Téléchargez le rapport Magic Quadrant de Gartner, qui évalue 18 fournisseurs selon des critères tels que la vision complète et la capacité de mise en œuvre.
Selon Gartner, « le XDR est une technologie émergente capable de renforcer l'efficacité de la prévention, de la détection et de la neutralisation des menaces ».
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Conditions requises liées au protocole TLS, à la suite de chiffrement et au canal SChannel pour ePolicy Orchestrator 5.10
Articles techniques ID:
KB91519
Date de la dernière modification : 2023-02-02 16:22:43 Etc/GMT
Environnement
ePolicy Orchestrator (ePO)5.10.x
Synthèse
Contenu:
Cliquez pour développer la section à afficher:
ePO 5.10 comporte plusieurs composants qui interagissent les uns avec les autres à l’aide des communications chiffrées TLS. Les composants principaux sont les suivants:
Service Serveur d’applications ePO (également appelé Tomcat)
Service Serveur ePO (également appeléApache)
Service Gestionnaire d’agents ePO sur un gestionnaire d'agents distant (Apache)
Service Analyseur d’événements ePO (Eventparser)
SQL Server instance qui héberge les bases de données ePO
Certains de ces composants servent uniquement de serveurs (ils n’acceptent que les connexions entrantes). La SQL Server en est un exemple.
Certains composants servent à la fois de serveurs et de clients (ils acceptent tous les deux les connexions entrantes et effectuent des connexions sortantes). Le service Serveur ePO ou le service Gestionnaire d’agents en est un exemple. Tous deux acceptent les connexions entrantes des agents McAfee sur les systèmes clients, tout comme les connexions sortantes vers le service serveur d’applications ePO et les SQL Server.
Une communication TLS comporte plusieurs paramètres configurables, tels que le protocole, le chiffrement, la fonction de hachage, le résumé de clé et la suite de chiffrement. Pour que la communication réussisse, le client qui lance la connexion et le serveur qui la reçoit doivent être en mesure d’accepter un ensemble de paramètres pris en charge par chacun d’eux.
Windows systèmes utilisent un Security Support Provider (SSP) appel pour SChannel mettre en œuvre des connexions TLS. Plusieurs composants d’ePO utilisent ce SSP pour certaines de leurs connexions. Ainsi, leurs connexions TLS sont contrôlées via les SChannel paramètres du système sur lequel elles sont présentes. Ces connexions sont les suivantes:
SQL Server pour les connexions entrantes
Service Serveur ePO pour les connexions sortantes
Service de gestionnaire d’agents ePO pour les connexions sortantes
Service Analyseur d’événements ePO pour les connexions sortantes
Le service Serveur d’applications ePO pour certaines connexions sortantes vers epo.t antivirus.com et s-download.trellix.com.
Pour qu’ePO fonctionne correctement, tous les composants doivent être en mesure de négociation d’une connexion TLS, ce qui signifie que les SChannel paramètres de tous les ordinateurs concernés doivent être corrects.
Pour configurer les paramètres à l’aide SChannel du Registre, il est possible de le modifier directement. La méthode la plus pratique consiste à utiliser l’outil IISCryptodu logiciel Nartac. Cet outil est un éditeur de Registre avancé qui se focalise sur les entrées de SChannel Registre.
Le service Serveur d’applications ePO ne prend en charge qu’un nombre limité de suites de chiffrement TLS. Etant donné que les connexions TLS nécessitent que les mêmes suites de chiffrement soient prises en charge à la fois sur le client et le serveur, les SChannel paramètres sont limités aux mêmes suites de chiffrement. Ces paramètres sont les suivants:
Pour ePO 5.10 Mise à jour 10 et antérieures
Pour les connexions sortantes vers le SQL Server, Tomcat prend en charge les trois suites de chiffrement suivantes:
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Sur la SQL Server hébergeant la base de données ePO, au moins l’une de ces suites doit être activée dans les SChannel paramètres. Cela inclut les installations où SQL se trouve sur le même ordinateur qu’ePO.
Pour les connexions entrantes à partir du service Serveur ePO et du service Gestionnaire d’agents ePO, Tomcat prend en charge les quatre suites de chiffrement répertoriées ci-dessous:
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
Sur l’ordinateur sur lequel ePO est installé et sur tous les gestionnaires d’agents distants, au moins l’une de ces suites de chiffrement doit être activée dans les SChannel paramètres.
Pour ePO 5.10 CU 11 et versions ultérieures
Pour les connexions sortantes vers le SQL Server, Tomcat prend en charge les suites de chiffrement suivantes:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
Sur le SQL Server hébergeant la base de données ePO, au moins l’une de ces suites doit être activée dans le champ Cela inclut les SChannel settings. installations où SQL se trouve sur le même ordinateur qu’ePO.
Pour les connexions entrantes à partir du service Serveur ePO et du service Gestionnaire d’agents ePO, Tomcat prend en charge les quatre suites de chiffrement répertoriées ci-dessous:
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
Sur l’ordinateur sur lequel ePO est installé et sur tous les gestionnaires d’agents distants, au moins l’une de ces suites de chiffrement doit être activée dans les paramètres SChannel.
