首页 » FIPS 合规性

FIPS 合规性 - ManageEngine Endpoint Central

什么是 FIPS 合规性?

FIPS 合规性(联邦信息处理标准)由美国政府制定,旨在通过建立数据安全、采用强加密方法以及实施健全的密钥管理系统(KMS)的指南和最佳实践,增强组织的安全态势。

对于所有处理敏感信息的美国联邦机构及承包商而言,FIPS 合规性是强制性的,因为它有助于防止潜在的安全漏洞并抵御网络威胁。

注意:Endpoint Central 的 FIPS 合规性为自我声明,这表示我们使用经过 FIPS 验证的软件包,并采用经 FIPS 批准的算法,根据联邦信息处理标准实施所需的安全措施和防护机制。

重要:仅当您的组织要求时,才启用 FIPS 合规性。

Endpoint Central 是否符合 FIPS 标准?

您现在可以在 Endpoint Central 中启用 FIPS 合规性,以遵循美国政府制定的标准。

启用 FIPS 合规性后,Endpoint Central 将符合 FIPS 140-2 标准,并且仅运行经过 FIPS 验证的算法。

Endpoint Central 中启用 FIPS 合规性后会发生哪些更改?

Endpoint Central 中启用 FIPS 合规性后,将发生以下变化:

  1. 安全的内部通信

    启用 FIPS 合规性后,Endpoint Central 内部的所有通信都必须使用 HTTPS 协议。这意味着将不再允许 HTTP 通信。通过强制使用 HTTPS,Endpoint Central 可确保数据交换通过安全且加密的通道进行,从而增强整体系统安全性。

  2. 符合 FIPS 的校验和算法

    为符合 FIPS 规定,Endpoint Central 中所有用于校验和验证的算法都必须满足 FIPS 合规标准。因此,不符合 FIPS 标准的 MD5 哈希算法将被限制在产品中使用。这可确保校验和验证过程符合 FIPS 标准,从而增强数据操作的完整性和安全性。

  3. TLSv1.2 及以上版本兼容性

    启用 FIPS 合规性后,网络中用户的服务器和代理计算机都应兼容 TLSv1.2 或更高版本。这可确保代理与服务器之间的安全且不中断的通信。较旧版本的 TLS 将不受支持,因为只有 TLSv1.2 及以上版本才能提供代理-服务器通信所需的安全协议。有关启用 FIPS 合规性时所使用密码套件的更多信息,请参阅此页面

  4. 对 PFX 格式证书的限制

    启用 FIPS 合规性后,Endpoint Central 不支持使用 PFX 格式证书。为确保符合 FIPS 标准,应使用与 FIPS 标准中指定的安全指南兼容的其他证书格式。此限制可保证证书操作符合所需的安全协议。

如何在 Endpoint Central 中启用 FIPS 合规性?

先决条件:
要使您的整个环境/组织符合 FIPS 标准,必须满足以下条件。

注意: 您必须运行 Endpoint Central 11.2.2338.01 或更高版本才能支持 FIPS 合规性。如果您运行的是全新安装的 Endpoint Central 实例,则无需满足这些先决条件。您可以直接继续执行启用 FIPS 合规性的步骤

  1. AD 域的 LDAP SSL 配置

    为了实现 FIPS 合规性,Endpoint Central 中的所有域都必须使用 LDAP SSL 进行配置。不允许使用 LDAP 连接。因此,如果用户之前已添加了 LDAP Active Directory(AD)域,则该域不能用于符合 FIPS 标准的环境中的任何功能。要修改 Endpoint Central 中现有的域,请导航至“管理”->“管理范围” ->“域”

  2. 集成使用 HTTPS 协议

    为符合 FIPS 合规标准,Endpoint Central 中的所有集成都必须通过 HTTPS 协议进行。如果之前有任何集成配置为 HTTP,则必须使用 HTTPS 重新建立连接。这可确保 Endpoint Central 与集成系统之间进行安全且加密的通信。

