NetWorker：安全性掃描器會針對 Windows 型 NetWorker、NetWorker Management Console 伺服器在連接埠 5432 和 5671 上回報漏洞

Windows 作業系統登錄路徑 Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols 為空，表示已啟用所有 TLS 版本。
 

圖 1：Windows 作業系統登錄螢幕擷取畫面 

由於啟用了舊 TLS 版本，因此埠 5671 和 5432 在協商期間使用了它們。

透過對 RabbitMQ 和 Postgres 組態進行下列變更，以緩解此漏洞。
 

若為 RabbitMQ 連接埠 5671：

1. 在 NetWorker 伺服器上，編輯「C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-#.#.#\etc\rabbitmq.conf“ 檔案，變更中的位置。

From:
% disable TLS 1.0, remove tlsv1.1 if it is not needed 
                  {versions,   ['tlsv1.2', 'tlsv1.1']}, 

To:
% disable TLS 1.0, remove tlsv1.1 if it is not needed 
                  {versions,   ['tlsv1.2']},

2. 儲存對檔案所做的變更。

針對 Postgres 連接埠 5432：

1. 在 NMC 伺服器上，編輯「C:\Program Files\EMC NetWorker\Management\nmcdb\pgdata\postgresql.conf“ 檔案，變更中的位置。

From:
ssl_ciphers = 'TLSv1.2:HIGH:!SSLv3:!NULL:!ADH:!MEDIUM:!LOW:!EXP:!MD5:!RC4:!3DES:@STRENGTH' #allowed SSL ciphers

To:
ssl_ciphers = 'TLSv1.2:!TLSv1.1:!TLSv1.0:HIGH:!SSLv3:!NULL:!ADH:!MEDIUM:!LOW:!EXP:!MD5:!RC4:!3DES:@STRENGTH' #allowed SSL ciphers

2. 儲存對檔案所做的變更。

重新啟動服務：

使用下列命令重新啟動 NetWorker 伺服器和 NMC 伺服器服務：

net stop nsrexecd /y

 如果系統既是 NetWorker 伺服器又是 NMC 伺服器，請執行下列命令：

net start nsrd
net start gstd

net start nsrexecd
net start gstd

• 如何從 Windows 登錄啟用或停用 TLS  
• 在不同 Windows 版本上啟用或停用 TLS 版本