Môi trường dữ liệu
- Multiple McAfee Enterprise products
Tóm tắt
Các mã nhị phân sản phẩm McAfee Enterprise được liệt kê dưới đây đã được ký với các chứng chỉ cập nhật:
Affected Product |
Version |
Data Exchange Layer (DXL) | 5.0.2 and later |
Data Loss Prevention Endpoint (DLPE) | 11.3.2.82 and later |
Database Security | 4.6.6 Update 3 and later |
Endpoint Security (ENS) Adaptive Threat Protection | 10.7.0 and later
10.6.1 October 2019 Update and later |
ENS Firewall | 10.7.0 and later
10.6.1 October 2019 Update and later |
ENS Platform (Common) | 10.7.0 and later
10.6.1 October 2019 Update and later |
ENS Threat Prevention | 10.7.0 and later
10.6.1 October 2019 Update and later |
ENS Web Control | 10.7.0 and later
10.6.1 October 2019 Update and later |
Host Intrusion Prevention (Host IPS) | 8.0 Patch 14 and later |
McAfee Active Response (MAR) | 2.4.1 and later |
McAfee Agent (MA) | 5.6.2 and later |
McAfee Application and Change Control (MACC) | 8.2.1 Update 5 and later |
McAfee Client Proxy (MCP) | 2.5.0 and later |
MVISION Endpoint | 1906 and later |
McAfee VirusScan Enterprise | 8.8 Patch 14 and later |
McAfee Enterprise có kế hoạch cập nhật các tệp nhị phân sản phẩm sau với các chứng chỉ được cập nhật trong một bản phát hành sản phẩm trong tương lai. Bài viết này được cập nhật khi mã nhị phân sản phẩm được cập nhật.
Products Pending Update |
Version |
Endpoint Intelligence Agent (EIA) | To be determined |
Threat Intelligence Exchange Module (TIEm) for VirusScan Enterprise | To be determined |
Các gói McAfee Enterprise mới nhất bao gồm các tệp nhị phân đã được ký với các chứng chỉ SHA-1 và SHA-256 được cập nhật. Chứng chỉ gốc cập nhật là cần thiết, để xác thực chữ ký điện tử mới. Microsoft phân phối các chứng chỉ này.
QUAN TRỌNG: Đảm bảo rằng bạn cập nhật kho lưu trữ chứng chỉ gốc và thay thế các chứng chỉ bị thiếu. Nếu không, bạn không thể cài đặt hoặc nâng cấp thành công bất kỳ sản phẩm nào trong bài viết này. Nguyên nhân là do hệ điều hành không thể xác thực thành công các tệp nhị phân chứng chỉ mới.
Trong một số môi trường, chứng chỉ gốc có thể bị thiếu. Các lý do thiếu chứng chỉ gốc bao gồm, nhưng không giới hạn:
- Quản trị viên đã xóa chứng chỉ khỏi hệ thống.
- Hệ thống không có kết nối internet, cần thiết để thực hiện Root AutoUpdate (cập nhật gốc tự động).
- Chính sách nhóm có hiệu lực ngăn cập nhật chứng chỉ gốc
- The registry value HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate is set to 1.
- The registry key HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\ProtectedRoots
Giải pháp
Nhập các chứng chỉ cần thiết, để xác thực chữ ký số trước khi bạn cài đặt hoặc nâng cấp sản phẩm:
- Cài đặt các chứng chỉ gốc còn thiếu của Tổ chức phát hành chứng chỉ gốc đáng tin cậy của bên thứ ba. Cụ thể, Dịch vụ chứng chỉ AAA, AddTrust External CA Root, GlobalSign, GlobalSign Root CA, Microsoft Code Verification Root, USERTrust RSA Certification Authority, UTN-USERFirst-Object, Verisign Class 3 Public Primary Certification Authority – G5, and Verisign Universal Root Certification Authority.
- Cài đặt chứng chỉ Tổ chức cấp chứng chỉ trung gian còn thiếu của Tổ chức phát hành chứng chỉ trung gian thực. Cụ thể thêm các chứng chỉ được liệt kê bên dưới:
- Trust External CA Root
- COMODO RSA Code Signing CA
- GlobalSign
- GlobalSign CodeSigning CA – G3
- GlobalSign CodeSigning CA – SHA256 – G3
- GlobalSign Root CA
- McAfee Code Signing CA 2
- McAfee OV SSL CA 2
- USERTrust RSA Certification Authority (2028)
- Verisign Class 3 Code Signing 2010 CA
Tùy chọn cài đặt chứng chỉ:
Tùy chọn 1: Cài đặt chứng chỉ bằng chính sách nhóm Active Directory
McAfee Enterprise khuyên bạn nên cài đặt chứng chỉ bằng chính sách nhóm Active Directory để triển khai rộng rãi.
Triển khai thay đổi registry cho chính sách Máy tính, không phải chính sách Người dùng.
Tùy chọn 2: Cài đặt chứng chỉ trực tiếp trên hệ thống
Nếu bạn có một hệ thống đơn lẻ hoặc chỉ một vài hệ thống, bạn có thể sử dụng các tệp sau để cài đặt chứng chỉ trực tiếp trên hệ thống. Bạn cũng có thể cài đặt chúng từ xa bằng bất kỳ phương pháp triển khai quản trị thích hợp nào.
Để cài đặt chứng chỉ, hãy thực hiện một trong các thao tác sau:
- Tải file: bat.txt in the Attachment section of this article. Rename the file to DigiCert_USERFirst_VeriSign_Comodo_GlobalSign_and_USERTrust.batvà chạy nó.
OR
- Tải file: reg.txt in the Attachment section of this article. Rename the file to DigiCert_USERFirst_VeriSign_Comodo_GlobalSign_and_USERTrust.reg và nhập nó vào.
Danh sách các chứng chỉ và chi tiết SHA-1 cho các tệp đính kèm:
Certificate |
SHA-1 Details |
AAA Certificate Services (2028) | D1EB23A46D17D68FD92564C2F1F1601764D8E349 |
AddTrust External CA Root (2020) | 02FAF3E291435468607857694DF5E45B68851868 |
AddTrust External CA Root (2023) | A75AC657AA7A4CDFE5F9DE393E69EFCAB659D250 |
COMODO RSA Code Signing CA (2028) | B69E752BBE88B4458200A7C0F4F5B3CCE6F35B47 |
DigiCert Assured ID Root CA (2031) | 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 |
DigiCert SHA2 Assured ID Timestamping CA (2031) | 3BA63A6E4841355772DEBEF9CDCF4D5AF353A297 |
GlobalSign (2029) | D69B561148F01C77C54578C10926DF5B856976AD |
GlobalSign (2028) | 0BBFAB97059595E8D1EC48E89EB8657C0E5AAE71 |
GlobalSign CodeSigning CA – SHA256 – G3 (2024) | 090D03435EB2A8364F79B78CB173D35E8EB63558 |
GlobalSign CodeSigning CA – G3 (2024) | F1E7B6C0C10DA9436ECC04FF5FC3B6916B46CF4C |
GlobalSign Root CA (2021) | CC1DEEBF6D55C2C9061BA16F10A0BFA6979A4A32 |
GlobalSign Root CA (2028) | B1BC968BD4F49D622AA89A81F2150152A41D829C |
McAfee Code Signing CA 2 (2024) | 17661DFBA03E6AAA09142E012D216864F01D1F5E |
McAfee OV SSL CA 2 (2024) | 9151B539751B891401C745A9DE301CBDBADF3FB6 |
Microsoft Code Verification Root (2025) | 8FBE4D070EF8AB1BCCAF2A9D5CCAE7282A2C66B3 |
USERTrust RSA Certification Authority (2020) | EAB040689A0D805B5D6FD654FC168CFF00B78BE3 |
USERTrust RSA Certification Authority (2028) | D89E3BD43D5D909B47A18977AA9D5CE36CEE184C |
USERTrust RSA Certification Authority (2038) | 2B8F1B57330DBBA2D07A6C51F70EE90DDAB9AD8E |
UTN-USERFirst-Object (2019) | E12DFB4B41D7D9C32B30514BAC1D81D8385E2D46 |
Verisign Class 3 Code Signing 2010 CA (2020) | 495847A93187CFB8C71F840CB7B41497AD95C64F |
Verisign Class 3 Public Primary Certification Authority – G5 (2036) | 4EB6D578499B1CCF5F581EAD56BE3D9B6744A5E5 |
Verisign Universal Root Certification Authority (2037) | 3679CA35668772304D30A5FB873B0FA77BB70D54 |
Trân trọng cám ơn quý độc giả.
Biên dịch Lê Toản – Help.pacisoft.com