TLS による通信の暗号化

社内の企業ネットワークの脆弱性を修正するために、TLS プロトコルを使用したトラフィックの暗号化を有効にすることができます。管理サーバーと iOS MDM サーバーで TLS 暗号化プロトコルとサポートされている暗号スイートを有効にすることができます。Kaspersky Security Center は、TLS プロトコルのバージョン 1.0、1.1、1.2 および 1.3 をサポートしています。必要な暗号化プロトコルと暗号化スイートを選択できます。

Kaspersky Security Center は、自己署名証明書を使用します。iOS デバイスの追加構成は必要ありません。証明書を自分で用意して使用することもできます。信頼できる証明機関から発行された証明書を使用することを推奨します。

管理サーバー

管理サーバーで許可される暗号化プロトコルと暗号化スイートを設定するには、次の手順に従います:

  1. Windows コマンドプロンプトを管理者権限で実行し、現在のディレクトリを klscflag ユーティリティのあるディレクトリに変更します。klscflag ユーティリティは、管理サーバーがインストールされているフォルダーにあります。既定のインストールパス:<Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center。
  2. SrvUseStrictSslSettings フラグを使用し、管理サーバーで許可される暗号化プロトコルと暗号化スイートを指定します。次のコマンドを入力します:

    klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <> -t d

    SrvUseStrictSslSettings フラグの <値> パラメータを指定します:

    • 4—TLS 1.2 および TLS 1.3 プロトコルのみが有効になります。また、TLS_RSA_WITH_AES_256_GCM_SHA384 の暗号スイートも有効になります(この暗号スイートは、Kaspersky Security Center との下位互換性のために必要です)。これは既定値です。

      TLS 1.2 プロトコルでサポートされる暗号スイート:

      • ECDHE-RSA-AES256-GCM-SHA384
      • ECDHE-RSA-AES256-SHA384
      • ECDHE-RSA-CHACHA20-POLY1305
      • AES256-GCM-SHA384(TLS_RSA_WITH_AES_256_GCM_SHA384 を使用した暗号スイート)
      • ECDHE-RSA-AES128-GCM-SHA256
      • ECDHE-RSA-AES128-SHA256

      TLS 1.3 プロトコルでサポートされる暗号スイート:

      • TLS_AES_256_GCM_SHA384
      • TLS_CHACHA20_POLY1305_SHA256
      • TLS_AES_128_GCM_SHA256
      • TLS_AES_128_CCM_SHA256
    • 5—TLS 1.2 および TLS 1.3 プロトコルのみが有効になります。TLS 1.2 および TLS 1.3 プロトコルの場合、以下にリストされている特定の暗号スイートがサポートされています。

      TLS 1.2 プロトコルでサポートされる暗号スイート:

      • ECDHE-RSA-AES256-GCM-SHA384
      • ECDHE-RSA-AES256-SHA384
      • ECDHE-RSA-CHACHA20-POLY1305
      • ECDHE-RSA-AES128-GCM-SHA256
      • ECDHE-RSA-AES128-SHA256

      TLS 1.3 プロトコルでサポートされる暗号スイート:

      • TLS_AES_256_GCM_SHA384
      • TLS_CHACHA20_POLY1305_SHA256
      • TLS_AES_128_GCM_SHA256
      • TLS_AES_128_CCM_SHA256

    SrvUseStrictSslSettings フラグのパラメータ値として 0、1、2、または 3 を使用することは推奨しません。これらのパラメータ値は、セキュアでない TLS プロトコルバージョン(TLS 1.0 および TLS 1.1 プロトコル)およびセキュアでない暗号スイートに対応しており、以前の Kaspersky Security Center バージョンとの下位互換性のためにのみ使用されます。

  3. 次の Kaspersky Security Center15.1 サービスを再起動します:
    • 管理サーバー
    • Web サーバー
    • アクティベーションプロキシ

TLS プロトコルを使用したトラフィック暗号化が有効になります。

KLTR_TLS12_ENABLED フラグおよび KLTR_TLS13_ENABLED フラグを使用して、それぞれ TLS 1.2 および TLS 1.3 プロトコルのサポートを有効にすることができます。これらのフラグは既定で有効になっています。

TLS 1.2 および TLS 1.3 プロトコルのサポートを有効または無効にするには:

  1. klscflag ユーティリティを実行します。

    Windows コマンドプロンプトを管理者権限で実行し、現在のディレクトリを klscflag ユーティリティのあるディレクトリに変更します。klscflag ユーティリティは、管理サーバーがインストールされているフォルダーにあります。既定のインストールパス:<Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center。

  2. 管理者権限を使用し、Windows コマンドプロンプトで以下のいずれかのコマンドを入力します:
    • 次のコマンドを使用して、TLS 1.2 プロトコルのサポートを有効または無効にします:

      klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS12_ENABLED -v <> -t d

    • 次のコマンドを使用して、TLS 1.3 プロトコルのサポートを有効または無効にします:

      klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS13_ENABLED -v <> -t d

    フラグの<>パラメータを指定します:

    • 1—TLS プロトコルのサポートを有効にします。
    • 0—TLS プロトコルのサポートを無効にします。

iOS MDM サーバー

iOS デバイスと iOS MDM サーバー間の接続は既定で暗号化されます。

iOS MDM サーバーで許可される暗号化プロトコルと暗号化スイートを指定するには:

  1. iOS MDM サーバーがインストールされたクライアントデバイスのシステムレジストリを開きます(たとえば、ローカルで[スタート]→[ファイル名を指定して実行]で regedit コマンドを使用します)。
  2. 次のレジストリエントリに移動します:
    • 32 ビットシステム:

      HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset

    • 64 ビットシステム:

      HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset

  3. StrictSslSettings という名前のキーを作成します。
  4. キーの種別に DWORD を指定します。
  5. 次のようにキーの値を設定します:
    • 2 - TLS 1.0、TLS 1.1、および TLS 1.2 プロトコルが有効になります。
    • 3 - TLS 1.2 プロトコルのみが有効になります(既定値)。
  6. Kaspersky Security Center iOS MDM サーバーサービスを再起動します。
ページのトップに戻る