Se si esegue una scansione delle vulnerabilità o si rileva in altro modo che Transport Layer Security (TLS) 1.0 è attivato sul server ePO, si consiglia di effettuare l'upgrade a ePO 5.10 Update 11 o versioni successive. Questo avviso si applica ai seguenti contrassegni NessusQualsys comuni:
Qualys QID-38628: SSL/TLS Server supports TLSv1.0.
Nessus PluginID 104743: TLS Version 1.0 Protocol Detection
Lo stesso vale se si esegue una scansione o si rileva in altro modo che ePO utilizza cifrature di chiavi statiche non sicure.
A partire dall' aggiornamento ePO 5.10 11, la versione 1.0 TLS (RFC 2246) e 1.1 (RFC 4346) sono disattivate per impostazione predefinita in ePO. Alcuni codici di crittografia RSA statici vengono rimossi dall'elenco di cifratura. La comunicazione tra il gestore degli agent e MA 4.8 richiede TLS 1.0 , quindi la disattivazione di TLS 1.0 interrompe la capacità ma 4.8 di comunicare con il servizio Apache sul server ePO e i gestori di Agent.
MA 5.5.x e 5.0.x negozia una cifratura di chiave statica nel suo handshake TLS al servizio Tomcat di ePO sulla porta 8443. È possibile intraprendere un'azione manuale per eseguire il provisioning del agent utilizzando l'interfaccia della riga di maconfig comando (CLI). L'azione manuale influisce solo sul processo di provisioning manuale e non si applica a queste agent versioni agent-server.
Per eseguire correttamente il provisioning di MA 5.5.x o ma 5.0.x utilizzando il maconfig CLI , è necessario modificare il server.xml codice utilizzato da Tomcat e aggiungere un' altra cifratura. Se si desidera consentire a MA 4.8 di comunicare con il servizio Apache su un gestore degli agent, è necessario attivare TLS 1.0 e due cifrature di chiave statica.
MA 5.5.x e ma 5.0.x sono anche EOL, eccetto ma 5.0.3 che è supportato solo sui POSReady 2009 sistemi operativi, Windows XP Embedded e Windows Embedded Point of Service (WEPOS). Vedi l'articolo correlato: KB91134-end of Life per McAfee Agent 5.5.x , 5.0.x.
DXL Broker è installato utilizzando OVA o ISO, noto anche come appliance DXL broker, MA 5.5.1 ha fornito un bundle con loro e ha avuto un impatto su questo problema.
Se si dispone di un'appliance DXL broker che comunica con ePO, è possibile aggiornare il agent nella appliance utilizzando un'attività di distribuzione dei prodotti standard. Per informazioni dettagliate, consultare la Guida all'installazione di McAfee Agent per indicazioni.
Se si sta impostando una nuova appliance di DXL broker o se non è mai stato eseguito il provisioning della agent sull'appliance DXL Broker esistente, è necessario attenersi alle indicazioni riportate nella sezione seguente, che consente di eseguire il provisioning di ma 5.0.x - 5.5.x con ePO 5.10 Update 11 e versioni successive. Tale sezione utilizza l'interfaccia della riga di comando di maconfig per eseguire il provisioning dell'agent sull'appliance DXL Broker.
È possibile eseguire il provisioning di MA 5.5.0 e versioni successive utilizzando il CLI e comunicare utilizzando TLS 1.2. con le suite di crittografia rivedute incluse nell'aggiornamento 11 di ePO 5.10 .
Seguire le istruzioni riportate nella sezione pertinente riportata di seguito per:
Consentire a legacy Agent di lavorare con ePO 5.10 Update 11 o versioni successive. Oppure
Se è necessario disattivare TLS 1.0 e 1.1 per le versioni precedenti di ePO, ma non è possibile effettuare l'upgrade a ePO 5.10 Update 11 o versioni successive.
Contenuto:
Fare clic per espandere la sezione che si desidera visualizzare:
Queste istruzioni devono essere eseguite sul server ePO e su tutti i gestori di agent remoti:
Accedere al server ePO .
Accedere a una delle cartelle riportate di seguito:
importante: non includere interruzioni di pagina o caratteri aggiuntivi.
Salvare le modifiche nel file SSL. conf .
Riavviare il gestore degli agent (servizio Apache).
Queste istruzioni devono essere seguite sul server ePO; non si applicano ai gestori di agent:
Vai a: <ePO_installation_folder>\Server\conf
Creare una copia di backup del server.xml file.
Modificare il file server.xml e aggiungere la TLS_RSA_WITH_AES_128_CBC_SHA cifratura all'elenco di cifrature consentite dall'elemento Connector per la porta utilizzata per accedere alla console ePO. Per impostazione predefinita, la porta è 8443.
Aprire il file server.xml .
All'interno dell'elemento Connector per la porta 8443, individuare la sezione ciphers= .
Aggiungere TLS_RSA_WITH_AES_128_CBC_SHA all'elenco, separarlo dagli altri cifrari dell'elenco con una virgola e uno spazio.
Di seguito è riportato un esempio di come deve apparire l'intero set di cifrature in quell'elemento XML, dopo la modifica su un server ePO 5.10 Update 11:
Modificare il file SSL. conf e modificare la riga:
Da: SSLProtocol all -SSLv3 -SSLv2
A: SSLProtocol +TLSv1.2
Riavviare il gestore degli agent (servizio Apache):
Premere il tasto Windows + R.
Digitare services.msc il campo e premere INVIO.
Fare clic con il pulsante destro del mouse sul servizio ePO riportato di seguito, quindi selezionare Riavvia:
McAfee ePolicy Orchestrator 5.#.# Server
Chiudere la finestra dei servizi.
Gestore Agent remoto:disattivazione di TLS 1.0 e 1.1 per Tomcat
Attenersi alle istruzioni riportate di seguito per disattivare TLS 1.0 o TLS 1.1 per il servizio server applicazioni ePO (Tomcat). Questo servizio è in ascolto sulla porta 8443 o 8444 per impostazione predefinita.
Accedere al gestore Agent remoto.
Accedere a una delle cartelle del gestore degli agent di seguito:
Da: SSLProtocol all -SSLv3 -SSLv2
A: SSLProtocol +TLSv1.2
Riavviare il gestore degli agent (servizio Apache).
Vai a: <ePO_installation_folder>\Server\conf
Creare una copia di backup del file server.xml .
Modificare il file server.xml e aggiornare gli sslProtocol attributi e sslEnabledProtocols per gli elementi del connettore specificati:
Aprire il file server.xml .
All'interno di ciascun elemento del connettore , modificare gli sslProtocol attributi e sslEnabledProtocols , come illustrato nell'esempio riportato di seguito. Nota: Eseguire il passaggio per entrambe le porte di ascolto Tomcat 8443 e 8444.
Per disattivare solo TLS 1.0 e lasciare TLS 1.1 attivato, la sslEnabledProtocols voce sarà simile alla seguente: sslEnabledProtocols="TLSv1.1,TLSv1.2"
Se l' sslEnabledProtocols attributo non esiste, aggiungerlo immediatamente dopo l' sslProtocol attributo.
Riavviare il servizio server applicazioni ePO :
Premere il tasto Windows + R.
Digitare services.msc il campo e premere INVIO.
Fare clic con il pulsante destro del mouse sul servizio ePO riportato di seguito, quindi selezionare Riavvia:
McAfee ePolicy Orchestrator 5.#.# Application Server
Chiudere la finestra dei servizi.
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.