PowerProtect:DP 系列和 IDPA:一般安全性強化最佳實務 (版本。2.7.6)
摘要: 本文旨在提供 Integrated Data Protection Appliance (IDPA) 2.7.6 版的一般安全性強化最佳實務,然後再執行安全性漏洞掃描。
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
说明
注意:已發佈 PowerProtect Data Protection (DP) 系列軟體或 IDPA 版本 2.7.7。建議升級至 IDPA 版本 2.7.7。
在執行安全性漏洞掃描之前,以下是 PowerProtect Data Protection 系列軟體 2.7.6 版的一些一般安全性強化最佳實務。如有任何其他問題,請聯絡 Dell Technologies 支援。
全部 (選購):
PowerProtect DP 系列應用裝置子元件包含 SSL 自我簽署憑證,可能會導致瀏覽器報告不安全的連線。為獲得最大的裝置安全性,客戶必須將預設的 SSL 自我簽署憑證替換為由受信任的認證機構 (CA) 簽署的 SSL 憑證。套用 IDPA 安全性組態指南中提供的步驟 (需要以註冊使用者身分登入 Dell 支援才能檢視文件)。詳細過程位於「證書管理」部分下。
注意:在裝置升級期間,客戶匯入的 CA 簽署憑證會取代為自我簽署憑證。因此,客戶必須在升級後再次新增 CA 簽署憑證。
Appliance Configuration Manager (ACM):
套用下列 Dell 文章:
- PowerProtect DP 系列裝置和 IDPA:安全性漏洞掃描在 ACM/Search 上偵測到「網路時間通訊協定 (NTP) 模式 6 掃描器」
- PowerProtect DP 系列裝置和 IDPA:安全性漏洞掃描在 ACM 中偵測到「DNS 或 BIND」漏洞(需要以註冊使用者身分登入 Dell 支援才能檢視文章)
- PowerProtect DP 系列裝置和 IDPA:安全性漏洞掃描偵測到許多 IDPA 元件上的 SSH 包含弱 CBC 加密
- PowerProtect DP 系列應用裝置和 IDPA 報告 SHA1 已淘汰 SSH 的設定 (QID 38909)
保護軟體 (Avamar):
套用最新的 Avamar 19.9 累計 Hotfix。例如,Avamar Server 專用的 Avamar 19.9 Avamar 累計 Hotfix 包括 Avamar Virtual Edition - Hotfix 338827,2024 年 8 月: "v19.9.0.78-workflow-338827.zip"
在 Avamar 和 NDMP 節點上套用最新的 Avamar 作業系統修補程式。例如,Avamar Virtual Edition (AVE) 和 Avamar Data Stores (ADS) 平台安全性匯總 2024-R2, "AvPlatformOsRollup_2024-R2-v3.avp."
- Avamar:如何在 Avamar Virtual Edition (AVE) 和 NDMP 上安裝 Avamar 安全性匯總(需要以 Dell 支援的註冊使用者身分登入才能檢視文章)
為所有 Avamar 代理套用最新的 Avamar 代理累計 hotfix,包括 IDPA 內部 AvProxy 和客戶的 vCenter Proxy。例如,Avamar 19.9.100-78 PROXY 累計 Hotfix (hotfix 338844,2024 年 8 月), "v19.9.100.78-client-338844.zip."
- 您可以在 .zip 檔案的讀我檔案中找到代理 Hotfix 安裝程序。
為所有 Avamar 代理套用 Avamar Proxy 作業系統修補程式,包括 IDPA 內部 AvProxy 和客戶的 vCenter Proxy。例如,Avamar Proxy 套裝 2024-R2, "sec_os_update_proxy-2024-R2-v3.tgz."
套用下列 Dell 文章:
- PowerProtect DP 系列裝置和 IDPA:安全性漏洞掃描偵測到許多 IDPA 元件上的 SSH 包含弱 CBC 加密
- PowerProtect DP 系列應用裝置和 IDPA 報告 SHA1 已淘汰 SSH 的設定 (QID 38909)
(注意:套用 Avamar 安全性匯總 2024-R2 後,問題應已解決。)
套用「將保護軟體及保護儲存裝置與 SNMP v3 整合」和「分析及保護儲存裝置與 SNMP v3」部分下的 PowerProtect DP 系列應用裝置安全性組態指南 (需要以註冊使用者身分登入 Dell 支援才能檢視文件)。
小心: 如果 PowerProtect DP 系列應用裝置是設定使用雲端 DR,請勿將保護軟體 (Avamar) 和保護儲存 (Data Domain) 與 SNMP v3 整合。設定 SNMP v3 後,雲端 DR 將無法正常運作。
如果正在使用雲端 DR,則僅支援 SNMP v2C。眾所周知的“公共”和“私有”社區字串應替換為類似 ”idpasnmpuser“ 或環境獨有的東西。請參閱安全性組態指南(需要以註冊使用者身分登入 Dell 支援才能檢視文件) (選取 SNMP v2C 而非 v3) 中的程序,以更新 SNMP 社群字串。
Protection Storage (Data Domain):
執行頻外升級至 DD OS 7.10.1.20 版。(對於 IDPA 版本 2.7.6-DD,支援 OS 版本 7.10.1.20)。
套用下列 Dell 文章:
- Data Domain:已淘汰的 SSH 密碼編譯設定 QID 38739(需要以註冊使用者身分登入 Dell 支援才能檢視文章)
- PowerProtect DP 系列應用裝置和 IDPA 報告 SHA1 已淘汰 SSH 的設定 (QID 38909)
- PowerProtect:IDPA 2.7.6 和 2.7.7 上的 OpenSSH 漏洞 CVE-2024-6387
套用「將保護軟體和保護儲存裝置與 SNMP v3 整合」和「將報告與分析及保護儲存裝置與 SNMP v3 整合」部分下的 PowerProtect DP 系列應用裝置安全性組態指南(需要以註冊使用者的身分登入 Dell 支援才能檢視文件)。
小心: 如果 PowerProtect DP 系列應用裝置是設定使用雲端 DR,請勿將保護軟體 (Avamar) 和保護儲存 (Data Domain) 與 SNMP v3 整合。設定 SNMP v3 後,雲端 DR 將無法正常運作。
如果正在使用雲端 DR,則僅支援 SNMP v2C。眾所周知的“公共”和“私有”社區字串應替換為類似 ”idpasnmpuser“ 或環境獨有的東西。請參閱安全性組態指南(需要以註冊使用者身分登入 Dell 支援才能檢視文件) (選取 SNMP v2C 而非 v3) 中的程序,以更新 SNMP 社群字串。
System Manager (DPC):
注意:DPC 是選用元件,客戶可決定是否保留。從 ACM 移除 DPC 不會影響備份功能。
套用最新的 Data Protection Central 作業系統更新。例如,下載作業系統更新
套用最新的 Data Protection Central 作業系統更新。例如,下載作業系統更新
dpc-osupdate-1.1.19-1.jar (需要以 Dell 支援的註冊使用者身分登入才能存取檔案)
- Data Protection Central:如何安裝 Data Protection Central 作業系統更新(需要以註冊使用者身分登入 Dell 支援才能檢視文章)
搜尋:
注意:搜尋是選用元件,客戶可決定是否保留。從 ACM 移除搜尋不會影響備份功能。
小心:搜尋已不在 2.7.6 版全新安裝中。如果裝置由舊版升級至 2.7.6 版,搜尋會升級至 19.6.3 版,且在從 ACM UI 移除前才可使用。如果 Search 已從 ACM 移除,則沒有重新安裝程序。
套用下列 Dell 文章,針對其他安全性漏洞套用補救措施:
小心:搜尋已不在 2.7.6 版全新安裝中。如果裝置由舊版升級至 2.7.6 版,搜尋會升級至 19.6.3 版,且在從 ACM UI 移除前才可使用。如果 Search 已從 ACM 移除,則沒有重新安裝程序。
套用下列 Dell 文章,針對其他安全性漏洞套用補救措施:
- PowerProtect DP 系列裝置和 IDPA:安全性漏洞掃描在 ACM/Search 上偵測到「網路時間通訊協定 (NTP) 模式 6 掃描器」
- DPSearch 的安全性掃描評估可能會顯示 ldap-anonymous-directory-access 警示(需要以 Dell 支援的註冊使用者身分登入才能檢視文章)
