本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。
TLS 1.2の強力な暗号化スイートの有効化
Deep Security Managerのオンプレミスインストールにのみ適用されます。
このページでは、TLS 1.2の強力な暗号化スイートを使用するように、Deep Security Manager、Deep Security Agent、およびDeep Security Relayをアップデートする方法について説明します。これらの暗号スイートには、高度な+ (A+) レーティングがあり、 this pageの表にリストされています。
強力な暗号スイートを有効にするには、すべてのDeep Securityコンポーネントを10.0アップデート16以降のバージョンにアップグレードします。これが不可能な場合(たとえば、10.0アップデートエージェントが使用できないOSを使用している場合など)、代わりにを参照してください。Deep SecurityでのTLS 1.2の使用.
ステップ1:Deep Securityコンポーネントをアップデートする
ステップ2:TLS 1.2の強力な暗号化スイートを有効にするためのスクリプトを実行する
ステップ3:スクリプトの動作を確認する
Deep Securityコンポーネントをアップデートする
以下に記載された順にすべてのコンポーネントをアップデートしてください。しなかった場合、AgentはRelayやManagerと通信できなくなります。
- すべてのマネージャのインスタンスを10.0アップデート16以降のアップデートにアップデートします。アップグレード手順については、を参照してください。Deep Securityのインストール.
- すべてのリレーを10.0 Update 16以降のアップデートにアップデートします。Relayをアップグレードするには、Agentのアップグレードと同じ手順に従います。
- Managerに最新のRelayソフトウェアを手動または自動でインポートします。以下を参照してください。Deep Securityソフトウェアのアップデート詳細については、
- Relayをアップグレードします。
- リレーを自動的にアップグレードするには、を参照してください。アップグレードを開始する.
- リレーを手動でアップグレードする方法については、を参照してください。Agentを手動でアップグレードする.
- すべてのエージェントを10.0アップデート16以降のアップデートにアップデートします。Agentをアップグレードするには
- Managerに最新のAgentソフトウェアを手動または自動でインポートします。以下を参照してください。Deep Securityソフトウェアのアップデート詳細については、
- Deep Security Agentをアップグレードします。
- エージェントを自動的にアップグレードする方法については、を参照してください。アップグレードを開始する.
- エージェントを手動でアップグレードする方法については、を参照してください。Agentを手動でアップグレードする.
TLS 1.2の強力な暗号化スイートを有効にするためのスクリプトを実行する
- https://github.com/deep-security/ops-tools/tree/master/deepsecurity/manager の EnableStrongCiphers.script ファイルを次の場所にコピーします。
- Windowsの場合: <Manager_root>\Scripts
- Linuxの場合: <Manager_root>/Scripts
この場合、<Manager_root>は、Managerのインストールディレクトリのパスに置き換えます。初期設定では次のようになっています。
- C:\Program Files\Trend Micro\Deep Security Manager (Windows)
- /opt/dsm/ (Linux)
\Scripts ディレクトリが表示されない場合は、作成してください。
- Managerにログインします。
- 上部の [管理] をクリックします。
- 左側で、[予約タスク] をクリックします。
- メイン画面で、[新規] をクリックします。
- [新規予約タスクウィザード] が表示されます。
- [種類] リストで [スクリプトの実行] を選択します。 Only Onceを選択します。[Next] をクリックします。
- 初期設定の日付、時刻、およびタイムゾーンをそのままにし、[次へ] をクリックします。
- [スクリプト] で、[EnableStrongCiphers.script] を選択します。[次へ] をクリックします。
- Nameの場合は、スクリプトの名前を入力します(例:Enable Strong Cipher Suitesを有効にする」など)。[タスクの有効化] が選択されていることを確認します。[[完了] でタスクを実行] をクリックします。[完了] をクリックします。
スクリプトが実行されます。
- Deep Security Managerサービスを再起動します。
エージェント、リレー、およびマネージャは、TLSv1.2の強力な暗号スイートを排他的に使用して相互に通信しているはずです。
スクリプトの動作を確認する
スクリプトの動作と、TLS 1.2の強力な暗号化スイートのみが許可されていることを確認するには、一連のnmapコマンドを実行する必要があります。
nmapを使用してManagerを確認する
次のコマンドを実行します。
nmap --script ssl-enum-ciphers -p 4119 <Manager_FQDN>
出力は次のようになります。強力な暗号化スイートは中段付近で確認できます。
Starting Nmap 7.01 ( https://nmap.org ) at 2018-11-14 09:51 EST
Nmap scan report for <DSM FQDN> (X.X.X.X)
Host is up (0.0049s latency).
PORT STATE SERVICE
4119/tcp open assuria-slm
| ssl-enum-ciphers:
| TLSv1.2:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256k1) - A
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256k1) - A
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256k1) - A
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256k1) - A
| compressors:
| NULL
| cipher preference: client
|_ least strength: A
Nmap done: 1 IP address (1 host up) scanned in 6.82 seconds
nmapを使用してRelayを確認する
次のコマンドを実行します。
nmap --script ssl-enum-ciphers -p 4122 <Relay_FQDN>
出力は次のようになります。強力な暗号化スイートは中段付近に記述されています。
Starting Nmap 7.01 ( https://nmap.org ) at 2018-11-14 09:49 EST
Nmap scan report for <DSR FQDN> (X.X.X.X)
Host is up (0.0045s latency).
PORT STATE SERVICE
4122/tcp open unknown
| ssl-enum-ciphers:
| TLSv1.2:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
| compressors:
| NULL
| cipher preference: server
|_ least strength: A
Nmap done: 1 IP address (1 host up) scanned in 31.02 seconds
nmapを使用してAgentを確認する
次のコマンドを実行します。
nmap --script ssl-enum-ciphers -p 4118 <Agent_FQDN>
出力は次のようになります。
Starting Nmap 7.01 ( https://nmap.org ) at 2018-11-14 09:50 EST
Nmap scan report for <DSA FQDN> (X.X.X.X)
Host is up (0.0048s latency).
PORT STATE SERVICE
4118/tcp open netscript
| ssl-enum-ciphers:
| TLSv1.2:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
| compressors:
| NULL
| cipher preference: server
|_ least strength: A
Nmap done: 1 IP address (1 host up) scanned in 2.72 seconds
TLSv1.2強力な暗号スイートを無効にする
すべてのAgent、Relay、およびManagerをアップグレードする前に誤ってスクリプトを実行してしまった場合には、次の手順に従って以前の状態に戻すことができます。
- <Manager_root>にあるconfiguration.propertiesファイルを開き、ciphersで始まる行を削除します。次のような行です。
ciphers=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- protocols フィールドに値TLSv1とTLSv1.1を追加します。プロパティは最終的には次のようになります。
protocols = TLSv1, TLSv1.1, TLSv1.2
- ファイルを保存して、閉じます。
- <Manager_root>\jre\lib\security\にあるjava.securityファイルを開き、jdk.tls.disabledAlgorithms から次の2つのプロトコルを削除します。
TLSv1, TLSv1.1
- Deep Security Managerで、次の dsm_c コマンドを実行します。
dsm_c –action changesetting –name settings.configuration.restrictRelayMinimumTLSProtocol –value TLSv1
dsm_c –action changesetting –name settings.configuration.enableStrongCiphers –value false
システムが再度通信できるようになります。TLSv1.2の強力な暗号スイートを有効にする必要がある場合は、スクリプトを実行する前にすべてのコンポーネントをアップグレードしていることを確認してください。