  3. Windows 身份验证和 ChangeDB 服务器

    在符合 FIPS 标准的设置中,必须专门针对 ChangeDB 服务器禁用 Windows 身份验证。仅允许使用 SQL 身份验证。这可确保数据库中的身份验证过程符合所需的 FIPS 合规标准。

  4. SQL Server 先决条件
     
    • SQL Server 版本为 2016 及以上。
    • 建议在安装 SQL Server 的计算机的操作系统本地策略中启用 FIPS 合规性。
    • 在配置 FIPS 合规性之前,请参考这些步骤迁移到 SQL SSL。

Endpoint Central 中启用 FIPS 合规性的步骤

您可以通过执行以下步骤来启用 FIPS 合规性:

  1. 启动并停止 Endpoint Central 服务器。
  2. 在 <server_installed_directory>\bin 文件夹中打开命令提示符。
  3. 执行 ConfigureFIPSMode.bat 文件。
  4. 启动服务器。

如果您在 Endpoint Central 中遇到任何与 FIPS 合规性相关的问题或有任何疑问,请联系我们的支持团队以获取帮助。

了解 Endpoint Central 中 FIPS 合规性的限制

在 Endpoint Central 中启用 FIPS 合规性可增强安全措施,但同时也意味着您需要接受某些相关限制。以下是您需要了解的内容:

  1. Mac 和 Linux 代理将无法使用自动代理安装功能。
  2. 虽然 FIPS 合规性因 MD5 校验和验证存在固有安全风险而禁止使用 MD5 校验和验证,但我们仍提供对 MD5 的支持,以确保与某些依赖 MD5 校验和验证的第三方补丁和软件保持向后兼容性。

如何在 Endpoint Central 中启用 FIPS 合规性?

先决条件:
要使您的整个环境/组织符合 FIPS 合规性,必须满足以下条件。

注意: 您必须运行 11.2.2338.01 或更高版本的 Endpoint Central 才能实现 FIPS 合规性。如果您运行的是 Endpoint Central 的全新实例,则不需要满足这些先决条件。您可以直接继续执行启用 FIPS 合规性的步骤

  1. AD 域的 LDAP SSL 配置

    为了实现 FIPS 合规性,Endpoint Central 中的所有域都必须使用 LDAP SSL 进行配置。将不允许使用 LDAP 连接。因此,如果用户之前已添加 LDAP Active Directory (AD) 域,则该域无法在符合 FIPS 的环境中用于任何功能。要修改 Endpoint Central 中的现有域,请导航至 Admin->Scope of Management -> Domain

  2. 集成使用 HTTPS 协议

    为符合 FIPS 合规标准,Endpoint Central 中的所有集成都必须通过 HTTPS 协议进行。如果之前有任何集成配置为 HTTP,则必须使用 HTTPS 重新建立连接。这可确保 Endpoint Central 与集成系统之间进行安全且加密的通信。

  3. Windows 身份验证和 ChangeDB 服务器

    在符合 FIPS 的设置中,必须专门针对 ChangeDB 服务器禁用 Windows 身份验证。仅允许 SQL 身份验证。这可确保数据库中的身份验证过程符合所需的 FIPS 合规标准。

  4. SQL 服务器先决条件
     
    • SQL 服务器版本为 2016 及以上。
    • 建议在安装 SQL 服务器的计算机的操作系统本地策略中启用 FIPS 合规性。
    • 在配置 FIPS 合规性之前,请参考这些步骤迁移到 SQL SSL。

Endpoint Central 中启用 FIPS 合规性的步骤

您可以通过执行以下步骤来启用 FIPS 合规性:

  1. 启动并停止 Endpoint Central 服务器。
  2. 在 <server_installed_directory>\bin 文件夹中打开命令提示符。
  3. 执行 ConfigureFIPSMode.bat 文件。
  4. 启动服务器。

Endpoint Central 中启用 FIPS 合规性的步骤

您可以通过执行以下步骤来启用 FIPS 合规性:

  1. 启动并停止 Endpoint Central 服务器。
  2. 在 <server_installed_directory>\bin 文件夹中打开命令提示符。
  3. 执行 ConfigureFIPSMode.bat 文件。
  4. 启动服务器。

我们的客户