Underhålla den lokala hanteringskonsolen (äldre)

Viktigt!

Defender för IoT rekommenderar nu att du använder Microsofts molntjänster eller befintlig IT-infrastruktur för central övervakning och sensorhantering och planerar att dra tillbaka den lokala hanteringskonsolenden 1 januari 2025.

Mer information finns i Distribuera hybrid- eller luftgapade OT-sensorhantering.

Den här artikeln beskriver extra lokala hanteringskonsolaktiviteter som du kan utföra utanför en större distributionsprocess.

Varning

Endast dokumenterade konfigurationsparametrar i OT-nätverkssensorn och den lokala hanteringskonsolen stöds för kundkonfiguration. Ändra inte några odokumenterade konfigurationsparametrar eller systemegenskaper eftersom ändringar kan orsaka oväntat beteende och systemfel.

Att ta bort paket från sensorn utan Microsofts godkännande kan orsaka oväntade resultat. Alla paket som är installerade på sensorn krävs för rätt sensorfunktionalitet.

Förutsättningar

Kontrollera att du har följande innan du utför procedurerna i den här artikeln:

• En lokal hanteringskonsol installerad och aktiverad.

• Åtkomst till den lokala hanteringskonsolen som administratörsanvändare. Valda procedurer och CLI-åtkomst kräver också en privilegierad användare. Mer information finns i Lokala användare och roller för OT-övervakning med Defender för IoT.

• Ett SSL/TLS-certifikat som har förberetts om du behöver uppdatera sensorns certifikat.

• Om du lägger till ett sekundärt nätverkskort behöver du åtkomst till CLI som en privilegierad användare.

Ladda ned programvara för den lokala hanteringskonsolen

Du kan behöva ladda ned programvara för den lokala hanteringskonsolen om du installerar Defender för IoT-programvara på dina egna apparater eller uppdaterar programvaruversioner.

I Defender för IoT i Azure-portalen använder du något av följande alternativ:

• Om du vill ha en ny installation eller fristående uppdatering väljer du Komma igång>lokal hanteringskonsol.

  • För en ny installation väljer du en version i området Köp en installation och installerar programvara och väljer sedan Ladda ned.
  • För en uppdatering väljer du ditt uppdateringsscenario i området Lokal hanteringskonsol och väljer sedan Ladda ned.

• Om du uppdaterar den lokala hanteringskonsolen tillsammans med anslutna OT-sensorer använder du alternativen på sidan >Platser och sensorer Sensoruppdatering (förhandsversion).

Lägga till ett sekundärt nätverkskort efter installationen

Förbättra säkerheten för din lokala hanteringskonsol genom att lägga till ett sekundärt nätverkskort som är dedikerat för anslutna sensorer inom ett IP-adressintervall. När du använder ett sekundärt nätverkskort är det första dedikerat för slutanvändare, och den sekundära stöder konfigurationen av en gateway för routade nätverk.

Den här proceduren beskriver hur du lägger till ett sekundärt nätverkskort när du har installerat den lokala hanteringskonsolen.

Så här lägger du till ett sekundärt nätverkskort:

1. Logga in på din lokala hanteringskonsol via SSH för att få åtkomst till CLI och kör:

   sudo cyberx-management-network-reconfigure
   

2. Ange följande svar på följande frågor:

   

   Parametrar	Svar att ange
   IP-adress för hanteringsnätverk	N
   Nätmask	N
   DNS	N
   Ip-adress för standardgateway	N
   Gränssnitt för sensorövervakning Valfritt. Relevant när sensorer finns i ett annat nätverkssegment.	Yoch välj ett möjligt värde
   En IP-adress för sensorövervakningsgränssnittet	Yoch ange en IP-adress som är tillgänglig för sensorerna
   En nätmask för sensorövervakningsgränssnittet	Yoch ange en IP-adress som är tillgänglig för sensorerna
   Värdnamn	Ange värdnamnet

3. Granska alla alternativ och ange Y för att acceptera ändringarna. Systemet startas om.

Ladda upp en ny aktiveringsfil

Du hade aktiverat den lokala hanteringskonsolen som en del av distributionen.

