A indústria da segurança cibernética nunca descansa, e não há melhor momento do que agora para enxergar isso como uma vantagem e um catalisador para o empoderamento dos negócios.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Conteúdo:
Clique para expandir as seção que deseja exibir:
O ePO 5.10 tem vários componentes que interagem entre si usando comunicações criptografadas TLS. Os componentes primários são os abaixo:
Serviço Servidor de aplicativos do ePO (também conhecido como Tomcat)
Serviço do servidor ePO (também conhecido como Apache)
O ePO Manipulador de agentes serviço em um manipulador de agentes remoto (Apache)
Serviço Analisador de eventos do ePO (Eventparser)
SQL Server instância que hospeda os bancos de dados do ePO
Alguns desses componentes agem apenas como servidores (eles aceitam somente conexões de entrada). A SQL Server é um exemplo.
Alguns componentes agem como servidores e clientes (ambos aceitam conexões de entrada e fazem conexões de saída). O serviço de ou Manipulador de agentes servidor ePO é um exemplo. Ambas aceitam conexões de entrado McAfee Agentes em sistemas clientes e também fazem conexões de saída com o serviço de servidor de aplicativos ePO e o SQL Server.
Uma comunicação TLS tem vários parâmetros configuráveis, como protocolo, criptografia,hash função, resumo de chave e pacote de criptografia. Para que a comunicação seja bem-sucedida, o cliente que inicia a conexão e o servidor que a recebe precisa ser capaz de concordar com um conjunto de parâmetros que ambos suportam.
Windows sistemas usam um Security Support Provider (SSP) chamado para SChannel implementar conexões TLS. Vários componentes do ePO usam esse SSP para algumas de suas conexões. Assim, suas conexões TLS são controladas SChannel pelas Configurações do sistema em que estão presentes. Estas conexões são as seguinte:
SQL Server para conexões de entrada
Serviço do servidor ePO para conexões de saída
Serviço de Manipulador de agentes ePO para conexões de saída
Serviço Analisador de eventos do ePO para conexões de saída
O serviço Servidor de aplicativos do ePO para algumas conexões de saída para epo.trellix.com e s-download.trellix.com.
Para que o ePO funcione corretamente, todos os componentes devem ser capazes de negociar com êxito uma conexão TLS, o que, por sua vez, SChannel significa que as configurações de todos os computadores envolvidos devem estar corretas.
As SChannel configurações são configuradas de duas maneiras: por configurações do Registro, que são o método mais comum, ou por grupo Política. É importante observar que as configurações Política group Política têm precedência sobre as configurações do Registro, portanto, SChannel é impossível determinar as configurações examinando o Registro. Em vez disso, para uma resposta definitiva, faça a varredura do computador e da porta relevantes usando a ferramenta NMAP. Para obter detalhes, consulte KB91115 - Como usar a ferramenta 'nmap' para determinar quais protocolos e suítes de criptografia estão em uso em um ambiente do ePolicy Orchestrator.
Para definir as SChannel configurações usando o Registro, é possível editar o Registro diretamente. Um método mais conveniente é usar a ferramenta IISCryptodo Nartac Software. Essa ferramenta é um editor de Registro avançado que se concentra nas SChannel entradas do Registro.
O serviço Servidor de aplicativos do ePO é compatível com apenas um número limitado de suítes de criptografia TLS. Como as conexões TLS requerem o mesmo pacote de criptografia para serem suportadas no cliente e no servidor, SChannel as configurações são limitadas aos mesmos suítes de criptografia. Estas configurações são as seguinte:
Para ePO 5.10 Atualização 10 e versões anteriores
Para conexões de saída para o SQL Server, o Tomcat oferece suporte aos seguintes três pacote de criptografia:
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
No SQL Server que hospeda o banco de dados do ePO, pelo menos um desses suítes deve estar ativado nas SChannel configurações. Isso inclui instalações em que o SQL está no mesmo computador que o ePO.
Para conexões de entrada do serviço ePO Server e do serviço de Manipulador de agentes ePO, o Tomcat é compatível com os quatro suítes de criptografia listados abaixo:
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
No computador em que o ePO está instalado e em qualquer manipulador de agentes remoto, pelo menos um desses suítes de criptografia deve estar ativado nas SChannel configurações.
Para ePO 5.10 CU 11 e posterior
Para conexões de saída para o SQL Server, o Tomcat é compatível com os seguintes suítes de criptografia:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
No SQL Server que hospeda o banco de dados do ePO, pelo menos um desses suítes SChannel settings. deve estar ativado no. Isso inclui instalações nas quais o SQL está no mesmo computador que o ePO.
Para conexões de entrada do serviço ePO Server e do serviço de Manipulador de agentes ePO, o Tomcat é compatível com os quatro suítes de criptografia listados abaixo:
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
No computador em que o ePO está instalado e em qualquer manipulador de agentes remoto, pelo menos um desses pacote de criptografia deve estar ativado nas configurações de SChannel.
