進階安全性

開啟進階安全性,針對 ESMC 元件的網路通訊啟用此設定。

進階安全性包含這些功能:

新建立的憑證及憑證授權單位會使用 SHA-256 (而非 SHA-1)。若要在現有 ESMC 基礎架構中套用進階安全性,您需要取代現有的憑證。

ESMC 伺服器會使用 TLS 1.2 來與代理程式通訊。

啟用的進階安全性會強制使用 TLS 1.2 進行系統日誌與 SMTP 通訊。

important

重要

啟用進階安全性時,您需要重新啟動 ESMC 伺服器,才能開始使用此功能。

進階安全性不會影響現有的 CA 及憑證,只有在啟用進階安全性之後,才能建立新的 CA 及憑證。

如果您想要使用進階安全性,我們強烈建議您將之設定好,然後再匯入 MSP 帳戶。

最低相容性需求包括下列各項:

Windows:Windows XP 及更新版本、Windows Server 2003 及更新版本。

note

注意

ESET Management 代理程式 7.x 包含專屬的 SSL 模組,即使使用舊版作業系統 (Windows XP 及 Windows Server 2003) 也可啟用 TLS 1.2。

Linux:Ubuntu 12.04 及更新版本、RHEL/CentOS 6 及更新版本、Debian 7.0 及更新版本。

important

重要

最低支援的 OpenSSL for Linux 版本為 openssl-1.0.1e-30。我們建議您使用最新的 OpenSSL 版本 (1.1.1)。您可以使用下列命令來檢查 Linux 用戶端是否相容:
openssl s_client -connect google.com:443 -tls1_2

OS X 10.9 及更新版本。

如何在您的網路上啟用及套用進階安全性

啟用此功能之前,確定所有用戶端電腦都可以透過 TLS 1.2 通訊 (請參閱以上附註)。此程序包含兩次重新啟動 ESMC 伺服器服務。

遵循此程序以啟用及套用進階安全性:

1.瀏覽至 [其他] > [伺服器設定] > [連線],然後按一下 [進階安全性 (需要重新啟動!)] 旁的滑桿。

2.按一下 [儲存] 套用設定。

3.關閉主控台並重新啟動 ESMC 伺服器服務。

4.請在服務啟動後稍候幾分鐘,然後登入 Web 主控台。

5.檢查所有電腦是否仍然連線中,而且沒有其他問題發生。

6.請瀏覽至 [其他] > [憑證授權單位] > [新增],然後建立新的 CA。新的 CA 會在下一次代理程式與伺服器連線期間,自動傳送至所有用戶端電腦。

7.建立新的對等憑證 (以此新 CA 簽署)。為代理程式和伺服器建立憑證 (您可以在精靈中的 [產品] 下拉式功能表中選取)。

8.將您目前的 ESMC 伺服器憑證變更為新憑證。

9.建立新的 ESET Management代理程式原則,將您的代理程式設定為使用新的代理程式憑證。

a.[連線] 區段中,按一下 [憑證] > [開啟憑證清單],然後選取新的對等憑證。

b.將原則指派給您要使用進階安全性的電腦。

c.按一下 [完成] 即可套用。

10. 當所有裝置都與新憑證連線時,您可以刪除舊 CA撤銷舊憑證

important

重要

如果您只在某些 (而非全部) 連線的用戶端電腦上套用 [進階安全性],請勿刪除舊 CA 或撤銷舊憑證。

已安裝 MDM 之系統上的進階安全性

此設定只會影響 ESMC 伺服器與 MDM 伺服器之間的通訊。MDM 伺服器與行動裝置之間的通訊不受影響。若要將進階安全性套用至 MDM 元件,請建立由新的 CA 所簽署的新 MDM 和 Proxy 憑證,並透過原則將這些憑證指派給 MDM 伺服器,如下所示:

ESET 行動裝置連接器原則 > 一般 > HTTPS 憑證。匯入新的 MDM 憑證。

ESET Mobile Device Connector 原則 > 連線 > 憑證 = Proxy 憑證。