維護內部部署管理主控台 (舊版)

重要

適用於 IoT 的 Defender 現在建議使用 Microsoft 雲端服務或現有的 IT 基礎結構進行集中監視和感應器管理，並計劃於 2025 年 1 月 1 日淘汰內部部署管理主控台。

如需詳細資訊，請參閱部署混合式或實體隔離斷網 OT 感應器管理 (部分機器翻譯)。

本文說明您可能會在較大的部署流程之外執行的額外內部部署管理控制台活動。

警告

客戶設定僅支援 OT 網路感應器和內部部署管理主控台上已記載的設定參數。 請勿變更任何未記載的設定參數或系統屬性，因為變更可能會導致非預期的行為和系統失敗。

在未經 Microsoft 核准的情況下，從感應器中移除套件可能會導致非預期的結果。 安裝於感應器上的所有套件都必須有正確的感應器功能。

必要條件

執行本文中的程序前，請確定您有：

• 內部部署管理主控台已安裝且已啟用。

• 以系統管理員使用者身分存取內部部署管理主控台。 選取的程序和 CLI 存取也需要特殊權限的使用者。 如需詳細資訊，請參閱使用適用於 IoT 的 Defender 進行 OT 監視的內部部署使用者和角色。

• 如果您需要更新感應器的憑證，請準備 SSL/TLS 憑證。

• 如果您要新增次要 NIC，則需要以特殊權限使用者身分存取 CLI。

下載適用於內部部署管理主控台的軟體

如果您要在自己的設備上安裝適用於 IoT 的 Defender 軟體，或是要更新軟體版本，您可能需要下載內部部署管理主控台的軟體。

在 Azure 入口網站的適用於 IoT 的 Defender 中，使用下列其中一個選項：

• 如需新的安裝或獨立更新，請選擇 [開始使用]>[內部部署管理主控台]。

  • 對於新的安裝，請在 [購買設備並安裝軟體] 區域中選取版本，然後選取 [下載]。
  • 如需更新，請在 [內部部署管理主控台] 區域中選取您的更新案例，然後選取 [下載]。

• 如果您要將內部部署管理主控台與連線的 OT 感應器一起更新，請使用 [網站和感應器] 頁面 >[感應器更新 (預覽)] 選單中的選項。

安裝之後新增次要 NIC

在 IP 位址範圍內新增附加感應器專用的次要 NIC，以此來增強內部部署管理主控台的安全性。 當您使用次要 NIC 時，第一個項目是終端使用者專用的，而次要項目則支援路由網路的閘道設定。

此程序描述如何在安裝內部部署管理主控台之後新增次要 NIC。

若要新增次要 NIC：

1. 透過 SSH 登入您的內部部署管理主控台以存取 CLI，然後執行：

   sudo cyberx-management-network-reconfigure
   

2. 針對下列問題輸入下列回應：

   

   參數	要輸入的回應
   管理網路 IP 位址	N
   子網路遮罩	N
   DNS	N
   預設閘道 IP 位址	N
   感應器監視介面 選擇性。 當感應器位於不同的網路區段時會有關。	Y，然後選取可能的值
   感應器監視介面的 IP 位址	Y，然後輸入感應器可存取的 IP 位址
   感應器監視介面的子網路遮罩	Y，然後輸入感應器可存取的 IP 位址
   主機名稱	輸入主機名稱

3. 檢閱所有選擇並輸入 Y 以接受變更。 系統重新啟動。

上傳新的啟用檔案

您已啟動內部部署管理主控台，作為部署的一部分。

您可能需要將內部部署管理主控台重新啟用為維護程序的一部分，例如，如果受監視的裝置總數超過您獲授權的裝置數目。

若要將新的啟用檔案上傳至您的內部部署管理主控台：

1. 在 Azure 入口網站的適用於 IoT 的 Defender 中，選取 [方案與定價]。

2. 選取您的方案，然後選取 [下載內部部署管理主控台啟用檔案]。

   將下載的檔案儲存在可從內部部署管理主控台存取的位置。

   從 Azure 入口網站下載的所有檔案都會以信任的根目錄簽署，讓您的機器只使用已簽署的資產。

3. 登入內部部署管理主控台，並選取 [系統設定] >[啟用]。

4. 在 [啟用] 對話框中，選取 [選擇檔案]，然後瀏覽至您稍早下載的啟用檔案。

5. 選取 [關閉] 以儲存變更。

管理 SSL/TLS 憑證

如果您使用生產環境，則就已在 CA 簽署的 SSL/TLS 憑證的過程中部署了 CA 簽署的 SSL/TLS 憑證。 建議您僅針對測試目的使用自我簽署憑證。

下列程序描述如何部署更新的 SSL/TLS 憑證，例如在憑證已過期的情況。

部署 CA 簽署憑證

部署 CA 簽署憑證：

1. 登入內部部署管理主控台，並選取 [系統設定] > [SSL/TLS 憑證]。

2. 在 [SSL/TLS 憑證] 對話方塊中，選取 [+ 新增憑證] ，然後輸入下列值：

   參數	描述
   憑證名稱	輸入您的憑證名稱。
   [複雜密碼] - [選擇性]	輸入複雜密碼。
   私密金鑰 (KEY 檔案)	上傳私密金鑰 (KEY 檔案)。
   憑證 (CRT 檔案)	上傳憑證 (CRT 檔案)。
   [憑證鏈結 (PEM 檔案)] - [選擇性]	上傳憑證鏈結 (PEM 檔案)。

