このドキュメントは、サステイニング エンジニアリングの McAfee アプリケーションに対するサポート方針を説明します。
概要
このドキュメントでは、ePO サーバー/エージェント ハンドラーおよび TLS (Transport Layer Security) 1.2 の McAfee Agent サポートに関する懸念事項について説明します。
説明
TLS バージョン 1.0 (RFC 2246) および 1.1 (RFC 4346) には、DES (Data Encryption Standard) および IDEA (International Data Encryption Algorithm) アルゴリズムに基づく暗号スイートが含まれています。 DES と IDEA は TLS の一般的な使用には推奨されないため、TLS 1.2 から削除されました。
検討結果
エージェント ハンドラーと McAfee Agent 4.8 の間の通信には TLS 1.0 が使用され、TLS 1.0 を無効にすると、McAfee Agent 4.8 の機能が ePO サーバー/エージェント ハンドラーと通信できなくなります。
McAfee Agent 4.8 は TLS 1.0 のみを使用でき、現在の実装では ePO サーバー/エージェント ハンドラーと TLS 1.2 を使用して通信するように設定することを、マカフィーでは認識しています。 お客様は TLS 1.2 をサポートする最新の McAfee Agent 5.x にアップグレードします。
デフォルトでは、ePO サーバー/エージェント ハンドラーが TLS 1.2 をサポートしている場合、McAfee Agent 5.x は TLS 1.2 を使用して通信します。 サーバー が TLS 1.2 をサポートしていない場合、McAfee Agent は TLS 1.1 に切り替えてから TLS 1.0 に切り替えます。
次の回避策を実行すると、McAfee Agent 5.x エージェントはエージェント ハンドラー (ローカルおよびリモート) で TLS 1.2 のみを使用して通信します。
ローカル エージェント ハンドラー
- ePO サーバーにログオンします。
- 次のフォルダーに移動します:
32 ビット: "C:\Program Files\McAfee\ePolicy Orchestrator\Apache2\conf\"
64 ビット: "C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Apache2\conf\"
- ファイル ssl.conf を編集して、次の行を変更します。
SSLProtocol all -SSLv3 -SSLv2
変更後:
SSLProtocol +TLSv1.2
- エージェント ハンドラー (Apache サービス) を再起動します。
リモート エージェント ハンドラー:
- リモート エージェント ハンドラーにログオンします。
- 次のエージェント ハンドラー フォルダーに移動します:
32 ビット: "C:\Program Files\McAfee\Agent Handler\Apache2\conf\"
64 ビット: "C:\Program Files (x86)\McAfee\Agent Handler\Apache2\conf\"
- ファイル ssl.conf を編集して、次の行を変更します。
SSLProtocol all -SSLv3 -SSLv2
変更後:
SSLProtocol +TLSv1.2
- エージェント ハンドラー (Apache サービス) を再起動します。
Tomcat の TLS 1.0 および 1.1 の無効化次の手順を使用して、ポート 8443 または 8444 をデフォルトでリッスンする ePO アプリケーション サーバー サービス (Tomcat) の TLS 1.0 および/または TLS 1.1 を無効にすることもできます。
警告: これらの手順を実行すると、TLS 1.2 と互換性がなくなる可能性があり、古いブラウザーの一部のバージョンで ePO コンソールにアクセスできない場合があります。
- に移動します。\Server\conf
- ファイル server.xml のバックアップを作成します。
- ファイル server.xml を編集し、指定された Connector 要素の sslProtocol および sslEnabledProtocols 属性を更新します。
- ファイル server.xml を開きます。
- 各 Connector 要素で、次の例に示すように、sslProtocol および sslEnabledProtocols 属性を変更します。 Tomcat リスニング ポート 8443 と 8444 の両方でこの手順を実行します。
ePO 5.3 の例:
clientAuth="want" disableUploadTimeout="true"
enableLookups="false" id="orion.server.https"
keystoreFile="keystore/server.keystore"
keystorePass="snowcap" maxHttpHeaderSize="8192"
maxThreads="250" minSpareThreads="25" port="8443"
scheme="https" secure="true" server="Undefined"
sessionCacheSize="400" sslProtocol="TLS" sslEnabledProtocols="TLSv1.2"
注:
- TLS 1.0 のみを無効にし、TLS 1.1 を有効のままにしたい場合は、sslEnabledProtocols エントリは次のようになります。sslEnabledProtocols = "TLSv1.1、TLSv1.2"
- sslEnabledProtocols 属性が存在しない場合は、sslProtocol 属性の直後に追加します。
- McAfee ePolicy Orchestrator 5.x アプリケーション サーバー サービスを再起動します。
免責事項
この説明で言及している将来の製品のリリース日は、当社製品に関する全般的な方針を意図するものであり、これを基に製品購入を決定するべきではありません。
- 製品リリース日は、情報提供のみを目的としており、契約条件に盛り込むことはできません。
- 製品リリース日は、何らかの資料、コードまたは機能を提供するという確約、誓約または法的義務ではありません。
- 当社の製品のあらゆる仕様または機能の開発、リリース、およびその時期は、当社の裁量によるものであり、随時変更またはキャンセルされることがあります。
