進階安全性包括 ESET PROTECT 元件之間的安全網路通訊:
•憑證及憑證授權單位會使用 SHA-256 (而非 SHA-1)。
•ESET PROTECT 伺服器使用最高安全性 (TLS 1.3 或 1.2) 與伺服器代理程式、系統日誌和 SMTP 通訊進行通訊。
•MDM 使用者:ESET PROTECT 伺服器會使用 TLS 1.2 來與 MDM 伺服器通訊。將不受影響 MDM 伺服器與行動裝置之間的通訊。
適用於所有支援作業系統上的進階安全性:
•Windows
•Linux - 我們建議您使用最新版的 OpenSSL1.1.1。ESET PROTECT 伺服器/行動裝置管理不支援 OpenSSL 3.x。ESET Management 代理程式支援 OpenSSL 3.x。最低支援的 OpenSSL for Linux 版本為 openssl-1.0.1e-30。可以有多種版本的 OpenSSL 同時安裝在一個系統上。您的系統上必須至少有一個支援的版本。
o使用命令 openssl version 來顯示目前的預設版本。
o您可以列出存在於您系統上所有版本的 OpenSSL。請參閱使用命令 sudo find / -iname *libcrypto.so* 列出的檔案名稱結尾
o您可以使用下列命令來檢查 Linux 用戶端是否相容:openssl s_client -connect google.com:443 -tls1_2
•macOS
|
|
依預設會在 ESET PROTECT 8.1 和更新版本的所有新安裝中啟用進階安全性。
如果您使用 ESMC 或 ESET PROTECT 虛擬設備 8.0 (進階安全性已停用),並且您升級 ESET PROTECT 虛擬設備 8.1 和更新版本,進階安全性仍然會停用。我們建議您啟用它,遵循以下步驟。
|
如何在您的網路上啟用及套用進階安全性
|
|
•啟用進階安全性時,您必須重新啟動 ESET PROTECT 伺服器,才能開始使用此功能。
•進階安全性不會影響現有的憑證授權單位 (CA) 及憑證。進階安全性僅包括啟用進階安全性後建立的新 CA 和憑證。若要在現有 ESET PROTECT 基礎架構中套用進階安全性,您必須取代現有的憑證。
•如果您想要使用進階安全性,我們強烈建議您先將之設定好,然後再匯入 MSP 帳戶。 |
1.按一下 [其他] > [設定] > [連線],然後按一下 [進階安全性 (需要重新啟動!)] 旁的切換。
2.按一下 [儲存] 套用設定。
3.關閉主控台並重新啟動 ESET PROTECT 伺服器服務。
4.請在服務啟動後稍候幾分鐘,然後登入 Web 主控台。
5.檢查所有電腦是否仍然連線中,而且沒有其他問題發生。
6.請瀏覽至 [其他] > [憑證授權單位] > [新增],然後建立新的 CA。新的 CA 會在下一次代理程式與伺服器連線期間,自動傳送至所有用戶端電腦。
7.建立新的對等憑證 (以此新 CA 簽署)。為代理程式和伺服器建立憑證 (您可以在精靈中的 [產品] 下拉式功能表中選取)。
8.將您目前的 ESET PROTECT 伺服器憑證變更為新憑證。
9.建立新的 ESET Management代理程式原則,將您的代理程式設定為使用新的代理程式憑證。
a.在 [連線] 區段中,按一下 [憑證] > [開啟憑證清單],然後選取新的對等憑證。
b.將原則指派給您要使用進階安全性的電腦。
c.按一下 [完成]。
10. 當所有裝置都與新憑證連線時,您可以刪除舊 CA 並撤銷舊憑證。
|
|
如果您只在某些 (而非全部) 連線的用戶端電腦上套用 [進階安全性],請勿刪除舊 CA 或撤銷舊憑證。
|
若要將進階安全性套用至 Mobile Device Management (MDM) 元件,請建立由新的 CA 所簽署的新 MDM 和 Proxy 憑證,並透過原則將這些憑證指派給 MDM 伺服器,如下所示:
•ESET 行動裝置連接器原則 > 一般 > HTTPS 憑證。匯入新的 MDM 憑證。
•ESET Mobile Device Connector 原則 > 連線 > 憑證 = Proxy 憑證。 |