   例如：

   

   如果上傳失敗，請連絡您的安全性或 IT 系統管理員。 如需詳細資訊，請參閱內部部署資源的 SSL/TLS 憑證需求和為 OT 設備建立 SSL/TLS 憑證。

3. 選取 [啟用憑證驗證] 選項，以開啟具有發行憑證授權單位的 SSL/TLS 憑證全系統驗證，以及憑證撤銷清單。

   如果此選項為開啟而驗證失敗，相關元件之間的通訊就會終止，並在感應器上顯示驗證錯誤。 如需詳細資訊，請參閱 CRT 檔案需求。

4. 選取儲存以儲存變更。

建立及部署自我簽署憑證

每個內部部署管理主控台都會安裝一個自我簽署憑證，建議您只用於測試目的。 在生產環境中，建議您一律使用 CA 簽署的憑證。

由於無法驗證憑證的擁有者，且無法維護系統的安全性，因此自我簽署憑證會導致生產網路的安全性降低。

若要建立自我簽署憑證，請從內部部署管理主控台下載憑證檔案，然後使用憑證管理平台來建立您必須上傳回內部部署管理主控台的憑證檔案。

建立自我簽署憑證：

在瀏覽器中移至內部部署管理主控台的 IP 位址，然後：

1. 在網頁瀏覽器的網址列中選取 [不安全] 警示，然後選取警告訊息「您與此網站的連線不安全」旁的 > 圖示。 例如：

   

2. 選取 [顯示憑證] 圖示，以檢視此網站的安全性憑證。

3. 在 [憑證檢視器] 窗格中，選取 [詳細資料] 索引標籤，然後選取 [匯出]，以輸入匯出檔案的名稱，並將其儲存在本機電腦上。

4. 使用憑證管理平台來建立下列類型的 SSL/TLS 憑證檔案：

   檔案類型	描述
   .crt – 憑證容器檔案	.pem 或 .der 檔案，具有不同的副檔名，以在 Windows 檔案總管中獲得支援。
   .key – 私密金鑰檔案	金鑰檔案格式與 .pem 檔案相同，具有不同的副檔名，以在 Windows 檔案總管中獲得支援。
   .pem – 憑證容器檔案 (選用)	選擇性。 包含憑證文字 Base64 編碼的文字檔，其為標示憑證開頭和結尾的標頭和頁尾。

