PowerProtect: DP-serien og IDPA: Bedste fremgangsmåder for generel sikkerhedshærdning (version. 2.7.6)
摘要: Denne artikel har til formål at give generelle bedste fremgangsmåder for sikkerhedshærdning af IDPA (Integrated Data Protection Appliance) version 2.7.6, før du kører en scanning af sikkerhedssårbarheder. ...
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
说明
BEMÆRK: PowerProtect Data Protection (DP)-seriens Software eller IDPA version 2.7.7 er blevet frigivet. Det anbefales at opgradere til IDPA version 2.7.7.
Før du kører en scanning af sikkerhedsrisici, er her nogle generelle bedste fremgangsmåder for sikkerhedshærdning for PowerProtect Data Protection Series Software version 2.7.6. Kontakt Dell Technologies Support for eventuelle andre problemer.
ALL (valgfrit):
Underkomponenterne PowerProtect DP-seriens enhed omfatter selvsignerede SSL-certifikater, som kan få browseren til at rapportere en ikke-sikret forbindelse. For maksimal enhedssikkerhed skal kunden erstatte standard SSL selvsignerede certifikater med SSL-certifikater underskrevet af en betroet certifikatmyndighed (CA). Anvend trinene i IDPA-sikkerhedskonfigurationsvejledningen(kræver login som registreret bruger på Dell Support for at se dokumentet). Den detaljerede procedure findes i afsnittet "Certifikatstyring."
BEMÆRK: Kundeimporterede CA-signerede certifikater erstattes af selvsignerede certifikater under opgraderingen af enheden. Derfor skal kunden tilføje det CA-signerede certifikat igen efter en opgradering.
Appliance Configuration Manager (ACM):
Anvend følgende Dell-artikler:
- Enheder i PowerProtect DP-serien og IDPA: Scanning efter sikkerhedsrisici registreret "Network Time Protocol (NTP) Mode 6 Scanner" på ACM/Søg
- Enheder i PowerProtect DP-serien og IDPA: Scanning efter sikkerhedssårbarheder har fundet "DNS- eller BIND"-sårbarheder i ACM(kræver login som registreret bruger på Dell Support for at se artiklen)
- Enheder i PowerProtect DP-serien og IDPA: Scanning af sikkerhedssårbarheder har registreret, at SSH indeholder svage CBC-cifre på mange IDPA-komponenter
- PowerProtect DP-seriens enheder og IDPA rapporterer SHA1 forældet indstilling for SSH (QID 38909)
Beskyttelsessoftware (Avamar):
Anvend det seneste kumulative Avamar 19.9-hotfix. F.eks. Kumulativt hotfix til Avamar 19.9 Avamar Server til Avamar Server, herunder Avamar Virtual Edition – Hotfix 338827, august 2024: "v19.9.0.78-workflow-338827.zip"
Anvend den nyeste Avamar OS-programrettelse på Avamar og NDMP-noderne. For eksempel Avamar Virtual Edition (AVE) og Avamar Data Stores (ADS) Platform Security Rollup 2024-R2, "AvPlatformOsRollup_2024-R2-v3.avp."
- Avamar: Sådan installerer du Avamar-sikkerhedspakken på Avamar Virtual Edition (AVE) og NDMP( kræver login som registreret bruger på Dell Support for at se artiklen)
Anvend det nyeste kumulative Avamar Proxy-hotfix til alle Avamar-proxyer, herunder IDPA Internal AvProxy og kundens vCenter Proxies. F.eks. kumulativt hotfix til Avamar 19.9.100-78 PROXY (hotfix 338844, august 2024), "v19.9.100.78-client-338844.zip."
- Proxy-hotfixinstallationsproceduren findes i README-filen i .zip filen.
Anvend Avamar Proxy OS-programrettelsen for alle Avamar-proxyer, herunder IDPA Internal AvProxy og kundens vCenter-proxyer. For eksempel Avamar Proxy-pakke 2024-R2, "sec_os_update_proxy-2024-R2-v3.tgz."
Anvend følgende Dell-artikler:
- Enheder i PowerProtect DP-serien og IDPA: Scanning af sikkerhedssårbarheder har registreret, at SSH indeholder svage CBC-cifre på mange IDPA-komponenter
- PowerProtect DP-seriens enheder og IDPA rapporterer SHA1 forældet indstilling for SSH (QID 38909)
(Bemærk: Problemet bør løses efter anvendelse af Avamar-sikkerhedspakke 2024-R2.)
Anvend PowerProtect DP Series Appliance Security Configuration Guide (kræver login som registreret bruger på Dell Support for at se dokumentet) under afsnittene "Integrer beskyttelsessoftware og beskyttelsesstorage med SNMP v3" og "Integrer rapportering og analyse og beskyttelsesstorage med SNMP v3".
