Rozšířené zabezpečení

Pomocí této možnosti aktivujete rozšířené zabezpečení komunikace mezi jednotlivými komponentami ESMC infrastruktury.

Co se po aktivace stane:

nově vytvářené certifikační autority a certifikáty budou podepsány SHA-256 algoritmem (místo SHA-1). Pro aplikování změn na celou vaši ESMC infrastrukturu je nutné vyměnit existující certifikáty.

ESMC Server bude pro komunikaci s agenty používat protokol TLS 1.2.

TLS 1.2 se použije také pro komunikaci se syslog a SMTP serverem.

important

Důležité

Nastavení se uplatní až po restartu služby ESMC Server.

Toto nastavení ovlivní nově vytvářené certifikační autority a vystavované certifikáty. Nemá vliv na již vystavené certifikáty a autority.

Pokud chcete využívat Rozšířené zabezpečení, doporučujeme jej aktivovat před importováním MSP účtu.

Níže uvádíme přehled operačních systémů, které podporují TLS 1.2:

Windows: Windows XP a novější, Windows Server 2003 a novější.

note

Poznámka

ESET Management Agent 7.x používá vlastní SSL modul, který zajišťuje funkčnost TLS 1.2 i na starších operačních systémech (Windows XP a Windows Server 2003).

Linux: Ubuntu 12.04 a novější, RHEL/CentOS 6 a novější, Debian 7.0 a novější.

important

Důležité

Minimální podporována verze OpenSSL je openssl-1.0.1e-30. Doporučujeme vždy používat nejnovější verzi OpenSSL (1.1.1). Kompatibilitu na linuxu ověříte níže uvedeným příkazem:
openssl s_client -connect google.com:443 -tls1_2

OS X 10.9 a novější.

Jak zapnout a vynutit rozšířené zabezpečení?

Před aktivací této funkce se ujistěte, že všichni klienti ve vaší síti podporují protokol TLS 1.2 (viz poznámku výše). Tento proces vyžaduje dva restarty služby ESMC Server.

Pomocí níže uvedených kroků zapnete a vynutíte rozšířené zabezpečení:

1.V hlavním menu ESMC Web Console přejděte do sekce Další > Nastavení serveru a pomocí přepínače aktivujte možnost Rozšířené zabezpečení (vyžaduje restart!).

2.Nastavení uložte kliknutím na tlačítko Uložit.

3.Odhlaste se a restartujte službu ESMC Server.

4.Vyčkejte několik minut na spuštění služby a znovu se přihlaste do konzole.

5.Ověřte, zda se stále připojují všechny počítače a nevznikl žádný problém.

6.V hlavním menu ESMC Web Console přejděte do sekce Další > Certifikační autority. Klikněte na tlačítko Nová a vytvořte novou certifikační autoritu. Veřejný klíč certifikační autority se automaticky zašle všech agentům při dalším připojení k serveru.

7.Vytvořte nové klientské certifikáty a podepište je nově vytvořenou certifikační autoritou. Minimálně budete potřebovat certifikát pro agenty a server (odpovídající produkt vyberte v rozbalovacím menu při vytváření certifikátu).

8.Vyměňte certifikát, který používá ESMC Server.

9.Vytvořte politiku pro ESET Management Agenta, ve kterém vyberte nový certifikát agenta.

a.V konfigurační šabloně v sekci Připojení klikněte na Změnit certifikát. V zobrazeném dialogovém okně klikněte na Otevřít seznam certifikátů a vyberte nový certifikát.

b.V sekci Přiřadit vyberte počítače, na kterých chcete vynutit rozšířené zabezpečení (například vyberte nejnadřazenější statickou skupinu Všechna zařízení).

c.Politiku uložte kliknutím na tlačítko Dokončit.

10. Až budou všechna zařízení používat nový certifikát, můžete odstranit původní certifikační autoritu a zamítnout certifikáty.

important

Důležité

Certifikační autority neodstraňujte, a certifikáty nezamítejte, dříve než budou všichni klienti používat nový certifikát. V opačném případě dojde k rozpadnutí komunikace.

Rozšířené zabezpečení na systémech s MDM

Výše uvedené kroky ovlivní pouze komunikaci mezi ESMC Serverem a MDM Serverem. Komunikace mezi MDM Serverem  a mobilními zařízeními nebude dotčena. Pro vynucení rozšířeného zabezpečení uvnitř komponenty a komunikaci s mobilními zařízeními vytvořte nový certifikát pro MDM a Proxy, které podepište novou autoritou a aplikujte je prostřednictvím politiky:

V politice pro ESET Mobile Device Connector v sekci Obecné > HTTPS certifikát vyberte nový MDM certifikát, případně importujte vlastní.

V politice pro ESET Mobile Device Connector v sekci Připojení > Certifikát vyberte nový certifikát Proxy.