使用 TLS 的加密通信

要修复您组织企业网络中的漏洞，您可以使用 TLS 协议启用流量加密。您可以在管理服务器和 iOS MDM 服务器上启用 TLS 加密协议和支持的密码套件。Kaspersky Security Center 支持 TLS 协议版本 1.0、1.1 和 1.2。您可以选择所需的加密协议和加密套件。

Kaspersky Security Center 使用自签发证书。不需要 iOS 设备的附加配置。您也可以使用您自己的证书。Kaspersky 专家建议使用由受信任证书当局发布的证书。

管理服务器

要在管理服务器上配置允许的加密协议和加密套件：

使用管理员权限运行 Windows 命令提示符，然后将当前目录更改为包含 klscflag 实用程序的目录。klscflag 实用程序位于安装管理服务器的文件夹中。默认安装路径为 <Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center。
使用 SrvUseStrictSslSettings 标志在管理服务器上配置允许的加密协议和加密套件。在 Windows 命令提示时输入以下命令：
klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <value> -t d
指定 SrvUseStrictSslSettings 标志的<value>参数：
- 4 — 仅启用 TLS 1.2 协议。此外，还启用了具有 TLS_RSA_WITH_AES_256_GCM_SHA384 的密码套件（向后兼容 Kaspersky Security Center 11 需要此密码套件）。这是默认值。
  TLS 1.2 协议支持的密码套件：
  - ECDHE-RSA-AES256-GCM-SHA384
  - ECDHE-RSA-AES256-SHA384
  - ECDHE-RSA-CHACHA20-POLY1305
  - AES256-GCM-SHA384（具有 TLS_RSA_WITH_AES_256_GCM_SHA384 的密码套件）
  - ECDHE-RSA-AES128-GCM-SHA256
  - ECDHE-RSA-AES128-SHA256
- 5 — 仅启用 TLS 1.2 协议。对于 TLS 1.2 协议，下面列出的特定密码套件受支持。
  TLS 1.2 协议支持的密码套件：
  - ECDHE-RSA-AES256-GCM-SHA384
  - ECDHE-RSA-AES256-SHA384
  - ECDHE-RSA-CHACHA20-POLY1305
  - ECDHE-RSA-AES128-GCM-SHA256
  - ECDHE-RSA-AES128-SHA256
我们不建议使用 0、1、2 或 3 作为 SrvUseStrictSslSettings 标志的参数值。这些参数值对应于不安全的 TLS 协议版本（TLS 1.0 和 TLS 1.1 协议）和不安全的密码套件，仅用于向后兼容早期 Kaspersky Security Center 版本。
重新启动以下 Kaspersky Security Center 14.2 服务：
- 管理服务器
- Web 服务器
- 激活代理

iOS MDM 服务器

iOS 设备和 iOS MDM 服务器之间的连接默认被加密。

要在 iOS MDM 服务器上配置允许的加密协议和加密套件：

打开安装了 iOS MDM 服务器的客户端设备的注册表（例如，在开始 → 运行菜单使用 regedit 命令）。
转至以下分支：
- 对于 32 位系统：
  HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset
- 对于 64 位系统：
  HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset
创建名为 StrictSslSettings 的键。
指定 DWORD 做为键类型。
设置键值：
- 2 — 启用 TLS 1.0、TLS 1.1 和 TLS 1.2 协议。
- 3 — 仅启用 TLS 1.2 协议（默认值）。
重启 Kaspersky Security Center iOS MDM 服务器服务。

页顶