Protezione della comunicazione da client a server

Symantec Endpoint Protection Manager
ospita le comunicazioni da client a server tramite il server Web Apache. Per le nuove installazioni di
Symantec Endpoint Protection
14.2, il server Apache è in ascolto sulla porta 443 per le connessioni HTTPS crittografate per impostazione predefinita. La connessione HTTPS garantisce la crittografia del contenuto e del tunnel attraverso il quale vengono inviate le comunicazioni.
Tuttavia, se si esegue l'aggiornamento da
Symantec Endpoint Protection
12.1.x senza che
Symantec Endpoint Protection Manager
sia stato configurato in precedenza per l'utilizzo di HTTPS, il server Apache rimane in ascolto sulla porta 8014 per le connessioni HTTP non crittografate. Affinché l'esecuzione sia in modalità conforme a FIPS, è necessario configurare il server Web Apache in modo che comunichi con i client attraverso il protocollo HTTPS anziché con il protocollo HTTP.
Se si esegue l'aggiornamento da
Symantec Endpoint Protection
12.1.x e in precedenza
Symantec Endpoint Protection Manager
è stato configurato per l'utilizzo di HTTPS, tali impostazioni vengono mantenute.
Attività da eseguire per proteggere la comunicazione da client a server
Passaggio
Descrizione
Passaggio 1: installare i client
Symantec Endpoint Protection
Se i client
Symantec Endpoint Protection
non sono ancora stati installati, utilizzare la Distribuzione guidata client per creare e distribuire il pacchetto client.
Passaggio 2: attivare la modalità FIPS nella politica di sicurezza di Windows locale
Passaggio 3: verificare che le comunicazioni siano conformi a FIPS
FIPS utilizza le librerie RSA, che richiedono l'attivazione di TLS tramite Internet Explorer. Se si disattiva TLS, è possibile verificare se Windows sia ancora in esecuzione in modalità FIPS.
Se non si desidera verificare la modalità FIPS tramite la disattivazione di TLS, è possibile utilizzare i comandi OpenSSL.
Passaggio 4: impostazione di HTTPS tra
Symantec Endpoint Protection Manager
e i client
A partire dalla versione 14, le comunicazioni HTTPS sono attivate per impostazione predefinita per le nuove installazioni. È necessario attenersi alla seguente procedura solo se è stato eseguito l'aggiornamento dalla versione 12.1.x e non sono state attivate in precedenza le comunicazioni HTTPS.
  1. La porta predefinita per il traffico HTTPS è la porta 443. Se la porta 443 è già in uso, è necessario riassegnare una porta diversa per la comunicazione client-server. Verificare quali porte HTTPS sono disponibili, quindi modificare la porta HTTPS nel file
    sslForClients.conf
    con il nuovo numero di porta.
  2. Modificare il file
    httpd.conf
    per attivare le comunicazioni HTTPS. Quindi verificare che
    Symantec Endpoint Protection Manager
    utilizzi il protocollo HTTPS.
  3. Aggiungere o modificare un elenco di server di gestione in modo che i client si connettano a
    Symantec Endpoint Protection Manager
    utilizzando il protocollo HTTPS sulla porta Apache.
  4. Nel client, verificare che i client utilizzino HTTPS per la connessione a
    Symantec Endpoint Protection Manager
    .
Passaggio 5: installare i certificati nei client in modo che i client possano verificarli
Se i client non considerano attendibile l'autorità di certificazione, è necessario installare i certificati nei client in modo che questi considerino sicura l'autorità di certificazione.
Se è necessario eseguire questo passaggio, consultare la seguente pagina Web: