Kommunikation mit TLS verschlüsseln

Um Schwachstellen im Unternehmensnetzwerk Ihres Unternehmens zu beheben, können Sie die Datenverkehrsverschlüsselung mittels TLS-Protokoll aktivieren. Sie können die TLS-Verschlüsselungsprotokolle und die unterstützten Cipher-Suites auf dem Administrationsserver und dem iOS MDM Server aktivieren. Kaspersky Security Center unterstützt das TLS-Protokoll folgender Versionen: 1.0, 1.1 und 1.2. Sie können die erforderlichen Verschlüsselungsprotokolle und Cipher-Suites auswählen.

Kaspersky Security Center verwendet selbstsignierte Zertifikate. Zusätzliche Konfiguration der iOS-Geräte ist nicht erforderlich. Sie können auch Ihre eigenen Zertifikate verwenden. Die Experten von Kaspersky empfehlen, Zertifikate zu verwenden, die von vertrauenswürdigen Zertifizierungsstellen erteilt wurden.

Administrationsserver

Um zugelassene Verschlüsselungsprotokolle und Cipher-Suites auf dem Administrationsserver anzupassen, gehen Sie wie folgt vor:

  1. Führen Sie die Windows-Eingabeaufforderung als Administrator aus und wechseln Sie anschließend in das Verzeichnis mit dem Tool "klscflag". Das Tool "klscflag" befindet sich in dem Verzeichnis, in dem der Administrationsserver installiert ist. Der Standardinstallationspfad lautet "<Laufwerksbuchstabe>:\Programme (x86)\ Kaspersky Lab\ Kaspersky Security Center".
  2. Verwenden Sie das Flag "SrvUseStrictSslSettings", um erlaubte Verschlüsselungsprotokolle und Cipher-Suites auf dem Administrationsserver zu konfigurieren. Geben Sie den folgenden Befehl in die Windows-Eingabeaufforderung ein:

    klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <Wert> -t d

    Geben Sie den Parameter "<Wert>" des Flags "SrvUseStrictSslSettings" an:

    • 4 – Es ist nur das Protokoll TLS 1.2 aktiviert. Außerdem sind Cipher-Suites mit TLS_RSA_WITH_AES_256_GCM_SHA384 aktiviert (Diese Cipher-Suites werden für die Abwärtskompatibilität mit Kaspersky Security Center 11 benötigt). Dies ist der Standardwert.

      Für das Protokoll TLS 1.2 unterstützte Cipher-Suites:

      • ECDHE-RSA-AES256-GCM-SHA384
      • ECDHE-RSA-AES256-SHA384
      • ECDHE-RSA-CHACHA20-POLY1305
      • AES256-GCM-SHA384 (Cipher-Suite mit TLS_RSA_WITH_AES_256_GCM_SHA384)
      • ECDHE-RSA-AES128-GCM-SHA256
      • ECDHE-RSA-AES128-SHA256
    • 5 – Es ist nur das Protokoll TLS 1.2 aktiviert. Für das Protokoll TLS 1.2 werden die unten aufgeführten Cipher-Suites unterstützt.

      Für das Protokoll TLS 1.2 unterstützte Cipher-Suites:

      • ECDHE-RSA-AES256-GCM-SHA384
      • ECDHE-RSA-AES256-SHA384
      • ECDHE-RSA-CHACHA20-POLY1305
      • ECDHE-RSA-AES128-GCM-SHA256
      • ECDHE-RSA-AES128-SHA256

    Es wird nicht empfohlen, "0", "1", "2" oder "3" als Parameterwert für das Flag "SrvUseStrictSslSettings" zu verwenden. Diese Parameterwerte stehen für unsichere Versionen des TLS-Protokolls (die Protokolle TLS 1.0 und TLS 1.1) und unsichere Cipher-Suites. Sie werden nur aus Gründen der Abwärtskompatibilität mit älteren Versionen von Kaspersky Security Center verwendet.

  3. Starten Sie die folgenden Dienste von Kaspersky Security Center 14.2 neu:
    • Administrationsserver
    • Webserver
    • Aktivierungs-Proxy

iOS MDM-Server

Die Verbindung zwischen den iOS-Geräten und dem iOS MDM-Server ist standardmäßig verschlüsselt.

Um zugelassene Verschlüsselungsprotokolle und Cipher-Suites auf dem iOS MDM-Server anzupassen, gehen Sie wie folgt vor:

  1. Öffnen Sie die Systemregistrierung des Client-Geräts, auf dem der iOS MDM-Server installiert ist, z. B. lokal mit dem Befehl "regedit" im Menü Start → Ausführen.
  2. Rufen Sie den folgenden Abschnitt auf:
    • Für 32-Bit-Systeme:

      HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset

    • Für 64-Bit-Systeme:

      HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset

  3. Erstellen Sie einen Schlüssel mit dem Namen StrictSslSettings.
  4. Geben Sie als Schlüsseltyp DWORD an.
  5. Legen Sie den Wert des Schlüssels fest:
    • 2 – Die Protokolle TLS 1.0, TLS 1.1 und TLS 1.2 sind aktiviert.
    • 3 – Es ist nur das Protokoll TLS 1.2 aktiviert (Standardwert).
  6. Starten Sie den Dienst des iOS MDM-Servers von Kaspersky Security Center neu.
Nach oben