Enfin, Tomcat doit pouvoir accéder aux sites epo.trellix.com et s-download.trellix.com qui fournissent la fonctionnalité catalogue de logiciels. Actuellement, ces sites offrent les suites suivantes:
epo.trellix.com:
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_3DES_EDE_CBC_SHA
s-download.trellix.com:
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
Tomcat utilise les paramètres SChannel sur l’ordinateur sur lequel ePO est installé pour établir des connexions à ces sites, de sorte qu’au moins une suite pour chaque site doit être activée dans les paramètres SChannel.
Grâce à ces informations, vous pouvez désormais spécifier les SChannel paramètres nécessaires au bon fonctionnement d’ePO. Ces paramètres sont classés en trois groupes:
Absolute paramètres minimum
Paramètres minimum recommandés
Paramètres de compatibilité optimaux
Les paramètres ci-dessous correspondent au minimum requis pour le fonctionnement d’ePO.
AVERTISSEMENT: Ces paramètres concernent uniquement une installation par défaut d’ePO. Il n’existe aucune garantie que ces paramètres sont compatibles avec les extensions de produits managés supplémentaires. Des exemples sont fournis ci-dessous:
Threat Intelligence Exchange (TIE)
Data Exchange Layer (DXL)
Content Security Reporter (CSR)
Toutes les extensions tierces
Ces paramètres uniquement sont pas recommandés dans un environnement ePO de production.
Pour la mise à jour 10 et antérieure d’ePO 5.10
Sur la serveur ePO
Protocoles
TLS 1.2
Chiffrement
AES128/128
AES256/256
Hachages
SHA
SHA256
Échanges de clés
PKCS - reportez-vous à l’entrée longueur de clé PKCS de la section « Notes » ci-dessous .
ECDH
Suites de chiffrement
L’une des trois suites suivantes:
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Et l’une des quatre suites suivantes:
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
Et l’une des quatre suites suivantes:
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
Sur le SQL Server hébergeant la base de données
ePO
REMARQUE: s’applique également si le SQL Server se trouve sur le même ordinateur qu’ePO:
Les deux mêmes suites qui sont activées sur la serveur ePO
Sur tous les gestionnaires d’agents supplémentaires
Protocoles
TLS 1.2
Chiffrement
AES128/128
AES256/256
Hachages
SHA
SHA256
Échanges de clés
PKCS - see PKCS Key Length entry in the "Notes" section below
ECDH
Suites de chiffrement
Les deux mêmes suites qui sont activées sur la serveur ePO
Pour ePO 5.10 Mise à jour 11 et ultérieures
La prise en charge révisée de la suite de chiffrement fournie dans la Mise à jour 11 d’ePO 5.10 signifie qu’il est possible d’activer une seule suite sur les serveur ePO, les gestionnaires d’SQL Server et d’agent, et une autre suite activée sur le serveur ePO pour la fonctionnalité catalogue de logiciels. La suite de chiffrement sélectionnée dépend du système d’exploitation utilisé.
Sur le serveur ePO, le SQL Server hébergeant la base de données ePO et tous les autres gestionnaires d’agents
REMARQUE: s’applique également si le SQL Server se trouve sur le même ordinateur qu’ePO.
NOTE: Si des gestionnaires d’agents sont installés le Windows 2012 ou 2012 R2, activez la suite ci-dessous sur les gestionnaires d’agents:
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
Vous trouverez ci-dessous les paramètres recommandés pour une meilleure compatibilité avec les autres applications.
The Nartac IISCrypto fournit plusieurs modèles qui permettent d’appliquer facilement plusieurs configurations différentes SChannel . Le modèle des meilleures pratiques suit les normes du secteur et fonctionne correctement dans les environnements ePO. Si vous n’avez pas besoin des paramètres spécifiques décrits ci-dessus, il est conseillé d’appliquer le modèle des meilleures pratiques aux serveur ePO, SQL Server et autres gestionnaires d’agents.
NOTE: Si vous exécutez la Mise à jour 11 ou ultérieure et que vous avez installé un gestionnaire d’agents sur Windows 2012 ou 2012 R2, activez la suite fournie ci-dessous sur ces gestionnaires d’agents:
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
Si le SQL Server se trouve sur le même système qu’ePO, vous devez activer TLS 1.0 dans paramètres SChannel , mais uniquement pendant l’installation.
IMPORTANT: Une fois l’installation terminée, TLS 1.0 peut être désactivé.
Est-il possible de mettre en œuvre une longueur minimale de bit pour l’échange de clés PKCS? Oui. Définissez la taille appropriée dans le clé de Registre ci-dessous:
REMARQUE: la mise à jour 10 ou antérieure d’ePO 5.10 prend uniquement en charge une taille maximale de 2 048 bits. Par conséquent, ne définissez pas cette valeur au-dessus de 2 048 décimales sur les serveur ePO et les gestionnaires d’agents. Si vous devez augmenter cette valeur, appliquez 5.10 la Mise à jour 11.
Informations connexes
REMARQUE : Le contenu de l’article KB91296 a été intégré à cet article. Par conséquent, KB91296 n’est plus disponible.
Consultez également les Articles connexes ci-dessous :
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.