Обновления уязвимостей Microsoft могут привести к сбою связи в Dell Encryption
Сводка: Обновления уязвимостей Microsoft могут привести к сбою связи в Dell Encryption (ранее Dell Data Protection | Encryption).
Симптомы
Затронутые продукты:
- Dell Encryption
- Dell Data Protection | Encryption
Причина
Корпорация Майкрософт отправляет обновления системы безопасности для устранения уязвимостей, поэтому эти обновления влияют на связь с Dell Encryption. В средах, где на сервере Dell Security Management Server разрешены пакеты шифрования Diffie-Hellman Export (DHE) (ранее Dell Data Protection | Enterprise Edition) server: после установки обновлений Microsoft может наблюдаться следующее поведение:
В данном примере активация не удалась. В журнале Shield были следующие сообщения:
[07.08.16 11:54:38:824 CredantServerIn: 211] [ERROR] SSL request failed.. HTTP error An error occurred in the secure channel support [MS ec=12157]. [07.08.16 11:54:38:824 CredantServerIn: 211] [ERROR] HTTP error. HTTP error A security error occurred [MS ec=12175].
и
[07.08.16 11:54:38:864 XmlRpcActivate: 128] Activating user... [07.08.16 11:54:38:924 XmlRpcActivate: 415] SSL Failure status code. HTTP error(-2147483648) - [07.08.16 11:54:38:934 XmlRpcActivate: 415] SSL request failed.. HTTP error(12157) - An error occurred in the secure channel support [07.08.16 11:54:38:934 XmlRpcActivate: 415] HTTP error. HTTP error(12175) - A security error occurred [07.08.16 11:54:38:934 XmlRpcActivate: 148] Activation request failed [code:0x2f8f]: [07.08.16 11:54:38:934 Activator: 709] [SUPPORT] [W] Activation - Unable to activate new user XXXXXXX [error = 0x2f8f] [07.08.16 11:54:38:934 Activator: 711] Activation - Verify that the CMG Shield is properly installed. [07.08.16 11:54:38:934 Activator: 716] Activation - Verify network connectivity to the CMG Server at "XXXXXXX" and CMG Device Server at [07.08.16 11:54:38:934 ] - Device Server Connection error (12175)
Конечная точка может отправить эхо-запрос на сервер и успешно подключиться к порту через Telnet. Даже некоторые браузеры, такие как Chrome, могут попасть на сайт, в то время как IE не может.
Записи в журналах событий системы Windows для компонента SChannel:
- 36888 0 2 0 0 0x8000000000000000 19178 System XXXXXXXXXXXXXXX.com - 40 808
Разрешение
Если такое поведение наблюдается, проверьте, какие обновления Microsoft были применены к конечной точке. Два обновления, которые могут вызвать проблемы:
- Обновление безопасности Microsoft MS15-055/KB3061518
- Обновление безопасности Microsoft KB3161608
Одно из обновлений изменяет минимальную длину ключа DHE с 512 бит на 1024 бит на конечной точке. По умолчанию Dell Security Management Server позволяет использовать 768-разрядные группы DHE, что приводит к сбою подтверждения протокола SSL или TLS после применения этих обновлений. Чтобы восстановить конечную точку для использования минимальной длины ключа DHE 512 бит, необходимо обновить реестр на конечной точке. Найдите в реестре следующий подраздел:
- Прежде чем продолжить, создайте резервную копию реестра, см. статью Резервное копирование и восстановление реестра в Windows
.
- Редактирование реестра может привести к тому, что компьютер перестанет отвечать при следующей перезагрузке.
- Если у вас возникли вопросы относительно выполнения этого шага, обратитесь за помощью по телефону международной службы поддержки Dell Data Security.
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman
- Затем добавьте «DWord ClientMinKeyBitLength» и установите значение 00000200.
Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.