- PowerProtect DP 系列裝置和 IDPA:安全性漏洞掃描在 ESXi、vCenter、搜尋或 DPC 上偵測到「SSH 組態內 MD5 或 96 位元 HMAC 演算法的 SSH 漏洞」 (需要以註冊使用者身分登入 Dell 支援才能檢視文章)
- PowerProtect DP 系列應用裝置和 IDPA 報告 SHA1 已淘汰 SSH 的設定 (QID 38909)
報告與分析 (DPA):
注意:DPA 為選用元件,客戶可決定是否保留。從 ACM 移除 DPA 不會影響備份功能。
將 DPA 升級至版本 19.10 組建 22:
將 DPA 升級至版本 19.10 組建 22:
- 若為 DP4400:下載 伺服器 二進位檔案 (需要以註冊使用者身分登入 Dell 支援才能存取檔案)
- 若為 DP5/8x00:下載 伺服器 和 代理 二進位檔案 (需要以註冊使用者身分登入 Dell 支援才能存取檔案)
- PowerProtect DP 系列裝置和 Integrated Data Protection Appliance:在裝置內將 DPA 或 Data Protection Advisor 元件頻外升級的步驟
套用 PowerProtect DP 系列裝置,且 IDPA 報告 SHA1 已淘汰 SSH 的設定 (QID 38909)。
在 DPA 資料存放區和應用程式伺服器上套用「Data Protection Advisor 2024 年 4 月適用於 Linux 64 位元的 JRE 8u411 升級修補程式」(需要以註冊使用者身分登入 Dell 支援才能存取檔案) 修補程式。它已通過 DPA 19.9 和 19.10 版本的最新修補程式測試。
- 請參閱文章 Dell Data Protection Advisor 19.10 安裝和管理指南 ,瞭解如何執行 JRE 升級。
套用「將保護軟體和保護 StorSage 與 SNMP v3 整合」和「將報告、分析及保護儲存裝置與 SNMP v3 整合」部分下的 PowerProtect DP 系列應用裝置 安全性組態指南(需要以註冊使用者的身分登入 Dell 支援才能檢視文件)。
小心:如果 PowerProtect DP 系列應用裝置是設定使用雲端 DR,請勿將保護軟體 (Avamar) 和保護儲存 (Data Domain) 與 SNMP v3 整合。設定 SNMP v3 後,雲端 DR 將無法正常運作。
如果正在使用雲端 DR,則僅支援 SNMP v2C。眾所周知的“公共”和“私有”社區字串應替換為類似 ”idpasnmpuser“ 或環境獨有的東西。請參閱安全性組態指南(需要以註冊使用者身分登入 Dell 支援才能檢視文件) (選取 SNMP v2C 而非 v3) 中的程序,以更新 SNMP 社群字串。
PowerEdge 韌體和 iDARC:
套用 IDPA 安全性組態指南中提供的步驟 (需要以註冊使用者身分登入 Dell 支援才能檢視文件),在「變更 PowerProtect DP 系列應用裝置交換器和 iDRAC 的預設 SNMP 社群字串」區段底下,變更 SNMP 社群字串。
套用安全性組態指南中的步驟 (需要以註冊使用者身分登入 Dell 支援才能檢視文件)。 請參閱「iDRAC 的 TLS 通訊協定組態」一節,並將 iDRAC Web 伺服器 TLS 通訊協定更新為 TLS 1.2 及更高版本。
套用 PowerProtect DP 系列裝置,且 IDPA 報告 SHA1 已淘汰 SSH 的設定 (QID 38909)。
PowerEdge 交換器 (適用於 DP5/8x00):
套用安全性組態指南中的步驟 (需要以註冊使用者身分登入 Dell 支援才能檢視文件)。 請參閱「變更 PowerProtect DP 系列應用裝置交換器和 iDRAC 的預設 SNMP 社群字串」一節,並更新 SNMP 社群字串。
受影响的产品
PowerProtect Data Protection Appliance, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, PowerProtect Data Protection Hardware
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
文章属性
文章编号: 000223709
文章类型: How To
上次修改时间: 05 5月 2025
版本: 13
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。