Du kan behöva återaktivera den lokala hanteringskonsolen som en del av underhållsprocedurerna, till exempel om det totala antalet övervakade enheter överskrider det antal enheter som du är licensierad för.

Så här laddar du upp en ny aktiveringsfil till den lokala hanteringskonsolen:

1. I Defender för IoT på Azure-portalen väljer du Abonnemang och priser.

2. Välj din plan och välj sedan Ladda ned aktiveringsfilen för den lokala hanteringskonsolen.

   Spara den nedladdade filen på en plats som är tillgänglig från den lokala hanteringskonsolen.

   Alla filer som laddas ned från Azure-portalen signeras av roten av förtroende så att dina datorer endast använder signerade tillgångar.

3. Logga in på den lokala hanteringskonsolen och välj System Inställningar> Activation.

4. I dialogrutan Aktivering väljer du VÄLJ FIL och bläddrar till aktiveringsfilen som du laddade ned tidigare.

5. Spara ändringarna genom att välja Stäng .

Hantera SSL/TLS-certifikat

Om du arbetar med en produktionsmiljö hade du distribuerat ett CA-signerat SSL/TLS-certifikat som en del av distributionen av den lokala hanteringskonsolen. Vi rekommenderar att du endast använder självsignerade certifikat i testsyfte.

Följande procedurer beskriver hur du distribuerar uppdaterade SSL/TLS-certifikat, till exempel om certifikatet har upphört att gälla.

Distribuera ett CA-signerat certifikat

Så här distribuerar du ett CA-signerat certifikat:

1. Logga in på den lokala hanteringskonsolen och välj System Inställningar> SSL/TLS-certifikat.

2. I dialogrutan SSL/TLS-certifikat väljer du + Lägg till certifikat och anger följande värden:

   Parameter	Description
   Certifikatnamn	Ange certifikatnamnet.
   Lösenfras - valfritt	Ange en lösenfras.
   Privat nyckel (nyckelfil)	Ladda upp en privat nyckel (nyckelfil).
   Certifikat (CRT-fil)	Ladda upp ett certifikat (CRT-fil).
   Certifikatkedja (PEM-fil) - Valfritt	Ladda upp en PEM-fil (Certificate Chain).

   Till exempel:

   

   Om uppladdningen misslyckas kontaktar du din säkerhets- eller IT-administratör. Mer information finns i SSL/TLS-certifikatkrav för lokala resurser och Skapa SSL/TLS-certifikat för OT-enheter.

3. Välj alternativet Aktivera certifikatverifiering för att aktivera systemomfattande validering för SSL/TLS-certifikat med utfärdande certifikatutfärdare och listor över återkallade certifikat.

   Om det här alternativet är aktiverat och verifieringen misslyckas stoppas kommunikationen mellan relevanta komponenter och ett verifieringsfel visas på sensorn. Mer information finns i KRAV för CRT-filer.

4. Välj Spara för att spara dina ändringar.

Skapa och distribuera ett självsignerat certifikat

Varje lokal hanteringskonsol installeras med ett självsignerat certifikat som vi rekommenderar att du endast använder i testsyfte. I produktionsmiljöer rekommenderar vi att du alltid använder ett CA-signerat certifikat.

Självsignerade certifikat leder till en mindre säker miljö eftersom certifikatets ägare inte kan verifieras och systemets säkerhet inte kan upprätthållas.

Om du vill skapa ett självsignerat certifikat laddar du ned certifikatfilen från den lokala hanteringskonsolen och använder sedan en plattform för certifikathantering för att skapa de certifikatfiler som du behöver ladda upp till den lokala hanteringskonsolen igen.

Så här skapar du ett självsignerat certifikat:

Gå till den lokala hanteringskonsolens IP-adress i en webbläsare och sedan:

1. Välj aviseringen Inte säker i adressfältet i webbläsaren och välj > sedan ikonen bredvid varningsmeddelandet "Anslutningen till den här webbplatsen är inte säker". Till exempel:

   

2. Välj ikonen Visa certifikat för att visa säkerhetscertifikatet för den här webbplatsen.

3. I fönstret Certifikatvisningsprogram väljer du fliken Information och väljer sedan Exportera för att ange ett namn för den exporterade filen och spara den på den lokala datorn.

