要修復您組織企業網路中的弱點,您可以使用 TLS 協定啟用流量加密。您可以在管理伺服器上啟用 TLS 加密協定和受支援的密碼套裝。卡巴斯基安全管理中心 Linux 支援 TLS 協定版本 1.0、1.1、1.2 和 1.3。您可以選取所需的加密協定和加密套裝。
卡巴斯基安全管理中心 Linux 使用自簽發憑證。您也可以使用您自己的憑證。卡巴斯基專家建議使用由受信任憑證當局發佈的憑證。
要在管理伺服器上設定允許的加密協議和加密套裝:
klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <value> -t d
指定 SrvUseStrictSslSettings 旗標的<value>參數:
4 — 僅啟用 TLS 1.2 和 TLS 1.3 協定。此外,還啟用了具有 TLS_RSA_WITH_AES_256_GCM_SHA384 的密碼套裝(必須具有這些密碼套裝,才能向後相容卡巴斯基安全管理中心 Linux 的先前版本)。這是預設值。TLS 1.2 協定支援的密碼套裝:
TLS 1.3 協定支援的密碼套裝:
5 — 僅啟用 TLS 1.2 和 TLS 1.3 協定。對於 TLS 1.2 和 TLS 1.3 協定,下面列出的特定密碼套裝受支援。TLS 1.2 協定支援的密碼套裝:
TLS 1.3 協定支援的密碼套裝:
我們不建議使用 0、1、2 或 3 作為 SrvUseStrictSslSettings 標誌的參數值。這些參數值對應於不安全的 TLS 協定版本(TLS 1.0 和 TLS 1.1)和不安全的密碼套裝,僅用於向後相容早期的卡巴斯基安全管理中心版本。
這樣就啟用了使用 TLS 協定的流量加密。
您可以使用 KLTR_TLS12_ENABLED 和 KLTR_TLS13_ENABLED 標誌分別啟用對 TLS 1.2 和 TLS 1.3 協定的支援。這些標誌預設啟用。
要啟用或停用對 TLS 1.2 和 TLS 1.3 協定的支援:
執行命令行,然後將目前目錄變更為包含 klscflag 公用程式的目錄。klscflag 公用程式位於安裝管理伺服器的目錄中。預設安裝路徑為/opt/kaspersky/ksc64/sbin。
klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS12_ENABLED -v <value> -t d
klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS13_ENABLED -v <value> -t d
指定標誌的<value>參數:
1 — 啟用對 TLS 協定的支援。0 — 停用對 TLS 協定的支援。