Rozšířené zabezpečení

Pomocí této možnosti aktivujete rozšířené zabezpečení komunikace mezi jednotlivými komponentami ESMC infrastruktury.

Co se po aktivace stane:

nově vytvářené certifikační autority a certifikáty budou podepsány SHA-256 algoritmem (místo SHA-1). Pro aplikování změn na celou vaši ESMC infrastrukturu je nutné vyměnit existující certifikáty.

ESMC Server bude pro komunikaci s agenty používat poslední verzi TLS protokolu (TLS 1.2).

TLS 1.2 se použije také pro komunikaci se syslog a SMTP serverem.

validation-status-icon-warning DŮLEŽITÉ

Nastavení se uplatní až po restartu služby ESMC Server.

Toto nastavení ovlivní nově vytvářené certifikační autority a vystavované certifikáty. Nemá vliv na již vystavené certifikáty a autority.

Níže uvádíme přehled operačních systémů, které podporují TLS 1.2:

Windows: Windows XP a novější, Windows Server 2003 a novější.

details_hoverPoznámka:

ESET Management Agent 7 používá vlastní SSL modul, který zajišťuje funkčnost TLS 1.2 i na starších operačních systémech (Windows X/ a Windows Server 2003).

Linux: Ubuntu 12.04 a novější, RHEL/CentOS 6 a novější, Debian 7.0 a novější.

validation-status-icon-warning DŮLEŽITÉ

Nainstalované OpenSSL minimálně ve verzi openssl-1.0.1e-30. OpenSSL 1.1.* a novější není podporováno. Kompatibilitu na linuxu ověříte níže uvedeným příkazem:
openssl s_client -connect google.com:443 -tls1_2

OS X 10.9 a novější.

 

Jak zapnout a vynutit rozšířené zabezpečení?

Před aktivací této funkce se ujistěte, že všichni klienti ve vaší síti podporují protokol TLS 1.2 (viz poznámku výše). Tento proces vyžaduje dva restarty služby ESMC Server.

Pomocí níže uvedených kroků zapnete a vynutíte rozšířené zabezpečení:

1.V hlavním menu ESMC Web Console přejděte do sekce Další > Nastavení serveru a pomocí přepínače aktivujte možnost Rozšířené zabezpečení (vyžaduje restart!).

2.Nastavení uložte kliknutím na tlačítko Uložit.

3.Odhlaste se a restartujte službu ESMC Server.

4.Vyčkejte několik minut na spuštění služby a znovu se přihlaste do konzole.

5.Ověřte, zda se stále připojují všechny počítače a nevznikl žádný problém.

6.V hlavním menu ESMC Web Console přejděte do sekce Další > Certifikační autority. Klikněte na tlačítko Nová a vytvořte novou certifikační autoritu. Veřejný klíč certifikační autority se automaticky zašle všech agentům při dalším připojení k serveru.

7.Vytvořte nové klientské certifikáty a podepište se je nově vytvořenou certifikační autoritou. Minimálně budete potřebovat certifikát pro agenty a server (odpovídající produkt vyberte v rozbalovacím menu při vytváření certifikátu).

8.Vyměňte certifikát, který používá ESMC Server.

9.Vytvořte politiku pro ESET Management Agenta, ve kterém vyberte nový certifikát

a.V konfigurační šabloně v sekci Připojení klikněte na Změnit certifikát. V zobrazeném dialogovém okně klikněte na Otevřít seznam certifikátů a vyberte nový certifikát.

b.V sekci Přiřadit vyberte počítače, na kterých chcete vynutit rozšířené zabezpečení (například vyberte nejnadřazenější statickou skupinu Všechna zařízení).

c.Politiku uložte kliknutím na tlačítko Dokončit.

10. Až budou všechna zařízení používat nový certifikát, můžete odstranit původní certifikační autoritu a zamítnout certifikáty.

validation-status-icon-warning DŮLEŽITÉ

Pokud jste Rozšířené zabezpečení pouze aktivovali a certifikát zatím změnili jen na části klientů, původní certifikační autoritu neodstraňujte, ani původní certifikáty nezamítejte. V opačném případě se klienti přestanou připojovat.

Rozšířené zabezpečení na systémech s MDM

Výše uvedené kroky ovlivní pouze komunikaci mezi ESMC Serverem a MDM Serverem. Komunikace mezi MDM Serverem  a mobilními zařízeními nebude dotčena. Pro vynucení rozšířeného zabezpečení uvnitř komponenty a komunikaci s mobilními zařízeními vytvořte nový certifikát pro MDM a Proxy, které podepište novou autoritou a aplikujte je prostřednictvím politiky:

V politice pro ESET Mobile Device Connector v sekci Obecné > HTTPS certifikát. Vyberte nový MDM certifikát.

V politice pro ESET Mobile Device Connector v sekci Agenti > Certifikát vyberte nový certifikát Proxy.