NetWorker: Security Scanner rapporterer en sårbarhed på port 5432 og 5671 for en Windows-baseret NetWorker, NetWorker Management Console-server

Stien til registreringsdatabasen for Windows-operativsystemet Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols er tom, hvilket angiver, at alle TLS-versioner er aktiveret.
 

Figur 1: Skærmbillede af registreringsdatabasen for Windows-operativsystemet 

Da de gamle TLS-versioner er aktiveret, brugte port 5671 og 5432 dem under forhandlingen.

Afhjælp denne sårbarhed ved at foretage følgende ændringer af konfigurationerne RabbitMQ og Postgres.
 

For RabbitMQ-port 5671:

1. På NetWorker-serveren skal du redigere "C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-#.#.#\etc\rabbitmq.conf" fil med følgende linje.

From:
% disable TLS 1.0, remove tlsv1.1 if it is not needed 
                  {versions,   ['tlsv1.2', 'tlsv1.1']}, 

To:
% disable TLS 1.0, remove tlsv1.1 if it is not needed 
                  {versions,   ['tlsv1.2']},

2. Gem ændringerne i filen.

For Postgres-port 5432:

1. På NMC-serveren skal du redigere "C:\Program Files\EMC NetWorker\Management\nmcdb\pgdata\postgresql.conf" fil med følgende linje.

From:
ssl_ciphers = 'TLSv1.2:HIGH:!SSLv3:!NULL:!ADH:!MEDIUM:!LOW:!EXP:!MD5:!RC4:!3DES:@STRENGTH' #allowed SSL ciphers

To:
ssl_ciphers = 'TLSv1.2:!TLSv1.1:!TLSv1.0:HIGH:!SSLv3:!NULL:!ADH:!MEDIUM:!LOW:!EXP:!MD5:!RC4:!3DES:@STRENGTH' #allowed SSL ciphers

2. Gem ændringerne i filen.

Genstart tjenester:

Genstart NetWorker-serveren og NMC-servertjenesterne med følgende kommando:

net stop nsrexecd /y

 Hvis systemet både er en NetWorker-server og NMC-server, skal du køre følgende kommandoer:

net start nsrd
net start gstd

net start nsrexecd
net start gstd

• Sådan aktiveres eller deaktiveres TLS fra Windows-registreringsdatabasen  
• TLS-versioner aktiveret eller deaktiveret på forskellige Windows-versioner