Criptaggio delle comunicazioni con TLS

Per correggere le vulnerabilità nella rete aziendale dell'organizzazione, è possibile abilitare il criptaggio del traffico tramite il protocollo TLS. È possibile abilitare i protocolli di criptaggio TLS e i pacchetti di criptaggio supportati in Administration Server e iOS MDM Server. Kaspersky Security Center supporta le versioni del protocollo TLS 1.0, 1.1, 1.2 e 1.3. È possibile selezionare il protocollo e i pacchetti di criptaggio richiesti.

Kaspersky Security Center utilizza certificati autofirmati. Non sono necessarie configurazioni aggiuntive dei dispositivi iOS. È inoltre possibile utilizzare i propri certificati. Gli specialisti di Kaspersky consigliano di utilizzare i certificati rilasciati da autorità di certificazione attendibili.

Administration Server

Per configurare i protocolli e i pacchetti di criptaggio consentiti in Administration Server:

1. Eseguire il prompt dei comandi di Windows con diritti di amministratore, quindi modificare la directory corrente nella directory con l'utilità klscflag. L'utilità klscflag si trova nella cartella in cui è installato Administration Server. Il percorso di installazione predefinito è <Disco>:\Programmi (x86)\ Kaspersky Lab\ Kaspersky Security Center.
2. Utilizzare il contrassegno SrvUseStrictSslSettings per configurare i protocolli e i pacchetti di criptaggio consentiti in Administration Server. Immettere il seguente comando:

   klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <valore> -t d

   Specificare il parametro <valore> del contrassegno SrvUseStrictSslSettings:

   • 4: Sono abilitati solo i protocolli TLS 1.2 e TLS 1.3. Sono abilitate anche le suite di criptaggio con TLS_RSA_WITH_AES_256_GCM_SHA384 (queste suite di criptaggio sono necessarie per la retrocompatibilità con le versioni precedenti di Kaspersky Security Center). Questo è il valore predefinito.

     Suite di criptaggio supportate per il protocollo TLS 1.2:

     • ECDHE-RSA-AES256-GCM-SHA384
     • ECDHE-RSA-AES256-SHA384
     • ECDHE-RSA-CHACHA20-POLY1305
     • AES256-GCM-SHA384 (suite di criptaggio con TLS_RSA_WITH_AES_256_GCM_SHA384)
     • ECDHE-RSA-AES128-GCM-SHA256
     • ECDHE-RSA-AES128-SHA256

     Suite di criptaggio supportate per il protocollo TLS 1.3:

     • TLS_AES_256_GCM_SHA384
     • TLS_CHACHA20_POLY1305_SHA256
     • TLS_AES_128_GCM_SHA256
     • TLS_AES_128_CCM_SHA256
   • 5: Sono abilitati solo i protocolli TLS 1.2 e TLS 1.3. Per i protocolli TLS 1.2 e TLS 1.3, sono supportati i pacchetti di criptaggio specifici elencati di seguito.

     Suite di criptaggio supportate per il protocollo TLS 1.2:

     • ECDHE-RSA-AES256-GCM-SHA384
     • ECDHE-RSA-AES256-SHA384
     • ECDHE-RSA-CHACHA20-POLY1305
     • ECDHE-RSA-AES128-GCM-SHA256
     • ECDHE-RSA-AES128-SHA256

     Suite di criptaggio supportate per il protocollo TLS 1.3:

     • TLS_AES_256_GCM_SHA384
     • TLS_CHACHA20_POLY1305_SHA256
     • TLS_AES_128_GCM_SHA256
     • TLS_AES_128_CCM_SHA256

   Non è consigliabile utilizzare 0, 1, 2 o 3 come valore del parametro del contrassegno SrvUseStrictSslSettings. Questi valori dei parametri corrispondono a versioni non sicure del protocollo TLS (i protocolli TLS 1.0 e TLS 1.1) e a suite di criptaggio non sicure e vengono utilizzati solo per la compatibilità con le versioni precedenti di Kaspersky Security Center.

3. Riavviare i seguenti servizi Kaspersky Security Center 15.1:
   • Administration Server
   • Server Web
   • Proxy di attivazione

Il criptaggio del traffico utilizzando il protocollo TLS è abilitato.

È possibile utilizzare i contrassegni KLTR_TLS12_ENABLED e KLTR_TLS13_ENABLED per abilitare rispettivamente il supporto dei protocolli TLS 1.2 e TLS 1.3. Questi contrassegni sono abilitati per impostazione predefinita.

Per abilitare o disabilitare il supporto dei protocolli TLS 1.2 e TLS 1.3:

1. Eseguire l'utilità klscflag.

   Eseguire il prompt dei comandi di Windows con diritti di amministratore, quindi modificare la directory corrente nella directory con l'utilità klscflag. L'utilità klscflag si trova nella cartella in cui è installato Administration Server. Il percorso di installazione predefinito è <Disco>:\Programmi (x86)\ Kaspersky Lab\ Kaspersky Security Center.

2. Immettere uno dei seguenti comandi nel prompt dei comandi di Windows, utilizzando i diritti di amministratore:
   • Utilizzare questo comando per abilitare o disabilitare il supporto del protocollo TLS 1.2:

     klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS12_ENABLED -v <valore> -t d

   • Utilizzare questo comando per abilitare o disabilitare il supporto del protocollo TLS 1.3:

     klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS13_ENABLED -v <valore> -t d

   Specificare il parametro <valore> del contrassegno:

   • 1: Per abilitare il supporto del protocollo TLS.
   • 0: Per disabilitare il supporto del protocollo TLS.

Server per dispositivi mobili MDM iOS

La connessione tra i dispositivi iOS e il Server per dispositivi mobili MDM iOS è criptata per impostazione predefinita.

Per configurare i protocolli e i pacchetti di criptaggio consentiti in Server per dispositivi mobili MDM iOS:

1. Aprire il Registro di sistema del dispositivo client in cui è installato il server per dispositivi mobili MDM iOS (ad esempio, in locale, utilizzando il comando regedit dal menu Start → Esegui).
2. Passare al seguente hive:
   • Per i sistemi a 32 bit:

     HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset

   • Per i sistemi a 64 bit:

     HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset

3. Creare una chiave con il nome StrictSslSettings.
4. Specificare DWORD come tipo di chiave.
5. Impostare il valore della chiave:
   • 2: i protocolli TLS 1.0, TLS 1.1 e TLS 1.2 sono abilitati.
   • 3: solo il protocollo TLS 1.2 è abilitato (valore predefinito).
6. Riavviare il servizio Server per dispositivi mobili MDM iOS di Kaspersky Security Center.

Inizio pagina