PowerProtect: DP-serien och IDPA: Allmän bästa praxis för säkerhetshärdning (version 2.7.6)
摘要: Den här artikeln syftar till att tillhandahålla allmänna bästa metoder för säkerhetshärdning för Integrated Data Protection Appliance (IDPA) version 2.7.6 innan du kör en genomsökning av säkerhetsproblem. ...
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
说明
Obs! Programvaran i PowerProtect Data Protection (DP) Series eller IDPA version 2.7.7 har släppts. Vi rekommenderar att du uppgraderar till IDPA-versionen 2.7.7.
Innan du kör en genomsökning av säkerhetsrisken bör du följa några allmänna bästa metoder för säkerhetshärdning för programvaruversion 2.7.6 i PowerProtect Data Protection-serien. Kontakta Dell Technologies support om du har andra problem.
ALL (tillval):
Underkomponenterna i PowerProtect DP-serien omfattar självsignerade SSL-certifikat, vilket kan göra att webbläsaren rapporterar en osäker anslutning. För maximal enhetssäkerhet måste kunden ersätta de självsignerade SSL-standardcertifikaten med SSL-certifikat som signerats av en betrodd certifikatutfärdare (CA). Tillämpa stegen i IDPA Security Configuration Guide(kräver inloggning som registrerad användare till Dells support för att visa dokumentet). Den detaljerade proceduren finns i avsnittet "Certifikathantering".
Obs! Kundimporterade CA-signerade certifikat ersätts av självsignerade certifikat under uppgraderingen av installationen. Därför måste kunden lägga till det CA-signerade certifikatet igen efter en uppgradering.
Appliance Configuration Manager (ACM):
Läs följande Dell-artiklar:
- PowerProtect DP Series Appliances och IDPA: Genomsökning av säkerhetsproblem upptäckte "Network Time Protocol (NTP) Mode 6 Scanner" på ACM/Search
- PowerProtect DP Series Appliances och IDPA: Genomsökning av säkerhetsrisker upptäckte DNS- eller BIND-sårbarheter i ACM(kräver inloggning som registrerad användare till Dells support för att se artikeln)
- PowerProtect DP Series Appliances och IDPA: Genomsökning av säkerhetsproblem upptäckte att SSH innehåller svaga CBC-chiffer på många IDPA-komponenter
- Enheter i PowerProtect DP-serien och IDPA-rapport SHA1 inaktuell inställning för SSH (QID 38909)
Skyddsprogramvara (Avamar):
Tillämpa den senaste kumulativa snabbkorrigeringen för Avamar 19.9. Till exempel Avamar 19.9 Avamar kumulativ snabbkorrigering för Avamar Server, inklusive Avamar Virtual Edition – snabbkorrigering 338827, augusti 2024: "v19.9.0.78-workflow-338827.zip"
Tillämpa den senaste Avamar OS-korrigeringsfilen på Avamar och NDMP-noderna. Till exempel samlad plattformssäkerhet för Avamar Virtual Edition (AVE) och Avamar Data Store (ADS) 2024-R2, "AvPlatformOsRollup_2024-R2-v3.avp."
- Avamar: Så här installerar du den samlade Avamar-säkerhetsuppdateringen på Avamar Virtual Edition (AVE) och NDMP(inloggning krävs till Dells support som registrerad användare för att visa artikeln)
Tillämpa den senaste kumulativa snabbkorrigeringen för Avamar Proxy för alla Avamar-proxyservrar, inklusive IDPA:s interna AvProxy och kundens vCenter-proxyservrar. Till exempel Avamar 19.9.100-78 PROXY kumulativ snabbkorrigering (snabbkorrigering 338844, augusti 2024), "v19.9.100.78-client-338844.zip."
- Installationsproceduren för snabbkorrigering för proxy finns i README-filen i .zip-filen.
Tillämpa Avamar Proxy OS-korrigeringsfilen för alla Avamar-proxyservrar, inklusive IDPA:s interna AvProxy och kundens vCenter-proxyservrar. Till exempel Avamar Proxy Bundle 2024-R2, "sec_os_update_proxy-2024-R2-v3.tgz."
Läs följande Dell-artiklar:
- PowerProtect DP Series Appliances och IDPA: Genomsökning av säkerhetsproblem upptäckte att SSH innehåller svaga CBC-chiffer på många IDPA-komponenter
- Enheter i PowerProtect DP-serien och IDPA-rapport SHA1 inaktuell inställning för SSH (QID 38909)
(Obs! Problemet bör vara löst efter tillämpning av Avamar Security Rollup 2024-R2.)
