Rozšířené zabezpečení
Pomocí této možnosti aktivujete rozšířené zabezpečení komunikace mezi jednotlivými komponentami ESET PROTECT infrastruktury.
Co se po aktivace stane:
•nově vytvářené certifikační autority a certifikáty budou podepsány SHA-256 algoritmem (místo SHA-1). Pro aplikování změn na celou vaši ESET PROTECT infrastrukturu je nutné vyměnit existující certifikáty.
•ESET PROTECT Server bude pro komunikaci s agenty používat protokol TLS 1.2.
•TLS 1.2 se použije také pro komunikaci se syslog a SMTP serverem.
|
Důležité •Nastavení se uplatní až po restartu služby ESET PROTECT Server. •Toto nastavení ovlivní nově vytvářené certifikační autority a vystavované certifikáty. Nemá vliv na již vystavené certifikáty a autority. •Pokud chcete využívat Rozšířené zabezpečení, doporučujeme jej aktivovat před importováním MSP účtu. |
Rozšířené zabezpečení je možné zapnout na všech podporovaných operačních systémech:
|
Důležité Minimální podporována verze OpenSSL je openssl-1.0.1e-30. Doporučujeme vždy používat nejnovější verzi OpenSSL (1.1.1). Kompatibilitu na linuxu ověříte níže uvedeným příkazem: |
Jak zapnout a vynutit rozšířené zabezpečení?
Před aktivací této funkce se ujistěte, že všichni klienti ve vaší síti podporují protokol TLS 1.2 (viz poznámku výše). Tento proces vyžaduje dva restarty služby ESET PROTECT Server.
Pomocí níže uvedených kroků zapnete a vynutíte rozšířené zabezpečení:
1.V hlavním menu Web Console přejděte do sekce Další > Nastavení serveru a pomocí přepínače aktivujte možnost Rozšířené zabezpečení (vyžaduje restart!).
2.Nastavení uložte kliknutím na tlačítko Uložit.
3.Odhlaste se a restartujte službu ESET PROTECT Server.
4.Vyčkejte několik minut na spuštění služby a znovu se přihlaste do konzole.
5.Ověřte, zda se stále připojují všechny počítače a nevznikl žádný problém.
6.V hlavním menu ESMC Web Console přejděte do sekce Další > Certifikační autority. Klikněte na tlačítko Nová a vytvořte novou certifikační autoritu. Veřejný klíč certifikační autority se automaticky zašle všech agentům při dalším připojení k serveru.
7.Vytvořte nové klientské certifikáty a podepište je nově vytvořenou certifikační autoritou. Minimálně budete potřebovat certifikát pro agenty a server (odpovídající produkt vyberte v rozbalovacím menu při vytváření certifikátu).
8.Vyměňte certifikát, který používá ESET PROTECT Server.
9.Vytvořte politiku pro ESET Management Agenta, ve kterém vyberte nový certifikát agenta.
a.V konfigurační šabloně v sekci Připojení klikněte na Změnit certifikát. V zobrazeném dialogovém okně klikněte na Otevřít seznam certifikátů a vyberte nový certifikát.
b.V sekci Přiřadit vyberte počítače, na kterých chcete vynutit rozšířené zabezpečení (například vyberte nejnadřazenější statickou skupinu Všechna zařízení).
c.Politiku uložte kliknutím na tlačítko Dokončit.
10. Až budou všechna zařízení používat nový certifikát, můžete odstranit původní certifikační autoritu a zamítnout certifikáty.
|
Důležité Certifikační autority neodstraňujte, a certifikáty nezamítejte, dříve než budou všichni klienti používat nový certifikát. V opačném případě dojde k rozpadnutí komunikace. |
Rozšířené zabezpečení na systémech s MDM
Výše uvedené kroky ovlivní pouze komunikaci mezi ESET PROTECT Serverem a MDM Serverem. Komunikace mezi MDM Serverem a mobilními zařízeními nebude dotčena. Pro vynucení rozšířeného zabezpečení uvnitř komponenty a komunikaci s mobilními zařízeními vytvořte nový certifikát pro MDM a Proxy, které podepište novou autoritou a aplikujte je prostřednictvím politiky:
•V politice pro ESET Mobile Device Connector v sekci Obecné > HTTPS certifikát vyberte nový MDM certifikát, případně importujte vlastní.
•V politice pro ESET Mobile Device Connector v sekci Připojení > Certifikát vyberte nový certifikát Proxy.