TLS v1.2 のみを使用するようにクライアントとサーバーの通信を設定するには、次のタスクを実行します。
- Windows 7 など、サポート対象のすべてのオペレーティングシステムの場合は、次のいずれかを実行する必要があります。
- コンピュータには Internet Explorer 11 がインストールされ、[インターネットオプション] > [詳細設定] > [セキュリティ]で TLS 1.2 が有効になっていることを確認します。
- System アカウント設定で TLS 1.2 が有効になっていることを確認します。このタスクを実行する方法について詳しくは、「技術情報」を参照してください。
- Windows XP / Server 2003 など、TLS 1.2 をサポートしない SEP 12.1.x を実行するサポート対象外のすべてのオペレーティングシステムの場合は、次を実行します。
- [ポリシー] > [ポリシーコンポーネント] > [管理サーバーリスト]で、HTTP を使用する新しい管理サーバーリストを作成します。これは 8014 番のポート経由で通信を行います。このサーバーのアドレスを追加し、[OK]をクリックして保存します。
- 新しいグループを作成します。
- この管理サーバーリストをこのグループに割り当てます。
- サポートされていないオペレーティングシステムを実行するクライアントを、このグループに移動します。
- クライアントが管理サーバーにチェックインして新しいグループに移動する時間を考慮します。必要な時間はモードとハートビートの長さにより異なります。
- SEPM マシンで <SEPM インストールフォルダ>\apache\conf\ssl に移動します。
- ssl.conf ファイル (8445 番のポートの場合) および sslforclients.conf ファイル (443 番のポートの場合) で、それぞれ次の行を見つけます。
SSLProtocol all -SSLv2 -SSLv3
- テキストエディタを使用して、前記の ssl.conf と sslforclients.conf の行を編集し、下の太字で示されたテキストを両方のファイルに追加します。次のような行になります。
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
注: SEPM 14.3 RU2 以降では、ssl.conf はデフォルトで TLS 1.2 を使用するように設定されているため、編集する必要はありません。以下のような行になります。
#:Overridden_by_14.3.2.2000_upgrade_wizard <Date and time>#
#SSLProtocol all -SSLv2 -SSLv3
SSLProtocol TLSv1.2
- 次の管理サーバーサービスを再起動します。
- Symantec Endpoint Protection Manager
- Symantec Endpoint Protection Manager API サービス
- Symantec Endpoint Protection Manager Web サーバー
これで、クライアントのコンピュータがチェックインして、TLS 1.2 のみを使用して通信するようになります。
注: Windows XP / Server 2003 は TLS 1.1 以降をサポートしていないので、TLS 1.0 を使用する必要があります。
TLS 1.0 を使用するように Windows XP / Server 2003 を設定する
- <SEPM インストールフォルダ>\apache\conf\ssl に移動します。
- ssl.conf ファイル (8445 番のポートの場合) および sslforclients.conf ファイル (443 番のポートの場合) で、それぞれ次の行を見つけます。
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
- テキストエディタを使用して、太字で示されたテキストを削除します。次のような行になります。
SSLProtocol all -SSLv2 -SSLv3
- SSLCipherSuite で必要な変更について詳しくは HTTPS communications fail to Endpoint Protection clients installed on Windows XP / Server 2003 (英語文書) を参照してください。
- 次の管理サーバーサービスを再起動します。
- Symantec Endpoint Protection Manager
- Symantec Endpoint Protection Manager API サービス
- Symantec Endpoint Protection Manager Web サーバー
技術情報
バージョン 11 より前のバージョンの Internet Explorer のシステムアカウント設定で TLS 1.2 を有効にするには、次の手順を実行してください。
- PsExec をダウンロードします。PsExec は、Microsoft により提供されサポートされる Windows Sysinternals ユーティリティです。
- コマンドウィンドウを開き、次のコマンドを入力してシステムアカウントとして Internet Explorer を起動します。
psexec –s –i Path_to_IE\iexplorer.exe
- [ツール] > [インターネット オプション] > [詳細設定]の順にクリックし、[セキュリティ]で、[TLS 1.2] にチェックマークを付けます。すでにチェックマークが付いている場合は、手順 5 をスキップします。
- [OK]をクリックして設定を保存し、Internet Explorer を終了します。
- コマンドウィンドウに次のコマンドを入力して、Symantec Management Client サービスを再起動します。
smc -stop
smc -start