Údržba místní konzoly pro správu (starší verze)

Důležité

Defender pro IoT teď doporučuje používat cloudové služby Microsoftu nebo stávající IT infrastrukturu pro centrální monitorování a správu senzorů a plánuje vyřadit místní konzolupro správu 1. ledna 2025.

Další informace naleznete v tématu Nasazení hybridního nebo vzduchově mezerovaného řízení snímačů OT.

Tento článek popisuje další aktivity místní konzoly pro správu, které můžete provádět mimo větší proces nasazení.

Upozornění

Pro konfiguraci zákazníka se podporují pouze zdokumentované parametry konfigurace v síťovém senzoru OT a místní konzole pro správu. Neměňte žádné nezdokumentované parametry konfigurace ani systémové vlastnosti, protože změny můžou způsobit neočekávané chování a selhání systému.

Odebrání balíčků ze senzoru bez schválení Microsoftem může způsobit neočekávané výsledky. Všechny balíčky nainstalované na senzoru jsou vyžadovány pro správnou funkčnost senzoru.

Požadavky

Před provedením postupů v tomto článku se ujistěte, že máte:

• Nainstalovaná a aktivovaná místní konzola pro správu.

• Přístup k místní konzole pro správu jako uživatel Správa. Vybrané procedury a přístup k rozhraní příkazového řádku také vyžadují privilegovaného uživatele. Další informace najdete v tématu Místní uživatelé a role pro monitorování OT pomocí Defenderu pro IoT.

• Certifikát SSL/TLS připravený , pokud potřebujete aktualizovat certifikát senzoru.

• Pokud přidáváte sekundární síťovou kartu, budete potřebovat přístup k rozhraní příkazového řádku jako privilegovaný uživatel.

Stažení softwaru pro místní konzolu pro správu

Pokud instalujete software Defender for IoT na vlastní zařízení nebo aktualizujete verze softwaru, možná budete muset stáhnout software pro místní konzolu pro správu.

V programu Defender for IoT na webu Azure Portal použijte jednu z následujících možností:

• Pro novou instalaci nebo samostatnou aktualizaci vyberte Začínáme>s místní konzolou pro správu.

  • Pro novou instalaci vyberte verzi v oblasti Koupit zařízení a nainstalujte software a pak vyberte Stáhnout.
  • Pro aktualizaci vyberte scénář aktualizace v oblasti místní konzoly pro správu a pak vyberte Stáhnout.

• Pokud aktualizujete místní konzolu pro správu společně s připojenými senzory OT, použijte možnosti v nabídce Aktualizace senzorů (Preview) na stránce >Weby a senzory.

Přidání sekundární síťové karty po instalaci

Vylepšete zabezpečení místní konzoly pro správu přidáním sekundární síťové karty vyhrazené pro připojené senzory v rozsahu IP adres. Při použití sekundární síťové karty je první vyhrazený pro koncové uživatele a sekundární podporuje konfiguraci brány pro směrované sítě.

Tento postup popisuje, jak přidat sekundární síťovou kartu po instalaci místní konzoly pro správu.

Přidání sekundární síťové karty:

1. Přihlaste se k místní konzole pro správu přes SSH, abyste mohli získat přístup k rozhraní příkazového řádku, a spusťte:

   sudo cyberx-management-network-reconfigure
   

2. Na následující otázky zadejte následující odpovědi:

   

   Parametry	Odpověď k zadání
   IP adresa sítě pro správu	N
   Maska podsítě	N
   DNS	N
   Výchozí IP adresa brány	N
   Rozhraní pro monitorování senzorů Nepovinné. Relevantní, pokud jsou senzory v jiném segmentu sítě.	Ya vyberte možnou hodnotu.
   IP adresa pro rozhraní pro monitorování snímačů	Ya zadejte IP adresu, která je přístupná senzory.
   Maska podsítě pro rozhraní pro monitorování senzorů	Ya zadejte IP adresu, která je přístupná senzory.
   Název hostitele	Zadejte název hostitele.

3. Zkontrolujte všechny volby a zadejte Y , abyste změny přijali. Systém se restartuje.

Nahrání nového aktivačního souboru

V rámci nasazení jste aktivovali místní konzolu pro správu.

V rámci postupů údržby možná budete muset znovu aktivovat místní konzolu pro správu, například pokud celkový počet monitorovaných zařízení překročí počet zařízení, pro která máte licenci.