Använd manualen för säkerhetskonfiguration för enheter i PowerProtect DP-serien (inloggning till Dells support krävs för att visa dokumentet) under avsnitten "Integrera skyddsprogramvara och skyddslagring med SNMP v3" och "Integrera rapportering och analys och skyddslagring med SNMP v3".
FÖRSIKTIGHET: Om enheten i PowerProtect DP-serien är konfigurerad med Cloud DR ska du inte integrera skyddsprogramvara (Avamar) och skyddslagring (Data Domain) med SNMP v3. Cloud DR fungerar inte korrekt efter SNMP v3-konfiguration.
Om Cloud DR används stöds endast SNMP v2C. De välkända "offentliga" och "privata" gruppsträngarna bör ersättas med strängar som "idpasnmpuser" eller något som är unikt för miljön. Se proceduren i manualen för säkerhetskonfiguration(kräver inloggning som registrerad användare på Dell Support för att visa dokumentet) (välj SNMP v2C i stället för v3) för att uppdatera SNMP-gruppsträngen.
Skyddslagring (Data Domain):
Utför en out-of-band-uppgradering till version DD OS 7.10.1.20. (För IDPA version 2.7.6-DD OS stöds version 7.10.1.20.)
Läs följande Dell-artiklar:
- Data Domain: Föråldrade SSH-kryptografiska inställningar QID 38739(kräver inloggning som registrerad användare till Dells support för att visa artikeln)
- Enheter i PowerProtect DP-serien och IDPA-rapport SHA1 inaktuell inställning för SSH (QID 38909)
- PowerProtect: OpenSSH-säkerhetsproblemet CVE-2024-6387 på IDPA 2.7.6 och 2.7.7
Använd PowerProtect DP Series Appliance Security Configuration Guide(kräver inloggning som registrerad användare till Dell Support för att visa dokumentet) under avsnitten "Integrera skyddsprogramvara och skyddslagring med SNMP v3" och "Integrera rapportering och analys och skyddslagring med SNMP v3".
FÖRSIKTIGHET: Om enheten i PowerProtect DP-serien är konfigurerad med Cloud DR ska du inte integrera skyddsprogramvara (Avamar) och skyddslagring (Data Domain) med SNMP v3. Cloud DR fungerar inte korrekt efter SNMP v3-konfiguration.
Om Cloud DR används stöds endast SNMP v2C. De välkända "offentliga" och "privata" gruppsträngarna bör ersättas med strängar som "idpasnmpuser" eller något som är unikt för miljön. Se proceduren i manualen för säkerhetskonfiguration(kräver inloggning som registrerad användare på Dell Support för att visa dokumentet) (välj SNMP v2C i stället för v3) för att uppdatera SNMP-gruppsträngen.
Systemhanterare (DPC):
Obs! DPC är en tillvalskomponent, kunderna kan bestämma om de vill behålla den eller inte. Att ta bort DPC från ACM skulle inte påverka säkerhetskopieringsfunktionen.
Tillämpa den senaste uppdateringen av operativsystemet Data Protection Central. Till exempel kan du ladda ner uppdateringen av operativsystemet
Tillämpa den senaste uppdateringen av operativsystemet Data Protection Central. Till exempel kan du ladda ner uppdateringen av operativsystemet
dpc-osupdate-1.1.19-1.jar (inloggning till Dells support krävs för att få åtkomst till filen)
- Dataskyddscentralen: Så här installerar du uppdateringen av operativsystemet Data Protection Central(inloggning till Dells support krävs för att visa artikeln)
Söka:
Obs! Sökning är en valfri komponent, kunderna kan bestämma om de vill behålla den eller inte. Att ta bort Sök från ACM skulle inte påverka säkerhetskopieringsfunktionen.
FÖRSIKTIGHET: Sökningen finns inte längre i version 2.7.6 av de nya installationerna. Om enheten har uppgraderats till version 2.7.6 från en äldre version uppgraderas sökningen till version 19.6.3 och är tillgänglig tills den tas bort från ACM-användargränssnittet. Om Sök tas bort från ACM finns det ingen ominstallationsprocedur.
Använd följande Dell-artiklar för att tillämpa åtgärder vid ytterligare säkerhetsproblem:
FÖRSIKTIGHET: Sökningen finns inte längre i version 2.7.6 av de nya installationerna. Om enheten har uppgraderats till version 2.7.6 från en äldre version uppgraderas sökningen till version 19.6.3 och är tillgänglig tills den tas bort från ACM-användargränssnittet. Om Sök tas bort från ACM finns det ingen ominstallationsprocedur.
Använd följande Dell-artiklar för att tillämpa åtgärder vid ytterligare säkerhetsproblem:
- PowerProtect DP Series Appliances och IDPA: Genomsökning av säkerhetsproblem upptäckte "Network Time Protocol (NTP) Mode 6 Scanner" på ACM/Search
- Utvärdering av säkerhetsgenomsökning av DPSearch kan visa varning för ldap-anonymous-directory-access(kräver inloggning som registrerad användare till Dells support för att visa artikeln)
- PowerProtect DP Series Appliances och IDPA: Vid genomsökning av säkerhetsrisker upptäcktes "SSH-sårbarheter för MD5- eller 96-bitars HMAC-algoritmer inom SSH-konfigurationen" i ESXi, vCenter, Search eller DPC(inloggning krävs till Dells support som registrerad användare för att visa artikeln)
- Enheter i PowerProtect DP-serien och IDPA-rapport SHA1 inaktuell inställning för SSH (QID 38909)
Rapportering och analys (DPA):
Obs! DPA är en valfri komponent, kunderna kan bestämma om de vill behålla den eller inte. Att ta bort DPA från ACM skulle inte påverka säkerhetskopieringsfunktionen.
Uppgradera DPA till version 19.10 version 22:
Uppgradera DPA till version 19.10 version 22:
- För DP4400: Ladda ner serverns binärfil (inloggning till Dells support krävs för att få åtkomst till filen)
- För DP5/8x00: Ladda ner binärfilerna för servern och agenten(inloggning till Dells support krävs för att få åtkomst till filen)
- PowerProtect DP Series Appliance och Integrated Data Protection Appliance: Steg för att uppgradera DPA- eller Data Protection Advisor-komponenten out-of-band i enheten
Tillämpa enheter i PowerProtect DP-serien och IDPA rapporterar att inställningen SHA1 är inaktuell för SSH (QID 38909).
Tillämpa korrigeringsfilen "Data Protection Advisor April 2024 JRE 8u411 Upgrade Patch for Linux 64 bit" (inloggning som registrerad användare till Dells support krävs för att få åtkomst till filen) på DPA:s datalager- och programservrar. Den testades med de senaste korrigeringarna av DPA 19.9 och 19.10 versioner.
- Se artikeln Dell Data Protection Advisor 19.10 – installations- och administrationsmanual om hur du utför JRE-uppgraderingen.
Använd manualen för säkerhetskonfiguration för enheter i PowerProtect DP-serien (inloggning till Dells support krävs för att visa dokumentet) under avsnitten "Integrera skyddsprogramvara och skyddslagring med SNMP v3" och "Integrera rapportering och analyser och skyddslagring med SNMP v3".
FÖRSIKTIGHET: Om enheten i PowerProtect DP-serien är konfigurerad med Cloud DR ska du inte integrera skyddsprogramvara (Avamar) och skyddslagring (Data Domain) med SNMP v3. Cloud DR fungerar inte korrekt efter SNMP v3-konfiguration.
Om Cloud DR används stöds endast SNMP v2C. De välkända "offentliga" och "privata" gruppsträngarna bör ersättas med strängar som "idpasnmpuser" eller något som är unikt för miljön. Se proceduren i manualen för säkerhetskonfiguration(kräver inloggning som registrerad användare på Dell Support för att visa dokumentet) (välj SNMP v2C i stället för v3) för att uppdatera SNMP-gruppsträngen.
Fast PowerEdge-programvara och iDARC:
Tillämpa stegen i IDPA Security Configuration Guide(kräver inloggning som registrerad användare till Dells support för att visa dokumentet) under avsnittet "Ändra standard-SNMP-communitysträngen för PowerProtect DP Series Appliance-switchen och iDRAC", ändra SNMP-communitysträngen.
Tillämpa stegen i manualen för säkerhetskonfiguration(kräver inloggning som registrerad användare till Dells support för att visa dokumentet). Se avsnittet "TLS-protokollkonfiguration för iDRAC" och uppdatera iDRAC-webbserverns TLS-protokoll till TLS 1.2 och senare.
Tillämpa enheter i PowerProtect DP-serien och IDPA rapporterar att inställningen SHA1 är inaktuell för SSH (QID 38909).
PowerEdge-switchar (för DP5/8x00):
Tillämpa stegen i manualen för säkerhetskonfiguration(kräver inloggning som registrerad användare till Dells support för att visa dokumentet). Se avsnittet "Ändra standard-SNMP-communitysträngen för PowerProtect DP Series Appliance-switchen och iDRAC" och uppdatera SNMP-communitysträngen.
受影响的产品
PowerProtect Data Protection Appliance, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, PowerProtect Data Protection Hardware
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
文章属性
文章编号: 000223709
文章类型: How To
上次修改时间: 05 5月 2025
版本: 13
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。