PowerProtect: DP-sarja ja IDPA: Yleiset suojauksen koventamisen parhaat käytännöt (versio. 2.7.6)
摘要: Tämän artikkelin tarkoituksena on tarjota yleisiä tietoturvan vahvistamisen parhaita käytäntöjä IDPA (Integrated Data Protection Appliance) -versiolle 2.7.6 ennen tietoturva-aseman haavoittuvuustarkistusta. ...
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
说明
HUOMAUTUS: PowerProtect Data Protection (DP) -sarjan ohjelmisto tai IDPA-versio 2.7.7 on julkaistu. Suosittelemme päivittämään IDPA-versioon 2.7.7.
Ennen tietoturvaskannausta seuraavassa on muutamia PowerProtect Data Protection Series -ohjelmistoversion 2.7.6 yleisiä suojauksen parantamisen parhaita käytäntöjä. Ota yhteys Dell Technologies -tukeen, jos sinulla on muita ongelmia.
KAIKKI (valinnainen):
PowerProtect DP -sarjan laitteiden alikomponentit sisältävät SSL-itse allekirjoitettuja varmenteita, mikä voi saada selaimen ilmoittamaan suojaamattomasta yhteydestä. Laitteen suojauksen maksimoimiseksi asiakkaan on korvattava oletusarvoiset SSL-itse allekirjoitetut varmenteet SSL-varmenteilla, jotka on allekirjoittanut luotettu varmenteiden myöntäjä (CA). Käytä IDPA Security Configuration Guide -oppaan ohjeita (asiakirjan tarkasteleminen edellyttää kirjautumista rekisteröityneenä käyttäjänä Dell-tukeen). Yksityiskohtainen menettely on kohdassa "Varmenteiden hallinta".
HUOMAUTUS: Asiakkaan lähettämät CA-allekirjoitetut varmenteet korvataan itse allekirjoitetuilla varmenteilla laitteen päivityksen yhteydessä. Tämän vuoksi asiakkaan on lisättävä päämyöntäjän allekirjoittama varmenne uudelleen päivityksen jälkeen.
Appliance Configuration Manager (ACM):
Käytä seuraavia Dellin artikkeleita:
- PowerProtect DP -sarjan laitteet ja IDPA: Tietoturvaongelmien tarkistus havaittu "Network Time Protocol (NTP) Mode 6 Scanner" ACM/Search-toiminnossa
- PowerProtect DP -sarjan laitteet ja IDPA: Tietoturvaskannaus havaittu "DNS- tai BIND"-haavoittuvuuksissa ACM:ssä(artikkelin lukeminen edellyttää kirjautumista rekisteröityneenä käyttäjänä Dell-tukeen)
- PowerProtect DP -sarjan laitteet ja IDPA: Tietoturvaskannaus havaitsi, että SSH sisältää heikkoja CBC-salauksia monissa IDPA-komponenteissa
- PowerProtect DP -sarjan laitteet ja IDPA-raportti SHA1 vanhentunut SSH-asetus (QID 38909)
Suojausohjelmisto (Avamar):
Asenna uusin Avamar 19.9 Cumulative Hotfix. Esimerkiksi kumulatiivinen Avamar 19.9 Avamar Hotfix -korjaus Avamar Serverille, mukaan lukien Avamar Virtual Edition – hotfix 338827, elokuu 2024: "v19.9.0.78-workflow-338827.zip"
Asenna uusin Avamar OS -korjaus Avamariin ja NDMP-solmuihin. Esimerkiksi Avamar Virtual Edition (AVE) ja Avamar Data Stores (ADS) Platform Security Rollup 2024-R2, "AvPlatformOsRollup_2024-R2-v3.avp."
- Avamar: Avamar Security Rollupin asentaminen Avamar Virtual Editioniin (AVE) ja NDMP:hen(artikkelin lukeminen edellyttää kirjautumista rekisteröityneenä käyttäjänä Dell-tukeen)
Käytä uusinta kumulatiivista Avamar-välityspalvelimen hotfix-korjausta kaikissa Avamar-välityspalvelimissa, mukaan lukien IDPA:n sisäinen AvProxy-palvelin ja asiakkaan vCenter-välityspalvelimet. Esimerkiksi Avamar 19.9.100-78 PROXY Cumulative Hotfix (hotfix 338844, elokuu 2024), "v19.9.100.78-client-338844.zip."
