使用 TLS 的加密通信

要修復您組織企業網路中的弱點，您可以使用 TLS 協定啟用流量加密。您可以在管理伺服器和 iOS MDM 伺服器上啟用 TLS 加密協定和受支持的密碼套裝。卡巴斯基安全管理中心支援 TLS 協定版本 1.0、1.1 和 1.2。您可以選取所需的加密協定和加密套裝。

卡巴斯基安全管理中心使用自簽發憑證。不需要 iOS 裝置的附加設定。您也可以使用您自己的憑證。Kaspersky 專家建議使用由受信任憑證當局發佈的憑證。

管理伺服器

要在管理伺服器上設定允許的加密協議和加密套件：

1. 使用管理員權限執行 Windows 命令提示符，然後將目前目錄變更為包含 klscflag 公用程式的目錄。klscflag 公用程式位於安裝管理伺服器的資料夾中。預設安裝路徑：<Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.
2. 使用 SrvUseStrictSslSettings 旗標在管理伺服器上設定允許的加密協議和加密套件。請在 Windows 命令提示符下輸入以下命令：

   klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <value> -t d

   指定 SrvUseStrictSslSettings 旗標的<value>參數：

   • 4 — 僅啟用 TLS 1.2 協定。此外，還啟用了具有 TLS_RSA_WITH_AES_256_GCM_SHA384 的密碼套裝（需要該密碼套裝才能向後相容卡巴斯基安全管理中心 11）。這是預設值。

     TLS 1.2 協定支援的密碼套裝：

     • ECDHE-RSA-AES256-GCM-SHA384
     • ECDHE-RSA-AES256-SHA384
     • ECDHE-RSA-CHACHA20-POLY1305
     • AES256-GCM-SHA384（具有 TLS_RSA_WITH_AES_256_GCM_SHA384 的密碼套裝）
     • ECDHE-RSA-AES128-GCM-SHA256
     • ECDHE-RSA-AES128-SHA256
   • 5 — 僅啟用 TLS 1.2 協定。對於 TLS 1.2 協定，下面列出的特定密碼套裝受支援。

     TLS 1.2 協定支援的密碼套裝：

     • ECDHE-RSA-AES256-GCM-SHA384
     • ECDHE-RSA-AES256-SHA384
     • ECDHE-RSA-CHACHA20-POLY1305
     • ECDHE-RSA-AES128-GCM-SHA256
     • ECDHE-RSA-AES128-SHA256

   我們不建議使用 0、1、2 或 3 作為 SrvUseStrictSslSettings 標誌的參數值。這些參數值對應於不安全的 TLS 協定版本（TLS 1.0 和 TLS 1.1 協定）和不安全的密碼套裝，僅用於向後相容早期的卡巴斯基安全管理中心版本。

3. 重新啟動以下卡巴斯基安全管理中心 14.2 服務：
   • 管理伺服器
   • 網頁伺服器
   • 啟動代理

iOS MDM 伺服器

iOS 裝置和 iOS MDM 伺服器之間的連線預設被加密。

要在 iOS MDM 伺服器上設定允許的加密協議和加密套件：

1. 開啟安裝了 iOS MDM 伺服器的用戶端裝置的登錄檔（例如，在開始 → 執行功能表使用 regedit 指令）。
2. 轉至以下分支：
   • 對於 32 位元系統：

     HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset

   • 對於 64 位元系統：

     HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset

3. 建立名為 StrictSslSettings 的鍵。
4. 指定 DWORD 作為鍵類型。
5. 設定鍵值：
   • 2 — 啟用 TLS 1.0、TLS 1.1 和 TLS 1.2 協定。
   • 3 — 僅啟用 TLS 1.2 協定（預設值）。
6. 重新啟動卡巴斯基安全管理中心 iOS MDM 伺服器服務。

頁頂