Criptaggio delle comunicazioni con TLS

Per correggere le vulnerabilità nella rete aziendale dell'organizzazione, è possibile abilitare il criptaggio del traffico tramite il protocollo TLS. È possibile abilitare i protocolli di criptaggio TLS e i pacchetti di criptaggio supportati in Administration Server e iOS MDM Server. Kaspersky Security Center supporta le versioni 1.0, 1.1 e 1.2 del protocollo TLS. È possibile selezionare il protocollo e i pacchetti di criptaggio richiesti.

Kaspersky Security Center utilizza certificati autofirmati. Non sono necessarie configurazioni aggiuntive dei dispositivi iOS. È inoltre possibile utilizzare i propri certificati. Gli specialisti di Kaspersky consigliano di utilizzare i certificati rilasciati da autorità di certificazione attendibili.

Administration Server

Per configurare i protocolli e i pacchetti di criptaggio consentiti nell'Administration Server:

  1. Eseguire il prompt dei comandi di Windows con diritti di amministratore, quindi modificare la directory corrente nella directory con l'utilità klscflag. L'utilità klscflag si trova nella cartella in cui è installato Administration Server. Il percorso di installazione predefinito è <Disco>:\Programmi (x86)\ Kaspersky Lab\ Kaspersky Security Center.
  2. Utilizzare il contrassegno SrvUseStrictSslSettings per configurare i protocolli e i pacchetti di criptaggio consentiti in Administration Server. Immettere il seguente comando nel prompt dei comandi di Windows:

    klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <valore> -t d

    Specificare il parametro <valore> del contrassegno SrvUseStrictSslSettings:

    • 4: è abilitato solo il protocollo TLS 1.2. Sono abilitate anche le suite di criptaggio con TLS_RSA_WITH_AES_256_GCM_SHA384 (queste suite di criptaggio sono necessarie per la retrocompatibilità con Kaspersky Security Center 11). Questo è il valore predefinito.

      Suite di criptaggio supportate per il protocollo TLS 1.2:

      • ECDHE-RSA-AES256-GCM-SHA384
      • ECDHE-RSA-AES256-SHA384
      • ECDHE-RSA-CHACHA20-POLY1305
      • AES256-GCM-SHA384 (suite di criptaggio con TLS_RSA_WITH_AES_256_GCM_SHA384)
      • ECDHE-RSA-AES128-GCM-SHA256
      • ECDHE-RSA-AES128-SHA256
    • 5: è abilitato solo il protocollo TLS 1.2. Per il protocollo TLS 1.2, sono supportati i pacchetti di criptaggio specifici elencati di seguito.

      Suite di criptaggio supportate per il protocollo TLS 1.2:

      • ECDHE-RSA-AES256-GCM-SHA384
      • ECDHE-RSA-AES256-SHA384
      • ECDHE-RSA-CHACHA20-POLY1305
      • ECDHE-RSA-AES128-GCM-SHA256
      • ECDHE-RSA-AES128-SHA256

    Non è consigliabile utilizzare 0, 1, 2 o 3 come valore del parametro del contrassegno SrvUseStrictSslSettings. Questi valori dei parametri corrispondono a versioni non sicure del protocollo TLS (i protocolli TLS 1.0 e TLS 1.1) e a suite di criptaggio non sicure e vengono utilizzati solo per la compatibilità con le versioni precedenti di Kaspersky Security Center.

  3. Riavviare i seguenti servizi Kaspersky Security Center 14.2:
    • Administration Server
    • Server Web
    • Proxy di attivazione

Server per dispositivi mobili MDM iOS

La connessione tra i dispositivi iOS e il Server per dispositivi mobili MDM iOS è criptata per impostazione predefinita.

Per configurare i protocolli e i pacchetti di criptaggio consentiti in Server per dispositivi mobili MDM iOS:

  1. Aprire il Registro di sistema del dispositivo client in cui è installato il server per dispositivi mobili MDM iOS (ad esempio, in locale, utilizzando il comando regedit dal menu StartEsegui).
  2. Passare al seguente hive:
    • Per i sistemi a 32 bit:

      HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset

    • Per i sistemi a 64 bit:

      HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset

  3. Creare una chiave con il nome StrictSslSettings.
  4. Specificare DWORD come tipo di chiave.
  5. Impostare il valore della chiave:
    • 2: i protocolli TLS 1.0, TLS 1.1 e TLS 1.2 sono abilitati.
    • 3: solo il protocollo TLS 1.2 è abilitato (valore predefinito).
  6. Riavviare il servizio Server per dispositivi mobili MDM iOS di Kaspersky Security Center.
Inizio pagina