- Välityspalvelimen hotfix-korjauksen asennusohjeet ovat .zip tiedoston README-tiedostossa.
Avamar Proxy OS -korjaustiedoston asentaminen kaikkiin Avamar-välityspalvelimiin, mukaan lukien IDPA:n sisäinen AvProxy-palvelin ja asiakkaan vCenter-välityspalvelimet. Esimerkiksi Avamar Proxy Bundle 2024-R2, "sec_os_update_proxy-2024-R2-v3.tgz."
Käytä seuraavia Dellin artikkeleita:
- PowerProtect DP -sarjan laitteet ja IDPA: Tietoturvaskannaus havaitsi, että SSH sisältää heikkoja CBC-salauksia monissa IDPA-komponenteissa
- PowerProtect DP -sarjan laitteet ja IDPA-raportti SHA1 vanhentunut SSH-asetus (QID 38909)
(Huomautus: Ongelman pitäisi ratketa Avamar Security Rollup 2024-R2:n asentamisen jälkeen.)
Katso PowerProtect DP -sarjan Appliance Security Configuration Guide -opas (asiakirjan tarkasteleminen edellyttää kirjautumista rekisteröityneenä käyttäjänä Dell-tukeen) kohdissa Integroi suojausohjelmisto ja suojaustallennus SNMP v3:een ja Raportoinnin, analytiikan ja suojaustallennuksen integrointi SNMP v3:een.
VAROITUS: Jos PowerProtect DP -sarjan laitteeseen on määritetty Cloud DR, älä integroi suojausohjelmistoa (Avamar) ja Protection Storage (Data Domain) SNMP v3:een. Cloud DR ei toimi oikein SNMP v3 -määrityksen jälkeen.
Jos Cloud DR on käytössä, vain SNMP v2C:tä tuetaan. Tunnetut "julkiset" ja "yksityiset" yhteisömerkkijonot tulisi korvata merkkijonoilla, kuten "idpasnmpuser" tai jotain ainutlaatuista ympäristölle. Päivitä SNMP-yhteisömerkkijono Security Configuration Guide -oppaan ohjeiden mukaisesti (asiakirjan tarkasteleminen edellyttää kirjautumista rekisteröityneenä käyttäjänä Dell-tukeen) (valitsemalla SNMP v2C v3:n sijaan).
Protection Storage (Data Domain):
Suorita ulkoinen päivitys versioon DD OS 7.10.1.20. (IDPA-versio 2.7.6-DD tukee käyttöjärjestelmän versiota 7.10.1.20.)
Käytä seuraavia Dellin artikkeleita:
- Data Domain: Vanhentuneet SSH-salausasetukset QID 38739(artikkelin tarkasteleminen edellyttää kirjautumista rekisteröityneenä käyttäjänä Dell-tukeen)
- PowerProtect DP -sarjan laitteet ja IDPA-raportti SHA1 vanhentunut SSH-asetus (QID 38909)
- PowerProtect: OpenSSH-haavoittuvuus CVE-2024-6387 IDPA 2.7.6- ja 2.7.7-versioissa
Katso PowerProtect DP -sarjan laitteiden suojauksen määritysopas(edellyttää kirjautumista rekisteröityneenä käyttäjänä Dell-tukeen asiakirjan tarkastelemiseksi) kohdissa Integroi suojausohjelmisto ja suojaustallennus SNMP v3:een ja Raportoinnin, analytiikan ja suojaustallennustilan integrointi SNMP v3:een.
VAROITUS: Jos PowerProtect DP -sarjan laitteeseen on määritetty Cloud DR, älä integroi suojausohjelmistoa (Avamar) ja Protection Storage (Data Domain) SNMP v3:een. Cloud DR ei toimi oikein SNMP v3 -määrityksen jälkeen.