Finalmente, o Tomcat precisa ser capaz de acessar os sitesde epo.trellix.com e s-download.trellix.com que fornecem a funcionalidade Software Catalog. Atualmente, esses sites oferecem os seguintes suítes:
epo.trellix.com:
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_3DES_EDE_CBC_SHA
s-download.trellix.com:
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
O Tomcat usa as configurações de SChannel no computador no qual o ePO está instalado para estabelecer conexões com esses sites, portanto, pelo menos um pacote para cada site deve ser ativado nas configurações de SChannel.
Com essas informações, agora você pode especificar as Configurações SChannel necessárias para que o ePO funcione corretamente. Essas configurações são classificadas em três grupos:
Absolute configurações mínimas
Configurações mínimas recomendadas
Melhores configurações de compatibilidade
As configurações abaixo são o mínimo absoluto necessário para o funcionamento do ePO.
AVISO: Essas configurações são apenas para uma instalação padrão do ePO. Não há garantia de que essas configurações são compatíveis com extensões de produto gerenciado adicionais. Exemplos são fornecidos abaixo:
Threat Intelligence Exchange (TIE)
Data Exchange Layer (DXL)
Content Security Reporter (CSR)
Quaisquer extensões de terceiros
Essas configurações não são categorizicamente recomendadas para um ambiente de produção do ePO.
Para a atualização 10 do ePO 5.10 e versões anteriores
No servidor ePO
Protocolos
TLS 1.2
Cifras
AES128/128
AES256/256
Hashes
SHA
SHA256
Trocas de chaves
PKCS - consulte a entrada Comprimento da chave PKCS na lista "Notes" seção abaixo
ECDH
Suítes de criptografia
Um dos três seguintes suítes:
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
E um dos quatro seguintes suítes:
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
E um dos quatro seguintes suítes:
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
No SQL Server que hospeda o banco de dados do ePO
OBSERVAÇÃO: também se aplica se o SQL Server estiver no mesmo computador que o ePO:
PKCS - see PKCS Key Length entry in the "Notes" section below
ECDH
Suítes de criptografia
Os mesmos dois suítes ativados no servidor ePO
Para ePO 5.10 Atualização 11 e posterior
O suporte ao pacote de criptografias revisado fornecido na atualização 11 do ePO 5.10 significa que é possível ter apenas um único pacote ativado no servidor ePO, no SQL Server e nos Manipuladores de agentes, e um pacote adicional ativado no servidor ePO para a funcionalidade do catálogo Software. O pacote de criptografia real escolhido depende do sistema operacional em uso.
No servidor ePO, o SQL Server o banco de dados do ePO e quaisquer Manipuladores de agentes (AHs)
adicionais
OBSERVAÇÃO: também se aplica se o SQL Server estiver no mesmo computador que o ePO.
OBSERVAÇÃO:: Se você tiver algum Manipulador de agentes instalado no Windows 2012, ou 2012 R2, ative o pacote abaixo nos Manipuladores de agentes:
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
Abaixo estão as configurações recomendadas para a melhor compatibilidade com outros aplicativos.
The Nartac IISCrypto A ferramenta fornece vários modelos que permitem a aplicação SChannel fácil de várias configurações diferentes. O modelo de Práticas recomendadas segue os padrões da indústria e funciona bem em ambientes ePO. Se você não precisar das configurações específicas detalhadas acima, recomendamos aplicar o modelo de Práticas recomendadas ao servidor ePO, SQL Server e qualquer Manipulador de agentes adicional.
OBSERVAÇÃO:: Se você estiver executando a atualização 11 ou posteriormente e tiver algum Manipulador de agentes instalado no Windows 2012 ou 2012 R2, ative o pacote fornecido abaixo nestes Manipuladores de agentes:
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
Se o SQL Server estiver no mesmo sistema em que o ePO está sendo instalado, você deverá ativar o TLS 1.0SChannel nas Configurações, mas somente durante a instalação.
IMPORTANTE:: Quando a instalação for concluída, o TLS 1.0 poderá ser desativado.
Relacionados artigo: KB90874 - FALHA: Falha na conexão com o SQL Server (falha na ou upgrade instalação do ePO.
Se o SQL Server estiver TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 configurado para dar suporte somente ao pacote de criptografia para conexões de entrada do serviço servidor de aplicativos do ePO, uma etapa adicional será necessária durante o processo de instalação.
Resolução: Consulte a solução alternativa 1 em KB91304 - AVISO: o cliente gerou um alerta de internal_error(80) fatal: Falha ao ler o registro.
É possível impor um comprimento mínimo de bit para a troca de chaves PKCS? Sim. De acordo com o tamanho relevante na chave de Registro abaixo:
OBSERVAÇÃO: ePO 5.10 atualização 10 e versões anteriores são suportadas apenas pelo tamanho máximo de 2.048 bits. Portanto, não de definição desse valor maior que 2.048 decimais nos servidor ePO e Manipuladores de agentes. Se for necessário definir esse valor mais alto, aplique a 5.10 Atualização 11.
Informações relacionadas
NOTA:O conteúdo de KB91296 foi integrado a este artigo, portanto, KB91296 não está mais disponível.
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.