管理サーバーとクライアント間で TLS 1.2 通信を設定する
search cancel

管理サーバーとクライアント間で TLS 1.2 通信を設定する

book

Article ID: 235009

calendar_today

Updated On:

Products

Endpoint Protection

Issue/Introduction

規制コンプライアンスの基準を満たしたり、現在の環境におけるセキュリティを強化するために、Symantec Endpoint Protection Manager (SEPM) 14 と管理対象のクライアントの間の通信プロトコルを TLS 1.2 に制限する必要がある。しかし、その過程でクライアントを孤立させたくない。

Resolution

TLS v1.2 のみを使用するようにクライアントとサーバーの通信を設定するには、次のタスクを実行します。

  1. Windows 7 など、サポート対象のすべてのオペレーティングシステムの場合は、次のいずれかを実行する必要があります。
    • コンピュータには Internet Explorer 11 がインストールされ、[インターネットオプション] > [詳細設定] > [セキュリティ]で TLS 1.2 が有効になっていることを確認します。
    • System アカウント設定で TLS 1.2 が有効になっていることを確認します。このタスクを実行する方法について詳しくは、「技術情報」を参照してください。
  2. Windows XP / Server 2003 など、TLS 1.2 をサポートしない SEP 12.1.x を実行するサポート対象外のすべてのオペレーティングシステムの場合は、次を実行します。
    1. [ポリシー] > [ポリシーコンポーネント] > [管理サーバーリスト]で、HTTP を使用する新しい管理サーバーリストを作成します。これは 8014 番のポート経由で通信を行います。このサーバーのアドレスを追加し、[OK]をクリックして保存します。
    2. 新しいグループを作成します。
    3. この管理サーバーリストをこのグループに割り当てます。
    4. サポートされていないオペレーティングシステムを実行するクライアントを、このグループに移動します。
    5. クライアントが管理サーバーにチェックインして新しいグループに移動する時間を考慮します。必要な時間はモードとハートビートの長さにより異なります。
       
  3. SEPM マシンで <SEPM インストールフォルダ>\apache\conf\ssl に移動します。
  4. ssl.conf ファイル (8445 番のポートの場合) および sslforclients.conf ファイル (443 番のポートの場合) で、それぞれ次の行を見つけます。
    SSLProtocol all -SSLv2 -SSLv3
  5. テキストエディタを使用して、前記の ssl.conf と sslforclients.conf の行を編集し、下の太字で示されたテキストを両方のファイルに追加します。次のような行になります。
    SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

    注: SEPM 14.3 RU2 以降では、ssl.conf はデフォルトで TLS 1.2 を使用するように設定されているため、編集する必要はありません。以下のような行になります。
    #:Overridden_by_14.3.2.2000_upgrade_wizard <Date and time>#
    #SSLProtocol all -SSLv2 -SSLv3
    SSLProtocol TLSv1.2
  6. 次の管理サーバーサービスを再起動します。
    • Symantec Endpoint Protection Manager
    • Symantec Endpoint Protection Manager API サービス
    • Symantec Endpoint Protection Manager Web サーバー

これで、クライアントのコンピュータがチェックインして、TLS 1.2 のみを使用して通信するようになります。

注: Windows XP / Server 2003 は TLS 1.1 以降をサポートしていないので、TLS 1.0 を使用する必要があります。

TLS 1.0 を使用するように Windows XP / Server 2003 を設定する

  1. <SEPM インストールフォルダ>\apache\conf\ssl に移動します。
  2. ssl.conf ファイル (8445 番のポートの場合) および sslforclients.conf ファイル (443 番のポートの場合) で、それぞれ次の行を見つけます。
    SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
  3. テキストエディタを使用して、太字で示されたテキストを削除します。次のような行になります。
    SSLProtocol all -SSLv2 -SSLv3
     
  4. SSLCipherSuite で必要な変更について詳しくは HTTPS communications fail to Endpoint Protection clients installed on Windows XP / Server 2003 (英語文書) を参照してください。
  5. 次の管理サーバーサービスを再起動します。
    • Symantec Endpoint Protection Manager
    • Symantec Endpoint Protection Manager API サービス
    • Symantec Endpoint Protection Manager Web サーバー

技術情報

バージョン 11 より前のバージョンの Internet Explorer のシステムアカウント設定で TLS 1.2 を有効にするには、次の手順を実行してください。
  1. PsExec をダウンロードします。PsExec は、Microsoft により提供されサポートされる Windows Sysinternals ユーティリティです。
  2. コマンドウィンドウを開き、次のコマンドを入力してシステムアカウントとして Internet Explorer を起動します。
    psexec –s –i Path_to_IE\iexplorer.exe
  3.  [ツール] > [インターネット オプション] > [詳細設定]の順にクリックし、[セキュリティ]で、[TLS 1.2] にチェックマークを付けます。すでにチェックマークが付いている場合は、手順 5 をスキップします。
  4. [OK]をクリックして設定を保存し、Internet Explorer を終了します。
  5. コマンドウィンドウに次のコマンドを入力して、Symantec Management Client サービスを再起動します。
smc -stop
smc -start

Additional Information

[英語文書] Configure TLS 1.2 communications between Endpoint Protection Manager 14 and clients