Jos Cloud DR on käytössä, vain SNMP v2C:tä tuetaan. Tunnetut "julkiset" ja "yksityiset" yhteisömerkkijonot tulisi korvata merkkijonoilla, kuten "idpasnmpuser" tai jotain ainutlaatuista ympäristölle. Päivitä SNMP-yhteisömerkkijono Security Configuration Guide -oppaan ohjeiden mukaisesti (asiakirjan tarkasteleminen edellyttää kirjautumista rekisteröityneenä käyttäjänä Dell-tukeen) (valitsemalla SNMP v2C v3:n sijaan).
Järjestelmänvalvoja (DPC):
HUOMAUTUS: DPC on valinnainen komponentti, asiakkaat voivat päättää sen säilyttämisestä. DPC:n poistaminen ACM:stä ei vaikuta varmuuskopiointitoimintoihin.
asenna uusin Data Protection Central -käyttöjärjestelmäpäivitys. Lataa esimerkiksi käyttöjärjestelmän päivitys
asenna uusin Data Protection Central -käyttöjärjestelmäpäivitys. Lataa esimerkiksi käyttöjärjestelmän päivitys
dpc-osupdate-1.1.19-1.jar (edellyttää kirjautumista rekisteröityneenä käyttäjänä Dell-tukeen tiedoston käyttämistä varten)
- Data Protection Central: Data Protection Central -käyttöjärjestelmäpäivityksen asentaminen(artikkelin lukeminen edellyttää kirjautumista rekisteröityneenä käyttäjänä Dell-tukeen)
Search:
HUOMAUTUS: Haku on valinnainen osa, asiakkaat voivat päättää, säilytetäänkö se. Haun poistaminen ACM:stä ei vaikuta varmuuskopiointitoimintoihin.
VAROITUS: Haku ei ole enää versiossa 2.7.6 uudet asennukset. Jos laite on päivitetty versioon 2.7.6 vanhemmasta versiosta, Search päivitetään versioon 19.6.3 ja on käytettävissä, kunnes se poistetaan ACM-käyttöliittymästä. Jos Search on poistettu ACM:stä, uudelleenasennusta ei suoriteta.
Seuraavien Dell-artikkeleiden avulla voit korjata muita tietoturvahaavoittuvuuksia:
VAROITUS: Haku ei ole enää versiossa 2.7.6 uudet asennukset. Jos laite on päivitetty versioon 2.7.6 vanhemmasta versiosta, Search päivitetään versioon 19.6.3 ja on käytettävissä, kunnes se poistetaan ACM-käyttöliittymästä. Jos Search on poistettu ACM:stä, uudelleenasennusta ei suoriteta.
Seuraavien Dell-artikkeleiden avulla voit korjata muita tietoturvahaavoittuvuuksia:
- PowerProtect DP -sarjan laitteet ja IDPA: Tietoturvaongelmien tarkistus havaittu "Network Time Protocol (NTP) Mode 6 Scanner" ACM/Search-toiminnossa
- DPSearchin tietoturvatarkistuksen arviointi saattaa näyttää ldap-anonymous-directory-access-hälytyksen(artikkelin tarkasteleminen edellyttää kirjautumista rekisteröityneenä käyttäjänä Dell-tukeen)
- PowerProtect DP -sarjan laitteet ja IDPA: Tietoturvaongelmien tarkistus havaittu "MD5- tai 96-bittisten HMAC-algoritmien SSH-haavoittuvuudet SSH-kokoonpanossa" ESXi:ssä, vCenterissä, Searchissa tai DPC:ssä(artikkelin lukeminen edellyttää kirjautumista rekisteröityneenä käyttäjänä Dellin tukeen)
- PowerProtect DP -sarjan laitteet ja IDPA-raportti SHA1 vanhentunut SSH-asetus (QID 38909)
Reporting and Analytics (DPA):
HUOMAUTUS: DPA on valinnainen osa, asiakkaat voivat itse päättää, haluavatko he säilyttää sen. DPA:n poistaminen ACM:stä ei vaikuta varmuuskopiointitoimintoihin.
