PowerProtect: Seria DP i IDPA: Ogólne najlepsze praktyki w zakresie wzmacniania zabezpieczeń (wersja 2.7.6)
摘要: Celem tego artykułu jest przedstawienie ogólnych najlepszych praktyk w zakresie wzmacniania zabezpieczeń dla urządzenia Integrated Data Protection Appliance (IDPA) w wersji 2.7.6 przed uruchomieniem skanowania luk w zabezpieczeniach. ...
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
说明
UWAGA: Oprogramowanie PowerProtect Data Protection Software z serii DP lub IDPA w wersji 2.7.7 zostało opublikowane. Zaleca się uaktualnienie do IDPA w wersji 2.7.7.
Przed rozpoczęciem skanowania luk w zabezpieczeniach zapoznaj się z poniższymi ogólnymi najlepszymi praktykami w zakresie wzmacniania zabezpieczeń dla oprogramowania PowerProtect Data Protection Series Software w wersji 2.7.6. W razie innych problemów skontaktuj się z pomocą techniczną firmy Dell Technologies.
WSZYSTKO (opcjonalnie):
Składniki podrzędne urządzenia PowerProtect z serii DP obejmują certyfikaty SSL z podpisem własnym, co może powodować zgłaszanie przez przeglądarkę niezabezpieczonego połączenia. Aby zapewnić maksymalne bezpieczeństwo urządzenia, klient musi zastąpić domyślne certyfikaty SSL z podpisem własnym certyfikatami SSL podpisanymi przez zaufany urząd certyfikacji (CA). Wykonaj czynności przedstawione w Instrukcji konfiguracji zabezpieczeń IDPA (wymaga zalogowania się jako zarejestrowany użytkownik do Dell Support, aby wyświetlić dokument). Szczegółowa procedura znajduje się w sekcji „Zarządzanie certyfikatami”.
UWAGA: Certyfikaty z podpisem CA zaimportowane przez klienta są zastępowane certyfikatami z podpisem własnym podczas uaktualniania urządzenia. W związku z tym po uaktualnieniu klient musi ponownie dodać certyfikat z podpisem CA.
Appliance Configuration Manager (ACM):
Zastosuj następujące artykuły firmy Dell:
- Urządzenia PowerProtect serii DP i IDPA: Wykryto skanowanie luk w zabezpieczeniach „Network Time Protocol (NTP) Mode 6 Scanner” w ACM/Search
- Urządzenia PowerProtect serii DP i IDPA: Skanowanie luk w zabezpieczeniach wykryło luki w zabezpieczeniach „DNS lub BIND” w ACM (wymaga zalogowania się jako zarejestrowany użytkownik do Dell Support, aby wyświetlić artykuł)
- Urządzenia PowerProtect serii DP i IDPA: Skanowanie luk w zabezpieczeniach wykryło, że protokół SSH zawiera słabe szyfry CBC w wielu komponentach IDPA
- Urządzenia PowerProtect z serii DP i IDPA zgłaszają przestarzałe ustawienie SHA1 dla SSH (QID 38909)
Protection Software (Avamar):
Zastosuj najnowszą poprawkę zbiorczą Avamar 19.9. Na przykład zbiorcza poprawka Avamar 19.9 Avamar dla Avamar Server, w tym poprawka Avamar Virtual Edition nr 338827, sierpień 2024 r.: "v19.9.0.78-workflow-338827.zip"
Zastosuj najnowszą poprawkę systemu operacyjnego Avamar w Avamar i węzłach NDMP. Przykładowo Pakiet zbiorczy zabezpieczeń 2024-R2 platform Avamar Virtual Edition (AVE) i Avamar Data Stores (ADS), "AvPlatformOsRollup_2024-R2-v3.avp."
- Avamar: Instalowanie pakietu zbiorczego zabezpieczeń Avamar na urządzeniach Avamar Virtual Edition (AVE) i NDMP(wymaga zalogowania się jako zarejestrowany użytkownik do Dell Support w celu wyświetlenia artykułu)
Zastosuj najnowszą poprawkę zbiorczą Avamar Proxy dla wszystkich serwerów proxy Avamar, w tym wewnętrznego serwera AvProxy IDPA i serwerów proxy vCenter klienta. Na przykład poprawka zbiorcza Avamar 19.9.100-78 PROXY (poprawka 338844, sierpień 2024 r.), "v19.9.100.78-client-338844.zip."
- Procedurę instalacji poprawki proxy można znaleźć w pliku README w pliku .zip.
Zastosuj poprawkę systemu operacyjnego Avamar Proxy dla wszystkich serwerów proxy Avamar, w tym wewnętrznego serwera AvProxy IDPA i serwerów proxy vCenter klienta. Na przykład pakiet Avamar Proxy 2024-R2, "sec_os_update_proxy-2024-R2-v3.tgz."
Zastosuj następujące artykuły firmy Dell:
- Urządzenia PowerProtect serii DP i IDPA: Skanowanie luk w zabezpieczeniach wykryło, że protokół SSH zawiera słabe szyfry CBC w wielu komponentach IDPA
- Urządzenia PowerProtect z serii DP i IDPA zgłaszają przestarzałe ustawienie SHA1 dla SSH (QID 38909)
(Uwaga: Problem powinien zostać rozwiązany po zastosowaniu pakietu zbiorczego zabezpieczeń Avamar 2024-R2).
Zastosuj Instrukcję konfiguracji zabezpieczeń urządzenia PowerProtect z serii DP (wymaga zalogowania się jako zarejestrowany użytkownik do Dell Support w celu wyświetlenia dokumentu) w sekcjach „Integracja Protection Software i Protection Storage z protokołem SNMP v3” oraz „Integracja raportowania i analityki oraz Protection Storage z protokołem SNMP v3”.
PRZESTROGA: Jeśli urządzenie PowerProtect z serii DP jest skonfigurowane z funkcją Cloud DR, nie należy integrować Protection Software (Avamar) i Protection Storage (Data Domain) z protokołem SNMP v3. Cloud DR nie będzie działać prawidłowo po skonfigurowaniu protokołu SNMP v3.
Jeśli Cloud DR jest w użyciu, obsługiwany jest tylko protokół SNMP v2C. Dobrze znane „publiczne” i „prywatne” ciągi grupy powinny zostać zastąpione ciągami takimi jak „idpasnmpuser” lub czymś unikatowym dla tego środowiska. Aby zaktualizować ciąg grupy SNMP, zapoznaj się z procedurą opisaną w Instrukcji konfiguracji zabezpieczeń(wymaga zalogowania się jako zarejestrowany użytkownik do Dell Support) (wybierz SNMP v2C zamiast v3).
Protection Storage (Data Domain):
Wykonaj zewnątrz-pasmową aktualizację do wersji DD OS 7.10.1.20. (W przypadku IDPA w wersji 2.7.6-DD obsługiwany jest system operacyjny 7.10.1.20).
Zastosuj się do następujących artykułów firmy Dell:
- Data Domain: Przestarzałe ustawienia kryptograficzne SSH QID 38739 (wymaga zalogowania się jako zarejestrowany użytkownik do Dell Support w celu wyświetlenia artykułu)
- Urządzenia PowerProtect z serii DP i IDPA zgłaszają przestarzałe ustawienie SHA1 dla SSH (QID 38909)
- PowerProtect: Luka w zabezpieczeniach OpenSSH CVE-2024-6387 na IDPA 2.7.6 i 2.7.7
Zastosuj Instrukcję konfiguracji zabezpieczeń urządzenia PowerProtect z serii DP (wymaga zalogowania się jako zarejestrowany użytkownik do pomocy technicznej firmy Dell w celu wyświetlenia dokumentu) w sekcjach „Integracja Protection Software i Protection Storage z protokołem SNMP v3” oraz „Integracja raportowania i analityki oraz Protection Storage z protokołem SNMP v3”.
PRZESTROGA: Jeśli urządzenie PowerProtect z serii DP jest skonfigurowane z funkcją Cloud DR, nie należy integrować Protection Software (Avamar) i Protection Storage (Data Domain) z protokołem SNMP v3. Cloud DR nie będzie działać prawidłowo po skonfigurowaniu protokołu SNMP v3.
