Szyfrowanie komunikacji z TLS
Aby usunąć luki w sieci korporacyjnej organizacji, możesz włączyć szyfrowanie ruchu sieciowego przy użyciu protokołu TLS. Możesz włączyć protokoły szyfrowania TLS i obsługiwane zestawy szyfrów na serwerze administracyjnym i serwerze iOS MDM. Kaspersky Security Center obsługuje wersje protokołu TLS 1.0, 1.1 i 1.2. Możesz wybrać wymagany protokół szyfrowania i zestawy szyfrowania.
Kaspersky Security Center używa certyfikatów z podpisem własnym. Dodatkowa konfiguracja urządzeń iOS nie jest wymagana. Możesz także użyć swoich własnych certyfikatów. Specjaliści z Kaspersky zalecają używanie certyfikatów wydanych przez zaufane urzędy certyfikacji.
Serwer administracyjny
W celu skonfigurowania dozwolonych protokołów szyfrowania i zestawów szyfrowania na Serwerze administracyjnym:
- Uruchom wiersz poleceń systemu Windows, korzystając z uprawnień administratora, a następnie zmień bieżący katalog na inny za pomocą narzędzia klscflag. Narzędzie klscflag znajduje się w folderze, w którym zainstalowany jest serwer administracyjny. Domyślna ścieżka instalacji to <Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.
- Użyj flagi SrvUseStrictSslSettings w celu skonfigurowania dozwolonych protokołów szyfrowania i zestawów szyfrowania na Serwerze administracyjnym. Wpisz następujące polecenie w wierszu poleceń systemu Windows:
klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <wartość> -t d
Określ parametr <wartość> flagi SrvUseStrictSslSettings:
4
— włączony jest tylko protokół TLS 1.2. Włączone są także zestawy szyfrów z TLS_RSA_WITH_AES_256_GCM_SHA384 (te zestawy szyfrów są potrzebne do zapewnienia kompatybilności wstecznej z Kaspersky Security Center 11). To jest wartość domyślna.Zestawy szyfrów obsługiwane dla protokołu TLS 1.2:
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES256-SHA384
- ECDHE-RSA-CHACHA20-POLY1305
- AES256-GCM-SHA384 (zestaw szyfrów z TLS_RSA_WITH_AES_256_GCM_SHA384)
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-SHA256
5
— włączony jest tylko protokół TLS 1.2. W przypadku protokołu TLS 1.2 obsługiwane są określone poniżej zestawy szyfrów.Zestawy szyfrów obsługiwane dla protokołu TLS 1.2:
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES256-SHA384
- ECDHE-RSA-CHACHA20-POLY1305
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-SHA256
Nie zalecamy używania wartości 0, 1, 2 lub 3 jako wartości parametru flagi SrvUseStrictSslSettings. Te wartości parametrów odpowiadają niezabezpieczonym wersjom protokołu TLS (protokoły TLS 1.0 i TLS 1.1) oraz niezabezpieczonym zestawom szyfrów i są używane wyłącznie w celu zapewnienia kompatybilności wstecznej z wcześniejszymi wersjami Kaspersky Security Center .
- Uruchom ponownie następujące usługi Kaspersky Security Center 14:
- Serwer administracyjny
- Serwer sieciowy
- Activation Proxy
Serwer iOS MDM
Połączenie między urządzeniami iOS a serwerem iOS MDM jest szyfrowane domyślnie.
W celu skonfigurowania dozwolonych protokołów szyfrowania i zestawów szyfrowania na serwerze iOS MDM:
- Otwórz rejestr systemu urządzenia klienckiego, na którym jest zainstalowany serwer iOS MDM (na przykład lokalnie, przy użyciu polecenia regedit z poziomu menu Start → Uruchom).
- Przejdź do gałęzi:
- W systemach 32-bitowych:
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset
- W systemach 64-bitowych:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset
- W systemach 32-bitowych:
- Utwórz klucz o nazwie
StrictSslSettings
. - Jako typ klucza określ
DWORD
. - Określ wartość klucza:
2
— włączone są protokoły TLS 1.0, TLS 1.1 i TLS 1.2.3
— włączony jest tylko protokół TLS 1.2 (wartość domyślna).
- Uruchom ponownie usługę serwera iOS MDM Kaspersky Security Center.