Шифрование подключения TLS

30 мая 2024

ID 174316

Чтобы закрыть уязвимости в сети вашей организации, вы можете включить шифрование трафика с использованием TLS-протокола. Вы можете включить протоколы шифрования TLS и поддерживаемые наборы шифрования на Сервере администрирования и Сервере iOS MDM. Kaspersky Security Center поддерживает TLS-протокол версий 1.0, 1.1 и 1.2. Вы можете выбрать требуемый протокол шифрования и наборы шифрования.

Kaspersky Security Center использует самоподписанные сертификаты. Дополнительная настройка для iOS-устройств не требуется. Также вы можете использовать ваши собственные сертификаты. Рекомендуется использовать сертификаты, подписанные доверенным центром сертификации.

Сервер администрирования

Чтобы настроить разрешенные протоколы шифрования и наборы шифрования на Сервере администрирования:

  1. Запустите командную строку Windows с правами администратора, а затем измените текущую директорию на директорию с утилитой klscflag. Утилита klscflag расположена в папке установки Сервера администрирования. Путь установки по умолчанию: <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.
  2. Используйте флаг SrvUseStrictSslSettings, чтобы настроить разрешенные протоколы шифрования и наборы шифрования на Сервере администрирования. Введите следующую команду в командной строке Windows:

    klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <value> -t d

    Укажите параметр <value> флага SrvUseStrictSslSettings:

    • 4 – включен только протокол TLS 1.2. Также включены наборы шифрования с TLS_RSA_WITH_AES_256_GCM_SHA384 (этот набор шифрования необходим для обратной совместимости с Kaspersky Security Center 11). Это значение по умолчанию.

      Наборы шифрования поддерживаемые TLS-протоколом 1.2:

      • ECDHE-RSA-AES256-GCM-SHA384
      • ECDHE-RSA-AES256-SHA384
      • ECDHE-RSA-CHACHA20-POLY1305
      • AES256-GCM-SHA384 (с набором шифрования TLS_RSA_WITH_AES_256_GCM_SHA384)
      • ECDHE-RSA-AES128-GCM-SHA256
      • ECDHE-RSA-AES128-SHA256
    • 5 – включен только протокол TLS 1.2. Для TLS-протокола версии 1.2 поддерживаются определенные наборы шифрования, перечисленные ниже.

      Наборы шифрования поддерживаемые TLS-протоколом 1.2:

      • ECDHE-RSA-AES256-GCM-SHA384
      • ECDHE-RSA-AES256-SHA384
      • ECDHE-RSA-CHACHA20-POLY1305
      • ECDHE-RSA-AES128-GCM-SHA256
      • ECDHE-RSA-AES128-SHA256

    Не рекомендуется использовать значения 0, 1, 2 или 3 для значений параметра флага SrvUseStrictSslSettings. Эти значения параметров соответствуют небезопасным версиям TLS-протокола (протоколы TLS 1.0 и TLS 1.1) и небезопасным наборам шифрования и используются только для обратной совместимости с более ранними версиями Kaspersky Security Center.

  3. Перезапустите следующие службы Kaspersky Security Center 14.2:
    • службу Сервера администрирования;
    • службу Веб-сервера;
    • службу активации прокси-сервера.

Сервер iOS MDM

Соединение между iOS-устройствами и Сервером iOS MDM зашифровано.

Чтобы настроить разрешенные протоколы шифрования и наборы шифрования на Сервере iOS MDM:

  1. Откройте системный реестр клиентского устройства, на котором установлен Сервер iOS MDM, например, локально с помощью команды regedit в меню ПускВыполнить.
  2. Перейдите в раздел:
    • для 32-разрядной системы:

      HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset

    • для 64-разрядной системы:

      HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset

  3. Создайте ключ с именем StrictSslSettings.
  4. Укажите тип ключа DWORD.
  5. Установите значение ключа:
    • 2 – включены протоколы TLS 1.0, TLS 1.1 и TLS 1.2.
    • 3 – включен только протокол TLS 1.2 (значение по умолчанию).
  6. Перезапустите службу Сервера iOS MDM Kaspersky Security Center.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!