Jeśli Cloud DR jest w użyciu, obsługiwany jest tylko protokół SNMP v2C. Dobrze znane „publiczne” i „prywatne” ciągi grupy powinny zostać zastąpione ciągami takimi jak „idpasnmpuser” lub czymś unikatowym dla tego środowiska. Aby zaktualizować ciąg grupy SNMP, zapoznaj się z procedurą opisaną w Instrukcji konfiguracji zabezpieczeń(wymaga zalogowania się jako zarejestrowany użytkownik do Dell Support) (wybierz SNMP v2C zamiast v3).
System Manager (DPC):
UWAGA: DPC jest elementem opcjonalnym, klienci mogą zdecydować, czy chcą go zachować. Usunięcie DPC z ACM nie wpłynie na funkcjonalność tworzenia kopii zapasowych.
Zainstaluj najnowszą aktualizację systemu operacyjnego Data Protection Central. Na przykład pobierz aktualizację systemu operacyjnego
Zainstaluj najnowszą aktualizację systemu operacyjnego Data Protection Central. Na przykład pobierz aktualizację systemu operacyjnego
dpc-osupdate-1.1.19-1.jar (wymaga zalogowania się jako zarejestrowany użytkownik Dell Support w celu uzyskania dostępu do pliku)
- Data Protection Central: Instalacja aktualizacji systemu operacyjnego Data Protection Central(wymaga zalogowania się jako zarejestrowany użytkownik do Dell Support, aby wyświetlić artykuł)
Szukaj:
UWAGA: Search jest elementem opcjonalnym, klienci mogą zdecydować, czy go zachować. Usunięcie Search z ACM nie wpłynie na funkcjonalność tworzenia kopii zapasowych.
PRZESTROGA: Search nie występuje już w nowych instalacjach wersji 2.7.6. Jeśli urządzenie zostało uaktualnione ze starszej wersji do wersji 2.7.6, funkcja Search zostanie uaktualniona do wersji 19.6.3 i będzie dostępna do momentu usunięcia z interfejsu użytkownika ACM. Jeśli wyszukiwarka zostanie usunięta z ACM, nie ma procedury ponownej instalacji.
Zastosuj się do następujących artykułów firmy Dell, aby zastosować środki zaradcze w przypadku dodatkowych luk w zabezpieczeniach:
PRZESTROGA: Search nie występuje już w nowych instalacjach wersji 2.7.6. Jeśli urządzenie zostało uaktualnione ze starszej wersji do wersji 2.7.6, funkcja Search zostanie uaktualniona do wersji 19.6.3 i będzie dostępna do momentu usunięcia z interfejsu użytkownika ACM. Jeśli wyszukiwarka zostanie usunięta z ACM, nie ma procedury ponownej instalacji.
Zastosuj się do następujących artykułów firmy Dell, aby zastosować środki zaradcze w przypadku dodatkowych luk w zabezpieczeniach:
- Urządzenia PowerProtect serii DP i IDPA: Wykryto skanowanie luk w zabezpieczeniach „Network Time Protocol (NTP) Mode 6 Scanner” w ACM/Search
- Ocena skanowania zabezpieczeń aplikacji DPSearch może wyświetlić alert ldap-anonymous-directory-access(w celu wyświetlenia artykułu wymagane jest zalogowanie się jako zarejestrowany użytkownik do Dell Support)
- Urządzenia PowerProtect serii DP i IDPA: Skanowanie luk w zabezpieczeniach wykryło „luki w zabezpieczeniach SSH dla algorytmów MD5 lub 96-bitowych algorytmów HMAC w konfiguracji SSH” w ESXi, vCenter, Search lub DPC(aby wyświetlić artykuł, wymagane jest zalogowanie się jako zarejestrowany użytkownik do Dell Support)
- Urządzenia PowerProtect z serii DP i IDPA zgłaszają przestarzałe ustawienie SHA1 dla SSH (QID 38909)
Raportowanie i analiza (DPA):
UWAGA: DPA jest elementem opcjonalnym, klienci mogą zdecydować, czy chcą go zachować. Usunięcie DPA z ACM nie wpłynie na funkcjonalność tworzenia kopii zapasowych.