Päivitä DPA versioon 19.10 Build 22:
Päivitä DPA versioon 19.10 Build 22:
- For DP4400: Lataa palvelimen binaaritiedosto (tiedoston käyttö edellyttää kirjautumista rekisteröityneenä käyttäjänä Dell-tukeen)
- For DP5/8x00: Lataa palvelin - ja agenttibinaarit(tiedoston käyttö edellyttää kirjautumista rekisteröityneenä käyttäjänä Dell-tukeen)
- PowerProtect DP -sarjan laite ja integroitu tietosuojalaite: DPA- tai Data Protection Advisor -osan päivittäminen laitteen kaistan ulkopuolella
Ota PowerProtect DP -sarjan laitteet käyttöön ja ilmoita IDPA-raportin SHA1:n vanhentuneesta SSH-asetuksesta (QID 38909).
Ota käyttöön "Data Protection Advisor April 2024 JRE 8u411 Upgrade Patch for Linux 64 bit" (edellyttää kirjautumista rekisteröityneenä käyttäjänä Dell-tukeen, jotta voit käyttää tiedostoa) korjaustiedosto DPA-tietosäilöön ja sovelluspalvelimiin. Se testattiin uusimmilla DPA 19.9- ja 19.10-versioiden korjaustiedostoilla.
- Katso JRE-päivityksen ohjeet artikkelista Dell Data Protection Advisor 19.10 Installation and Administration Guide .
Katso PowerProtect DP -sarjan laitteiden suojauksen määritysopas(asiakirjan tarkasteleminen edellyttää kirjautumista rekisteröityneenä käyttäjänä Dell-tukeen) kohdissa Integroi suojausohjelmisto ja suojaus StorSage SNMP v3:een ja Raportoinnin, analytiikan ja suojaustallennustilan integrointi SNMP v3:een.
VAROITUS: Jos PowerProtect DP -sarjan laitteeseen on määritetty Cloud DR, älä integroi suojausohjelmistoa (Avamar) ja Protection Storage (Data Domain) SNMP v3:een. Cloud DR ei toimi oikein SNMP v3 -määrityksen jälkeen.
Jos Cloud DR on käytössä, vain SNMP v2C:tä tuetaan. Tunnetut "julkiset" ja "yksityiset" yhteisömerkkijonot tulisi korvata merkkijonoilla, kuten "idpasnmpuser" tai jotain ainutlaatuista ympäristölle. Päivitä SNMP-yhteisömerkkijono Security Configuration Guide -oppaan ohjeiden mukaisesti (asiakirjan tarkasteleminen edellyttää kirjautumista rekisteröityneenä käyttäjänä Dell-tukeen) (valitsemalla SNMP v2C v3:n sijaan).
PowerEdge-laiteohjelmisto ja iDARC:
Noudata IDPA Security Configuration Guide -oppaan ohjeita (asiakirjan tarkasteleminen edellyttää kirjautumista rekisteröityneenä käyttäjänä Dell-tukeen) kohdassa "PowerProtect DP -sarjan laitekytkimen ja iDRACin SNMP-oletusyhteisömerkkijonon muuttaminen" SNMP-yhteisömerkkijonoa.
Käytä Security Configuration Guide -oppaan ohjeita (asiakirjan tarkasteleminen edellyttää kirjautumista rekisteröityneenä käyttäjänä Dell-tukeen). Katso kohta iDRAC:n TLS-protokollamääritykset ja päivitä iDRAC-verkkopalvelimen TLS-protokolla TLS 1.2:een tai uudempaan.
Ota PowerProtect DP -sarjan laitteet käyttöön ja ilmoita IDPA-raportin SHA1:n vanhentuneesta SSH-asetuksesta (QID 38909).
PowerEdge-kytkimet (DP5/8x00):
Käytä Security Configuration Guide -oppaan ohjeita (asiakirjan tarkasteleminen edellyttää kirjautumista rekisteröityneenä käyttäjänä Dell-tukeen). Katso kohta PowerProtect DP -sarjan laitekytkimen ja iDRACin oletusarvoisen SNMP-yhteisömerkkijonon muuttaminen ja päivitä SNMP-yhteisömerkkijono.
受影响的产品
PowerProtect Data Protection Appliance, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, PowerProtect Data Protection Hardware
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
文章属性
文章编号: 000223709
文章类型: How To
上次修改时间: 05 5月 2025
版本: 13
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。