FORSIGTIGHED: Hvis enheden i PowerProtect DP-serien er konfigureret med Cloud DR, må du ikke integrere beskyttelsessoftware (Avamar) og beskyttelsesstorage (Data Domain) med SNMP v3. Cloud DR fungerer ikke korrekt efter SNMP v3-konfiguration.
Hvis Cloud DR er i brug, understøttes kun SNMP v2C. De velkendte "offentlige" og "private" fællesskabsstrenge bør erstattes med strenge som "idpasnmpuser" eller noget unikt for miljøet. Se proceduren i sikkerhedskonfigurationsvejledningen(kræver login som registreret bruger på Dell Support for at se dokumentet) (valg af SNMP v2C i stedet for v3) for at opdatere SNMP-fællesskabsstrengen.
Beskyttelseslager (Data Domain):
Udfør en out-of-band-opgradering til version DD OS 7.10.1.20. (For IDPA version 2.7.6-DD OS understøttes version 7.10.1.20.)
Anvend følgende Dell-artikler:
- Data Domain: Udfasede SSH-kryptografiske indstillinger QID 38739(kræver login som registreret bruger på Dell Support for at se artiklen)
- PowerProtect DP-seriens enheder og IDPA rapporterer SHA1 forældet indstilling for SSH (QID 38909)
- PowerProtect: OpenSSH-sårbarhed CVE-2024-6387 på IDPA 2.7.6 og 2.7.7
Anvend PowerProtect DP Series Appliance Security Configuration Guide(kræver login som registreret bruger på Dell Support for at se dokumentet) under afsnittene "Integrer beskyttelsessoftware og beskyttelsesstorage med SNMP v3" og "Integrer rapportering og analyse og beskyttelsesstorage med SNMP v3".
FORSIGTIGHED: Hvis enheden i PowerProtect DP-serien er konfigureret med Cloud DR, må du ikke integrere beskyttelsessoftware (Avamar) og beskyttelsesstorage (Data Domain) med SNMP v3. Cloud DR fungerer ikke korrekt efter SNMP v3-konfiguration.
Hvis Cloud DR er i brug, understøttes kun SNMP v2C. De velkendte "offentlige" og "private" fællesskabsstrenge bør erstattes med strenge som "idpasnmpuser" eller noget unikt for miljøet. Se proceduren i sikkerhedskonfigurationsvejledningen(kræver login som registreret bruger på Dell Support for at se dokumentet) (valg af SNMP v2C i stedet for v3) for at opdatere SNMP-fællesskabsstrengen.
Systemadministrator (DPC):
BEMÆRK: DPC er en valgfri komponent, og kunderne kan beslutte, om de vil beholde den. Fjernelse af DPC fra ACM vil ikke påvirke sikkerhedskopieringsfunktionen.
Anvend den seneste opdatering af Data Protection Central-operativsystemet. Download f.eks. operativsystemopdateringen
Anvend den seneste opdatering af Data Protection Central-operativsystemet. Download f.eks. operativsystemopdateringen
dpc-osupdate-1.1.19-1.jar (kræver login som registreret bruger på Dell Support for at få adgang til filen)
- Data Protection Central: Sådan installerer du opdateringen af Data Protection Central-operativsystemet(kræver, at du logger på Dell Support som registreret bruger for at se artiklen)
Søge:
BEMÆRK: Søgning er en valgfri komponent, kunderne kan beslutte, om de vil beholde den. Fjernelse af søgning fra ACM vil ikke påvirke sikkerhedskopieringsfunktionen.
FORSIGTIGHED: Søg er ikke længere i version 2.7.6 nye installationer. Hvis enheden blev opgraderet til version 2.7.6 fra en ældre version, opgraderes Search til version 19.6.3 og er tilgængelig, indtil den fjernes fra ACM-brugergrænsefladen. Hvis Søg fjernes fra ACM, er der ingen geninstallationsprocedure.
Anvend følgende Dell-artikler til at afhjælpe yderligere sikkerhedssårbarheder:
FORSIGTIGHED: Søg er ikke længere i version 2.7.6 nye installationer. Hvis enheden blev opgraderet til version 2.7.6 fra en ældre version, opgraderes Search til version 19.6.3 og er tilgængelig, indtil den fjernes fra ACM-brugergrænsefladen. Hvis Søg fjernes fra ACM, er der ingen geninstallationsprocedure.