Nahrání nového aktivačního souboru do místní konzoly pro správu:

1. V programu Defender for IoT na webu Azure Portal vyberte Plány a ceny.

2. Vyberte plán a pak vyberte Stáhnout místní aktivační soubor konzoly pro správu.

   Uložte stažený soubor do umístění, které je přístupné z místní konzoly pro správu.

   Všechny soubory stažené z webu Azure Portal jsou podepsané kořenem důvěryhodnosti, aby vaše počítače používaly jenom podepsané prostředky.

3. Přihlaste se k místní konzole pro správu a vyberte System Nastavení> Activation.

4. V dialogovém okně Aktivace vyberte ZVOLIT SOUBOR a přejděte k aktivačnímu souboru, který jste si stáhli dříve.

5. Výběrem možnosti Zavřít uložte provedené změny.

Správa certifikátů SSL/TLS

Pokud pracujete s produkčním prostředím, nasadili byste jako součást nasazení místní konzoly pro správu certifikát SSL/TLS podepsaný certifikační autoritou. Doporučujeme používat certifikáty podepsané svým držitelem jenom pro účely testování.

Následující postupy popisují, jak nasadit aktualizované certifikáty SSL/TLS, například pokud vypršela platnost certifikátu.

Nasazení certifikátu podepsaného certifikační autoritou

Nasazení certifikátu podepsaného certifikační autoritou:

1. Přihlaste se k místní konzole pro správu a vyberte System Nastavení> SSL/TLS Certificates.

2. V dialogovém okně Certifikáty SSL/TLS vyberte + Přidat certifikát a zadejte následující hodnoty:

   Parametr	Popis
   Název certifikátu	Zadejte název certifikátu.
   Volitelné přístupové heslo -	Zadejte heslo.
   Privátní klíč (soubor KEY)	Nahrajte privátní klíč (soubor KEY).
   Certifikát (soubor CRT)	Nahrajte certifikát (soubor CRT).
   Řetěz certifikátů (soubor PEM) - Volitelné	Nahrajte řetěz certifikátů (soubor PEM).

   Příklad:

   

   Pokud se nahrávání nezdaří, obraťte se na správce IT nebo zabezpečení. Další informace najdete v tématu Požadavky na certifikáty SSL/TLS pro místní prostředky a vytvoření certifikátů SSL/TLS pro zařízení OT.

3. Vyberte možnost Povolit ověření certifikátu, pokud chcete zapnout ověřování certifikátů SSL/TLS s vydávající certifikační autoritou a seznamy odvolaných certifikátů v celém systému.

   Pokud je tato možnost zapnutá a ověření selže, komunikace mezi relevantními komponentami se zastaví a na senzoru se zobrazí chyba ověření. Další informace najdete v tématu Požadavky na soubory CRT.

4. Výběrem možnosti Uložit uložte změny.

Vytvoření a nasazení certifikátu podepsaného svým držitelem

Každá místní konzola pro správu je nainstalovaná s certifikátem podepsaným svým držitelem, který doporučujeme používat jenom pro účely testování. V produkčních prostředích doporučujeme vždy používat certifikát podepsaný certifikační autoritou.

Certifikáty podepsané svým držitelem vedou k méně zabezpečenému prostředí, protože vlastník certifikátu se nedá ověřit a zabezpečení systému není možné udržovat.

Pokud chcete vytvořit certifikát podepsaný svým držitelem, stáhněte si soubor certifikátu z místní konzoly pro správu a pak pomocí platformy pro správu certifikátů vytvořte soubory certifikátů, které budete muset nahrát zpět do místní konzoly pro správu.

Vytvoření certifikátu podepsaného svým držitelem:

V prohlížeči přejděte na IP adresu místní konzoly pro správu a pak:

1. Na panelu Adresa ve webovém prohlížeči vyberte upozornění Nezabezpečit a pak vyberte > ikonu vedle upozornění "Vaše připojení k tomuto webu není zabezpečené". Příklad:

   

2. Výběrem ikony Zobrazit certifikát zobrazíte certifikát zabezpečení pro tento web.

3. V podokně Prohlížeče certifikátů vyberte kartu Podrobnosti a pak vyberte Exportovat a zadejte název exportovaného souboru a uložte ho na místním počítači.

