A indústria da segurança cibernética nunca descansa, e não há melhor momento do que agora para enxergar isso como uma vantagem e um catalisador para o empoderamento dos negócios.
Se você executar uma varredura de vulnerabilidades ou detectar que o Transport Layer Security (TLS) 1.0 está ativado no servidor ePO, recomendamos que você faça upgrade para o ePO 5.10 Update 11 ou versões posteriores. Este Conselho se aplica aos seguintes sinalizadores comuns em Nessus ou Qualsys :
Qualys QID-38628: SSL/TLS Server supports TLSv1.0.
Nessus PluginID 104743: TLS Version 1.0 Protocol Detection
O mesmo se aplicará se você executar uma varredura ou detectar que o ePO está usando criptografias de chaves estáticas inseguras.
A partir da atualização 11 do ePO 5.10, a versão 1.0 do TLS (RFC 2246) e 1.1 (RFC 4346) são desativadas por padrão no ePO. Algumas codificações de chaves estáticas da RSA são removidas da lista de criptografia. A comunicação entre o Manipulador de agentes e o MA 4.8 exige TLS 1.0 , assim, desativar o TLS 1.0 interrompe a capacidade do ma 4.8 de se comunicar com o serviço Apache no servidor ePO e nos manipuladores de Agent.
MA 5.5.x e 5.0.x negocia uma criptografia de chave estática em seu handshake TLS para o serviço Tomcat do ePO na porta 8443. Uma ação manual pode ser executada para configurar o agente usando a interface de linha de maconfig comando (CLI). A ação manual afeta apenas o processo de configuração manual e não se aplica a essas versões de agente para comunicação entre o agente e o servidor.
Para configurar o MA 5.5.x ou o ma 5.0.x manualmente com êxito usando o maconfig CLI , você deve editar o server.xml usado pelo Tomcat e adicionar um outro Cipher. Se você desejar permitir que o MA 4.8 se comunique com o serviço Apache em um manipulador de agentes, será necessário ativar o TLS 1.0 e duas cifras de chaves estáticas.
O MA 5.5.x e o ma 5.0.x também são o EOL, exceto o ma 5.0.3 , que é compatível apenas com os POSReady 2009 sistemas operacionais McAfee WEPOS (Point of Service) incorporados, Windows XP incorporados e Windows. Consulte o artigo relacionado: KB91134-fim da vida útil de McAfee Agent 5.5.x , 5.0.x.
O DXLagente é instalado por meio de OVA ou ISO, também conhecido como Appliance de agente de do DXL, tem MA 5.5.1 e tem um impacto sobre esse problema.
Se você tiver um Appliance DXLBroker que esteja se comunicando com o ePO, poderá atualização o agente no appliance usando uma tarefa de distribuição de produto padrão. Para obter detalhes, consulte o guia de instalação do McAfee Agent para obter orientação.
O seguinte se aplicará se você estiver configurando um novo Appliance DXLBroker, ou se nunca tiver configurado com êxito o agente no seu Appliance DXLBroker existente: você deve seguir as orientações da seção abaixo , 5.5.x com o nome de ma 5.0.x a ser configurado com o ePO 5.10 Update 11 e versões posteriores. Essa seção usa a interface de linha de comando maconfig para configurar o agente no Appliance DXLBroker.
O MA 5.5.0 e versões posteriores podem ser provisionados usando o CLI e se comunicam usando o TLS 1.2. ele faz isso com os pacotes de criptografia revisados incluídos na atualização do ePO 5.10 11.
Siga as instruções na seção relevante abaixo para:
Permitir que os agentes legados funcionem com a atualização do ePO 5.10 11 ou versões posteriores. Ou
Se for necessário desativar o TLS 1.0 e 1.1 versões anteriores do ePO, mas não for possível upgrade para a atualização do ePO 5.10 11 ou posterior.
Conteúdo:
Clique para expandir a seção que você deseja exibir:
Essas instruções devem ser feitas no servidor ePO e em todos os manipuladores de agentes remotos:
importante: não inclua quebras de página ou caracteres extras.
Salve as alterações no arquivo SSL. conf .
Reinicie o Manipulador de agentes (serviço Apache).
Essas instruções precisam ser seguidas no servidor ePO; Eles não se aplicam a manipuladores de agentes:
Ir para: <ePO_installation_folder>\Server\conf
Crie um backup do arquivo arquivo server.xml .
Edite o arquivo server.xml e adicione a TLS_RSA_WITH_AES_128_CBC_SHA criptografia à lista de criptografias permitidas pelo elemento do conector para a porta que você usa para acessar o console do ePO. Por padrão, a porta é 8443.
Abra o arquivo server.xml .
No elemento do conector para a porta 8443, localize a seção ciphers= .
Adicione TLS_RSA_WITH_AES_128_CBC_SHA à lista, separando-o de outros ciphers na lista com uma vírgula e um espaço.
Abaixo encontra-se um exemplo de como o conjunto inteiro de codificações nesse elemento XML deve ser semelhante, após a alteração em um servidor ePO 5.10 atualização 11:
Edite o arquivo arquivo SSL. conf e altere a linha:
De: SSLProtocol all -SSLv3 -SSLv2
Para: SSLProtocol +TLSv1.2
Reinicie o Manipulador de agentes (serviço Apache):
Pressione a tecla Windows + R.
Digite services.msc no campo e pressione Enter.
Clique com o botão direito do mouse no serviço ePO abaixo e selecione reiniciar:
McAfee ePolicy Orchestrator 5.#.# Server
Feche a janela serviços.
Manipulador de agentes remoto:desativando o TLS 1.0 e 1.1 o Tomcat
Use as instruções a seguir para desativar o TLS 1.0 ou TLS 1.1 para o serviço do servidor de aplicativos do ePO (Tomcat). Esse serviço escuta a porta 8443 ou 8444 por padrão.
Entre no Manipulador de agentes remoto.
Vá para uma das Manipulador de agentes pastas abaixo:
De: SSLProtocol all -SSLv3 -SSLv2
Para: SSLProtocol +TLSv1.2
Reinicie o Manipulador de agentes (serviço Apache).
Ir para: <ePO_installation_folder>\Server\conf
Crie um backup do arquivo server.xml .
Edite o arquivo server.xml e atualização os sslProtocol atributos e sslEnabledProtocols para os elementos de conector especificados:
Abra o arquivo server.xml .
Dentro de cada elemento do conector , modifique os sslProtocol atributos e sslEnabledProtocols mostrados no exemplo abaixo. Nota: Execute a etapa para as portas de escuta do Tomcat 8443 e 8444.
Para desativar somente o TLS 1.0 e deixar o TLS 1.1 ativado, a sslEnabledProtocols entrada ficaria assim: sslEnabledProtocols="TLSv1.1,TLSv1.2"
Se o atributo não existir, adicione-o sslEnabledProtocols imediatamente após o sslProtocol atributo.
Reinicie o serviço do servidor de aplicativos do ePO :
Pressione a tecla Windows + R.
Digite services.msc no campo e pressione Enter.
Clique com o botão direito do mouse no serviço ePO abaixo e selecione reiniciar:
McAfee ePolicy Orchestrator 5.#.# Application Server
Feche a janela serviços.
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.