高级安全性包括 ESET PROTECT 组件之间的安全网络通信:
•证书和证书颁发机构使用 SHA-256(而不是 SHA-1)。
•ESET PROTECT 服务器使用尽可能高的安全性(TLS 1.3 或 1.2)来与服务器代理、系统日志和 SMTP 通信。
•MDM 用户:ESET PROTECT 服务器将 TLS 1.2 用于与 MDM 服务器的通信。MDM 服务器与移动设备之间的通信将不受影响。
高级安全性可与所有支持的操作系统一起工作:
•Windows
•Linux - 我们建议您使用最新版本的 OpenSSL1.1.1。ESET PROTECT 服务器/移动设备管理不支持 OpenSSL 3.x。ESET Management 服务器代理支持 OpenSSL 3.x。适用于 Linux 的 OpenSSL 的受支持最低版本为 openssl-1.0.1e-30。一个系统中可以同时安装有多个版本的 OpenSSL。您的系统中必须存在至少一个受支持的版本。
o使用命令 openssl version 来显示当前的默认版本。
o可以列出您系统上存在的所有版本的 OpenSSL。请查看使用命令 sudo find / -iname *libcrypto.so* 列出的文件名结尾
o您可以使用以下命令检查您的 Linux 客户端是否兼容:openssl s_client -connect google.com:443 -tls1_2
•macOS
|
|
默认情况下,在 ESET PROTECT 8.1 及更高版本的所有新安装中都启用高级安全性。
如果您使用 ESMC 或已禁用高级安全性的 ESET PROTECT 虚拟设备 8.0 并升级到 ESET PROTECT 虚拟设备 8.1 及更高版本,高级安全性保持禁用状态。建议您通过按照以下步骤操作来启用它。
|
如何在您的网络上启用和应用高级安全性
|
|
•在启用高级安全性后,必须重新启动 ESET PROTECT 服务器才能开始使用此功能。
•高级安全性不会影响现有证书颁发机构 (CA) 和证书。高级安全性仅包括启用高级安全性后创建的新 CA 和证书。若要在当前 ESET PROTECT 基础架构中应用高级安全性,您必须替换现有证书。
•如果要使用高级安全性,强烈建议您在导入 MSP 帐户之前进行设置。 |
1.依次单击更多 > 设置 > 连接,然后单击高级安全性(需要重新启动!) 旁边的开关。
2.单击保存以应用设置。
3.关闭控制台,然后重新启动 ESET PROTECT 服务器服务。
4.在服务启动后等待几分钟,然后登录到 Web 控制台。
5.检查所有计算机是否仍然处于连接状态并且没有发生其他问题。
6.依次单击更多 > 证书颁发机构 > 新建,然后创建新 CA。新 CA 将在下一次服务器代理 - 服务器连接期间自动发送到所有客户端计算机。
7.创建新对等证书(使用此新 CA 签名)。为服务器代理和服务器创建证书(可以在向导中的产品下拉菜单中选择它)。
8.交换当前的 ESET PROTECT 服务器证书为新证书。
9.创建新的 ESET Management 服务器代理策略,以将您的服务器代理设置为使用新的服务器代理证书。
a.在连接部分中,依次单击证书 > 打开证书列表,然后选择新的对等证书。
b.将策略分配到要使用高级安全性的计算机。
c.单击完成。
10. 在所有设备与新证书连接后,您可以删除旧的 CA 并吊销旧的证书。
|
|
如果您仅在某些(并非所有)连接的客户端计算机上应用高级安全性,请勿删除旧的 CA 或吊销旧的证书。
|
若要将高级安全性应用于 Mobile Device Management (MDM) 组件,请创建新的 MDM 和由新的 CA 签名的代理证书,然后通过策略将它们分配到 MDM 服务器,如下所示:
•依次单击“ESET Mobile Device Connector 策略”>“常规”>“HTTPS 证书”。导入新 MDM 证书。
•依次单击“ESET Mobile Device Connector 策略”>“连接”>“证书 = 代理证书”。 |