4. K vytvoření následujících typů souborů certifikátů SSL/TLS použijte platformu pro správu certifikátů:

   Typ souboru	Popis
   .crt – soubor kontejneru certifikátů	Soubor .pemnebo .der soubor s jinou příponou pro podporu v Průzkumníku Windows.
   .key – soubor privátního klíče	Soubor klíče je ve stejném formátu jako .pem soubor s jinou příponou pro podporu v Průzkumníku Windows.
   .pem – soubor kontejneru certifikátu (volitelné)	Nepovinné. Textový soubor s kódováním Base64 textu certifikátu a záhlavím a zápatím prostého textu označující začátek a konec certifikátu.

   Příklad:

   1. Otevřete stažený soubor certifikátu a výběrem karty >Podrobnosti zkopírujte soubor a spusťte Průvodce exportem certifikátu.

   2. V Průvodci exportem certifikátu vyberte Binární X.509 s kódováním Next>DER (. CER)> a pak znovu vyberte Další.

   3. Na obrazovce Soubor k exportu vyberte Procházet, zvolte umístění pro uložení certifikátu a pak vyberte Další.

   4. Vyberte Dokončit a exportujte certifikát.

Poznámka:

Možná budete muset převést existující typy souborů na podporované typy.

Až budete hotovi, pomocí následujících postupů ověřte soubory certifikátů:

• Ověření přístupu k serveru CRL
• Import certifikátu SSL/TLS do důvěryhodného úložiště
• Testování certifikátů SSL/TLS

Nasazení certifikátu podepsaného svým držitelem:

1. Přihlaste se k místní konzole pro správu a vyberte Systémové nastavení>certifikátů SSL/TLS.

2. V dialogovém okně Certifikáty SSL/TLS ponechte vybranou výchozí možnost Místně vygenerovaný certifikát podepsaný svým držitelem (nezabezpečený, nedoporučuje se).

3. Výběrem možnosti POTVRDIT potvrďte upozornění.

4. Vyberte možnost Povolit ověření certifikátu a ověřte certifikát na serveru seznamu CRL. Certifikát se během procesu importu kontroluje jednou.

   Pokud je tato možnost zapnutá a ověření selže, komunikace mezi relevantními komponentami se zastaví a na senzoru se zobrazí chyba ověření. Další informace najdete v tématu Požadavky na soubory CRT.

5. Výběrem možnosti Uložit uložte nastavení certifikátu.

Řešení chyb nahrávání certifikátů

Certifikáty nebudete moct nahrát do senzorů OT ani do místních konzol pro správu, pokud se certifikáty nevytvořily správně nebo jsou neplatné. Následující tabulka vám ukáže, jak provést akci, pokud se nahrávání certifikátu nezdaří a zobrazí se chybová zpráva:

Chyba ověření certifikátu	Doporučení
Heslo neodpovídá klíči	Ujistěte se, že máte správné heslo. Pokud potíže potrvají, zkuste certifikát vytvořit znovu pomocí správného přístupového hesla. Další informace najdete v tématu Podporované znaky pro klíče a přístupové fráze.
Nelze ověřit řetěz důvěryhodnosti. Zadaný certifikát a kořenová certifikační autorita se neshoduje.	Ujistěte se, .pem že soubor koreluje se souborem .crt . Pokud problém přetrvává, zkuste znovu vytvořit certifikát pomocí správného řetězce důvěryhodnosti, jak je definováno souborem .pem .
Platnost tohoto certifikátu SSL vypršela a nepovažuje se za platný.	Vytvořte nový certifikát s platnými daty.
Tento certifikát byl odvolán seznamy CRL a nemůže být důvěryhodný pro zabezpečené připojení.	Vytvořte nový nevyvolaný certifikát.
Umístění seznamu odvolaných certifikátů (CRL) není dostupné. Ověřte, že je adresa URL přístupná z tohoto zařízení.	Ujistěte se, že konfigurace sítě umožňuje senzoru nebo místní konzole pro správu spojit se serverem seznamu CRL definovaným v certifikátu. Další informace naleznete v tématu Ověření přístupu k serveru CRL.
Ověření certifikátu se nezdařilo.	To značí obecnou chybu v zařízení. Kontaktní podpora Microsoftu.

