Criptografar comunicação com TLS

Para a correção de vulnerabilidades na rede corporativa de sua organização, é possível ativar a criptografia de tráfego usando o protocolo TLS. É possível ativar os protocolos de criptografia TLS e os pacotes de codificação compatíveis no Servidor de Administração e no Servidor de MDM do iOS. O Kaspersky Security Center é compatível com as versões 1.0, 1.1, 1.2 e 1.3 do protocolo TLS. É possível selecionar o protocolo de criptografia e os pacotes de codificação requeridos.

O Kaspersky Security Center usa certificados autoassinados. Configuração adicional dos dispositivos iOS não é necessitada. Você também pode usar seus próprios certificados. Os especialistas da Kaspersky recomendam usar certificados emitidos por autoridades de certificação confiáveis.

Servidor de Administração

Para configurar os protocolos de criptografia e pacotes de codificação permitidos no Servidor de Administração:

  1. Execute o prompt de comando do Windows usando direitos de administrador e altere o diretório atual para o diretório com o utilitário klscflag. O utilitário klscflag está localizado na pasta onde o Servidor de Administração está instalado. O caminho de instalação padrão é <Disco>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.
  2. Use o sinalizador SrvUseStrictSslSettings para configurar os protocolos de criptografia e pacotes de codificação permitidos no Servidor de Administração. Digite o seguinte comando:

    klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <valor> -t d

    Especifique o parâmetro <valor> do sinalizador SrvUseStrictSslSettings:

    • 4 - Somente os protocolos TLS 1.2 e TLS 1.3 estão ativados. Além disso, os pacotes de codificação com TLS_RSA_WITH_AES_256_GCM_SHA384 são ativados (esses pacotes de codificação são necessários para compatibilidade com versões anteriores do Kaspersky Security Center). Esse é o valor padrão.

      Os pacotes de codificação compatíveis com o protocolo TLS 1.2:

      • ECDHE-RSA-AES256-GCM-SHA384
      • ECDHE-RSA-AES256-SHA384
      • ECDHE-RSA-CHACHA20-POLY1305
      • AES256-GCM-SHA384 (pacote de codificação com TLS_RSA_WITH_AES_256_GCM_SHA384)
      • ECDHE-RSA-AES128-GCM-SHA256
      • ECDHE-RSA-AES128-SHA256

      Os pacotes de codificação compatíveis com o protocolo TLS 1.3:

      • TLS_AES_256_GCM_SHA384
      • TLS_CHACHA20_POLY1305_SHA256
      • TLS_AES_128_GCM_SHA256
      • TLS_AES_128_CCM_SHA256
    • 5 - Somente os protocolos TLS 1.2 e TLS 1.3 estão ativados. Para os protocolos TLS 1.2 e TLS 1.3, os pacotes de codificação específicos listados abaixo são compatíveis.

      Os pacotes de codificação compatíveis com o protocolo TLS 1.2:

      • ECDHE-RSA-AES256-GCM-SHA384
      • ECDHE-RSA-AES256-SHA384
      • ECDHE-RSA-CHACHA20-POLY1305
      • ECDHE-RSA-AES128-GCM-SHA256
      • ECDHE-RSA-AES128-SHA256

      Os pacotes de codificação compatíveis com o protocolo TLS 1.3:

      • TLS_AES_256_GCM_SHA384
      • TLS_CHACHA20_POLY1305_SHA256
      • TLS_AES_128_GCM_SHA256
      • TLS_AES_128_CCM_SHA256

    Não recomendamos usar 0, 1, 2 ou 3 como o valor do parâmetro do sinalizador SrvUseStrictSslSettings. Esses valores de parâmetro correspondem a versões inseguras do protocolo TLS (os protocolos TLS 1.0 e TLS 1.1) e pacotes de codificação inseguros. Eles são usados somente para compatibilidade com versões anteriores do Kaspersky Security Center.

  3. Reinicie os seguintes serviços do Kaspersky Security Center 15.1:
    • Servidor de Administração
    • Servidor Web
    • Proxy de ativação

A criptografia de tráfego com o uso do protocolo TLS está ativada.

É possível usar os sinalizadores KLTR_TLS12_ENABLED e KLTR_TLS13_ENABLED para ativar o suporte dos protocolos TLS 1.2 e TLS 1.3, respectivamente. Esses sinalizadores são ativados por padrão.

Para ativar ou desativar o suporte dos protocolos TLS 1.2 e TLS 1.3:

  1. Execute o utilitário klscflag.

    Execute o prompt de comando do Windows usando direitos de administrador e altere o diretório atual para o diretório com o utilitário klscflag. O utilitário klscflag está localizado na pasta onde o Servidor de Administração está instalado. O caminho de instalação padrão é <Disco>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.

  2. Insira um dos seguintes comandos no prompt de comando do Windows usando direitos de administrador:
    • Use este comando para ativar ou desativar o suporte do protocolo TLS 1.2:

      klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS12_ENABLED -v <valor> -t d

    • Use este comando para ativar ou desativar o suporte do protocolo TLS 1.3:

      klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS13_ENABLED -v <valor> -t d

    Especifique o parâmetro <valor> do sinalizador:

    • 1 - Para ativar o suporte do protocolo TLS.
    • 0 - Para desativar o suporte do protocolo TLS.

Servidor MDM do iOS

A conexão entre os dispositivos iOS e o Servidor de MDM do iOS é criptografada por padrão.

Para configurar protocolos de criptografia e pacotes de codificação permitidos no Servidor de MDM do iOS:

  1. Abra o registro do sistema do dispositivo cliente com o Servidor de MDM do iOS instalado (por exemplo, localmente, usando o comando regedit no menu IniciarExecutar).
  2. Vá ao seguinte hive:
    • Para sistemas de 32 bits:

      HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset

    • Para sistemas de 64 bits:

      HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset

  3. Crie uma chave com o nome de StrictSslSettings.
  4. Especifique DWORD como o tipo de chave.
  5. Defina o valor da chave:
    • 2 – os protocolos TLS 1.0, TLS 1.1 e TLS 1.2 estão ativados.
    • 3 – somente o protocolo TLS 1.2 está ativado (valor padrão).
  6. Reinicie o serviço do Servidor de MDM do iOS do Kaspersky Security Center.
Topo da página