Anvend følgende Dell-artikler til at afhjælpe yderligere sikkerhedssårbarheder:
- Enheder i PowerProtect DP-serien og IDPA: Scanning efter sikkerhedsrisici registreret "Network Time Protocol (NTP) Mode 6 Scanner" på ACM/Søg
- Sikkerhedsscanningsvurdering af DPSearch kan vise advarsel for ldap-anonymous-directory-access (kræver login som registreret bruger på Dell Support for at se artiklen)
- Enheder i PowerProtect DP-serien og IDPA: Scanning efter sikkerhedssårbarheder registrerede "SSH-sårbarheder for MD5- eller 96-bit HMAC-algoritmer inden for SSH-konfigurationen" på ESXi, vCenter, Søg eller DPC(kræver login som registreret bruger på Dell Support for at se artiklen)
- PowerProtect DP-seriens enheder og IDPA rapporterer SHA1 forældet indstilling for SSH (QID 38909)
Rapportering og analyse (DPA):
BEMÆRK: DPA er en valgfri komponent, som kunderne kan beslutte, om de vil beholde den. Fjernelse af DPA fra ACM vil ikke påvirke sikkerhedskopieringsfunktionen.
Opgrader DPA til version 19.10 Build 22:
Opgrader DPA til version 19.10 Build 22:
- For DP4400: Download serverbinærfilen(kræver, at du logger på Dell Support som registreret bruger for at få adgang til filen)
- Til DP5/8x00: Download server - og agentfilerne(kræver login som registreret bruger på Dell Support for at få adgang til filen)
- Enhed i PowerProtect DP-serien og integreret databeskyttelsesenhed: Trin til at opgradere DPA- eller Data Protection Advisor-komponenten uden for båndet i enheden
Anvend enheder i PowerProtect DP-serien og IDPA Report SHA1 udfaset indstilling for SSH (QID 38909).
Anvend programrettelsen "Data Protection Advisor April 2024 JRE 8u411 Upgrade Patch for Linux 64 bit" (kræver login som registreret bruger på Dell Support for at få adgang til filen) på DPA-datalageret og programserverne. Det blev testet med de nyeste patches af DPA 19.9 og 19.10 versioner.
- Se artiklen Dell Data Protection Advisor 19.10 – Installations- og administrationsvejledning om, hvordan du udfører JRE-opgraderingen.
Anvend PowerProtect DP Series Appliance Security Configuration Guide(kræver login som registreret bruger på Dell Support for at se dokumentet) under afsnittene "Integrer beskyttelsessoftware og beskyttelsesstorage med SNMP v3" og "Integrer rapportering og analyse og beskyttelsesstorage med SNMP v3".
FORSIGTIGHED: Hvis enheden i PowerProtect DP-serien er konfigureret med Cloud DR, må du ikke integrere beskyttelsessoftware (Avamar) og beskyttelsesstorage (Data Domain) med SNMP v3. Cloud DR fungerer ikke korrekt efter SNMP v3-konfiguration.
Hvis Cloud DR er i brug, understøttes kun SNMP v2C. De velkendte "offentlige" og "private" fællesskabsstrenge bør erstattes med strenge som "idpasnmpuser" eller noget unikt for miljøet. Se proceduren i sikkerhedskonfigurationsvejledningen(kræver login som registreret bruger på Dell Support for at se dokumentet) (valg af SNMP v2C i stedet for v3) for at opdatere SNMP-fællesskabsstrengen.
PowerEdge-firmware og iDARC:
Anvend trinene i IDPA-sikkerhedskonfigurationsvejledningen(kræver login som registreret bruger på Dell Support for at se dokumentet) under afsnittet "Skift standard SNMP-fællesskabsstrengen for PowerProtect DP-seriens enhedsswitch og iDRAC", skift SNMP-communitystrengen.
Anvend trinene i Sikkerhedskonfigurationsvejledningen(kræver login som registreret bruger på Dell Support for at se dokumentet). Se afsnittet "TLS-protokolkonfiguration til iDRAC", og opdater iDRAC-webserverens TLS-protokol til TLS 1.2 og nyere.
Anvend enheder i PowerProtect DP-serien og IDPA Report SHA1 udfaset indstilling for SSH (QID 38909).
PowerEdge-switche (til DP5/8x00):
Anvend trinene i Sikkerhedskonfigurationsvejledningen(kræver login som registreret bruger på Dell Support for at se dokumentet). Se afsnittet "Skift standard SNMP-communitystrengen for PowerProtect DP Series Appliance-switchen og iDRAC", og opdater SNMP-communitystrengen.
受影响的产品
PowerProtect Data Protection Appliance, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, PowerProtect Data Protection Hardware
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
文章属性
文章编号: 000223709
文章类型: How To
上次修改时间: 05 5月 2025
版本: 13
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。