Szyfrowanie komunikacji z TLS

Aby usunąć luki w sieci korporacyjnej organizacji, możesz włączyć szyfrowanie ruchu sieciowego przy użyciu protokołu TLS. Możesz włączyć protokoły szyfrowania TLS i obsługiwane zestawy szyfrów na serwerze administracyjnym i serwerze iOS MDM. Kaspersky Security Center obsługuje wersje protokołu TLS 1.0, 1.1, 1.2 i 1.3. Możesz wybrać wymagany protokół szyfrowania i zestawy szyfrowania.

Kaspersky Security Center używa certyfikatów z podpisem własnym. Dodatkowa konfiguracja urządzeń iOS nie jest wymagana. Możesz także użyć swoich własnych certyfikatów. Specjaliści z Kaspersky zalecają używanie certyfikatów wydanych przez zaufane urzędy certyfikacji.

Serwer administracyjny

W celu skonfigurowania dozwolonych protokołów szyfrowania i zestawów szyfrowania na Serwerze administracyjnym:

  1. Uruchom wiersz poleceń systemu Windows, korzystając z uprawnień administratora, a następnie zmień bieżący katalog na inny za pomocą narzędzia klscflag. Narzędzie klscflag znajduje się w folderze, w którym zainstalowany jest serwer administracyjny. Domyślna ścieżka instalacji to <Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.
  2. Użyj flagi SrvUseStrictSslSettings w celu skonfigurowania dozwolonych protokołów szyfrowania i zestawów szyfrowania na Serwerze administracyjnym. Wpisz następujące polecenie:

    klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <wartość> -t d

    Określ parametr <wartość> flagi SrvUseStrictSslSettings:

    • 4 — Włączone są tylko protokoły TLS 1.2 i TLS 1.3. Włączone są także zestawy szyfrów z TLS_RSA_WITH_AES_256_GCM_SHA384 (te zestawy szyfrów są potrzebne do zapewnienia kompatybilności z wcześniejszymi wersjami z Kaspersky Security Center). To jest wartość domyślna.

      Zestawy szyfrów obsługiwane dla protokołu TLS 1.2:

      • ECDHE-RSA-AES256-GCM-SHA384
      • ECDHE-RSA-AES256-SHA384
      • ECDHE-RSA-CHACHA20-POLY1305
      • AES256-GCM-SHA384 (zestaw szyfrów z TLS_RSA_WITH_AES_256_GCM_SHA384)
      • ECDHE-RSA-AES128-GCM-SHA256
      • ECDHE-RSA-AES128-SHA256

      Zestawy szyfrów obsługiwane dla protokołu TLS 1.3:

      • TLS_AES_256_GCM_SHA384
      • TLS_CHACHA20_POLY1305_SHA256
      • TLS_AES_128_GCM_SHA256
      • TLS_AES_128_CCM_SHA256
    • 5 — Włączone są tylko protokoły TLS 1.2 i TLS 1.3. W przypadku protokołów TLS 1.2 i TLS 1.3 obsługiwane są określone zestawy szyfrów wymienione poniżej.

      Zestawy szyfrów obsługiwane dla protokołu TLS 1.2:

      • ECDHE-RSA-AES256-GCM-SHA384
      • ECDHE-RSA-AES256-SHA384
      • ECDHE-RSA-CHACHA20-POLY1305
      • ECDHE-RSA-AES128-GCM-SHA256
      • ECDHE-RSA-AES128-SHA256

      Zestawy szyfrów obsługiwane dla protokołu TLS 1.3:

      • TLS_AES_256_GCM_SHA384
      • TLS_CHACHA20_POLY1305_SHA256
      • TLS_AES_128_GCM_SHA256
      • TLS_AES_128_CCM_SHA256

    Nie zalecamy używania wartości 0, 1, 2 lub 3 jako wartości parametru flagi SrvUseStrictSslSettings. Te wartości parametrów odpowiadają niezabezpieczonym wersjom protokołu TLS (protokoły TLS 1.0 i TLS 1.1) oraz niezabezpieczonym zestawom szyfrów i są używane wyłącznie w celu zapewnienia kompatybilności wstecznej z wcześniejszymi wersjami Kaspersky Security Center.

  3. Uruchom ponownie następujące usługi Kaspersky Security Center 15.1:
    • Serwer administracyjny
    • Serwer sieciowy
    • Activation Proxy

Włączone jest szyfrowanie ruchu sieciowego przy użyciu protokołu TLS.

Możesz użyć flag KLTR_TLS12_ENABLED i KLTR_TLS13_ENABLED, aby włączyć obsługę odpowiednio protokołów TLS 1.2 i TLS 1.3. Te flagi są domyślnie włączone.

Aby włączyć lub wyłączyć obsługę protokołów TLS 1.2 i TLS 1.3:

  1. Uruchom narzędzie klscflag.

    Uruchom wiersz poleceń systemu Windows, korzystając z uprawnień administratora, a następnie zmień bieżący katalog na inny za pomocą narzędzia klscflag. Narzędzie klscflag znajduje się w folderze, w którym zainstalowany jest serwer administracyjny. Domyślna ścieżka instalacji to <Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.

  2. Wpisz następujące polecenia w wierszu polecenia systemu Windows, korzystając z uprawnień administratora:
    • Użyj tego polecenia, aby włączyć lub wyłączyć obsługę protokołu TLS 1.2:

      klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS12_ENABLED -v <value> -t d

    • Użyj tego polecenia, aby włączyć lub wyłączyć obsługę protokołu TLS 1.3:

      klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS13_ENABLED -v <value> -t d

    Określ parametr <wartość> flagi:

    • 1 — Aby włączyć obsługę protokołu TLS.
    • 0 — Aby wyłączyć obsługę protokołu TLS.

Serwer iOS MDM

Połączenie między urządzeniami iOS a serwerem iOS MDM jest szyfrowane domyślnie.

W celu skonfigurowania dozwolonych protokołów szyfrowania i zestawów szyfrowania na serwerze iOS MDM:

  1. Otwórz rejestr systemu urządzenia klienckiego, na którym jest zainstalowany serwer iOS MDM (na przykład lokalnie, przy użyciu polecenia regedit z poziomu menu StartUruchom).
  2. Przejdź do gałęzi:
    • W systemach 32-bitowych:

      HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset

    • W systemach 64-bitowych:

      HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset

  3. Utwórz klucz o nazwie StrictSslSettings.
  4. Jako typ klucza określ DWORD.
  5. Określ wartość klucza:
    • 2 — włączone są protokoły TLS 1.0, TLS 1.1 i TLS 1.2.
    • 3 — włączony jest tylko protokół TLS 1.2 (wartość domyślna).
  6. Uruchom ponownie usługę serwera iOS MDM Kaspersky Security Center.
Przejdź do góry