如果您运行系统漏洞扫描或者检测传输层安全性 (TLS)1.0已启用您的 ePO 服务器,我们建议升级至 ePO5.10更新 11 或更高版本。 此建议适用于以下
Nessus或
Qualsys:
- Qualys QID-38628: SSL/TLS Server supports TLSv1.0.
- Nessus PluginID 104743: TLS Version 1.0 Protocol Detection
如果您运行扫描或检测到 ePO 使用的是不安全的静态密钥密码,则适用同一规则。
开始于
Epo5.10更新 11, TLS 版本1.0(RFC 2246) 和1.1(RFC 4346)
禁用默认情况下,ePO 中。 某些 RSA 静态密钥密码已从加密列表中删除。 代理处理程序与 MA 之间的通信4.8需要 TLS1.0,从而禁用 TLS1.0中断 MA4.8能够与代理处理程序Apache代理处理程序ePO 服务器代理处理程序。
马5.5.x和5.0.x在 TLS 与端口 8443 上的 ePO Tomcat 服务握手中协商静态密钥加密。 可以使用 以下项手动操作配置代理:
maconfig命令行界面 (CLI)。 手动操作仅影响手动配置过程,不适用于这些代理版本代理与服务器之间的通信。
要成功配置 MA5.5.x或 MA5.0.x手动使用
maconfig CLI,您必须编辑
server.xml由 Tomcat 使用,并添加
一个其他密码。
如果您要允许 MA4.8要与系统Apache服务进行通信代理处理程序,必须启用 TLS1.0和
两静态密钥密码。
重要说明:
- 马4.8是 EOL 且不受支持,除非在 HP UX、AIX 和 Solaris系统上使用。
请参阅相关文章:KB88098 - End of Life for McAfee Agent4.8.x(排除 HP UX、AIX 和 Solaris).
- 马5.5.x和 MA5.0.x也是 EOL (MA 除外)5.0.3这仅在POSReady 2009、 Windows XP Embedded (WEPOS) Windows和嵌入式服务点 (WEPOS) 操作系统。
请参阅相关文章:KB91134 - End of Life for McAfee Agent5.5.x,5.0.x.
- DXL OVA 或 ISO(也称为 DXL 代理 Appliance )安装的代理具有 MA5.5.1绑定,并受此问题影响。
- 如果您有一个 DXL 代理 Appliance 正在与 ePO 通信,则您可以使用标准产品部署任务更新装置上的代理。 有关详细信息,请参阅 McAfee Agent安装手册 ,了解指南。
- 如果您安装新的 DXL 代理 Appliance,或者您未成功配置现有 DXL 代理 Appliance 上的代理,则适用以下说明: 您必须遵守以下章节中介绍的指南启用 MA5.0.x-5.5.x要与 ePO 一起配置5.10更新 11 和更高版本. 该部分使用 maconfig 命令行界面配置 DXL 代理 Appliance 上的代理。
马5.5.0以后可以使用 CLI 进行配置,并且使用 TLS 进行通信1.2. 但会使用 ePO 中包括的修改后加密套件5.10更新 11。
根据以下相关部分中的说明执行以下任一操作:
- 允许旧版代理与 ePO5.10更新 11 或更高版本。
或
- 如果需要禁用 TLS1.0和1.1适用于旧版 ePO,但无法升级到 ePO5.10更新 11 或更高版本。
内容:
单击以展开您要查看的部分:
系统要求遵循以下ePO 服务器;它们不适用于代理处理程序:
- 转到(G):\Server\conf
- 创建文件的备份server.xml文件。
- 编辑文件server.xml和 添加TLS_RSA_WITH_AES_128_CBC_SHA密码到连接用于访问 ePO 控制台的端口的元素。 默认情况下,该端口设置为 8443。
- 打开文件server.xml.
- 内连接端口 8443 的元素,找到以下部分ciphers=.
- 添加TLS_RSA_WITH_AES_128_CBC_SHA到列表,使用逗号和空格将列表与其他密码分隔开。
以下是在 ePO 上更改后该 XML 元素中的整个密码集必须如下所示的示例5.10更新 11 服务器:
ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_GCM_SHA384, TLS_DHE_DSS_WITH_AES_256_CBC_SHA256, TLS_DHE_DSS_WITH_AES_128_GCM_SHA256, TLS_DHE_DSS_WITH_AES_128_CBC_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA"
- 保存server.xml文件。
- 重新启动 ePO应用程序服务器服务:
- 按下 Windows+R键。
- 在该字段中键入 services.msc,然后按Enter。
- 右键单击每个 ePO 服务并选择 重启:
McAfee ePolicy Orchestrator 5.#.# 应用程序服务器
- 关闭服务窗口。