Schützen der Client-Server-Kommunikation

Symantec Endpoint Protection Manager
hostet die Client-Server-Kommunikation über den Apache-Webserver. Bei neuen Installationen von
Symantec Endpoint Protection
14.2 überwacht der Apache-Server standardmäßig Port 443 auf verschlüsselte HTTPS-Verbindungen. Mit der HTTPS-Verbindung wird sichergestellt, dass der Inhalt verschlüsselt ist und dass der Tunnel bereitsteht, über den die Kommunikation gesendet wird.
Wenn Sie jedoch ein Upgrade von
Symantec Endpoint Protection
12.1.x durchführen und den
Symantec Endpoint Protection Manager
nicht zuvor für die Verwendung von HTTPS konfiguriert haben, überwacht der Apache-Server Port 8014 auf unverschlüsselte HTTP-Verbindungen. Um im FIPS-kompatiblen Modus zu arbeiten, müssen Sie den Apache-Webserver so konfigurieren, dass HTTPS anstelle von HTTP für die Kommunikation mit den Clients verwendet wird.
Wenn Sie ein Upgrade von
Symantec Endpoint Protection
12.1.x durchführen und den
Symantec Endpoint Protection Manager
für die Verwendung von HTTPS konfiguriert haben, werden diese Einstellungen beibehalten.
Schritte, die Sie ausführen müssen, um die Client-Server-Kommunikation zu schützen
Schritt
Beschreibung
Schritt 1: Installieren von
Symantec Endpoint Protection
-Clients
Wenn Sie die
Symantec Endpoint Protection
-Clients noch nicht installiert haben, verwenden Sie den Clientbereitstellungsassistenten, um das Clientpaket zu erstellen und bereitzustellen.
Schritt 2: Aktivieren des FIPS-Modus in der lokalen Windows-Sicherheitsrichtlinie
  • Stellen Sie sicher, dass Microsoft Windows im FIPS-Modus ausgeführt wird, indem Sie die Sicherheitsrichtlinie für den FIPS-Modus unter Windows für die Clientcomputer und Management-Server aktivieren.
  • Informationen zum Aktivieren des FIPS-Modus in der lokalen Sicherheitsrichtlinie finden Sie unter "Anweisungen zum Festlegen des Flags der lokalen/Gruppensicherheitsrichtlinie für FIPS" auf der folgenden Website:
Schritt 3: Testen, ob die Kommunikation FIPS-kompatibel ist
FIPS verwendet die RSA-Bibliotheken, für die TLS über Internet Explorer aktiviert werden muss. Wenn Sie TLS deaktivieren, können Sie testen, ob Windows noch im FIPS-Modus ausgeführt wird.
Wenn Sie TLS nicht zum Testen des FIPS-Modus deaktivieren möchten, können Sie OpenSSL-Befehle verwenden.
Schritt 4: Einrichten von HTTPS zwischen
Symantec Endpoint Protection Manager
und den Clients
Ab Version 14 ist die HTTPS-Kommunikation standardmäßig für neue Installationen aktiviert. Sie müssen nur diese Schritte ausführen, wenn Sie ein Upgrade von Version 12.1.x durchgeführt haben und die HTTPS-Kommunikation zuvor nicht aktiviert war.
  1. Der Standard-Port für den HTTPS-Datenverkehr ist Port 443. Wenn Port 443 bereits verwendet wird, müssen Sie für die Client-Server-Kommunikation einen anderen Port zuweisen. Überprüfen Sie, welche HTTPS-Ports verfügbar sind, und ändern Sie dann den HTTPS-Port in der Datei
    sslForClients.conf
    mit der neuen Port-Nummer.
  2. Bearbeiten Sie die Datei
    httpd.conf
    , um die HTTPS-Kommunikation zu aktivieren. Anschließend überprüfen Sie, ob
    Symantec Endpoint Protection Manager
    HTTPS verwendet.
  3. Fügen Sie eine Management-Server-Liste hinzu bzw. bearbeiten Sie diese, sodass die Clients mithilfe von HTTPS über den Apache-Port eine Verbindung zu
    Symantec Endpoint Protection Manager
    herstellen.
  4. Überprüfen Sie auf dem Client, ob die Clients HTTPS verwenden, um eine Verbindung zu
    Symantec Endpoint Protection Manager
    herzustellen.
Schritt 5: Installieren von Zertifikaten auf den Clients, damit Sie die Zertifikate überprüfen können
Wenn Ihre Clients Ihrer Zertifizierungsstelle nicht grundsätzlich Vertrauen, sollten Sie auf den Clients Zertifikate installieren, damit sie Ihrer Zertifizierungsstelle vertrauen.
Wenn Sie diesen Schritt ausführen müssen, finden Sie weitere Informationen auf der folgenden Website: