Security (セキュリティー)

6 番目のタブをクリックして、「セキュリティー」ダイアログを開きます。

「拡張セキュリティーを有効にする」ボタンをクリックすると、すべてのデジタル署名とコンテンツ検証に SHA-256 暗号ダイジェスト・アルゴリズムが採用され、BigFix コンポーネント間通信に TLS 1.2 プロトコルが使用されます。

SHA-256 を有効にするには、以下の条件が満たされるようにしてください。

更新されたライセンスが収集された。
SHA-256 をサポートしないすべての外部サイトのサブスクライブを取り消す。

注: この設定を使用する場合、BigFix バージョン 9.0 以前のコンポーネントは BigFix バージョン 9.5 のサーバーやリレーと通信できないため、後方互換性が失われます。

警告: 拡張セキュリティー・モードを無効にすると、BESRootServer サービスの自動再始動が失敗します。この問題を解決するには、このサービスを手動で再始動してください。

Linux 環境の災害サーバー・アーキテクチャー (DSA) サーバーで拡張セキュリティーを有効にするには:

コマンド ./BESAdmin.sh -securitysettings -sitePvkLocation=<path+license.pvk> -enableEnhancedSecurity -requireSHA256Downloads を実行してプライマリー・サーバーでのみこれを有効にする必要があります。

複製サーバーで有効にする必要はありません。更新されたアクション・サイトも複製サーバーに確実に伝達されるよう、コマンド ./BESAdmin.sh syncmastheadandlicense -sitePvkLocation=<path+license.pvk> [-sitePvkPassword=<password>] を実行するよう要求される場合があります。

Windows 環境の災害サーバー・アーキテクチャー (DSA) サーバーで拡張セキュリティーを有効にするには:

Windows システムの場合に記載されている手順に従って、プライマリー・サーバーでのみこれを有効にする必要があります。

更新されたアクション・サイトも複製サーバーに確実に伝達されるよう、.\BESAdmin.exe のコマンドを実行する必要があります。

「拡張セキュリティーを有効にする」ボタンをクリックするまで、「SHA-256 ダウンロードが必要」ボタンは無効になっています。「SHA-256 ダウンロードが必要」ボタンをクリックすると、すべてのダウンロード検証で SHA-256 アルゴリズムのみを使用するように変更されます。既存のカスタム・アクションは、V9.1 以上用に更新された prefetch アクション・スクリプト構文に準拠するように編集しなければならない可能性があります。

注: このオプションを選択しない場合、ファイル・ダウンロードの整合性チェックは SHA-1 アルゴリズムを使用して実行されます。

「SHA-256 ダウンロードが必要」を選択しないで「拡張セキュリティーを有効にする」をクリックすると、SHA-256 アルゴリズムはデジタル署名とコンテンツ検証に使用され、TLS 1.2 プロトコルは複数の BigFix コンポーネント間の通信に使用されますが、外部サイトから SHA-1 コンテンツをダウンロードすることは引き続き可能となります。

BigFix の拡張セキュリティー機能、サポートされるセキュリティー構成要件と拡張セキュリティー要件の評価について詳しくは、セキュリティー構成シナリオを参照してください。