Повышенная безопасность

Используйте этот параметр, чтобы включить повышенную безопасность сетевого подключения компонентов ESMC.

Повышенная безопасность обеспечивает следующие функции:

Недавно созданные сертификаты и центры сертификации будут использовать SHA-256 (вместо SHA-1). Чтобы применить повышенную безопасность к существующей инфраструктуре ESMC, необходимо заменить существующие сертификаты.

ESMC Server использует последнюю версию TLS (TLS 1.2) для связи с агентами.

Включение повышенной безопасности обеспечивает использование TLS 1.2 для Syslog и SMTP-связи.

validation-status-icon-warning ВАЖНО!

После включения повышенной безопасности необходимо перезагрузить ESMC Server, чтобы настройка вступила в силу.

Повышенная безопасность не применяется к существующим центрам сертификации и сертификатам. После включения повышенная безопасность устанавливается только для новых ЦС и сертификатов.

Минимальные требования к совместимости:

Windows: Windows XP или более поздняя версия, Windows Server 2003 или более поздняя версия.

details_hoverПРИМЕЧАНИЕ.

Агент ESET Management 7 содержит собственный модуль SSL, который позволяет использовать TLS 1.2 даже на старых операционных системах (Windows XP и Windows Server 2003).

Linux: Ubuntu 12.04 и более поздние версии, RHEL/CentOS 6 и более поздние версии, Debian 7.0 и более поздние версии.

validation-status-icon-warning ВАЖНО!

Минимальная поддерживаемая версия OpenSSL для Linux: openssl-1.0.1e-30. OpenSSL 1.1.* и более поздние версии не поддерживаются. Вы можете проверить совместимость своего Linux-клиента с помощью следующей команды:
openssl s_client -connect google.com:443 -tls1_2

OS X 10.9 и более поздние версии.

 

Как включить и применить повышенную безопасность в сети

Перед включением этой функции убедитесь, что все клиентские компьютеры могут взаимодействовать через TLS 1.2 (см. прим. выше). Процедура содержит два перезапуска службы ESMC Server.

Для включения и применения повышенной безопасности выполните следующие действия:

1.Перейдите в меню Дополнительно > Параметры сервера и щелкните ползунок рядом с Повышенная безопасность (требуется перезагрузка).

2.Нажмите Сохранить для применения настройки.

3.Закройте консоль и перезапустите службу ESMC Server.

4.Подождите несколько минут после запуска службы и войдите в веб-консоль.

5.Проверьте, все ли компьютеры все еще подключены и не возникло ли никаких других проблем.

6.Перейдите в меню Дополнительно > Центр сертификации > Создать и создайте новый центр сертификации. Новый ЦC автоматически отправляется на все клиентские компьютеры во время следующего соединения агент–сервер.

7.Создайте новые сертификаты узлов, подписанные с этим новым ЦC. Создайте сертификат для агента и сервера (вы можете выбрать его в раскрывающемся меню Продукт в мастере).

8.Измените текущий сертификат ESMC Server для нового сервера.

9.Создайте новую политику агента ESET Management, чтобы настроить агенты для использования нового сертификата агента.

a.В разделе Подключение щелкните Сертификат > Открыть список сертификатов и выберите новый сертификат узла.

b.Назначьте политику компьютерам, на которых вы хотите использовать повышенную безопасность.

c.Нажмите кнопку Готово.

10. Когда все устройства подключаются к новому сертификату, можно удалить старые ЦC и отозвать старые сертификаты.

validation-status-icon-warning ВАЖНО!

Не удаляйте старый ЦC или не отменяйте старые сертификаты, если вы применяли повышенную безопасность только на некоторых (и не на всех) подключенных клиентских компьютерах.

Повышенная безопасность безопасность на системах с установленным MDM

Этот параметр влияет только на связь между ESMC Server и сервером MDM. Связь между сервером MDM и мобильными устройствами не будет затронута. Чтобы применить повышенную безопасность к компоненту MDM, создайте новые сертификаты MDM и прокси-сервера, подписанные новым ЦС, и назначьте их с помощью политики на сервер MDM следующим образом:

Политика средства подключения для мобильных устройств ESET > Общие > Сертификат HTTPS. Импортируйте новый сертификат MDM.

Политика ESET Mobile Device Connector > Подключение > Сертификат = Сертификат прокси-сервера.