Die erweiterte Sicherheit schützt die Netzwerkkommunikation zwischen den ESET PROTECT-Komponenten:
•Zertifikate und Zertifizierungsstellen verwenden SHA-256 (anstelle von SHA-1).
•ESET PROTECT Server verwendet TLS 1.2 für die Kommunikation mit den Agenten.
•Die erweiterte Sicherheit erzwingt die Verwendung von TLS 1.2 für die Syslog- und SMTP-Kommunikation.
•MDM-Benutzer: Der ESET PROTECT Server verwendet TLS 1.2 für die Kommunikation mit dem MDM-Server. Die Kommunikation zwischen MDM-Server und Mobilgeräten ist nicht betroffen.
Die erweiterte Sicherheit funktioniert mit allen unterstützten Betriebssystemen:
•Windows
•Linux – Wir empfehlen, die neueste Version von OpenSSL 1.1.1 zu verwenden. OpenSSL 3.x wird nicht unterstützt. Die niedrigste unterstützte Version von OpenSSL für Linux ist openssl-1.0.1e-30. Sie können mehrere Versionen von OpenSSL parallel auf einem System installieren. Mindestens eine unterstützte Version muss auf Ihrem System vorhanden sein.
oMit dem Befehl openssl version können Sie die aktuelle Standardversion abrufen.
oSie können alle auf Ihrem System vorhandenen OpenSSL-Versionen auflisten. Sie können die Dateinamenendungen mit dem Befehl sudo find / -iname *libcrypto.so* anzeigen.
oMit dem folgenden Befehl können Sie überprüfen, ob Ihr Linux-Client kompatibel ist: openssl s_client -connect google.com:443 -tls1_2
•macOS
|
|
Die erweiterte Sicherheit ist in allen Neuinstallationen von ESET PROTECT 8.1 und höher standardmäßig aktiviert.
Wenn Sie ESMC oder ESET PROTECT 8.0 mit deaktivierter erweiterter Sicherheit verwenden und ein Upgrade auf ESET PROTECT 8.1 oder höher durchführen, ist die erweiterte Sicherheit weiterhin deaktiviert. ESET empfiehlt, die erweiterte Sicherheit mit den folgenden Schritten zu aktivieren.
|
Aktivieren und Anwenden der erweiterten Sicherheit in Ihrem Netzwerk
|
|
•Wenn Sie die erweiterte Sicherheit aktivieren, müssen Sie den ESET PROTECT Server neu starten, um die Funktion nutzen zu können.
•Die erweiterte Sicherheit wirkt sich nicht auf vorhandene Zertifizierungsstellen (ZS) und Zertifikate aus. Die erweiterte Sicherheit umfasst nur die neuen ZS und Zertifikate, die nach dem Aktivieren der erweiterten Sicherheit erstellt wurden. Um die erweiterte Sicherheit in der aktuellen ESET PROTECT-Infrastruktur anzuwenden, müssen Sie die vorhandenen Zertifikate ersetzen.
•Falls Sie die erweiterte Sicherheit nutzen möchten, empfehlen wir dringend, diese Option einzurichten, bevor Sie das MSP-Konto importieren. |
1.Klicken Sie auf Mehr > Einstellungen > Verbindung und klicken Sie auf den Schieberegler neben Erweiterte Sicherheit (Neustart erforderlich!).
2.Klicken Sie auf Speichern, um die Einstellung zu übernehmen.
3.Schließen Sie die Konsole und starten Sie den ESET PROTECT Server-Dienst neu.
4.Warten Sie einige Minuten, bis der Dienst gestartet wurde, und melden Sie sich anschließend bei der Web-Konsole an.
5.Vergewissern Sie sich, das sich alle Computer weiterhin verbinden, und dass keine sonstigen Probleme aufgetreten sind.
6.Klicken Sie auf Mehr > Zertifizierungsstellen > Neu und erstellen Sie eine neue ZS. Die neue ZS wird beim nächsten Verbindungsaufbau zwischen Agent und Server automatisch an alle Clientcomputer übertragen.
7.Erstellen Sie neue Peerzertifikate, die von dieser neuen ZS signiert sind. Erstellen Sie ein Zertifikat für den Agenten und für den Server (Wählen Sie die entsprechende Option im Dropdownmenü Produkt im Assistenten aus).
8.Ersetzen Sie Ihr aktuelles ESET PROTECT Server-Zertifikat durch das neue Zertifikat.
9.Erstellen Sie eine neue ESET Management Agent-Policy, um Ihre Agenten für die Verwendung des neuen Agenten-Zertifikats zu konfigurieren.
a.Klicken Sie im Bereich Verbindung auf Zertifikat > Zertifikatliste öffnen und wählen Sie das neue Peerzertifikat aus.
b.Weisen Sie die Policy zu den Computern zu, auf denen Sie die erweiterte Sicherheit verwenden möchten.
c.Klicken Sie auf Fertig stellen.
10. Wenn sich alle Geräte mit dem neuen Zertifikat verbinden, können Sie Ihre alte ZS löschen und Ihre alten Zertifikate widerrufen.
|
|
Falls Sie die erweiterte Sicherheit nur auf einem Teil der verbundenen Clientcomputer angewendet haben, dürfen Sie Ihre alte ZS auf keinen Fall löschen oder die alten Zertifikate widerrufen.
|
Um die erweiterte Sicherheit für die MDM-Komponente anzuwenden, erstellen Sie neue MDM- und Proxyzertifikate, die von der neuen ZS signiert sind, und weisen Sie sie wie folgt mit einer Policy zum MDM Server zu:
•Klicken Sie auf Policy „ESET-Connector für Mobilgeräte“ > Allgemein > HTTPS-Zertifikat. Importieren Sie das neue MDM-Zertifikat.
•Klicken Sie auf Policy ESET Mobile Device Connector > Verbindung > Zertifikat = Proxyzertifikat. |
