Instalación de FRP en modo FIPS
El cliente de FRP utiliza la
McAfee Core Cryptographic Module (
MCCM) Usuario y
Kernel FIPS 140-2 módulos criptográficos. Estos módulos criptográficos se están validando para
Federal Information Processing Standard (
FIPS) 140-2 nivel 1 y FRP ahora proporciona una opción para instalar el producto en modo FIPS. MCCM también ofrece ventajas de rendimiento y usos
Intel® Advanced Encryption Standard Instructions (
AES NI). El resultado es otras mejoras de rendimiento en los sistemas con
AES NI compatibles.
Este artículo se actualiza cuando se alcanza la certificación de conformidad con FIPS.
En este artículo se tratan los requisitos para instalaciones de FRP existentes que no se instalaron con el modo FIPS activado para funcionar ahora en modo FIPS. Las instrucciones cubren tanto FRP como ePolicy Orchestrator (ePO).
IMPORTANTE:
- No es posible realizar una ampliación en línea de un entorno de FRP no conforme a FIPS a un entorno conforme con FIPS. Para obtener información adicional sobre la ejecución de ePO en modo FIPS, Consulte la guía del producto de ePO correspondiente a su versión específica.
- Después de seguir estas instrucciones, ya no se podrán utilizar todos los medios extraíbles y los almacenes de claves locales de usuario creados en la versión no FIPS de FRP. Al realizar esta conversión se debe tener en cuenta lo siguiente:
- Asegúrese de reinicializar todos los dispositivos USB extraíbles.
IMPORTANTE: Esta acción requiere la creación de una copia de seguridad de los datos del dispositivo, el formateo del dispositivo, la inicialización con FRP 4.3y, a continuación, copiar los datos de nuevo en el dispositivo.
- Descifre todos los archivos cifrados con claves locales de usuario, elimine las claves y, a continuación, elimine el archivo de caché de claves manualmente. Este archivo se encuentra en la %APPDATA%\Roaming\McAfee\Endpoint Encryption for Files and Folders\Key Stores directorio.
- Todos los CD, DVDs o ISO creados con versiones anteriores a las no FIPS de FRP no se pueden utilizar in situ. Pero se puede seguir utilizando fuera de sitio. Estos dispositivos no se pueden reinicializar.
- Todos los antiguos autoextractores pueden seguir funcionando tanto en el sitio como fuera de él; No obstante, funcionan en modo no FIPS.
Procedimiento de instalación
- Descifre todos los archivos cifrados con las claves generadas anteriormente:
- Inicie sesión en la consola de ePO.
- Acceda a la Directiva FRP.
- Cambiar clave de cifrado a Crypt en la Directiva en la que se utiliza la clave de cifrado.
Por ejemplo, Folder Encryption, File Encryption, Removable Media.
- Guarde la Directiva y aplique los cambios al cliente.
- Elimine todas las claves de FRP de los sistemas cliente mediante su eliminación de la Conceder claves políticas.
- Haga lo siguiente, en función de la instalación del servidor de ePO:
- Si su servidor de ePO no está instalado en el modo FIPS:
- Elimine todas las claves del servidor de ePO.
IMPORTANTE: Después de eliminar todas las claves de FRP del servidor de ePO, ya no se puede acceder a los archivos que se han cifrado.
- Elimine FRP de todos los clientes. Para obtener detalles sobre cómo desinstalar los paquetes de cliente, consulte la sección "desinstalación de FRP" en la guía del producto de FRP correspondiente. Consulte la sección información relacionada de este artículo para obtener más información.
- Vuelva a instalar ePO en modo FIPS.
- Incorpore el paquete de FRP.
- Incorpore la extensión de FRP.
- Despliegue FRP de una de las siguientes formas:
- Utilice la tarea despliegue de FRP. Asegúrese de agregar la palabra clave FIPS en la línea de comandos de la tarea de ePO.
- Utilice software de despliegue de terceros. Asegúrese de pasar el parámetro FIPS_MODE=1 al instalar el paquete de cliente de FRP, como sigue:
- sistemas de 32 bits:
msiexec.exe/q/i eeff32.msi FIPS_MODE=1
- sistemas de 64 bits:
msiexec.exe/q/i eeff64.msi FIPS_MODE=1
- Si su servidor de ePO está instalado en modo FIPS:
- Elimine FRP de todos los clientes. Para obtener detalles sobre cómo desinstalar los paquetes de cliente, consulte la sección "desinstalación de FRP" en la guía del producto de FRP correspondiente. Consulte la sección información relacionada de este artículo para obtener más información.
- Incorpore el paquete de FRP.
- Incorpore la extensión de FRP.
- Vuelva a instalar el cliente de FRP en modo FIPS.
- Despliegue FRP de una de las siguientes formas:
- Utilice la tarea despliegue de FRP. Asegúrese de agregar la palabra clave FIPS en la línea de comandos de la tarea de ePO.
- Utilice la opción de línea de comandos. Asegúrese de pasar el parámetro FIPS_MODE=1 al instalar el paquete de cliente de FRP, como sigue:
- sistemas de 32 bits:
msiexec.exe/q/i eeff32.msi FIPS_MODE=1
- sistemas de 64 bits:
msiexec.exe/q/i eeff64.msi FIPS_MODE=1
