertoegang controlerenvoor meer informatie.
certificaatvalidatie is mislukt	Dit duidt op een algemene fout in het apparaat. Neem contact op met Microsoft Ondersteuning.

De naam van de on-premises beheerconsole wijzigen

De standaardnaam van uw on-premises beheerconsole is Beheerconsoleen wordt weergegeven in de gui van de on-premises beheerconsole en logboeken voor probleemoplossing.

De naam van uw on-premises beheerconsole wijzigen:

Meld u aan bij uw on-premises beheerconsole en selecteer de naam linksonder, net boven het versienummer.
Voer in het dialoogvenster Beheerconsoleconfiguratie bewerken de nieuwe naam in. De naam mag maximaal 25 tekens bevatten. Bijvoorbeeld:
Selecteer Opslaan om uw wijzigingen op te slaan.

Een bevoegd gebruikerswachtwoord herstellen

Als u geen toegang meer hebt tot uw on-premises beheerconsole als een bevoegde gebruiker, herstelt u de toegang vanuit Azure Portal.

Bevoegde gebruikerstoegang herstellen:

Ga naar de aanmeldingspagina voor uw on-premises beheerconsole en selecteer wachtwoordherstel.
Selecteer de gebruiker waarvoor u toegang wilt herstellen, ofwel de Ondersteunings- of CyberX- gebruiker.
Kopieer de identificatiecode die wordt weergegeven in het dialoogvenster Wachtwoordherstel naar een veilige locatie.
Ga in Azure Portal naar Defender for IoT en zorg ervoor dat u het abonnement bekijkt dat is gebruikt voor het onboarden van de OT-sensoren die momenteel zijn verbonden met de on-premises beheerconsole.
Selecteer Sites en sensoren>Meer acties>Een wachtwoord voor de on-premises beheerconsole herstellen.
Voer de geheime id in die u eerder hebt gekopieerd uit uw on-premises beheerconsole en selecteer Herstellen.

Er wordt een password_recovery.zip-bestand gedownload vanuit uw browser.

Alle bestanden die vanuit de Azure-portal worden gedownload, zijn ondertekend door een vertrouwde basis, zodat uw machines alleen ondertekende assets gebruiken.
Selecteer in het dialoogvenster Wachtwoordherstel op de on-premises beheerconsole Upload en selecteer het password_recovery.zip bestand dat u hebt gedownload.

Uw nieuwe referenties worden weergegeven.

De hostnaam bewerken

De hostnaam van de on-premises beheerconsole moet overeenkomen met de hostnaam die is geconfigureerd in de DNS-server van de organisatie.

De hostnaam bewerken die is opgeslagen op de on-premises beheerconsole:

Meld u aan bij de on-premises beheerconsole en selecteer Systeeminstellingen.
In het gebied Beheer consolenetwerken, selecteer Network.
Voer de nieuwe hostnaam in en selecteer SAVE om uw wijzigingen op te slaan.

VLAN-namen definiëren

VLAN-namen worden niet gesynchroniseerd tussen een OT-sensor en de on-premises beheerconsole. Als u VLAN-namen hebt gedefinieerd op uw OT-sensor, raden wij aan identieke VLAN-namen te definiëren in de on-premises beheerconsole.

VLAN-namen definiëren:

Meld u aan bij de on-premises beheerconsole en selecteer Systeeminstellingen.
Selecteer VLANin het gebied Netwerken van de beheerconsole.
Selecteer in het dialoogvenster VLAN-configuratie bewerkenVLAN- toevoegen en voer uw VLAN-id en -naam één voor één in.
Selecteer OPSLAAN om uw wijzigingen op te slaan.

Instellingen voor SMTP-e-mailserver configureren

Definieer smtp-mailserverinstellingen op uw on-premises beheerconsole, zodat u de on-premises beheerconsole configureert voor het verzenden van gegevens naar andere servers en partnerservices.

U hebt bijvoorbeeld een SMTP-e-mailserver nodig die is geconfigureerd om doorsturen van e-mail in te stellen en waarschuwingsregels voor doorsturen te configureren.

vereisten:

Zorg ervoor dat u de SMTP-server kunt bereiken vanuit de on-premises beheerconsole.

Een SMTP-server configureren op uw on-premises beheerconsole:

Meld u aan bij uw on-premises beheerconsole als een bevoegde gebruiker via SSH/Telnet.

Rennen:

nano /var/cyberx/properties/remote-interfaces.properties

Voer de volgende SMTP-servergegevens in zoals hierom wordt gevraagd:
- mail.smtp_server
- mail.port. De standaardpoort is 25.
- mail.sender

Volgende stappen

Zie voor meer informatie:

Delen via