維護內部部署的管理主控台(舊版)
重要
適用於 IoT 的 Defender 現在建議使用 Microsoft 雲端服務或現有的 IT 基礎結構進行集中監視和感測器管理,
如需詳細資訊,請參閱 部署混合式或隔離 OT 感測器管理。
本文說明您可能會在更大範圍的部署流程之外執行的額外的內部管理控制台活動。
謹慎
客戶設定僅支援 OT 網路感測器上記載的組態參數。 請勿變更任何未記載的組態參數或系統屬性,因為變更可能會導致非預期的行為和系統失敗。
從感測器中移除套件而不需要Microsoft核准可能會導致非預期的結果。 安裝於感測器上的所有套件都必須有正確的感測器功能。
先決條件
執行本文中的程式之前,請確定您有:
以 系統管理員 使用者身分存取內部部署管理主控台。 選定的程序和 CLI 存取也需要有權限的使用者。 如需詳細資訊,請參閱 使用適用於IoT的Defender進行OT監視的內部部署使用者和角色。
準備 SSL/TLS 憑證,如果您需要更新感測器的憑證。
如果您要新增次要 NIC,則需要以 特殊許可權使用者存取 CLI。
下載內部部署管理主控台的軟體
如果您要在自己的設備上安裝適用於 IoT 的 Defender 軟體,或 更新軟體版本,您可能需要下載內部部署管理控制台的軟體。
在 Azure 入口網站中的 IoT 的 Defender 中,使用下列其中一個選項:
如需新的安裝或獨立更新,請選擇 [開始使用>內部部署管理主控台]。
- 若要進行新的安裝,請選取 [購買設備並安裝軟體] 區域中的版本,然後選取 [下載]。
- 如需更新,請在 內部部署管理主控台的區域選取您的更新方案,然後選取 下載。
如果您要將內部部署管理控制台與連線的 OT 感測器一起更新,請使用 [月臺和感測器] 頁面中的選項,>[感測器更新][預覽] 功能表 頁面。
安裝之後新增次要網路介面卡(NIC)
藉由在IP位址範圍內新增專用於附加感測器的次要NIC,增強內部部署管理控制台的安全性。 當您使用次要 NIC 時,第一個是專用於使用者,而次要則支援路由網路的閘道設定。
此程式描述如何在 安裝內部部署管理主控台之後新增次要 NIC。
若要新增次要 NIC:
透過 SSH 登入您的內部部署管理主控台,以存取 CLI,然後執行:
sudo cyberx-management-network-reconfigure針對下列問題輸入下列回應:
參數 輸入的回應 管理網路IP位址 N子網掩碼 NDNS N預設閘道IP位址 N感測器監視介面
自選。 當感測器位於不同的網路區段時相關。Y,然後選取可能的值感測器監視介面的IP位址 Y,然後輸入感測器可存取的IP位址感測器監視介面的子網掩碼 Y,然後輸入感測器可存取的IP位址主機名 輸入主機名 檢閱所有選項,並輸入
Y以接受變更。 系統重新啟動。
上傳新的啟用檔案
您已在部署過程中啟動了內部部署管理主控台。
您可能需要重新啟用內部部署管理控制台作為維護程式的一部分,例如,如果受監視的裝置總數超過您授權的
若要將新的啟用檔案上傳至您的內部部署管理主控台:
在 Azure 入口網站的 [適用於 IoT 的 Defender] 中,選取 [方案與定價。
選取您的方案,然後選取 下載內部部署管理控制台啟用檔案。
將下載的檔案儲存在可從內部部署管理主控台存取的位置。
從 Azure 入口網站下載的所有檔案皆由信任根簽署,確保您的機器僅使用已簽署的資產。
登入您的內部部署管理主控台,然後選取 [系統設定]>[啟用]。
在 [啟用] 對話框中,選取 [CHOOSE FILE,然後流覽至您稍早下載的啟用檔案。
選取 [關閉 以儲存變更。
管理 SSL/TLS 憑證
如果您正在使用生產環境,您可能已部署了一個由 CA 簽署的 SSL/TLS 憑證, 作為本地管理控制台部署的一部分。 我們建議僅針對測試目的使用自我簽署憑證。
下列程式描述如何部署更新的 SSL/TLS 憑證,例如憑證是否已過期。
若要部署 CA 簽署的憑證:
登入您的內部部署管理主控台,然後選取 [系統設定]>[SSL/TLS 憑證]。
在 [SSL/TLS 憑證] 對話框中,選取 [+ 新增憑證,然後輸入下列值:
參數 描述 憑證名稱 輸入您的憑證名稱。 通行密語 - 可選 輸入 密碼短語。 私鑰 (KEY 檔案) 上傳私鑰(KEY 檔案)。 憑證 (CRT 檔案) 上傳憑證 (CRT 檔案)。 憑證鏈結 (PEM 檔案) - 選擇性 上傳憑證鏈結 (PEM 檔案)。 例如:
如果上傳失敗,請連絡您的安全性或IT系統管理員。 如需詳細資訊,請參閱 內部部署資源的 SSL/TLS 憑證需求 和 為 OT 設備建立 SSL/TLS 憑證。
選擇 [啟用憑證驗證] 選項,以開啟系統範圍內對 SSL/TLS 憑證的驗證,這包括由 證書頒發機構 和 證書吊銷清單所發佈的憑證。
