Шифрование подключения TLS
Чтобы закрыть уязвимости в сети вашей организации, вы можете включить шифрование трафика с использованием TLS-протокола. Вы можете включить протоколы шифрования TLS и поддерживаемые наборы шифрования на Сервере администрирования и Сервере iOS MDM. Kaspersky Security Center поддерживает TLS-протокол версий 1.0, 1.1 и 1.2. Вы можете выбрать требуемый протокол шифрования и наборы шифрования.
Kaspersky Security Center использует самоподписанные сертификаты. Дополнительная настройка для iOS-устройств не требуется. Также вы можете использовать ваши собственные сертификаты. Рекомендуется использовать сертификаты, подписанные доверенным центром сертификации.
Сервер администрирования
Чтобы настроить разрешенные протоколы шифрования и наборы шифрования на Сервере администрирования:
- Запустите командную строку Windows с правами администратора, а затем измените текущую директорию на директорию с утилитой klscflag. Утилита klscflag расположена в папке установки Сервера администрирования. Путь установки по умолчанию: <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.
- Используйте флаг SrvUseStrictSslSettings, чтобы настроить разрешенные протоколы шифрования и наборы шифрования на Сервере администрирования. Введите следующую команду в командной строке Windows:
klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <value> -t d
Укажите параметр <value> флага SrvUseStrictSslSettings:
4
– включен только протокол TLS 1.2. Также включены наборы шифрования с TLS_RSA_WITH_AES_256_GCM_SHA384 (этот набор шифрования необходим для обратной совместимости с Kaspersky Security Center 11). Это значение по умолчанию.Наборы шифрования поддерживаемые TLS-протоколом 1.2:
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES256-SHA384
- ECDHE-RSA-CHACHA20-POLY1305
- AES256-GCM-SHA384 (с набором шифрования TLS_RSA_WITH_AES_256_GCM_SHA384)
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-SHA256
5
– включен только протокол TLS 1.2. Для TLS-протокола версии 1.2 поддерживаются определенные наборы шифрования, перечисленные ниже.Наборы шифрования поддерживаемые TLS-протоколом 1.2:
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES256-SHA384
- ECDHE-RSA-CHACHA20-POLY1305
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-SHA256
Не рекомендуется использовать значения 0, 1, 2 или 3 для значений параметра флага SrvUseStrictSslSettings. Эти значения параметров соответствуют небезопасным версиям TLS-протокола (протоколы TLS 1.0 и TLS 1.1) и небезопасным наборам шифрования и используются только для обратной совместимости с более ранними версиями Kaspersky Security Center.
- Перезапустите следующие службы Kaspersky Security Center 14.2:
- службу Сервера администрирования;
- службу Веб-сервера;
- службу активации прокси-сервера.
Сервер iOS MDM
Соединение между iOS-устройствами и Сервером iOS MDM зашифровано.
Чтобы настроить разрешенные протоколы шифрования и наборы шифрования на Сервере iOS MDM:
- Откройте системный реестр клиентского устройства, на котором установлен Сервер iOS MDM, например, локально с помощью команды regedit в меню Пуск → Выполнить.
- Перейдите в раздел:
- для 32-разрядной системы:
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset
- для 64-разрядной системы:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset
- для 32-разрядной системы:
- Создайте ключ с именем
StrictSslSettings
. - Укажите тип ключа
DWORD
. - Установите значение ключа:
2
– включены протоколы TLS 1.0, TLS 1.1 и TLS 1.2.3
– включен только протокол TLS 1.2 (значение по умолчанию).
- Перезапустите службу Сервера iOS MDM Kaspersky Security Center.