A indústria da segurança cibernética nunca descansa, e não há melhor momento do que agora para enxergar isso como uma vantagem e um catalisador para o empoderamento dos negócios.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Se você executar uma varredura de vulnerabilidades ou detectar que o Transport Layer Security (TLS) 1.0 está ativado no servidor ePO, recomendamos que você faça upgrade para o ePO 5.10 Update 11 ou versões posteriores. Este Conselho se aplica aos seguintes sinalizadores comuns em Nessus ou Qualsys :
Qualys QID-38628: SSL/TLS Server supports TLSv1.0.
Nessus PluginID 104743: TLS Version 1.0 Protocol Detection
O mesmo se aplicará se você executar uma varredura ou detectar que o ePO está usando criptografias de chaves estáticas inseguras.
A partir da atualização 11 do ePO 5.10, a versão 1.0 do TLS (RFC 2246) e 1.1 (RFC 4346) são desativadas por padrão no ePO. Algumas codificações de chaves estáticas da RSA são removidas da lista de criptografia. A comunicação entre o Manipulador de agentes e o MA 4.8 exige TLS 1.0 , assim, desativar o TLS 1.0 interrompe a capacidade do ma 4.8 de se comunicar com o serviço Apache no servidor ePO e nos manipuladores de Agent.
MA 5.5.x e 5.0.x negocia uma criptografia de chave estática em seu handshake TLS para o serviço Tomcat do ePO na porta 8443. Uma ação manual pode ser executada para configurar o agente usando a interface de linha de maconfig comando (CLI). A ação manual afeta apenas o processo de configuração manual e não se aplica a essas versões de agente para comunicação entre o agente e o servidor.
Para configurar o MA 5.5.x ou o ma 5.0.x manualmente com êxito usando o maconfig CLI , você deve editar o server.xml usado pelo Tomcat e adicionar um outro Cipher. Se você desejar permitir que o MA 4.8 se comunique com o serviço Apache em um manipulador de agentes, será necessário ativar o TLS 1.0 e duas cifras de chaves estáticas.
O MA 5.5.x e o ma 5.0.x também são o EOL, exceto o ma 5.0.3 , que é compatível apenas com os POSReady 2009 sistemas operacionais McAfee WEPOS (Point of Service) incorporados, Windows XP incorporados e Windows. Consulte o artigo relacionado: KB91134-fim da vida útil de McAfee Agent 5.5.x , 5.0.x.
O DXLagente é instalado por meio de OVA ou ISO, também conhecido como Appliance de agente de do DXL, tem MA 5.5.1 e tem um impacto sobre esse problema.
Se você tiver um Appliance DXLBroker que esteja se comunicando com o ePO, poderá atualização o agente no appliance usando uma tarefa de distribuição de produto padrão. Para obter detalhes, consulte o guia de instalação do McAfee Agent para obter orientação.
O seguinte se aplicará se você estiver configurando um novo Appliance DXLBroker, ou se nunca tiver configurado com êxito o agente no seu Appliance DXLBroker existente: você deve seguir as orientações da seção abaixo , 5.5.x com o nome de ma 5.0.x a ser configurado com o ePO 5.10 Update 11 e versões posteriores. Essa seção usa a interface de linha de comando maconfig para configurar o agente no Appliance DXLBroker.
O MA 5.5.0 e versões posteriores podem ser provisionados usando o CLI e se comunicam usando o TLS 1.2. ele faz isso com os pacotes de criptografia revisados incluídos na atualização do ePO 5.10 11.
Siga as instruções na seção relevante abaixo para:
Permitir que os agentes legados funcionem com a atualização do ePO 5.10 11 ou versões posteriores. Ou
Se for necessário desativar o TLS 1.0 e 1.1 versões anteriores do ePO, mas não for possível upgrade para a atualização do ePO 5.10 11 ou posterior.
Conteúdo:
Clique para expandir a seção que você deseja exibir:
Essas instruções devem ser feitas no servidor ePO e em todos os manipuladores de agentes remotos:
importante: não inclua quebras de página ou caracteres extras.
Salve as alterações no arquivo SSL. conf .
Reinicie o Manipulador de agentes (serviço Apache).
Essas instruções precisam ser seguidas no servidor ePO; Eles não se aplicam a manipuladores de agentes:
Ir para: <ePO_installation_folder>\Server\conf
Crie um backup do arquivo arquivo server.xml .
Edite o arquivo server.xml e adicione a TLS_RSA_WITH_AES_128_CBC_SHA criptografia à lista de criptografias permitidas pelo elemento do conector para a porta que você usa para acessar o console do ePO. Por padrão, a porta é 8443.
Abra o arquivo server.xml .
No elemento do conector para a porta 8443, localize a seção ciphers= .
Adicione TLS_RSA_WITH_AES_128_CBC_SHA à lista, separando-o de outros ciphers na lista com uma vírgula e um espaço.
Abaixo encontra-se um exemplo de como o conjunto inteiro de codificações nesse elemento XML deve ser semelhante, após a alteração em um servidor ePO 5.10 atualização 11:
Edite o arquivo arquivo SSL. conf e altere a linha:
De: SSLProtocol all -SSLv3 -SSLv2
Para: SSLProtocol +TLSv1.2
Reinicie o Manipulador de agentes (serviço Apache):
Pressione a tecla Windows + R.
Digite services.msc no campo e pressione Enter.
Clique com o botão direito do mouse no serviço ePO abaixo e selecione reiniciar:
McAfee ePolicy Orchestrator 5.#.# Server
Feche a janela serviços.
Manipulador de agentes remoto:desativando o TLS 1.0 e 1.1 o Tomcat
Use as instruções a seguir para desativar o TLS 1.0 ou TLS 1.1 para o serviço do servidor de aplicativos do ePO (Tomcat). Esse serviço escuta a porta 8443 ou 8444 por padrão.
Entre no Manipulador de agentes remoto.
Vá para uma das Manipulador de agentes pastas abaixo:
De: SSLProtocol all -SSLv3 -SSLv2
Para: SSLProtocol +TLSv1.2
Reinicie o Manipulador de agentes (serviço Apache).
Ir para: <ePO_installation_folder>\Server\conf
Crie um backup do arquivo server.xml .
Edite o arquivo server.xml e atualização os sslProtocol atributos e sslEnabledProtocols para os elementos de conector especificados:
Abra o arquivo server.xml .
Dentro de cada elemento do conector , modifique os sslProtocol atributos e sslEnabledProtocols mostrados no exemplo abaixo. Nota: Execute a etapa para as portas de escuta do Tomcat 8443 e 8444.
Para desativar somente o TLS 1.0 e deixar o TLS 1.1 ativado, a sslEnabledProtocols entrada ficaria assim: sslEnabledProtocols="TLSv1.1,TLSv1.2"
Se o atributo não existir, adicione-o sslEnabledProtocols imediatamente após o sslProtocol atributo.
Reinicie o serviço do servidor de aplicativos do ePO :
Pressione a tecla Windows + R.
Digite services.msc no campo e pressione Enter.
Clique com o botão direito do mouse no serviço ePO abaixo e selecione reiniciar:
McAfee ePolicy Orchestrator 5.#.# Application Server
Feche a janela serviços.
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.