La sécurité renforcée comprend des communications réseau sécurisées entre les composants ESET PROTECT :
•Les certificats et les autorités de certification utilisent SHA-256 (au lieu de SHA-1).
•Le serveur ESET PROTECT utilise la sécurité la plus élevée possible (TLS 1.3 ou 1.2) pour les communications avec les agents et les communications SMTP et Syslog.
•Utilisateurs MDM : ESET PROTECT Server utilise TLS 1.2 pour les communications avec le serveur MDM. Il n'y aura aucun impact sur les communications entre le serveur MDM et les appareils mobiles.
La sécurité renforcée fonctionne avec tous les systèmes d’exploitation pris en charge :
•Windows
•Linux : Il est recommandé d'utiliser la dernière version de OpenSSL1.1.1. La gestion des appareils mobiles/ESET PROTECT Server ne prennent pas en charge OpenSSL 3.x. ESET Management Agent prend en charge OpenSSL 3.x. La version minimale d'OpenSSL prise en charge pour Linux est openssl-1.0.1e-30. D'autres versions d'OpenSSL peuvent être installées simultanément sur un même système. Au moins une version prise en charge doit être présente sur votre système.
oUtilisez la commande openssl version pour afficher la version par défaut actuelle.
oVous pouvez répertorier toutes les versions d'OpenSSL présentes sur votre système. Affichez les fins des noms de fichier à l'aide de la commande sudo find / -iname *libcrypto.so*
oVous pouvez vérifier si le client Linux est compatible à l'aide de la commande suivante : openssl s_client -connect google.com:443 -tls1_2
•macOS
|
|
La sécurité renforcée est activée par défaut dans toutes les nouvelles installations d'ESET PROTECT 8.1 et versions ultérieures.
Si vous utilisez ESMC ou ESET PROTECT 8.0 avec la sécurité avancée désactivée et que vous souhaitez effectuer une mise à niveau vers ESET PROTECT 8.1 et versions ultérieures, la sécurité avancée reste désactivée. Il est recommandé de l’activer en suivant les étapes ci-après.
|
Activer et appliquer la sécurité renforcée sur le réseau
|
|
•Lorsque vous activez la sécurité renforcée, vous devez redémarrer ESET PROTECT Server pour commencer à utiliser cette fonctionnalité.
•La sécurité renforcée ne s'applique pas aux autorités de certification et aux certificats déjà existants. Elle ne s'applique qu'aux nouvelles autorités de certification et aux nouveaux certificats créés après son activation. Pour appliquer la sécurité renforcée dans l’infrastructure ESET PROTECT actuelle, vous devez remplacer les certificats existants.
•Si vous souhaitez utiliser la sécurité avancée, il est vivement recommandé de la configurer avant d'importer le compte MSP. |
1.Cliquez sur Autres > Paramètres > Connexion, puis cliquez sur le bouton bascule en regard de l'option Sécurité renforcée r (nécessite un redémarrage de l’ordinateur).
2.Cliquez sur Enregistrer pour appliquer le paramètre.
3.Fermez la console et redémarrez le service ESET PROTECT Server.
4.Patientez quelques minutes après le démarrage du service et connectez-vous à la console Web.
5.Vérifiez que tous les ordinateurs peuvent toujours se connecter et qu'aucun autre problème ne s'est produit.
6.Cliquez sur Autres > Autorités de certification > Nouveau et créez une autorité de certification. La nouvelle autorité de certification sera automatiquement envoyée à tous les ordinateurs clients lors de la prochaine connexion Agent/serveur.
7.Créez des certificats homologues signés par cette nouvelle autorité de certification. Créez un certificat pour l'agent et pour le serveur (vous pouvez le sélectionner dans le menu déroulant Produit de l'assistant).
8.Remplacez votre certificat ESET PROTECT Server actuel par le nouveau.
9.Créez une politique ESET Management Agent pour configurer les Agents afin qu'ils utilisent le nouveau certificat d'Agent.
a.Dans la section Connexion, cliquez sur Certificat > Ouvrir la liste des certificats et sélectionnez le nouveau certificat homologue.
b.Attribuez la politique aux ordinateurs sur lesquels vous souhaitez utiliser la sécurité renforcée.
c.Cliquez sur Terminer.
10. Lorsque tous les périphériques se connectent avec le nouveau certificat, vous pouvez supprimer votre ancienne autorité de certification et révoquer les anciens certificats.
|
|
Ne supprimez pas votre ancienne autorité de certification ou ne révoquez pas les anciens certificats si vous n'avez appliqué la sécurité renforcée que sur certains ordinateurs clients connectés (et pas tous).
|
Pour appliquer la sécurité renforcée au composant Mobile Device Connector (MDM), créez des certificats MDM et de proxy signés par la nouvelle autorité de certification et attribuez-les via une politique au serveur MDM comme suit :
•Politique du Connecteur de périphérique mobile ESET > Général > Certificat HTTPS. Importez le nouveau certificat MDM.
•Cliquez sur Politique d'ESET Mobile Device Connector > Connexion > Certificat = Certificat du proxy. |