NetWorker: Security Scanner ilmoittaa haavoittuvuudesta porteissa 5432 ja 5671 Windows-pohjaisessa NetWorker, NetWorker Management Console -palvelimessa

Windows-käyttöjärjestelmän rekisteripolku Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols on tyhjä, mikä tarkoittaa, että kaikki TLS-versiot ovat käytössä.
 

Kuva 1: Windows-käyttöjärjestelmän rekisterin näyttökuva 

Koska vanhat TLS-versiot ovat käytössä, portit 5671 ja 5432 käyttivät niitä neuvottelujen aikana.

Lievennä tätä haavoittuvuutta tekemällä seuraavat muutokset RabbitMQ- ja Postgres-kokoonpanoihin.
 

RabbitMQ-portti 5671:

1. Muokkaa NetWorker-palvelimessa "C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-#.#.#\etc\rabbitmq.conf" tiedosto seuraavalla rivillä.

From:
% disable TLS 1.0, remove tlsv1.1 if it is not needed 
                  {versions,   ['tlsv1.2', 'tlsv1.1']}, 

To:
% disable TLS 1.0, remove tlsv1.1 if it is not needed 
                  {versions,   ['tlsv1.2']},

2. Tallenna muutokset tiedostoon.

Postgres-portti 5432:

1. Muokkaa NMC-palvelimessa "C:\Program Files\EMC NetWorker\Management\nmcdb\pgdata\postgresql.conf" tiedosto seuraavalla rivillä.

From:
ssl_ciphers = 'TLSv1.2:HIGH:!SSLv3:!NULL:!ADH:!MEDIUM:!LOW:!EXP:!MD5:!RC4:!3DES:@STRENGTH' #allowed SSL ciphers

To:
ssl_ciphers = 'TLSv1.2:!TLSv1.1:!TLSv1.0:HIGH:!SSLv3:!NULL:!ADH:!MEDIUM:!LOW:!EXP:!MD5:!RC4:!3DES:@STRENGTH' #allowed SSL ciphers

2. Tallenna muutokset tiedostoon.

Käynnistä palvelut uudelleen:

Käynnistä NetWorker-palvelin- ja NMC-palvelinpalvelut uudelleen seuraavalla komennolla:

net stop nsrexecd /y

 Jos järjestelmä on sekä NetWorker- että NMC-palvelin, suorita seuraavat komennot:

net start nsrd
net start gstd

net start nsrexecd
net start gstd

• TLS: n ottaminen käyttöön tai poistaminen käytöstä Windowsin rekisteristä  
• TLS-versiot käytössä tai poissa käytöstä eri Windows-versioissa