Erweiterte Sicherheit

Aktivieren Sie die erweiterte Sicherheit, um diese Einstellung für die Netzwerkkommunikation von ESMC-Komponenten zu aktivieren.

Die erweiterte Sicherheit umfasst die folgenden Funktionen:

Neu erstellte Zertifikate und Zertifizierungsstellen verwenden SHA-256 (anstelle von SHA-1). Um die erweiterte Sicherheit in der vorhandenen ESMC-Infrastruktur anzuwenden, müssen Sie die vorhandenen Zertifikate ersetzen.

ESMC Server verwendet die neueste TLS-Version (TLS 1.2) für die Kommunikation mit den Agenten.

Die erweiterte Sicherheit erzwingt die Verwendung von TLS 1.2 für die Syslog- und SMTP-Kommunikation.

validation-status-icon-warning WICHTIG

Wenn Sie die erweiterte Sicherheit aktivieren, müssen Sie den ESMC Server neu starten, um die Funktion nutzen zu können.

Die erweiterte Sicherheit wirkt sich nicht auf vorhandene ZS und Zertifikate aus, sondern nur auf ZS und Zertifikate, die nach dem Aktivieren dieser Option erstellt werden.

Mindestanforderungen für die Kompatibilität:

Windows: Windows XP und neuer, Windows Server 2003 und neuer.

details_hoverHINWEIS

Der ESET Management Agent 7 enthält ein eigenes SSL-Modul, um TLS 1.2 auf älteren Betriebssystemen zu unterstützen (Windows XP und Windows Server 2003).

Linux: Ubuntu 12.04 und neuer, RHEL/CentOS 6 und neuer, Debian 7.0 und neuer.

validation-status-icon-warning WICHTIG

Die niedrigste unterstützte Version von openSSL für Linux ist openssl-1.0.1e-30. OpenSSL 1.1.* und neuere Versionen werden nicht unterstützt. Mit dem folgenden Befehl können Sie überprüfen, ob Ihr Linux-Client kompatibel ist:
openssl s_client -connect google.com:443 -tls1_2

OS X 10.9 und neuer.

 

Aktivieren und Anwenden der erweiterten Sicherheit in Ihrem Netzwerk

Bevor Sie diese Funktion aktivieren, müssen Sie sicherstellen, dass sämtliche Clientcomputer über TLS 1.2 kommunizieren können (siehe Hinweis oben). Bei dieser Prozedur wird der ESMC Server-Dienst zweimal neu gestartet.

Gehen Sie wie folgt vor, um die erweiterte Sicherheit zu aktivieren und anzuwenden:

1.Navigieren Sie zu Mehr > Servereinstellungen und klicken Sie auf den Schieberegler neben Erweiterte Sicherheit (Neustart erforderlich!).

2.Klicken Sie auf Speichern, um die Einstellung zu übernehmen.

3.Schließen Sie die Konsole und starten Sie den ESMC Server-Dienst neu.

4.Warten Sie einige Minuten, bis der Dienst gestartet wurde, und melden Sie sich anschließend bei der Web-Konsole an.

5.Vergewissern Sie sich, das sich alle Computer weiterhin verbinden, und dass keine sonstigen Probleme aufgetreten sind.

6.Navigieren Sie zu Mehr > Zertifizierungsstellen > Neu und erstellen Sie eine neue ZS. Die neue ZS wird beim nächsten Verbindungsaufbau zwischen Agent und Server automatisch an alle Clientcomputer übertragen.

7.Erstellen Sie neue Peerzertifikate, die von dieser neuen ZS signiert sind. Erstellen Sie ein Zertifikat für den Agenten und für den Server (Wählen Sie die entsprechende Option im Dropdownmenü Produkt im Assistenten aus).

8.Ersetzen Sie Ihr aktuelles ESMC Server-Zertifikat durch das neue Zertifikat.

9.Erstellen Sie eine neue ESET Management Agent-Policy, um Ihre Agenten für die Verwendung des neuen Agenten-Zertifikats zu konfigurieren.

a.Klicken Sie im Bereich Verbindung auf Zertifikat > Zertifikatliste öffnen und wählen Sie das neue Peerzertifikat aus.

b.Weisen Sie die Policy zu den Computern zu, auf denen Sie die erweiterte Sicherheit verwenden möchten.

c.Klicken Sie auf Fertig stellen, um die Änderungen zu übernehmen.

10. Wenn sich alle Geräte mit dem neuen Zertifikat verbinden, können Sie Ihre alte ZS löschen und Ihre alten Zertifikate widerrufen.

validation-status-icon-warning WICHTIG

Falls Sie die erweiterte Sicherheit nur auf einem Teil der verbundenen Clientcomputer angewendet haben, dürfen Sie Ihre alte ZS auf keinen Fall löschen oder die alten Zertifikate widerrufen.

Erweiterte Sicherheit auf Systemen mit installiertem MDM

Diese Einstellung wirkt sich nur auf die Kommunikation zwischen ESMC Server und MDM Server aus. Die Kommunikation zwischen MDM Server und Mobilgeräten ist nicht betroffen. Um die erweiterte Sicherheit für die MDM-Komponente anzuwenden, erstellen Sie neue MDM- und Proxyzertifikate, die von der neuen ZS signiert sind, und weisen Sie sie wie folgt mit einer Policy zum MDM Server zu:

Policy „ESET-Connector für Mobilgeräte“ > Allgemein > HTTPS-Zertifikat. Importieren Sie das neue MDM-Zertifikat.

Policy ESET Mobile Device Connector > Verbindung > Zertifikat = Proxyzertifikat.