PowerProtect. Серия DP и IDPA: Общие рекомендации по усилению безопасности (версия. 2.7.6)
摘要: В этой статье приведены общие рекомендации по усилению безопасности для устройства Integrated Data Protection Appliance (IDPA) версии 2.7.6 перед запуском сканирования на наличие уязвимостей безопасности. ...
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
说明
ПРИМЕЧАНИЕ. Выпущено программное обеспечение серии PowerProtect Data Protection (DP) или IDPA версии 2.7.7. Рекомендуется выполнить обновление IDPA до версии 2.7.7.
Прежде чем выполнять сканирование на наличие уязвимостей безопасности, ознакомьтесь с некоторыми общими рекомендациями по усилению безопасности для ПО PowerProtect Data Protection Series версии 2.7.6. По любым другим вопросам обращайтесь в службу поддержки Dell Technologies.
ALL (опционально):
Подкомпоненты устройства PowerProtect DP Series включают самозаверяющие сертификаты SSL, из-за чего браузер может сообщать о незащищенном соединении. Для обеспечения максимальной безопасности устройства заказчик должен заменить самозаверяющие сертификаты SSL по умолчанию сертификатами SSL, подписанными доверенным источником сертификатов (CA). Выполните действия, приведенные в руководстве по настройке безопасности IDPA (для просмотра документа необходимо войти в службу поддержки Dell в качестве зарегистрированного пользователя). Подробная процедура приведена в разделе «Управление сертификатами».
ПРИМЕЧАНИЕ. Импортированные заказчиком сертификаты, подписанные ИС, заменяются самозаверяющими сертификатами во время модернизации устройства. Поэтому после модернизации заказчик должен снова добавить сертификат, подписанный ИС.
Appliance Configuration Manager (ACM).
Применение следующих статей Dell:
- Устройства PowerProtect DP Series и IDPA. Сканирование на наличие уязвимостей безопасности обнаружило сканер «Network Time Protocol (NTP) Mode 6» в ACM/Search
- Устройства PowerProtect DP Series и IDPA. Сканирование уязвимостей безопасности при обнаружении уязвимостей DNS или BIND в ACM(для просмотра статьи необходимо войти в службу поддержки Dell в качестве зарегистрированного пользователя)
- Устройства PowerProtect DP Series и IDPA. Сканирование на наличие уязвимостей безопасности обнаружило, что протокол SSH содержит слабые шифры CBC во многих компонентах IDPA
- Устройства PowerProtect серии DP и IDPA сообщают об устаревшей настройке SHA1 для SSH (QID 38909)
Программное обеспечение для защиты (Avamar):
Примените последнее накопительное исправление Avamar 19.9. Например, накопительное исправление Avamar 19.9 Avamar для Avamar Server, включая Avamar Virtual Edition — исправление 338827, август 2024 г.: "v19.9.0.78-workflow-338827.zip"
Примените последнее исправление ОС Avamar на узлах Avamar и NDMP. Например, накопительное исправление платформы безопасности Avamar Virtual Edition (AVE) и Avamar Data Stores (ADS) 2024-R2, "AvPlatformOsRollup_2024-R2-v3.avp."
- Avamar. Как установить Avamar Security Rollup в Avamar Virtual Edition (AVE) и NDMP(для просмотра статьи необходимо войти в службу поддержки Dell в качестве зарегистрированного пользователя)
Примените последнее накопительное исправление прокси-сервера Avamar для всех прокси-серверов Avamar, включая внутренний прокси-сервер IDPA и прокси-серверы vCenter заказчика. Например, накопительное исправление Avamar 19.9.100-78 PROXY (оперативное исправление 338844, август 2024 г.), "v19.9.100.78-client-338844.zip."
- Процедуру установки исправления прокси-сервера можно найти в файле README в файле .zip.
Примените исправление ОС прокси-сервера Avamar для всех прокси-серверов Avamar, включая внутренний прокси-сервер AvProxy для IDPA и прокси-серверы vCenter заказчика. Например, Avamar Proxy Bundle 2024-R2, "sec_os_update_proxy-2024-R2-v3.tgz."
Применение следующих статей Dell:
- Устройства PowerProtect DP Series и IDPA. Сканирование на наличие уязвимостей безопасности обнаружило, что протокол SSH содержит слабые шифры CBC во многих компонентах IDPA
- Устройства PowerProtect серии DP и IDPA сообщают об устаревшей настройке SHA1 для SSH (QID 38909)
(Примечание. Проблема должна быть устранена после применения Avamar Security Rollup 2024-R2.)