Uaktualnij DPA do wersji 19.10 kompilacji 22:
Uaktualnij DPA do wersji 19.10 kompilacji 22:
- W przypadku DP4400: Pobierz plik binarny serwera (dostęp do pliku wymaga zalogowania się jako zarejestrowany użytkownik do Dell Support)
- Dla DP5/8x00: Pobierz pliki binarne serwera i agenta (aby uzyskać dostęp do pliku, należy zalogować się jako zarejestrowany użytkownik do Dell Support)
- Urządzenia PowerProtect z serii DP i Integration Data Protection Appliance (IDPA): Etapy uaktualniania składnika DPA lub Data Protection Advisor poza pasmem w urządzeniu
Zastosuj urządzenia PowerProtect z serii DP i IDPA zgłasza przestarzałe ustawienie SHA1 dla SSH (QID 38909).
Zastosuj poprawkę „Data Protection Advisor kwiecień 2024 JRE 8u411 Poprawka dla systemu Linux 64-bit” (wymaga zalogowania się jako zarejestrowany użytkownik do Dell Support w celu uzyskania dostępu do pliku) w magazynie danych DPA i na serwerach aplikacji. Przetestowano z najnowszymi poprawkami DPA w wersji 19.9 i 19.10.
- Informacje na temat przeprowadzania aktualizacji JRE można znaleźć w Podręczniku instalacji i administracji programu Dell Data Protection Advisor 19.10.
Zastosuj Instrukcję konfiguracji zabezpieczeń urządzenia PowerProtect z serii DP (wymaga zalogowania się jako zarejestrowany użytkownik do Dell Support w celu wyświetlenia dokumentu) w sekcjach „Integracja Protection Software i Protection Storage z protokołem SNMP v3” oraz "Integracja raportowania i analityki oraz Protection Storage z protokołem SNMP v3”.
PRZESTROGA: Jeśli urządzenie PowerProtect z serii DP jest skonfigurowane z funkcją Cloud DR, nie należy integrować Protection Software (Avamar) i Protection Storage (Data Domain) z protokołem SNMP v3. Cloud DR nie będzie działać prawidłowo po skonfigurowaniu protokołu SNMP v3.
Jeśli Cloud DR jest w użyciu, obsługiwany jest tylko protokół SNMP v2C. Dobrze znane „publiczne” i „prywatne” ciągi grupy powinny zostać zastąpione ciągami takimi jak „idpasnmpuser” lub czymś unikatowym dla tego środowiska. Aby zaktualizować ciąg grupy SNMP, zapoznaj się z procedurą opisaną w Instrukcji konfiguracji zabezpieczeń(wymaga zalogowania się jako zarejestrowany użytkownik do Dell Support) (wybierz SNMP v2C zamiast v3).
Oprogramowanie wewnętrzne PowerEdge i iDARC:
Wykonaj czynności opisane w Instrukcji konfiguracji zabezpieczeń IDPA (wymaga zalogowania się jako zarejestrowany użytkownik do Dell Support, aby wyświetlić dokument) w sekcji „Zmiana domyślnego ciągu grupy SNMP dla przełącznika urządzenia PowerProtect z serii DP i kontrolera iDRAC”, zmień ciąg grupy SNMP.
Wykonaj czynności opisane w Instrukcji konfiguracji zabezpieczeń(wymaga zalogowania się jako zarejestrowany użytkownik do Dell Support, aby wyświetlić dokument). Zapoznaj się z sekcją „Konfiguracja protokołu TLS dla kontrolera iDRAC” i zaktualizuj protokół TLS serwera sieci Web kontrolera iDRAC do wersji TLS 1.2 lub nowszej.
Zastosuj urządzenia PowerProtect z serii DP i IDPA zgłasza przestarzałe ustawienie SHA1 dla SSH (QID 38909).
Przełączniki PowerEdge (dla DP5/8x00):
Wykonaj czynności przedstawione w Instrukcji konfiguracji zabezpieczeń (wymaga zalogowania się jako zarejestrowany użytkownik do Dell Support, aby wyświetlić dokument). Zapoznaj się z sekcją „Zmiana domyślnego ciągu grupy SNMP dla przełącznika urządzenia PowerProtect z serii DP i iDRAC” i zaktualizuj ciąg grupy SNMP.
受影响的产品
PowerProtect Data Protection Appliance, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, PowerProtect Data Protection Hardware
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
文章属性
文章编号: 000223709
文章类型: How To
上次修改时间: 05 5月 2025
版本: 13
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。