安全轉送需求

如要使用 TLS 1.2，自 2024 年 1 月 24 日起，您的轉送伺服器必須至少支援下列其中一項加密套件：

• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

• TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

另請確認您的 Windows 設定與指定加密套件相符，以便與轉送功能相容。

如要檢查加密套件：

1. 在 PowerShell 中執行下列命令：

   複製

   @("TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256") | % { Get-TlsCipherSuite -Name $_ }

2. 檢查輸出：TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256。

   

3. 空白輸出表示未啟用轉送 TLS 連線正常運作所需的任何加密套件。啟用至少一個加密套件。

4. 驗證來自轉送伺服器的橢圓曲線密碼學 (Elliptic Curve Cryptography，ECC) 曲線。若使用臨時橢圓曲線迪菲-赫爾曼 (Elliptic Curve Diffie-Hellman Ephemeral，ECDHE) 加密套件，必須進行此驗證。在 PowerShell 中執行下列命令：

   複製

   Get-TlsEccCurve

5. 檢查您是否有曲線 25519。若無，請啟用。

   

如要驗證 Windows 密碼編譯設定：

1. 在 IIS Crypto 工具中，檢查您是否已啟用下列選項：

   • 用戶端通訊協定：TLS 1.2

   • 密碼：AES 128/128 和 AES 256/256

   • 金鑰交換：ECDH

     

2. 修改密碼編譯設定之後，重新啟動電腦。

   注意：修改 Windows 密碼編譯設定會影響電腦上執行且使用 Windows TLS 程式庫「Schannel」的所有應用程式。因此，請確保您進行的任何調整都不會造成意外副作用。驗證所選設定是否符合組織整體強化目標或合規性授權。

• 對於沒有 Proxy 伺服器的傳統設定，轉送需要下列連接埠：

  

  對於使用 Proxy 伺服器的設定，轉送需要下列連接埠：

  

  注意：對於內部部署和 SaaS 平台，網路流程的運作方式相同。

代管安全轉送的虛擬機器 (VM) 需要符合以下要求：

VM 還必須具備：

• HTTP/HTTPS 流量 — 移除、停用、繞過或允許將 HTTP/HTTPS 流量導向安全轉送機器的任何用戶端。此動作會封鎖安全轉送安裝，並停止或減緩進入 Tenable 平台的流量。

• Windows Server 2016 以上的作業系統 (不含 Linux)

• 至少針對 cloud.tenable.com 和 *.tenable.ad 已解析的面向網際網路的 DNS 查詢和網際網路存取 (TLS 1.2)。

• 本機管理員權限

• EDR、防毒和 GPO 設定：

  • VM 上剩餘的 CPU 充足，例如，Windows Defender 即時保護功能會佔用大量 CPU 並可能使電腦飽和。

  • 自動更新：

    • 允許對 *.tenable.ad 進行呼叫，以便自動更新功能可下載轉送可執行檔。

    • 檢查並確認沒有封鎖自動更新功能的群組原則物件 (GPO)。

    • 不刪除或變更「轉送更新程式」排程工作：