Примените руководство по настройке безопасности устройства PowerProtect DP Series (для просмотра документа требуется вход в службу поддержки Dell в качестве зарегистрированного пользователя) в разделах «Интеграция защитного ПО и платформы защиты данных с SNMP v3» и «Интеграция отчетов, аналитики и защиты данных с SNMP v3».
ОСТОРОЖНОСТЬ: Если для устройства PowerProtect DP Series настроено использование Cloud DR, не интегрируйте ПО для защиты (Avamar) и платформу защиты данных (Data Domain) с SNMP v3. Cloud DR не будет работать должным образом после настройки SNMP v3.
При использовании Cloud DR поддерживается только SNMP v2C. Хорошо известные "публичные" и "частные" строки сообщества должны быть заменены на строки типа "idpasnmpuser» или что-то уникальное для окружающей среды. Для обновления строки доступа SNMP см. процедуру, приведенную в руководстве по настройке безопасности(для просмотра документа необходимо войти в службу поддержки Dell в качестве зарегистрированного пользователя) (выбор SNMP v2C вместо v3).
Платформа защиты данных (Data Domain):
Выполните обновление по дополнительному каналу до версии DD OS 7.10.1.20. (Для IDPA версии 2.7.6-DD OS поддерживается версия 7.10.1.20.)
Применение следующих статей Dell:
- Data Domain. Исключенные параметры шифрования SSH QID 38739(для просмотра статьи требуется вход в службу поддержки Dell в качестве зарегистрированного пользователя)
- Устройства PowerProtect серии DP и IDPA сообщают об устаревшей настройке SHA1 для SSH (QID 38909)
- PowerProtect. Уязвимость OpenSSH CVE-2024-6387 в IDPA 2.7.6 и 2.7.7
Примените руководство по настройке безопасности устройства PowerProtect DP Series (для просмотра документа требуется вход в службу поддержки Dell в качестве зарегистрированного пользователя) в разделах «Интеграция защитного ПО и платформы защиты данных с SNMP v3» и «Интеграция отчетов, аналитики и защиты данных с SNMP v3».
ОСТОРОЖНОСТЬ: Если для устройства PowerProtect DP Series настроено использование Cloud DR, не интегрируйте ПО для защиты (Avamar) и платформу защиты данных (Data Domain) с SNMP v3. Cloud DR не будет работать должным образом после настройки SNMP v3.
При использовании Cloud DR поддерживается только SNMP v2C. Хорошо известные "публичные" и "частные" строки сообщества должны быть заменены на строки типа "idpasnmpuser» или что-то уникальное для окружающей среды. Для обновления строки доступа SNMP см. процедуру, приведенную в руководстве по настройке безопасности(для просмотра документа необходимо войти в службу поддержки Dell в качестве зарегистрированного пользователя) (выбор SNMP v2C вместо v3).
System Manager (DPC):
ПРИМЕЧАНИЕ. DPC является опциональным компонентом, заказчики могут решить, оставить ли его. Удаление DPC из ACM не повлияет на функциональность резервного копирования.
Примените последнее обновление операционной системы Data Protection Central. Например, скачать обновление операционной системы
Примените последнее обновление операционной системы Data Protection Central. Например, скачать обновление операционной системы
dpc-osupdate-1.1.19-1.jar (для доступа к файлу необходимо войти в службу поддержки Dell в качестве зарегистрированного пользователя)
- Data Protection Central. Как установить обновление операционной системы Data Protection Central(для просмотра статьи необходимо войти в службу поддержки Dell в качестве зарегистрированного пользователя)
Поиск:
ПРИМЕЧАНИЕ. Поиск является необязательным компонентом, клиенты могут решить, стоит ли его сохранять. Удаление Search из ACM не повлияет на функциональность резервного копирования.
ОСТОРОЖНОСТЬ: Поиск больше не осуществляется в новых установках версии 2.7.6. Если устройство было обновлено с более ранней версии до версии 2.7.6, Search обновляется до версии 19.6.3 и доступен до тех пор, пока не будет удален из пользовательского интерфейса ACM. Если Search удален из ACM, процедура переустановки не требуется.
Используйте следующие статьи Dell для устранения дополнительных уязвимостей системы безопасности:
ОСТОРОЖНОСТЬ: Поиск больше не осуществляется в новых установках версии 2.7.6. Если устройство было обновлено с более ранней версии до версии 2.7.6, Search обновляется до версии 19.6.3 и доступен до тех пор, пока не будет удален из пользовательского интерфейса ACM. Если Search удален из ACM, процедура переустановки не требуется.