4. Använd en plattform för certifikathantering för att skapa följande typer av SSL/TLS-certifikatfiler:

   Filtyp	beskrivning
   .crt – certifikatcontainerfil	En .pem, eller .der -fil, med ett annat tillägg för stöd i Utforskaren i Windows.
   .key – Privat nyckelfil	En nyckelfil är i samma format som en .pem fil, med ett annat tillägg för stöd i Utforskaren i Windows.
   .pem – certifikatcontainerfil (valfritt)	Valfritt. En textfil med en Base64-kodning av certifikattexten och ett sidhuvud och sidfot i oformaterad text för att markera början och slutet av certifikatet.

   Till exempel:

   1. Öppna den nedladdade certifikatfilen och välj fliken >Information Kopiera till fil för att köra guiden Exportera certifikat.

   2. I guiden Certifikatexport väljer du Nästa>DER-kodad binär X.509 (. CER)> och välj sedan Nästa igen.

   3. På skärmen Fil att exportera väljer du Bläddra, väljer en plats där certifikatet ska lagras och väljer sedan Nästa.

   4. Välj Slutför för att exportera certifikatet.

Kommentar

Du kan behöva konvertera befintliga filtyper till typer som stöds.

När du är klar använder du följande procedurer för att verifiera dina certifikatfiler:

• Kontrollera åtkomsten till CRL-servern
• Importera SSL/TLS-certifikatet till ett betrott arkiv
• Testa dina SSL/TLS-certifikat

Så här distribuerar du ett självsignerat certifikat:

1. Logga in på din lokala hanteringskonsol och välj Systeminställningar>SSL/TLS-certifikat.

2. I dialogrutan SSL/TLS-certifikat behåller du alternativet Lokalt genererat självsignerat certifikat (osäkert, rekommenderas inte) markerat.

3. Välj Bekräfta för att bekräfta varningen.

4. Välj alternativet Aktivera certifikatverifiering för att verifiera certifikatet mot en CRL-server. Certifikatet kontrolleras en gång under importen.

   Om det här alternativet är aktiverat och verifieringen misslyckas stoppas kommunikationen mellan relevanta komponenter och ett verifieringsfel visas på sensorn. Mer information finns i KRAV för CRT-filer.

5. Spara certifikatinställningarna genom att välja Spara .

Felsöka fel vid uppladdning av certifikat

Du kommer inte att kunna ladda upp certifikat till dina OT-sensorer eller lokala hanteringskonsoler om certifikaten inte har skapats korrekt eller är ogiltiga. Använd följande tabell för att förstå hur du vidtar åtgärder om certifikatuppladdningen misslyckas och ett felmeddelande visas:

Certifikatverifieringsfel	Rekommendation
Lösenfrasen matchar inte nyckeln	Kontrollera att du har rätt lösenfras. Om problemet kvarstår kan du försöka återskapa certifikatet med rätt lösenfras. Mer information finns i Tecken som stöds för nycklar och lösenfraser.
Det går inte att verifiera förtroendekedjan. Det angivna certifikatet och rotcertifikatutfärdare matchar inte.	Kontrollera att en .pem fil korrelerar med .crt filen. Om problemet kvarstår kan du försöka återskapa certifikatet med rätt förtroendekedja, enligt vad som definieras av .pem filen.
Det här SSL-certifikatet har upphört att gälla och anses inte vara giltigt.	Skapa ett nytt certifikat med giltiga datum.
Det här certifikatet har återkallats av CRL och kan inte vara betrott för en säker anslutning	Skapa ett nytt oåterkalleligt certifikat.
Crl-platsen (listan över återkallade certifikat) kan inte nås. Kontrollera att URL:en kan nås från den här installationen	Kontrollera att nätverkskonfigurationen tillåter att sensorn eller den lokala hanteringskonsolen når den CRL-server som definierats i certifikatet. Mer information finns i Verifiera åtkomst till CRL-servern.
Certifikatverifieringen misslyckades	Detta indikerar ett allmänt fel i installationen. Kontakta Microsoft Support.

Ändra namnet på den lokala hanteringskonsolen

Standardnamnet för den lokala hanteringskonsolen är Hanteringskonsol och visas i det lokala hanteringskonsolens GUI och felsökningsloggar.

