安全中继要求

截至 2024 年 1 月 24 日，若要使用 TLS 1.2，中继服务器必须至少支持以下一种加密套件：

• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

• TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

此外，请确保您的 Windows 配置与指定的加密套件一致，以与中继功能兼容。

若要检查加密套件，请执行以下操作：

1. 在 PowerShell 中运行以下命令：

   复制

   @("TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256") | % { Get-TlsCipherSuite -Name $_ }

2. 检查输出：TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256。

   

3. 若输出为空，则表示未为中继的 TLS 连接启用任何必要的加密套件。启用至少一个加密套件。

4. 验证中继服务器中的椭圆曲线加密 (ECC) 曲线。若要使用椭圆曲线临时 Diffie-Hellman（Elliptic Curve Diffie-Hellman Ephemeral，简称 ECDHE）加密套件，则必须进行此验证。在 PowerShell 中运行以下命令：

   复制

   Get-TlsEccCurve

5. 检查您是否有曲线 25519。如果没有，请启用。

   

若要验证 Windows 加密设置，请执行以下操作：

1. 在 IIS Crypto 工具中，检查您是否启用了以下选项：

   • 客户端协议：TLS 1.2

   • 加密：AES 128/128 和 AES 256/256

   • 密钥交换：ECDH

     

2. 修改加密设置后，请重新启动计算机。

   注意：修改 Windows 加密设置会影响计算机上运行的所有应用程序，并使用 Windows TLS 库（即“Schannel”）。因此，请确保您进行的任何调整不会造成意外的副作用。验证所选配置是否符合组织的总体强化目标或合规性要求。

• 对于没有代理服务器的经典设置，中继需要以下端口：

  

  对于使用代理服务器的设置，中继需要以下端口：

  

  注意：网络流的处理方式对于本地部署和 SaaS 平台都是相同的。

托管安全中继的虚拟机 (VM) 须符合如下要求：

VM 还必须具有：

• HTTP/HTTPS 流量 — 如果客户端可将 HTTP/HTTPS 流量导向安全中继计算机，则将其删除、禁用、绕过或列入允许列表。此操作会阻止安全中继的安装，并使进入 Tenable 平台的流量停止或减缓。

• Windows Server 2016+ 操作系统（无 Linux）

• 解决了至少适用于 cloud.tenable.com 和 *.tenable.ad (TLS 1.2) 的互联网 DNS 查询和互联网访问。

• 本地管理员特权

• EDR、防病毒和 GPO 配置：

  • VM 上剩余足够的 CPU - 例如，Windows Defender Real-Time 功能会消耗大量 CPU 并可使计算机饱和。

  • 自动更新：

    • 允许调用 *.tenable.ad ，以便自动更新功能可以下载中继可执行文件。

    • 检查确认没有组策略对象 (GPO) 阻止自动更新功能。

    • 不删除或变更“中继更新程序”计划任务：