Změna názvu místní konzoly pro správu

Výchozím názvem místní konzoly pro správu je konzola pro správu a zobrazuje se v uživatelském rozhraní místní konzoly pro správu a v protokolech řešení potíží.

Změna názvu místní konzoly pro správu:

1. Přihlaste se k místní konzole pro správu a vyberte název vlevo dole nad číslem verze.

2. V dialogovém okně Upravit konfiguraci konzoly pro správu zadejte nový název. Název musí mít maximálně 25 znaků. Příklad:

   

3. Výběrem možnosti Uložit uložte změny.

Obnovení privilegovaného uživatelského hesla

Pokud už nemáte přístup k místní konzole pro správu jako privilegovaný uživatel, obnovte přístup z webu Azure Portal.

Obnovení privilegovaného přístupu uživatele:

1. Přejděte na přihlašovací stránku místní konzoly pro správu a vyberte Obnovení hesla.

2. Vyberte uživatele, pro kterého chcete obnovit přístup, a to buď pro uživatele podpory , nebo pro uživatele CyberX .

3. Zkopírujte identifikátor, který se zobrazí v dialogovém okně Obnovení hesla, do zabezpečeného umístění.

4. Přejděte do programu Defender for IoT na webu Azure Portal a ujistěte se, že si prohlížíte předplatné, které se použilo k nasazení senzorů OT, které jsou aktuálně připojené k místní konzole pro správu.

5. Vyberte Weby a senzory>Další akce>Obnovit heslo místní konzoly pro správu.

6. Zadejte identifikátor tajného kódu, který jste zkopírovali dříve z místní konzoly pro správu, a vyberte Obnovit.

   Soubor password_recovery.zip se stáhne z prohlížeče.

   Všechny soubory stažené z webu Azure Portal jsou podepsané kořenem důvěryhodnosti, aby vaše počítače používaly jenom podepsané prostředky.

7. V dialogovém okně Obnovení hesla v místní konzole pro správu vyberte Nahrát a vyberte password_recovery.zip soubor, který jste stáhli.

Zobrazí se vaše nové přihlašovací údaje.

Úprava názvu hostitele

Název hostitele místní konzoly pro správu musí odpovídat názvu hostitele nakonfigurovaného na serveru DNS organizace.

Úprava názvu hostitele uloženého v místní konzole pro správu:

1. Přihlaste se k místní konzole pro správu a vyberte Systém Nastavení.

2. V oblasti sítě konzoly pro správu vyberte Síť.

3. Zadejte nový název hostitele a vyberte ULOŽIT , aby se změny uložily.

Definování názvů sítí VLAN

Názvy sítí VLAN se nesynchronují mezi senzorem OT a místní konzolou pro správu. Pokud jste na senzoru OT definovali názvy sítí VLAN, doporučujeme definovat identické názvy sítí VLAN v místní konzole pro správu.

Definování názvů sítí VLAN:

1. Přihlaste se k místní konzole pro správu a vyberte Systém Nastavení.

2. V oblasti sítě konzoly pro správu vyberte síť VLAN.

3. V dialogovém okně Upravit konfiguraci sítě VLAN vyberte Přidat síť VLAN a potom zadejte ID a název sítě VLAN po jednom.

4. Uložte provedené změny výběrem možnosti ULOŽIT .

Konfigurace nastavení poštovního serveru SMTP

Definujte nastavení poštovního serveru SMTP v místní konzole pro správu, abyste nakonfigurovali místní konzolu pro správu tak, aby odesílala data do jiných serverů a partnerských služeb.

Budete například potřebovat poštovní server SMTP nakonfigurovaný k nastavení předávání pošty a konfiguraci pravidel upozornění na přeposílání.

Požadavky:

Ujistěte se, že se můžete připojit k serveru SMTP z místní konzoly pro správu.

Konfigurace serveru SMTP v místní konzole pro správu:

1. Přihlaste se k místní konzole pro správu jako privilegovaný uživatel přes SSH/Telnet.

2. Run (Spuštění):

   nano /var/cyberx/properties/remote-interfaces.properties
   

3. Podle výzvy zadejte následující podrobnosti o serveru SMTP:

   • mail.smtp_server
   • mail.port. Výchozí port je 25.
   • mail.sender

Další kroky

Další informace naleznete v tématu:

• Aktualizace systémového softwaru OT
• Správa senzorů z konzoly pro správu
• Řešení potíží s místní konzolou pro správu