Installa FRP in modalità FIPS
Il client FRP utilizza il
McAfee Core Cryptographic Module (
MCCM) Utente e
Kernel FIPS 140-2 moduli crittografici. Questi moduli crittografici vengono convalidati per
Federal Information Processing Standard (
FIPS) 140-2 Level 1 e FRP ora fornisce un'opzione per installare il prodotto in modalità FIPS. MCCM offre inoltre prestazioni e vantaggi
Intel® Advanced Encryption Standard Instructions (
AES NI). Il risultato è quello di altri miglioramenti delle prestazioni sui sistemi con
AES NI supporto.
Questo articolo viene aggiornato quando viene raggiunta la certificazione di conformità FIPS.
In questo articolo vengono illustrati i requisiti per le installazioni di FRP esistenti che non sono state installate con la modalità FIPS attivata per ora funzionare in modalità FIPS. Le istruzioni coprono sia FRP che ePolicy Orchestrator (ePO).
IMPORTANTE
- Non è possibile disporre di un upgrade inline da un ambiente di FRP conforme non FIPS a un ambiente conforme a FIPS. Per ulteriori informazioni sull'esecuzione di ePO in modalità FIPS, per la versione specifica, consultare la guida del prodotto ePO pertinente.
- Dopo aver seguito queste istruzioni, tutti i supporti rimovibili e gli archivi di chiavi locali dell'utente creati nella versione non FIPS di FRP non saranno più utilizzabili. Quando si effettua la conversione, è necessario prendere in considerazione quanto segue:
- Assicurarsi di reinizializzare tutti i dispositivi USB rimovibili.
IMPORTANTE Questa azione richiede il backup dei dati sul dispositivo, la formattazione del dispositivo, l'inizializzazione con FRP 4.3, quindi copia i dati sul dispositivo.
- Decrittografare tutti i file crittografati con le chiavi locali dell'utente, eliminare le chiavi, quindi eliminare manualmente la chiave cache file. Questo file si trova nel %APPDATA%\Roaming\McAfee\Endpoint Encryption for Files and Folders\Key Stores cartella.
- Tutti i CD, i DVD o gli ISOs creati con versioni non FIPS precedenti di FRP non possono essere utilizzati in loco. Ma può comunque essere utilizzato fuori sede. Questi dispositivi non possono essere reinizializzati.
- Tutti i vecchi autoestraenti possono comunque funzionare sia in loco che fuori sede; ma operano in modalità non-FIPS.
Procedura di installazione
- Decrittografare tutti i file crittografati con le chiavi generate in precedenza:
- Accedere alla console di ePO.
- Accedere al policy di FRP.
- Modifica chiave di cifratura in Decrittografare nella policy in cui viene utilizzata la chiave di cifratura.
Per esempio Folder Encryption, File Encryption, Removable Media.
- Salvare il policy e applicare le modifiche al client.
- Rimuovere tutte le chiavi di FRP dai sistemi client rimuoverle dal Chiavi di autorizzazione policy.
- Effettuare le seguenti operazioni, a seconda dell'installazione del server ePO:
- Se il server ePO non è installato in modalità FIPS:
- Eliminare tutte le chiavi dal server ePO.
IMPORTANTE Una volta eliminate tutte le chiavi di FRP dal server ePO, i file lasciati crittografati non saranno più accessibili.
- Rimuovere FRP da tutti i client. Per informazioni dettagliate sulla disinstallazione dei pacchetti client, consultare la sezione "disinstallazione FRP" nella guida del prodotto di FRP pertinente. Per ulteriori dettagli, consultare la sezione informazioni correlate di questo articolo.
- Reinstallare ePO in modalità FIPS.
- Archiviare il pacchetto FRP.
- Archiviare l'estensione FRP.
- Distribuire FRP in uno dei seguenti modi:
- Utilizzare l'attività di distribuzione FRP. Assicurarsi di aggiungere la parola chiave FIPS nella riga di comando dell'attività in ePO.
- Utilizzare il software di distribuzione di terze parti. Assicurarsi di passare il parametro FIPS_MODE=1 Quando si installa il pacchetto FRP client, come indicato di seguito:
- sistemi a 32 bit:
msiexec.exe/q/i eeff32.msi FIPS_MODE=1
- sistemi a 64 bit:
msiexec.exe/q/i eeff64.msi FIPS_MODE=1
- Se il server ePO è installato in modalità FIPS:
- Rimuovere FRP da tutti i client. Per informazioni dettagliate sulla disinstallazione dei pacchetti client, consultare la sezione "disinstallazione FRP" nella guida del prodotto di FRP pertinente. Per ulteriori dettagli, consultare la sezione informazioni correlate di questo articolo.
- Archiviare il pacchetto FRP.
- Archiviare l'estensione FRP.
- Reinstallare il client FRP in modalità FIPS.
- Distribuire FRP in uno dei seguenti modi:
- Utilizzare l'attività di distribuzione FRP. Assicurarsi di aggiungere la parola chiave FIPS nella riga di comando dell'attività in ePO.
- Utilizzare l'opzione della riga di comando. Assicurarsi di passare il parametro FIPS_MODE=1 Quando si installa il pacchetto FRP client, come indicato di seguito:
- sistemi a 32 bit:
msiexec.exe/q/i eeff32.msi FIPS_MODE=1
- sistemi a 64 bit:
msiexec.exe/q/i eeff64.msi FIPS_MODE=1