Используйте следующие статьи Dell для устранения дополнительных уязвимостей системы безопасности:
- Устройства PowerProtect DP Series и IDPA. Сканирование на наличие уязвимостей безопасности обнаружило сканер «Network Time Protocol (NTP) Mode 6» в ACM/Search
- При проверке безопасности DPSearch может отображаться оповещение для доступа к ldap-anonymous-directory-access(для просмотра статьи требуется вход в службу поддержки Dell в качестве зарегистрированного пользователя)
- Устройства PowerProtect DP Series и IDPA. Сканирование уязвимостей безопасности обнаружило «уязвимости SSH для MD5 или 96-разрядных алгоритмов HMAC в конфигурации SSH» в ESXi, vCenter, Search или DPC(для просмотра статьи необходимо войти в службу поддержки Dell в качестве зарегистрированного пользователя)
- Устройства PowerProtect серии DP и IDPA сообщают об устаревшей настройке SHA1 для SSH (QID 38909)
Отчетность и аналитика (DPA):
ПРИМЕЧАНИЕ. DPA является необязательным компонентом, заказчик может решить, оставить ли его. Удаление DPA из ACM не повлияет на функциональность резервного копирования.
Обновите DPA до версии 19.10 сборка 22:
Обновите DPA до версии 19.10 сборка 22:
- DP4400. Скачайте двоичный файл сервера (для доступа к файлу требуется войти в службу поддержки Dell в качестве зарегистрированного пользователя)
- Для DP5/8x00: Скачайте двоичные файлы сервера и агента(для доступа к файлу необходимо войти в службу поддержки Dell в качестве зарегистрированного пользователя)
- Устройства PowerProtect серии DP и Integrated Data Protection Appliance: Действия по модернизации компонента DPA или Data Protection Advisor по дополнительному каналу в устройстве
Примените устройства PowerProtect серии DP, и IDPA сообщит об устаревшей настройке SHA1 для SSH (QID 38909).
Примените исправление Data Protection Advisor April 2024 JRE 8u411 Upgrade Patch для 64-разрядной версии Linux(для доступа к файлу требуется вход в службу поддержки Dell в качестве зарегистрированного пользователя) на серверах хранилища данных и приложений DPA. Он был протестирован с последними патчами версий DPA 19.9 и 19.10.
- Сведения о том, как выполнить обновление JRE, см. в статье Руководство по установке и администрированию Dell Data Protection Advisor 19.10 .
Примените руководство по настройке безопасности устройства PowerProtect DP Series (для просмотра документа необходимо войти в службу поддержки Dell в качестве зарегистрированного пользователя) в разделах «Интеграция защитного ПО и защиты StorSage с SNMP v3» и «Интеграция отчетов, аналитики и защиты данных с SNMP v3».
ОСТОРОЖНОСТЬ: Если для устройства PowerProtect DP Series настроено использование Cloud DR, не интегрируйте ПО для защиты (Avamar) и платформу защиты данных (Data Domain) с SNMP v3. Cloud DR не будет работать должным образом после настройки SNMP v3.
При использовании Cloud DR поддерживается только SNMP v2C. Хорошо известные "публичные" и "частные" строки сообщества должны быть заменены на строки типа "idpasnmpuser» или что-то уникальное для окружающей среды. Для обновления строки доступа SNMP см. процедуру, приведенную в руководстве по настройке безопасности(для просмотра документа необходимо войти в службу поддержки Dell в качестве зарегистрированного пользователя) (выбор SNMP v2C вместо v3).
Микропрограмма PowerEdge и iDARC:
Выполните действия, описанные в руководстве по настройке безопасности IDPA (для просмотра документа необходимо войти в службу поддержки Dell в качестве зарегистрированного пользователя) в разделе «Изменение строки доступа SNMP по умолчанию для коммутатора устройства PowerProtect серии DP и iDRAC», измените строку доступа SNMP.
Выполните действия, приведенные в руководстве по настройке безопасности(для просмотра документа необходимо войти в службу поддержки Dell в качестве зарегистрированного пользователя). См. раздел «Настройка протокола TLS для iDRAC» и обновите протокол TLS веб-сервера iDRAC до TLS 1.2 и более поздних версий.
Примените устройства PowerProtect серии DP, и IDPA сообщит об устаревшей настройке SHA1 для SSH (QID 38909).
Коммутаторы PowerEdge (для DP5/8x00):
Выполните действия, приведенные в руководстве по настройке безопасности(для просмотра документа необходимо войти в службу поддержки Dell в качестве зарегистрированного пользователя). См. раздел «Изменение строки доступа SNMP по умолчанию для коммутатора устройства PowerProtect серии DP и iDRAC» и обновите строку доступа SNMP.
受影响的产品
PowerProtect Data Protection Appliance, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, PowerProtect Data Protection Hardware
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
文章属性
文章编号: 000223709
文章类型: How To
上次修改时间: 05 5月 2025
版本: 13
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。