如果開啟此選項且驗證失敗,相關元件之間的通訊會停止,且感測器上會顯示驗證錯誤。 如需詳細資訊,請參閱 CRT 檔案需求。
選取 [儲存 以儲存變更。
不安全 警示,然後選取警告訊息旁的 > 圖示,「您對此網站的連線不安全」。 例如:
顯示憑證 圖示,以檢視此網站的安全性憑證。憑證上傳錯誤疑難排解
如果憑證未正確建立或無效,您將無法將憑證上傳至 OT 感測器。 使用下表來瞭解如何在憑證上傳失敗且顯示錯誤訊息時採取動作:
| 憑證驗證錯誤 | 建議 |
|---|---|
| 密碼與金鑰 不相符 | 請確定您有正確的通行短語。 如果問題持續發生,請嘗試使用正確的複雜密碼重新建立憑證。 如需詳細資訊,請參閱 金鑰和密碼短語的支援字元。 |
| 無法驗證信任鏈結。 提供的憑證和根 CA 不相符。 | 請確定 .pem 檔案與 .crt 檔案相互關聯。 如果問題持續發生,請嘗試使用正確的信任鏈結重新建立憑證,如 .pem 檔案所定義。 |
| 此 SSL 憑證已過期且未被視為有效。 | 建立具有有效日期的新憑證。 |
| CRL 已撤銷此憑證,且無法信任用於安全連線 | 建立新的未撤銷的憑證。 |
| 無法連線到 CRL (證書吊銷清單) 位置。 請確認此設備是否能存取該 URL | 請確定您的網路設定可讓感測器連線到憑證中定義的CRL伺服器。 如需詳細資訊,請參閱 驗證 CRL 伺服器存取。 |
| 憑證驗證失敗 | 這表示設備發生一般錯誤。 請連絡 Microsoft 支援。 |
變更內部部署管理主控台的名稱
內部部署管理主控台的預設名稱是 管理主控台,並顯示在內部部署管理主控台 GUI 和疑難解答記錄中。
若要變更內部部署管理主控台名稱:
登入您的內部部署管理主控台,然後選取位於左下角版本號碼正上方的名稱。
在 [編輯管理主控台組態] 對話框中,輸入您的新名稱。 名稱最多必須有 25 個字元。 例如:
按 儲存 以保存您的變更。
復原具特殊許可權的用戶密碼
如果您不再具有內部部署管理控制台的存取權,特殊許可權使用者,請從 Azure 入口網站復原存取權。
若要恢復有特權的使用者存取:
移至內部部署管理主控台的登入頁面,然後選取 [密碼復原]。
請選擇您要恢復存取權的使用者,支援 或 CyberX 使用者。
將 [密碼復原] 對話框中顯示的標識碼複製到安全的位置。
前往 Azure 入口網站中的 IoT 安全防護程式 (Defender for IoT),確認您正在檢視用來註冊目前連接至內部部署管理控制台的 OT 感測器的訂用帳戶。
選取 [站點和感測器],>[更多動作]>,復原內部部署管理控制台的密碼。
輸入您稍早從內部部署管理主控台複製的秘密識別碼,然後選取 恢復。
password_recovery.zip檔案會從您的瀏覽器下載。從 Azure 入口網站下載的所有檔案都由信任根簽署,確保您的機器僅使用已簽署的資產。
在內部部署管理控制台的 [密碼復原] 對話框中,選取 [上傳],然後選取您下載的
password_recovery.zip檔案。
會顯示您的新認證。
編輯主機名
内部部署管理控制台的主機名必須相符於組織 DNS 伺服器中設定的主機名。
若要編輯儲存在內部部署管理控制臺上的主機名:
登入本地化管理主控台,然後選取 [系統設定]。
在 [管理控制台網络] 區域中,選取 [網络]。
輸入新的主機名,然後選取 [SAVE],以儲存變更。
定義 VLAN 名稱
OT 感測器與內部部署管理控制台之間的 VLAN 名稱不同步。 如果您已在 OT 感測器上
若要定義 VLAN 名稱:
登入內部部署環境管理控制台,然後選取 [系統設定]。
在 [管理控制台網络] 區域中,選取 [VLAN]。
在 [編輯 VLAN 組態] 對話框中,選取 [[新增 VLAN],然後一次輸入您的 VLAN 標識符和名稱。
按下 [儲存] 以儲存變更。
設定SMTP郵件伺服器設定
在內部部署管理控制台上定義 SMTP 郵件伺服器設定,以便設定內部部署管理主控台將資料傳送至其他伺服器和合作夥伴服務。
例如,您必須將 SMTP 郵件伺服器設定為設定信件轉寄,並設定 轉寄警示規則。
必要條件:
請確定您可以從內部部署管理主控台連線到 SMTP 伺服器。
若要在內部部署管理控制臺上設定 SMTP 伺服器:
以透過 SSH/Telnet
特殊許可權使用者身分登入您的內部部署管理主控台。 執行:
nano /var/cyberx/properties/remote-interfaces.properties輸入下列 SMTP 伺服器詳細資料,如提示:
mail.smtp_server-
mail.port。 預設連接埠為25。 mail.sender
後續步驟
如需詳細資訊,請參閱: