En el sector de la ciberseguridad no hay tiempo para aburrirse y nunca ha habido un mejor momento para aceptar esta idea como una ventaja y un catalizador de la actividad empresarial.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Contenido:
Haga clic para expandir la sección que desee ver:
ePO 5.10 tiene varios componentes que interactúan entre ellos mediante comunicaciones cifradas con TLS. Los componentes principales son los siguientes:
servicio servidor de aplicaciones de ePO (también conocido como) Tomcat
servicio del servidor de ePO (también conocido comoApache)
servicio de controlador de agentes de ePO en un controlador de agentes remoto ( Apache )
servicio de Event Parser de ePO () Eventparser
SQL Server instancia que aloja las bases de datos de ePO
Algunos de estos componentes solo actúan como servidores (solo aceptan conexiones entrantes). El SQL Server es un ejemplo.
Algunos componentes actúan como servidores y clientes (ambos aceptan conexiones entrantes y realizan conexiones salientes). El servicio del servidor de ePO o el servicio de Controlador de agentes es un ejemplo. Ambos aceptan conexiones entrantes de McAfee agentes de los sistemas cliente y también realizan conexiones salientes con el servicio servidor de aplicaciones de ePO y el SQL Server.
Una comunicación TLS tiene varios parámetros configurables, como Protocolo, cifrado, hash función, Resumen de clavesy cifrado Suite. Para que la comunicación se realice correctamente, el cliente que inicie la conexión y el servidor que la recibe debe ser capaz de acordar un conjunto de parámetros compatibles con ambos.
Los sistemas Windows utilizan una Security Support Provider ( SSP ) llamada SChannel para implementar conexiones TLS. Varios de los componentes de ePO utilizan este SSP para algunas de sus conexiones. Por lo tanto, las conexiones TLS se controlan mediante la SChannel configuración del sistema en el que están presentes. Estas conexiones son las siguientes:
SQL Server para conexiones entrantes
servicio de servidor de ePO para conexiones salientes
servicio de Controlador de agentes de ePO para conexiones salientes
servicio de Event Parser de ePO para conexiones salientes
El servicio servidor de aplicaciones de ePO para algunas conexiones salientes a ePO. trellix .com y s-download.trellix.com.
Para que ePO funcione correctamente, todos los componentes deben poder negociar correctamente una conexión TLS, lo que, a su vez, significa que la SChannel configuración de todos los equipos implicados debe ser correcta.
La SChannel configuración se configura de dos formas: por configuración de registro, que es el método más común o por directiva de grupo. Es importante tener en cuenta que la configuración de directiva de grupo tiene prioridad sobre la configuración del registro, por lo que no es posible determinar la SChannel configuración mediante el análisis del registro. En su lugar, para obtener una respuesta definitiva, analice el equipo y el puerto relevantes mediante la herramienta NMAP. Para obtener más información, consulte KB91115-cómo utilizar la herramienta ' nmap ' para determinar qué protocolos y conjuntos de cifrados se encuentran en uso en un entorno de EPolicy Orchestrator.
Para configurar SChannel la configuración mediante el registro, es posible editar el registro directamente. Un método más cómodo es utilizar la IISCrypto herramienta de Nartac software. Esta herramienta es un editor de registro avanzado que se centra en para los SChannel entradas del registro.
El servicio servidor de aplicaciones de ePO solo admite un número limitado de conjuntos de cifrado TLS. Dado que las conexiones TLS requieren que se admitan las mismas Suites de cifrado tanto en el cliente como en el servidor, la SChannel configuración se limita a los mismos conjuntos de cifrado. Estas opciones de configuración son las siguientes:
Para ePO 5.10 Actualización 10 y anteriores
En el caso de las conexiones salientes a la SQL Server, Tomcat admite los tres conjuntos de cifrado siguientes:
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
En el SQL Server que aloje la base de datos de ePO, al menos una de estas suites debe estar activada en la SChannel configuración. Esto incluye las instalaciones en las que SQL se encuentra en el mismo equipo que ePO.
Para conexiones entrantes desde el servicio del servidor de ePO y el servicio de Controlador de agentes de ePO, Tomcat admite los cuatro conjuntos de cifrado que se indican a continuación:
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
En el equipo en el que esté instalado ePO y en cualquier controlador de agentes remoto, al menos una de estas suites de cifrado debe estar activada en la SChannel configuración.
Para ePO 5.10 CU 11 y posterior
En el caso de las conexiones salientes a la SQL Server, Tomcat es compatible con los siguientes conjuntos de cifrado:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
En el SQL Server que aloje la base de datos de ePO, al menos una de estas suites debe estar activada en la SChannel settings. , esto incluye las instalaciones en las que SQL está en el mismo equipo que ePO.
Para conexiones entrantes desde el servicio del servidor de ePO y el servicio de Controlador de agentes de ePO, Tomcat admite los cuatro conjuntos de cifrado que se indican a continuación:
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
En el equipo en el que esté instalado ePO y en cualquier controlador de agentes remoto, se debe activar al menos uno de estos conjuntos de cifrado en la configuración de SChannel.
Por último, Tomcat necesita poder acceder a los sitios de ePO.trellix.com y s-download.trellix.com que proporcionan la funcionalidad del catálogo de software. Actualmente, estos sitios ofrecen las siguientes Suites:
epo.trellix.com:
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_3DES_EDE_CBC_SHA
s-download.trellix.com:
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
Tomcat utiliza la configuración de SChannel en en el equipo donde está instalado ePO para realizar conexiones a estos sitios, por lo que al menos un suite de cada sitio debe estar activado en la configuración de SChannel.
Con esta información, ahora puede especificar la SChannel configuración necesaria para activar ePO para que funcione correctamente. Estas opciones de configuración se clasifican en tres grupos:
Absolute configuración mínima
Configuración mínima recomendada
Configuración de compatibilidad óptima
La configuración a continuación es el mínimo absoluto necesario para que ePO funcione.
ADVERTENCIA: Estas opciones de configuración son solo para la instalación predeterminada de ePO. No existe garantía de que estas opciones sean compatibles con las extensiones de productos gestionados adicionales. A continuación se muestran algunos ejemplos:
Threat Intelligence Exchange (TIE)
Data Exchange Layer (DXL)
Content Security Reporter (CSR)
Cualquier extensión de terceros
Estas opciones de configuración no se recomiendan por categoría para un entorno de ePO de producción.
Para la actualización de ePO 5.10 10 y anteriores
En el servidor de ePO
Protocolos
TLS 1.2
Cifrados
AES128/128
AES256/256
Hashes
SHA
SHA256
Intercambio de claves
PKCS-véase entrada de longitud de clave de PKCS en la sección "Notas" siguiente
ECDH
Conjuntos de cifrado
Una de las siguientes tres suites:
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Y una de las cuatro suites siguientes:
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
Y una de las cuatro suites siguientes:
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
En la SQL Server que aloja la base de datos
de ePO
Nota: también se aplica si el SQL Server está en el mismo equipo que ePO:
Las mismas dos suites que están activadas en el servidor de ePO
En cualquier Controladores de agentes adicional (AH)
Protocolos
TLS 1.2
Cifrados
AES128/128
AES256/256
Hashes
SHA
SHA256
Intercambio de claves
PKCS - see PKCS Key Length entry in the "Notes" section below
ECDH
Conjuntos de cifrado
Las mismas dos suites que están activadas en el servidor de ePO
Para ePO 5.10 Actualización 11 y posteriores
La compatibilidad de suite de cifrado revisada proporcionada en la actualización de ePO 5.10 11 significa que es posible tener solo un suite activado en el servidor de ePO, SQL Server y controladores de agentes y una suite adicional activada en el servidor de ePO para la funcionalidad del catálogo de software. El cifrado real suite elegido depende del sistema operativo en uso.
En el servidor de ePO, el SQL Server alojar la base de datos de ePO y cualquier controladores de agentes adicional (AHS)
Nota: también se aplica si el SQL Server está en el mismo equipo que ePO.
Nota: Si tiene Controladores de agentes instalado en Windows 2012 o 2012 R2, activar el suite siguiente en la Controladores de agentes:
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
A continuación se muestra la configuración recomendada para la mejor compatibilidad con otras aplicaciones.
The Nartac IISCrypto ofrece varias plantillas que permiten SChannel que se apliquen con facilidad distintas configuraciones. La plantilla de prácticas recomendadas sigue los estándares de la industria y funciona bien en entornos de ePO. Si no necesita la configuración específica que se detalla anteriormente, le recomendamos que aplique la plantilla prácticas recomendadas al servidor de ePO, SQL Server y a cualquier Controladores de agentes adicional.
Nota: Si está ejecutando la actualización 11 o posterior, y tiene Controlador de agentes instalado en Windows 2012 o 2012 R2, activar el suite que se proporciona a continuación en estos Controladores de agentes:
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
Si el SQL Server está en el mismo sistema en el que se está instalando ePO, debe Seleccionar TLS 1.0 en la SChannel configuración, pero solo durante la instalación.
Importante: Una vez finalizada la instalación, se puede desactivar TLS 1.0 .
¿Es posible implementar una longitud mínima de bits para el intercambio de claves PKCS? Sí. Establezca el tamaño relevante en la clave de registro siguiente:
Nota: la actualización de ePO 5.10 10 y las versiones anteriores solo admiten un tamaño máximo de 2048 bits. Por lo tanto, no establezca este valor más alto que el decimal 2048 en el servidor de ePO y Controladores de agentes. Si necesita establecer este valor más alto, aplique 5.10 la actualización 11.
Información relacionada
NOTA:El contenido de KB91296 se ha integrado en este artículo, por lo que KB91296 ya no está disponible.
Consulte también los siguientes artículos relacionados:
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.