Tato funkce se stará o zabezpečení komunikaci mezi jednotlivými komponentami ESET PROTECT infrastruktury:
•Certifikační autority a certifikáty jsou podepsány SHA-256 algoritmem (místo SHA-1).
•ESET PROTECT Server využívá pro komunikaci s agenty, Syslogem a SMTP serverem nejvyšší možné zabezpečení (TLS 1.3 nebo 1.2)
•MDM uživatelé: ESET PROTECT Server bude pro komunikaci s MDM serverem používat protokol TLS 1.2. Komunikace mezi MDM Serverem a mobilními zařízeními nebude dotčena.
Rozšířené zabezpečení je funkční na všech podporovaných operačních systémech:
•Windows
•Linux – Doporučujeme vždy používat nejnovější verzi OpenSSL 1.1.1. ESET Management Agent rovněž podporuje OpenSSL 3.x. Minimální podporována verze OpenSSL je openssl-1.0.1e-30. Nainstalováno můžete mít více verzí OpenSSL. Nicméně alespoň jedna z nich musí podporovaná.
oPříkazem openssl version si zobrazíte aktuálně používanou (výchozí) verzi.
oZobrazit si můžete seznam všech verzí OpenSSL ve vašem systému. Po použití příkazu sudo find / -iname *libcrypto.so* se podívejte na konce názvů souborů.
oKompatibilitu na linuxu ověříte následujícím příkazem: openssl s_client -connect google.com:443 -tls1_2
•macOS
|
|
Rozšířené zabezpečení je standardně zapnuté ve všech nových instalacích ESET PROTECT 8.1 a novějších.
Pokud používáte ESMC nebo ESET PROTECT 8.0 a máte rozšířené zabezpečení deaktivované, pro provedení aktualizace na ESET PROTECT 8.1 a novější zůstane rozšířené zabezpečení vypnuté. Doporučujeme jej podle níže uvedených kroků zapnout.
|
Jak zapnout a vynutit rozšířené zabezpečení?
|
|
•Nastavení se uplatní až po restartování služby ESET PROTECT Server.
•Aktivování rozšířeného zabezpečení nemá vliv na již vystavené certifikáty a autority. Toto nastavení ovlivní nově vytvářené certifikační autority a vystavované certifikáty. Pro aplikování změn na celou vaši ESET PROTECT infrastrukturu je nutné vyměnit existující certifikáty.
•Pokud chcete využívat Rozšířené zabezpečení, doporučujeme jej aktivovat před importováním MSP účtu. |
1.V hlavním menu klikněte na Další > Nastavení > Připojení a pomocí přepínače aktivujte možnost Rozšířené zabezpečení (vyžaduje restart!).
2.Nastavení uložte kliknutím na tlačítko Uložit.
3.Odhlaste se a restartujte službu ESET PROTECT Server.
4.Vyčkejte několik minut na spuštění služby a znovu se přihlaste do konzole.
5.Ověřte, zda se stále připojují všechny počítače a nevznikl žádný problém.
6.V hlavním menu Web Console přejděte do sekce Další > Certifikační autority. Klikněte na tlačítko Nová a vytvořte novou certifikační autoritu. Veřejný klíč certifikační autority se automaticky zašle všech agentům při dalším připojení k serveru.
7.Vytvořte nové klientské certifikáty a podepište je nově vytvořenou certifikační autoritou. Minimálně budete potřebovat certifikát pro agenty a server (odpovídající produkt vyberte v rozbalovacím menu při vytváření certifikátu).
8.Vyměňte certifikát, který používá ESET PROTECT Server.
9.Vytvořte politiku pro ESET Management Agenta, ve kterém vyberte nový certifikát agenta.
a.V konfigurační šabloně v sekci Připojení klikněte na Změnit certifikát. V zobrazeném dialogovém okně klikněte na Otevřít seznam certifikátů a vyberte nový certifikát.
b.V sekci Přiřadit vyberte počítače, na kterých chcete vynutit rozšířené zabezpečení (například vyberte nejnadřazenější statickou skupinu Všechna zařízení).
c.Klikněte na tlačítko Dokončit.
10. Až budou všechna zařízení používat nový certifikát, můžete odstranit původní certifikační autoritu a zamítnout certifikáty.
|
|
Certifikační autority neodstraňujte, a certifikáty nezamítejte dříve, než budou všichni klienti používat nový certifikát. V opačném případě dojde k rozpadnutí komunikace.
|
Pro vynucení rozšířeného zabezpečení uvnitř komponenty a komunikaci s mobilními zařízeními vytvořte nový certifikát pro MDM a Proxy, které podepište novou autoritou a aplikujte je prostřednictvím politiky:
•V politice pro ESET Mobile Device Connector v sekci Obecné > HTTPS certifikát vyberte nový MDM certifikát, případně importujte vlastní.
•V politice pro ESET Mobile Device Connector v sekci Připojení > Certifikát vyberte nový certifikát Proxy. |