NetWorker：セキュリティ スキャナーがWindowsベースのNetWorkerサーバーとNetWorker Management Consoleサーバーのポート5432および5671に関する脆弱性を報告する

Windowsオペレーティング システムのレジストリー パス Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols は空で、すべてのTLSバージョンが有効であることを示します。
 

図1: Windowsオペレーティング システム レジストリーのスクリーンショット 

古いTLSバージョンが有効になっているため、ポート5671および5432でネゴシエーション中にそれらが使用されました。

RabbitMQおよびPostgresの構成に次の変更を加えて、この脆弱性を軽減します。
 

RabbitMQポート5671の場合:

1. NetWorkerサーバーで、「C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-#.#.#\etc\rabbitmq.conf" ファイルを次の行に置き換えます。

From:
% disable TLS 1.0, remove tlsv1.1 if it is not needed 
                  {versions,   ['tlsv1.2', 'tlsv1.1']}, 

To:
% disable TLS 1.0, remove tlsv1.1 if it is not needed 
                  {versions,   ['tlsv1.2']},

2. ファイルへの変更を保存します。

Postgresポート5432の場合：

1. NMCサーバーで、「C:\Program Files\EMC NetWorker\Management\nmcdb\pgdata\postgresql.conf" ファイルを次の行に置き換えます。

From:
ssl_ciphers = 'TLSv1.2:HIGH:!SSLv3:!NULL:!ADH:!MEDIUM:!LOW:!EXP:!MD5:!RC4:!3DES:@STRENGTH' #allowed SSL ciphers

To:
ssl_ciphers = 'TLSv1.2:!TLSv1.1:!TLSv1.0:HIGH:!SSLv3:!NULL:!ADH:!MEDIUM:!LOW:!EXP:!MD5:!RC4:!3DES:@STRENGTH' #allowed SSL ciphers

2. ファイルへの変更を保存します。

サービスの再スタート：

次のコマンドを使用して、NetWorkerサーバーとNMCサーバー サービスを再起動します。

net stop nsrexecd /y

 システムにNetWorkerサーバーとNMCサーバーの両方が導入されている場合は、次のコマンドを実行します。

net start nsrd
net start gstd

net start nsrexecd
net start gstd

• Windows ServerからTLSを有効または無効にする方法  
• 異なるWindowsバージョンで有効または無効なTLSバージョン