Come disabilitare le modalità crittografiche non sicure in Dell Security Management Server e Virtual Server

Durante l'installazione iniziale di Enterprise Edition, dopo aver inserito il nome host e il nome del database SQL, vengono visualizzati i seguenti errori:

Dell Security Management Server

• Disabilitare le suite di crittografia RC4/DES/3DES in Windows utilizzando le impostazioni di sicurezza di registro, GPO o locale.

  • È possibile eseguire questa operazione utilizzando criteri di gruppo o criteri di protezione locali in Configurazione computer -> Modelli amministrativi -> Rete -> impostazioni di configurazione SSL -> ordine del suite di crittografia SSL.

  • Impostare questo criterio per abilitare. Ogni suite di crittografia deve essere separata da una virgola. Rimuovi in base alle esigenze in base all'elenco riportato di seguito.

  • Per disabilitare in base al Registro di sistema, fare riferimento a questo articolo:

    • https://support.microsoft.com/en-us/kb/245030

• Modificare le impostazioni di Compliance Reporter per consentire solo le moderne suite di crittografia in questa posizione: \Dell\Enterprise Edition\Compliance Reporter\conf\eserver.properties

  • Impostare

eserver.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_
WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_
WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA

• Salvare;

• Modificare le impostazioni dei web service della console per consentire solo i moderni pacchetti di crittografia in questa posizione: \Dell\Enterprise Edition\Console Web Services\conf\eserver.properties

  Nota: A partire dalla versione 9.2, il servizio web della console non è più presente.
  • Impostare

eserver.ciphers=TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA

• Modificare le impostazioni del device server per consentire solo i pacchetti di crittografia moderni in questa posizione: \Dell\Enterprise Edition\Device Server\conf\spring-jetty.xml

  • Aggiornare l'elenco nella sezione per escludere i pacchetti di crittografia vulnerabili. Elenco delle suite di crittografia escluse suggerite di seguito.

  • Save

• Modificare le impostazioni di Security Server per consentire solo le moderne suite di crittografia in questa posizione: \Dell\Enterprise Edition\Security Server\conf\spring-jetty.xml

  • Aggiornare l'elenco in entrambe le sezioni per escludere i pacchetti di crittografia vulnerabili. Elenco delle suite di crittografia escluse suggerite di seguito.

  • Save

• Se le impostazioni di Windows sono state modificate, riavviare DDP back-end| Server E. Se le impostazioni di Windows non sono state modificate, arrestare tutti i DDP| E Servizi di Windows, quindi avviare nuovamente i servizi di .

• Verificare la presenza di eventuali servizi interrotti.

• Testare l'attivazione del nuovo endpoint

• Testare il thick client di Remote Management Console (se TLSv1.0 è abilitato in Windows).

• Testare la console Silverlight

Elenco di inclusione consigliato per le suite di crittografia sicure di Windows

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA384_P521

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA384_P384

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA384_P256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256

TLS_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_256_CBC_SHA256

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_128_CBC_SHA256

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256

Elenco di esclusione consigliato per le suite di crittografia deboli di Jetty

SSL_RSA_WITH_RC4_128_MD5

SSL_RSA_WITH_RC4_128_SHA

TLS_ECDHE_RSA_WITH_RC4_128_SHA

TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

TLS_DHE_DSS_WITH_AES_256_CBC_SHA256

TLS_DHE_RSA_WITH_AES_256_CBC_SHA

TLS_DHE_DSS_WITH_AES_256_CBC_SHA

TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

TLS_DHE_RSA_WITH_AES_128_CBC_SHA

TLS_DHE_DSS_WITH_AES_128_CBC_SHA

SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA

SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA

TLS_ECDHE_ECDSA_WITH_RC4_128_SHA

SSL_RSA_WITH_RC4_128_SHA

TLS_ECDH_ECDSA_WITH_RC4_128_SHA

TLS_ECDH_RSA_WITH_RC4_128_SHA

SSL_RSA_WITH_RC4_128_MD5

TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA

TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA

SSL_RSA_WITH_3DES_EDE_CBC_SHA

TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA

TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA