In questo documento viene descritta la posizione di supporto dell'Engineering di sostegno rispetto a un'applicazione McAfee.

Panoramica
Questo documento riguarda le preoccupazioni relative al server ePO, al gestore Agent e al supporto McAfee Agent per Transport Layer Security TLS 1.2.

Descrizione
Versioni TLS 1.0 (RFC 2246) e 1.1 (RFC 4346) includono le suite di cifratura basate sugli algoritmi DES (Data Encryption Standard) e IDEA (International Data Encryption Algorithm). DES e IDEA non sono più consigliate per l'utilizzo generale in TLS e sono state rimosse da TLS 1.2.

Nota Quanto sopra si applica anche agli elementi elencati di seguito:

Ricerca e conclusioni

Comunicazione tra il gestore degli agent e McAfee Agent 4.8 utilizza TLS 1.0e disattivazione di TLS 1.0 interrompe il McAfee Agent 4.8 possibilità di comunicare con i gestori del Server/Agent ePO.

IMPORTANTE McAfee Agent 4.8 è la fine del ciclo di vita (esclusi HP-UX, AIX e Solaris). MA 4.8 può utilizzare solo TLS 1.0. Non è possibile configurarlo per comunicare utilizzando TLS 1.2 con il gestore del Server/Agent ePO con l'implementazione corrente. Effettuare l'upgrade alla McAfee Agent più recente 5.x che supporta TLS 1.2.

Per impostazione predefinita, McAfee Agent 5.x comunica con TLS 1.2. Lo fa fino a quando il server ePO e il gestore degli agent supporta TLS 1.2. Quando il server esegue non supporta TLS 1.2, MA passa a TLS 1.1, quindi su TLS 1.0.

Le seguenti soluzioni alternative costringono McAfee Agent 5.x Agent da comunicare utilizzando solo TLS 1.2 con Agent gestori (locale e remoto).

Disattivazione di TLS 1.0 e 1.1 per Tomcat
È inoltre possibile disattivare TLS 1.0 o TLS 1.1 per il servizio server applicazioni ePO (Tomcat), che è in ascolto sulla porta 8443 o 8444 per impostazione predefinita, utilizzando le istruzioni seguenti:

AVVISO Seguendo le istruzioni riportate di seguito, è possibile eseguire il rendering di alcune versioni precedenti del browser che non sono in grado di accedere alla console ePO perché potrebbero non essere compatibili con TLS 1.2.

1. Accedere a: \Server\conf
2. Creazione di una copia di backup del file server.xml.
3. Modifica del file server.xml e aggiornare il sslProtocol e sslEnabledProtocols attributi per l'oggetto specificato Connector elementi
   1. Aprire il file server.xml.
   2. All'interno di ogni Connector , modificare l'elemento sslProtocol e sslEnabledProtocols attributi come mostrato nell'esempio riportato di seguito. Eseguire questo passaggio per entrambe le porte di ascolto Tomcat 8443 e 8444.
      
      ePO 5.3 esempio
      clientAuth="want" disableUploadTimeout="true"
      enableLookups="false" id="orion.server.https"
      keystoreFile="keystore/server.keystore"
      keystorePass="snowcap" maxHttpHeaderSize="8192"
      maxThreads="250" minSpareThreads="25" port="8443"
      scheme="https" secure="true" server="Undefined"
      sessionCacheSize="400" sslProtocol="TLS" sslEnabledProtocols="TLSv1.2"
      NOTE:

      • Per disattivare solo TLS 1.0 e lasciare TLS 1.1 attivato, il sslEnabledProtocols la voce sarà simile alla seguente: sslEnabledProtocols="TLSv1.1,TLSv1.2"
      • Se il sslEnabledProtocols l'attributo non esiste, aggiungerlo immediatamente dopo il sslProtocol attributo.
4. Riavviare il McAfee ePolicy Orchestrator 5.x Server applicazioni servizio.

• Le date di versione prodotto sono solo a scopo informativo e potrebbero non essere integrate in alcun contratto.
• Le date di versione prodotto non sono un impegno, una promessa o un obbligo legale di fornire materiale, codice o funzionalità.
• Lo sviluppo, il rilascio e la tempistica di qualsiasi funzionalità o funzionalità descritta per i nostri prodotti restano a nostra esclusiva discrezione. Possono essere modificate o annullate in qualsiasi momento.

Parola chiave correlata: CVE-2009-3555