Instalação do FRP no modo FIPS
O cliente do FRP usa o
McAfee Core Cryptographic Module (
MCCM) Usuário e
Kernel FIPS 140-2 módulos criptográficos. Estes módulos criptográficos estão sendo validados para
Federal Information Processing Standard (
FIPS) 140-2 nível 1, e FRP agora oferece uma opção para instalar o produto no modo FIPS. O MCCM também fornece benefícios de desempenho e usos
Intel® Advanced Encryption Standard Instructions (
AES NI). O resultado são outros aprimoramentos de desempenho em sistemas com
AES NI suporte.
Este artigo é atualizado quando a certificação de conformidade com FIPS é atingida.
Este artigo aborda os requisitos de instalações existentes do FRP que não foram instaladas com o modo FIPS ativado para operar agora no modo FIPS. As instruções cobrem o FRP e o ePolicy Orchestrator (ePO).
IMPORTANTE:
- Não é possível ter um upgrade embutido de um ambiente de FRP em conformidade com o FIPS em um ambiente compatível com o FIPS. Para obter informações adicionais sobre a execução do ePO no modo FIPS, consulte o guia de produto do ePO relevante para sua versão específica.
- Depois de seguir essas instruções, todas as mídias removíveis e armazenamentos de chaves locais de usuário criadas na versão não FIPS do FRP não serão mais utilizáveis. Os itens a seguir devem ser considerados ao realizar essa conversão:
- Verifique se você reinicializar todos os dispositivos USB removíveis.
IMPORTANTE: Essa ação requer o backup dos dados no dispositivo, a formatação do dispositivo, a inicialização com o FRP 4.3e, em seguida, copiando os dados de volta para o dispositivo.
- Descriptografar todos os arquivos criptografados com chaves de usuário local, excluir as chaves e, em seguida, excluir a chave cache arquivo manualmente. Este arquivo está no %APPDATA%\Roaming\McAfee\Endpoint Encryption for Files and Folders\Key Stores pasta.
- Todos os CDs, DVDs ou ISOs que foram criados com versões anteriores e não FIPS do FRP não podem ser usados no local. Mas ainda pode ser usado fora do local. Esses dispositivos não podem ser reinicializados.
- Todos os auto-extraçãos antigos ainda podem funcionar tanto no local quanto em locais externos; no entanto, eles operam no modo não FIPS.
Procedimento de instalação
- Descriptografar todos os arquivos que foram criptografados com as chaves geradas anteriormente:
- Entre no console do ePO.
- Acesse a política de FRP.
- Alterar chave de criptografia para Assim na política em que a chave de criptografia está sendo usada.
Por exemplo, Folder Encryption, File Encryption, Removable Media.
- Salve a política e aplique as alterações ao cliente.
- Remova todas as chaves de FRP dos sistemas clientes removendo-as da Chaves de concessão Policy.
- Faça o seguinte, dependendo da instalação do seu servidor ePO:
- Se o seu servidor ePO não estiver instalado no modo FIPS:
- Exclua todas as chaves do servidor ePO.
IMPORTANTE: Depois que você excluir todas as chaves de FRP do servidor ePO, os arquivos que permaneceram criptografados não serão mais acessíveis.
- Remover FRP de todos os clientes. Para obter detalhes sobre como desinstalar pacotes de cliente, consulte a seção "Desinstalando FRP" no guia de produto do FRP relevante. Consulte a seção informações relacionadas deste artigo para obter detalhes.
- Reinstale o ePO no modo FIPS.
- Faça check-in do pacote de FRP.
- Faça check-in da extensão do FRP.
- Distribua o FRP de uma das seguintes maneiras:
- Use a tarefa de distribuição FRP. Certifique-se de adicionar a palavra-chave COMPATIBILIDADE na linha de comando da tarefa no ePO.
- Use software de distribuição de terceiros. Certifique-se de passar o parâmetro FIPS_MODE=1 Quando você instala o pacote do cliente do FRP, da seguinte maneira:
- sistemas de 32 bits:
msiexec.exe/q/i eeff32.msi FIPS_MODE=1
- sistemas de 64 bits:
msiexec.exe/q/i eeff64.msi FIPS_MODE=1
- Se o seu servidor ePO estiver instalado no modo FIPS:
- Remover FRP de todos os clientes. Para obter detalhes sobre como desinstalar pacotes de cliente, consulte a seção "Desinstalando FRP" no guia de produto do FRP relevante. Consulte a seção informações relacionadas deste artigo para obter detalhes.
- Faça check-in do pacote de FRP.
- Faça check-in da extensão do FRP.
- Reinstale o cliente do FRP no modo FIPS.
- Distribua o FRP de uma das seguintes maneiras:
- Use a tarefa de distribuição FRP. Certifique-se de adicionar a palavra-chave COMPATIBILIDADE na linha de comando da tarefa no ePO.
- Use a opção de linha de comando. Certifique-se de passar o parâmetro FIPS_MODE=1 Quando você instala o pacote do cliente do FRP, da seguinte maneira:
- sistemas de 32 bits:
msiexec.exe/q/i eeff32.msi FIPS_MODE=1
- sistemas de 64 bits:
msiexec.exe/q/i eeff64.msi FIPS_MODE=1