   例如：

   1. 開啟下載的憑證檔案，然後選取 [詳細資料] 索引標籤> [複製到檔案] 以執行 [憑證匯出精靈]。

   2. 在 [憑證匯出精靈] 中，選取 [下一步]>[DER 編碼二進位 X.509 (.CER)]>，然後再次選取 [下一步]。

   3. 在 [要匯出的檔案] 畫面中，選取 [瀏覽]，選擇儲存憑證的位置，然後選取 [下一步]。

   4. 選取 [完成] 以匯出憑證。

注意

您可能需要將現有的檔案類型轉換為支援的類型。

當您完成時，請使用下列程序來驗證憑證檔案：

• 驗證 CRL 伺服器存取
• 將 SSL/TLS 憑證匯入信任存放區
• 測試 SSL/TLS 憑證

若要部署自我簽署憑證：

1. 登入內部部署管理主控台，並選取 [系統設定] > [SSL/TLS 憑證]。

2. 在 [SSL/TLS 憑證] 對話方塊中，保留預設 [本機產生的自我簽署憑證 (不安全，不建議)] 選項。

3. 選取 [我確認] 以確認警告。

4. 選取 [啟用憑證驗證] 選項，以針對 [CRL 伺服器] 驗證憑證。 匯入流程期間會檢查憑證一次。

   如果此選項為開啟而驗證失敗，相關元件之間的通訊就會終止，並在感應器上顯示驗證錯誤。 如需詳細資訊，請參閱 CRT 檔案需求。

5. 選取 [儲存] 以儲存憑證設定。

針對憑證上傳錯誤進行疑難排解

如果憑證未正確建立或無效，則您無法將憑證上傳至 OT 感應器或內部部署管理主控台。 使用下表來了解如何在憑證上傳失敗並顯示錯誤訊息時採取動作：

憑證驗證錯誤	建議
複雜密碼與金鑰不符	請確定您有正確的複雜密碼。 如果問題持續發生，請嘗試使用正確的複雜密碼重新建立憑證。 如需詳細資訊，請參閱金鑰和複雜密碼的支援字元。
無法驗證信任鏈結。 提供的憑證與根 CA 不相符。	請確定 .pem 檔案與 .crt 檔案相互關聯。 如果問題持續發生，請嘗試使用 .pem 檔案所定義的正確信任鏈結來重新建立憑證。
此 SSL 憑證已過期且未視為有效。	建立日期有效的新憑證。
此憑證已由 CRL 撤銷，且無法獲得信任進行安全連線	建立新的未撤銷憑證。
無法連線到 CRL (憑證撤銷清單) 位置。 驗證是否可從此設備存取 URL	確定您的網路設定可讓感應器或內部部署管理主控台連線到憑證中定義的 CRL 伺服器。 如需詳細資訊，請參閱確認 CRL 伺服器存取。
憑證驗證失敗	這表示設備中發生一般錯誤。 請連絡 Microsoft 支援服務。

變更內部部署管理主控台的名稱

內部部署管理主控台的預設名稱是管理主控台，並顯示在內部部署管理主控台 GUI 和疑難排解記錄中。

若要變更內部部署管理主控台名稱：

1. 登入您的內部部署管理主控台，然後選取左下角的名稱，就在版本號碼上方。

2. 在 [編輯管理主控台設定] 對話方塊中，輸入您的新名稱。 名稱最多必須有 25 個字元。 例如：

   

3. 選取儲存以儲存變更。

復原具特殊權限的使用者密碼

如果您不再具有內部部署管理主控台的特殊權限使用者存取權，請從 Azure 入口網站復原存取權。

若要復原特殊權限的使用者存取：

1. 移至內部部署管理主控台的登入頁面，然後選取 [密碼復原]。

2. 選取您要復原存取權的使用者，Support 或 CyberX 使用者。

3. 將 [密碼復原] 對話方塊中顯示的識別碼複製到安全的位置。

4. 移至 Azure 入口網站中的適用於 IoT 的 Defender，並確定您正在檢視用來將目前連線到內部部署管理控制台的 OT 感應器上線的訂用帳戶。

5. 選取 [網站和感應器] > [更多動作] >[復原內部部署管理主控台密碼]。

6. 輸入您稍早從內部部署管理主控台複製的祕密識別碼，然後選取 [復原]。

   password_recovery.zip 檔案會從您的瀏覽器下載。

   從 Azure 入口網站下載的所有檔案都會以信任的根目錄簽署，讓您的機器只使用已簽署的資產。

7. 在內部部署管理主控台的 [密碼復原] 對話方塊中，選取 [上傳]，然後選取您下載的 password_recovery.zip 檔案。

會顯示您的新認證。

編輯主機名稱

內部部署管理主機名稱必須符合組織 DNS 伺服器中設定的主機名稱。

若要編輯儲存在內部部署管理主控台上的主機名稱：

1. 在內部部署管理主控台中登入，並選取 [系統設定]。

2. 在 [管理主控台網路] 區域中，選取 [網路]。

3. 輸入新的主機名稱，然後選取 [儲存] 以儲存變更。

定義 VLAN 名稱

OT 感應器與內部部署管理控制台之間不會同步處理 VLAN 名稱。 如果您已在 OT 感應器上定義 VLAN 名稱，建議您在內部部署管理主控台上定義相同的 VLAN 名稱。

若要定義 VLAN 名稱：

1. 在內部部署管理主控台中登入，並選取 [系統設定]。

2. 在 [管理主控台網路] 區域中，選取 [VLAN]。

3. 在 [編輯 VLAN 設定] 對話方塊中，選取 [新增 VLAN]，然後一次輸入您的 VLAN 識別碼和名稱。

4. 選取 [儲存] 以儲存變更。

設定 SMTP 郵件伺服器設定

在內部部署管理控制台上定義 SMTP 郵件伺服器設定，以便設定內部部署管理主控台將資料傳送至其他伺服器和合作夥伴服務。

例如，您必須將 SMTP 郵件伺服器設定為設定郵件轉寄，並設定轉寄警示規則。

先決條件：

請確定您可以從內部部署管理主控台連線到 SMTP 伺服器。

若要在內部部署管理主控台上設定 SMTP 伺服器：

1. 透過 SSH/Telnet 以 特殊權限使用者身分登入您的內部部署管理主控台。

2. 請執行：

   nano /var/cyberx/properties/remote-interfaces.properties
   

3. 輸入下列 SMTP 伺服器詳細資料，如提示：

   • mail.smtp_server
   • mail.port. 預設連接埠為 25。
   • mail.sender

下一步

如需詳細資訊，請參閱

• 更新 OT 系統軟體
• 從管理主控台管理感應器
• 針對内部部署管理主控台進行疑難排解