Kommunikation mit TLS verschlüsseln

Um Schwachstellen im Unternehmensnetzwerk Ihres Unternehmens zu beheben, können Sie die Datenverkehrsverschlüsselung mittels TLS-Protokoll aktivieren. Sie können die TLS-Verschlüsselungsprotokolle und die unterstützten Cipher-Suites auf dem Administrationsserver und dem iOS MDM Server aktivieren. Kaspersky Security Center unterstützt das TLS-Protokoll in den Versionen 1.0, 1.1, 1.2 und 1.3. Sie können die erforderlichen Verschlüsselungsprotokolle und Cipher-Suites auswählen.

Kaspersky Security Center verwendet selbstsignierte Zertifikate. Zusätzliche Konfiguration der iOS-Geräte ist nicht erforderlich. Sie können auch Ihre eigenen Zertifikate verwenden. Die Experten von Kaspersky empfehlen, Zertifikate zu verwenden, die von vertrauenswürdigen Zertifizierungsstellen erteilt wurden.

Administrationsserver

So konfigurieren Sie die erlaubten Verschlüsselungsprotokolle und Cipher-Suites auf dem Administrationsserver:

1. Führen Sie die Windows-Eingabeaufforderung als Administrator aus und wechseln Sie anschließend in das Verzeichnis mit dem Tool "klscflag". Das Tool "klscflag" befindet sich in dem Verzeichnis, in dem der Administrationsserver installiert ist. Der Standardinstallationspfad lautet "<Laufwerksbuchstabe>:\Programme (x86)\ Kaspersky Lab\ Kaspersky Security Center".
2. Verwenden Sie das Flag "SrvUseStrictSslSettings", um erlaubte Verschlüsselungsprotokolle und Cipher-Suites auf dem Administrationsserver zu konfigurieren. Geben Sie den folgenden Befehl ein:

   klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <Wert> -t d

   Geben Sie den Parameter "<Wert>" des Flags "SrvUseStrictSslSettings" an:

   • 4 – Es sind nur die Protokolle TLS 1.2 und TLS 1.3 aktiviert. Außerdem sind Cipher-Suites mit TLS_RSA_WITH_AES_256_GCM_SHA384 aktiviert (Diese Cipher-Suites werden für die Abwärtskompatibilität mit früheren Versionen von Kaspersky Security Center benötigt). Dies ist der Standardwert.

     Für das Protokoll TLS 1.2 unterstützte Cipher-Suites:

     • ECDHE-RSA-AES256-GCM-SHA384
     • ECDHE-RSA-AES256-SHA384
     • ECDHE-RSA-CHACHA20-POLY1305
     • AES256-GCM-SHA384 (Cipher-Suite mit TLS_RSA_WITH_AES_256_GCM_SHA384)
     • ECDHE-RSA-AES128-GCM-SHA256
     • ECDHE-RSA-AES128-SHA256

     Für das Protokoll TLS 1.3 unterstützte Cipher-Suites:

     • TLS_AES_256_GCM_SHA384
     • TLS_CHACHA20_POLY1305_SHA256
     • TLS_AES_128_GCM_SHA256
     • TLS_AES_128_CCM_SHA256
   • 5 – Es sind nur die Protokolle TLS 1.2 und TLS 1.3 aktiviert. Für die Protokolle TLS 1.2 und TLS 1.3 werden die unten aufgeführten Cipher-Suites unterstützt.

     Für das Protokoll TLS 1.2 unterstützte Cipher-Suites:

     • ECDHE-RSA-AES256-GCM-SHA384
     • ECDHE-RSA-AES256-SHA384
     • ECDHE-RSA-CHACHA20-POLY1305
     • ECDHE-RSA-AES128-GCM-SHA256
     • ECDHE-RSA-AES128-SHA256

     Für das Protokoll TLS 1.3 unterstützte Cipher-Suites:

     • TLS_AES_256_GCM_SHA384
     • TLS_CHACHA20_POLY1305_SHA256
     • TLS_AES_128_GCM_SHA256
     • TLS_AES_128_CCM_SHA256

   Es wird nicht empfohlen, "0", "1", "2" oder "3" als Parameterwert für das Flag "SrvUseStrictSslSettings" zu verwenden. Diese Parameterwerte stehen für unsichere Versionen des TLS-Protokolls (die Protokolle TLS 1.0 und TLS 1.1) und unsichere Cipher-Suites. Sie werden nur aus Gründen der Abwärtskompatibilität mit älteren Versionen von Kaspersky Security Center verwendet.

3. Starten Sie die folgenden Dienste von Kaspersky Security Center 15.1 neu:
   • Administrationsserver
   • Webserver
   • Aktivierungs-Proxy

Die Verschlüsselung des Datenverkehrs mithilfe des TLS-Protokolls ist aktiviert.

Sie können die Flags "KLTR_TLS12_ENABLED" und "KLTR_TLS13_ENABLED" verwenden, um die Unterstützung der Protokolle TLS 1.2 bzw. TLS 1.3 zu aktivieren. Diese Flags sind standardmäßig aktiviert.

So aktivieren oder deaktivieren Sie die Unterstützung der Protokolle TLS 1.2 und TLS 1.3:

1. Führen Sie das Tool "klscflag" aus.

   Führen Sie die Windows-Eingabeaufforderung als Administrator aus und wechseln Sie anschließend in das Verzeichnis mit dem Tool "klscflag". Das Tool "klscflag" befindet sich in dem Verzeichnis, in dem der Administrationsserver installiert ist. Der Standardinstallationspfad lautet "<Laufwerksbuchstabe>:\Programme (x86)\ Kaspersky Lab\ Kaspersky Security Center".

2. Geben Sie einen der folgenden Befehle mit Administratorrechten in die Windows-Eingabeaufforderung ein:
   • Verwenden Sie diesen Befehl, um die Unterstützung des Protokolls TLS 1.2 zu aktivieren oder zu deaktivieren:

     klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS12_ENABLED -v <Wert> -t d

   • Verwenden Sie diesen Befehl, um die Unterstützung des Protokolls TLS 1.3 zu aktivieren oder zu deaktivieren:

     klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS13_ENABLED -v <Wert> -t d

   Geben Sie den Parameter "<Wert>" des Flags an:

   • 1 – Die Unterstützung des TLS-Protokolls ist aktiviert.
   • 0 – Die Unterstützung des TLS-Protokolls ist deaktiviert.

iOS MDM-Server

Die Verbindung zwischen den iOS-Geräten und dem iOS MDM-Server ist standardmäßig verschlüsselt.

Um zugelassene Verschlüsselungsprotokolle und Cipher-Suites auf dem iOS MDM-Server anzupassen, gehen Sie wie folgt vor:

1. Öffnen Sie die Systemregistrierung des Client-Geräts, auf dem der iOS MDM-Server installiert ist, z. B. lokal mit dem Befehl "regedit" im Menü Start → Ausführen.
2. Rufen Sie den folgenden Abschnitt auf:
   • Für 32-Bit-Systeme:

     HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset

   • Für 64-Bit-Systeme:

     HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset

3. Erstellen Sie einen Schlüssel mit dem Namen StrictSslSettings.
4. Geben Sie als Schlüsseltyp DWORD an.
5. Legen Sie den Wert des Schlüssels fest:
   • 2 – Die Protokolle TLS 1.0, TLS 1.1 und TLS 1.2 sind aktiviert.
   • 3 – Es ist nur das Protokoll TLS 1.2 aktiviert (Standardwert).
6. Starten Sie den Dienst des iOS MDM-Servers von Kaspersky Security Center neu.

Nach oben