Cifrar la comunicación con TLS

Para corregir vulnerabilidades en la red corporativa de su organización, puede habilitar el cifrado de tráfico mediante el protocolo TLS. Puede habilitar los protocolos de cifrado TLS y los conjuntos de cifrado compatibles en el Servidor de administración y el Servidor MDM de iOS. Kaspersky Security Center admite las versiones 1.0, 1.1, 1.2 y 1.3 del protocolo TLS. Puede seleccionar el protocolo y los conjuntos de cifrado requeridos.

Kaspersky Security Center utiliza certificados autofirmados. No se requiere configuración adicional de los dispositivos iOS. También puede utilizar sus propios certificados. Los especialistas de Kaspersky recomiendan utilizar certificados emitidos por autoridades de certificación de confianza.

Servidor de administración

Para configurar los protocolos de cifrado permitidos y las suites de cifrado en el Servidor de administración:

Ejecute el símbolo del sistema de Windows usando derechos de administrador y, a continuación, cambie su directorio actual al directorio con la utilidad klscflag. La utilidad klscflag se encuentra en la carpeta donde está instalado el Servidor de administración. La ruta de instalación predeterminada es <Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.
Utilice el indicador SrvUseStrictSslSettings para configurar los protocolos y los conjuntos de cifrado permitidos en el Servidor de administración. Ingrese el siguiente comando:
klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <valor> -t d

Especifique el parámetro <valor> del indicador SrvUseStrictSslSettings flag:
- 4—Solo están habilitados los protocolos TLS 1.2 y TLS 1.3. También están habilitados los conjuntos de cifrado con TLS_RSA_WITH_AES_256_GCM_SHA384 (estos conjuntos de cifrado son necesarios para la compatibilidad con versiones anteriores de Kaspersky Security Center). Este es el valor predeterminado.
  Conjuntos de cifrado compatibles con el protocolo TLS 1.2:
  - ECDHE-RSA-AES256-GCM-SHA384
  - ECDHE-RSA-AES256-SHA384
  - ECDHE-RSA-CHACHA20-POLY1305
  - AES256-GCM-SHA384 (conjunto de cifrado con TLS_RSA_WITH_AES_256_GCM_SHA384)
  - ECDHE-RSA-AES128-GCM-SHA256
  - ECDHE-RSA-AES128-SHA256
  Conjuntos de cifrado compatibles con el protocolo TLS 1.3:
  - TLS_AES_256_GCM_SHA384
  - TLS_CHACHA20_POLY1305_SHA256
  - TLS_AES_128_GCM_SHA256
  - TLS_AES_128_CCM_SHA256
- 5—Solo están habilitados los protocolos TLS 1.2 y TLS 1.3. Para el protocolo TLS 1.2 y TLS 1.3, se admiten los conjuntos de cifrado específicos que se enumeran a continuación.
  Conjuntos de cifrado compatibles con el protocolo TLS 1.2:
  - ECDHE-RSA-AES256-GCM-SHA384
  - ECDHE-RSA-AES256-SHA384
  - ECDHE-RSA-CHACHA20-POLY1305
  - ECDHE-RSA-AES128-GCM-SHA256
  - ECDHE-RSA-AES128-SHA256
  Conjuntos de cifrado compatibles con el protocolo TLS 1.3:
  - TLS_AES_256_GCM_SHA384
  - TLS_CHACHA20_POLY1305_SHA256
  - TLS_AES_128_GCM_SHA256
  - TLS_AES_128_CCM_SHA256
No recomendamos usar 0, 1, 2 o 3 como valor de parámetro del indicador SrvUseStrictSslSettings. Estos valores de parámetros corresponden a versiones del protocolo TLS no seguras (los protocolos TLS 1.0 y TLS 1.1) y conjuntos de cifrado no seguros, y se utilizan solo para la compatibilidad con versiones anteriores de Kaspersky Security Center.
Reinicie los siguientes servicios de Kaspersky Security Center 15.1:
- Servidor de administración
- Servidor web
- Proxy de activación

Se habilita el cifrado de tráfico mediante el protocolo TLS.

Puede utilizar los indicadores KLTR_TLS12_ENABLED y KLTR_TLS13_ENABLED para habilitar la compatibilidad con los protocolos TLS 1.2 y TLS 1.3, respectivamente. Estos indicadores están habilitados de manera predeterminada.

Para habilitar o deshabilitar la compatibilidad con los protocolos TLS 1.2 y TLS 1.3:

Ejecute la utilidad klscflag.
Ejecute el símbolo del sistema de Windows usando derechos de administrador y, a continuación, cambie su directorio actual al directorio con la utilidad klscflag. La utilidad klscflag se encuentra en la carpeta donde está instalado el Servidor de administración. La ruta de instalación predeterminada es <Disk>:\Archivos de programa (x86)\Kaspersky Lab\Kaspersky Security Center.
Ingrese uno de los siguientes comandos en el símbolo del sistema de Windows, usando derechos de administrador:
- Utilice este comando para habilitar o deshabilitar la compatibilidad con el protocolo TLS 1.2:
  klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS12_ENABLED -v <valor> -t d
- Utilice este comando para habilitar o deshabilitar la compatibilidad con el protocolo TLS 1.3:
  klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS13_ENABLED -v <valor> -t d
Especifique el parámetro < valor> del indicador:
- 1—Para habilitar el soporte del protocolo TLS.
- 0—Para deshabilitar el soporte del protocolo TLS.

Servidor de MDM para iOS

La conexión entre los dispositivos iOS y el Servidor de MDM para iOS está cifrada de forma predeterminada.

Para configurar los protocolos de cifrado permitidos y las suites de cifrado en el servidor de MDM para iOS:

Abra el registro del sistema del dispositivo cliente en el que está instalado el Servidor de MDM para iOS (por ejemplo, de forma local con el comando regedit en el menú Iniciar → Ejecutar).
Vaya al siguiente archivo:
- Para sistemas de 32 bits:
  HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset
- Para sistemas de 64 bits:
  HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset
Cree una clave de nombre StrictSslSettings.
Especifique DWORD como tipo de clave.
Configure el valor de clave:
- 2: Están habilitados los protocolos TLS 1.0, TLS 1.1 y TLS 1.2.
- 3: Solo está habilitado el protocolo TLS 1.2 (valor predeterminado).
Reinicie el servicio del Servidor de MDM para iOS de Kaspersky Security Center.

Principio de página