脆弱性スキャンを実行するなどして、ePOサーバでTLS(Transport Layer Security)1.0が有効になっていることを検出した場合、ePO 5.10Update 11以降にアップグレードすることをお勧めします。このアドバイスは、
Nessus または
Qualsys の次の共通フラグに適用されます。
Qualys QID-38628: SSL/TLS Server supports TLSv1.0 .
Nessus PluginID 104743: TLS Version 1.0 Protocol Detection
これは、スキャンを実行するか、ePO が安全でない静的キー暗号化を使用していることを検出した場合に適用されます。
ePO 5.10 更新 11 以降、EPO では TLS バージョン 1.0 (RFC 2246) と 1.1 (RFC 4346) はデフォルトで
無効 になっています。一部の RSA 静的キー暗号化が暗号リストから削除されます。Agent ハンドラーと MA 4.8 間の通信には TLS 1.0 が必要なため、TLS を無効 1.0 にすると MA 4.8 は epo サーバーと Agent ハンドラーの Apache サービスと通信できなくなります。
MA 5.5.x は、TLS ハンドシェイクの静的キーの暗号化をポート8443の Tomcat サービスにネゴシエーションし 5.0.x ます。
maconfig コマンドラインインターフェイス(CLI)を使用して、エージェントをプロビジョニングするための手動アクションを実行することができます。手動アクションは、手動プロビジョニングプロセスにのみ影響します。エージェント/サーバー間通信には適用されません。
maconfig CLI を使用して MA 5.5.xまたは MA 5.0.xを手動で正常にプロビジョニングするには、Tomcat が使用する
server.xml を編集し、
もう 1 つの暗号を追加する必要があります。
MA 4.8 がエージェントハンドラーの Apache サービスと通信できるようにするには、TLS 1.0 と
2 つ の静的キー暗号化を有効にする必要があります。
重要:
MA 4.8 は、HP-UX、AIX、Solaris のオペレーティングシステムで使用される場合を除き、サポートされていません。 関連記事を参照してください: KB88098 - McAfee Agent 4.8.xのライフサイクル終了 (HP-UX、AIX、および Solaris を除く)
POSReady 2009 、Windows XP Embedded、Windows Embedded Point of Service(WEPOS)OSでのみサポートされるMA5.0.3を除き、MA5.5.xもEOL5.0.x(End of Life)です。 関連記事を参照してください。KB91134 - McAfee Agent 5.5.x, 5.0.x のライフサイクル終了。
OVA または ISO (DXL ブローカーアプライアンス) を使用してインストールされた DXL ブローカーには MA 5.5.1 が付属しており、この問題の影響を受けます。
EPO と通信している DXL ブローカーアプライアンスがある場合は、標準の製品配備タスクを使用してアプライアンスのエージェントを更新できます。詳細については、McAfee Agent インストールガイド (ガイド) を参照してください。
以下は、新しい DXL ブローカーアプライアンスをセットアップしている場合、または既存の DXL ブローカーアプライアンスでエージェントを正常にプロビジョニングしたことがない場合に適用されます。以下の「MA5.0.x5.5.xを有効にする - ePO Update5.10 11以降でプロビジョニングするために」のセクションのガイダンスに従う必要があります。このセクションでは、maconfigコマンドラインインターフェイスを使用して、DXL Broker Appliance上のエージェントをプロビジョニングします。
MA 5.5.0 以降は CLI を使用してプロビジョニングできます。 TLS 1.2. を使用して通信するには、ePO 5.10 更新11に含まれている変更された暗号スイートを利用します。
以下のいずれかの関連セクションの手順に従ってください。
ePO 5.10 Update 11 以降でのレガシーエージェントの動作を許可します。 または
ePOの旧バージョンでTLS 1.0 と 1.1を無効にする必要があるが、ePO 5.10Update 11以降にアップグレードできない場合。
コンテンツ:
表示するセクションをクリックして展開します:
MA 5.0.x の有効化- 5.5.x maconfig コマンドラインインターフェースを使用して ePO 5.10 更新11以降でプロビジョニングをします
これらの手順は、ePO サーバーに従う必要があります。エージェントハンドラーには適用されません。
次の URL に移動します: <ePO_installation_folder> \Server\conf
ファイル server.xml ファイルのバックアップを作成します。
ファイル server.xml を編集し、ePO コンソールへのアクセスに使用するポートの Connector 要素で許可される暗号のリストに TLS_RSA_WITH_AES_128_CBC_SHA 暗号を追加します。デフォルトでは、ポートは8443です。
ファイル server.xml を開きます。
ポート8443の Connector 要素内で、セクション ciphers= を見つけます。
T LS_RSA_WITH_AES_128_CBC_SHA をリストに追加し、リスト内の他の暗号とコンマとスペースで区切ります。
以下では、ePO 5.10 更新11サーバーでの変更後に、XML 要素の暗号セット全体がどのようなものであるかを示します:
ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_GCM_SHA384, TLS_DHE_DSS_WITH_AES_256_CBC_SHA256, TLS_DHE_DSS_WITH_AES_128_GCM_SHA256, TLS_DHE_DSS_WITH_AES_128_CBC_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA "
server.xml ファイルを保存します。
ePO Application Server サービスを再起動します:
Windows キー + R を押します。
フィールドに services.msc と入力し、Enter キーを押します。
以下の ePO サービスを右クリックして、 再起動 を選択します:
McAfee ePolicy Orchestrator 5.#.# Application Server
サービス画面を閉じます。