Så här ändrar du namnet på den lokala hanteringskonsolen:

1. Logga in på den lokala hanteringskonsolen och välj namnet längst ned till vänster, precis ovanför versionsnumret.

2. I dialogrutan Redigera konfiguration av hanteringskonsolen anger du ditt nya namn. Namnet måste innehålla högst 25 tecken. Till exempel:

   

3. Välj Spara för att spara dina ändringar.

Återställa ett privilegierat användarlösenord

Om du inte längre har åtkomst till din lokala hanteringskonsol som privilegierad användare kan du återställa åtkomsten från Azure-portalen.

Så här återställer du privilegierad användaråtkomst:

1. Gå till inloggningssidan för den lokala hanteringskonsolen och välj Återställning av lösenord.

2. Välj den användare som du vill återställa åtkomsten för, antingen supporteneller CyberX-användaren.

3. Kopiera identifieraren som visas i dialogrutan Lösenordsåterställning till en säker plats.

4. Gå till Defender för IoT i Azure-portalen och se till att du visar prenumerationen som användes för att registrera de OT-sensorer som för närvarande är anslutna till den lokala hanteringskonsolen.

5. Välj Platser och sensorer>Fler åtgärder>Återställ ett lösenord för den lokala hanteringskonsolen.

6. Ange den hemliga identifierare som du kopierade tidigare från den lokala hanteringskonsolen och välj Återställ.

   En password_recovery.zip fil laddas ned från webbläsaren.

   Alla filer som laddas ned från Azure-portalen signeras av roten av förtroende så att dina datorer endast använder signerade tillgångar.

7. I dialogrutan Lösenordsåterställning i den lokala hanteringskonsolen väljer du Ladda upp och väljer den password_recovery.zip fil som du hade laddat ned.

Dina nya autentiseringsuppgifter visas.

Redigera värdnamnet

Värdnamnet för den lokala hanteringskonsolen måste matcha värdnamnet som konfigurerats på organisationens DNS-server.

Så här redigerar du värdnamnet som sparats i den lokala hanteringskonsolen:

1. Logga in på den lokala hanteringskonsolen och välj System Inställningar.

2. I området Hanteringskonsolens nätverk väljer du Nätverk.

3. Ange det nya värdnamnet och välj SPARA för att spara ändringarna.

Definiera VLAN-namn

VLAN-namn synkroniseras inte mellan en OT-sensor och den lokala hanteringskonsolen. Om du har definierat VLAN-namn på ot-sensorn rekommenderar vi att du definierar identiska VLAN-namn i den lokala hanteringskonsolen.

Så här definierar du VLAN-namn:

1. Logga in på den lokala hanteringskonsolen och välj System Inställningar.

2. Välj VLAN i hanteringskonsolens nätverksområde.

3. I dialogrutan Redigera VLAN-konfiguration väljer du Lägg till VLAN och anger sedan ditt VLAN-ID och namn, ett i taget.

4. Spara ändringarna genom att välja SPARA .

Konfigurera INSTÄLLNINGAR för SMTP-e-postserver

Definiera INSTÄLLNINGAR för SMTP-e-postserver i den lokala hanteringskonsolen så att du konfigurerar den lokala hanteringskonsolen för att skicka data till andra servrar och partnertjänster.

Du behöver till exempel en SMTP-e-postserver konfigurerad för att konfigurera vidarebefordran av e-post och konfigurera aviseringsregler för vidarebefordran.

Förutsättningar:

Kontrollera att du kan nå SMTP-servern från den lokala hanteringskonsolen.

Så här konfigurerar du en SMTP-server i den lokala hanteringskonsolen:

1. Logga in på din lokala hanteringskonsol som en privilegierad användare via SSH/Telnet.

2. Kör:

   nano /var/cyberx/properties/remote-interfaces.properties
   

3. Ange följande SMTP-serverinformation enligt uppmaningen:

   • mail.smtp_server
   • mail.port. Standardporten är 25.
   • mail.sender

Nästa steg

Mer information finns i:

• Uppdatera OT-systemprogramvara
• Hantera sensorer från hanteringskonsolen
• Felsöka den lokala hanteringskonsolen