NetWorker: skaner zabezpieczeń zgłasza lukę w zabezpieczeniach portów 5432 i 5671 dla serwera NMC wdrożenia NetWorker opartego na systemie Windows

Podsumowanie: Luka w zabezpieczeniach „TLS Version 1.1 Protocol Deprecated” (wersja protokołu TLS 1.1 jest przestarzała) i „TLS Version 1.0 Protocol Detection” (wykrycie protokołu TLS w wersji 1.0) dla portów 5432 i 5671 na serwerze NetWorker z zainstalowanym oprogramowaniem NetWorker w wersji 19.7.0.1 w systemie Windows Server 2016 ...

Ten artykuł dotyczy Ten artykuł nie dotyczy Ten artykuł nie jest powiązany z żadnym konkretnym produktem. Nie wszystkie wersje produktu zostały zidentyfikowane w tym artykule.
Sprawdź inne zasoby

Objawy

Serwer NetWorker i serwer NetWorker Management Console (NMC) są wdrażane w systemie operacyjnym Windows.

Skaner zabezpieczeń oznacza porty 5671 i 5432 jako negocjujące z protokołami TLS 1.0 i TLS 1.1.

Przyczyna

Ścieżka rejestru systemu operacyjnego Windows Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols jest pusta, co oznacza, że wszystkie wersje protokołu TLS są włączone.
 

Zrzut ekranu z rejestru systemu operacyjnego Windows
Rysunek 1. Zrzut ekranu z rejestru systemu operacyjnego Windows 

Ponieważ stare wersje TLS są włączone, porty 5671 i 5432 korzystały z nich podczas negocjacji.

 

Rozwiązanie

Usuń tę lukę w zabezpieczeniach przez wprowadzenie następujących zmian w konfiguracjach RabbitMQ i Postgres.
 

W przypadku portu RabbitMQ 5671:

  1. Na serwerze NetWorker edytuj "C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-#.#.#\etc\rabbitmq.conf" z następującym wierszem.
UWAGA: Wersja oprogramowania RabbitMQ różni się w zależności od wersji serwera NetWorker. 
From:
% disable TLS 1.0, remove tlsv1.1 if it is not needed 
                  {versions,   ['tlsv1.2', 'tlsv1.1']}, 

To:
% disable TLS 1.0, remove tlsv1.1 if it is not needed 
                  {versions,   ['tlsv1.2']},
  1. Zapisz zmiany w pliku
UWAGA: aby zmiany zostały wprowadzone, należy ponownie uruchomić usługi NetWorker. Można to jednak zrobić po modyfikacji szyfrów dla portu 5432 zgodnie z poniższymi krokami.

W przypadku portu Postgres 5432:

  1. Na serwerze NMC edytuj "C:\Program Files\EMC NetWorker\Management\nmcdb\pgdata\postgresql.conf" z następującym wierszem.
From:
ssl_ciphers = 'TLSv1.2:HIGH:!SSLv3:!NULL:!ADH:!MEDIUM:!LOW:!EXP:!MD5:!RC4:!3DES:@STRENGTH' #allowed SSL ciphers

To:
ssl_ciphers = 'TLSv1.2:!TLSv1.1:!TLSv1.0:HIGH:!SSLv3:!NULL:!ADH:!MEDIUM:!LOW:!EXP:!MD5:!RC4:!3DES:@STRENGTH' #allowed SSL ciphers
  1. Zapisz zmiany w pliku

Uruchom ponownie usługi:

Uruchom ponownie serwer NetWorker i usługi serwera NMC za pomocą poniższego polecenia:

net stop nsrexecd /y
UWAGA: to polecenie zatrzymuje wszystkie usługi serwerów NetWorker i NMC.

 Jeśli system jest zarówno serwerem NetWorker, jak i serwerem NMC, uruchom następujące polecenia:

net start nsrd
net start gstd
Jeśli system jest tylko serwerem NMC, uruchom następujące polecenia:
net start nsrexecd
net start gstd

Dodatkowe informacje

Inne materiały: 

Produkty, których dotyczy problem

NetWorker, NetWorker Management Console

Produkty

NetWorker Family, NetWorker Series
Właściwości artykułu
Numer artykułu: 000213153
Typ artykułu: Solution
Ostatnia modyfikacja: 27 maj 2026
Wersja:  8
Znajdź odpowiedzi na swoje pytania u innych użytkowników produktów Dell
Usługi pomocy technicznej
Sprawdź, czy Twoje urządzenie jest objęte usługą pomocy technicznej.