Шифрование подключения TLS
Чтобы закрыть уязвимости в сети вашей организации, вы можете включить шифрование трафика с использованием TLS-протокола. Вы можете включить протоколы шифрования TLS и поддерживаемые наборы шифрования на Сервере администрирования. Kaspersky SMP поддерживает TLS-протокол версий 1.0, 1.1, 1.2 и 1.3. Вы можете выбрать требуемый протокол шифрования и наборы шифрования.
Kaspersky SMP использует самоподписанные сертификаты. Также вы можете использовать ваши собственные сертификаты. Рекомендуется использовать сертификаты, подписанные доверенным центром сертификации.
Чтобы настроить разрешенные протоколы шифрования и наборы шифрования на Сервере администрирования:
- На устройстве администратора, на котором расположена утилита KDT, выполните следующую команду:
./kdt invoke ksc --action klscflag --param klscflag_param=" -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <
значение
> -t d"
Используйте флаг SrvUseStrictSslSettings, чтобы настроить разрешенные протоколы шифрования и наборы шифрования на Сервере администрирования.
Укажите параметр <value> флага SrvUseStrictSslSettings:
4
– включены только TLS-протоколы версий 1.2 и 1.3. Также включены наборы шифрования с TLS_RSA_WITH_AES_256_GCM_SHA384 (эти наборы шифрования необходимы для обратной совместимости с Kaspersky Security Center 11). Это значение по умолчанию.Наборы шифрования поддерживаемые TLS-протоколом 1.2:
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES256-SHA384
- ECDHE-RSA-CHACHA20-POLY1305
- AES256-GCM-SHA384 (с набором шифрования TLS_RSA_WITH_AES_256_GCM_SHA384)
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-SHA256
Наборы шифрования поддерживаемые TLS-протоколом 1.3:
- TLS_AES_256_GCM_SHA384
- TLS_CHACHA20_POLY1305_SHA256
- TLS_AES_128_GCM_SHA256
- TLS_AES_128_CCM_SHA256
5
– включены только TLS-протоколы версий 1.2 и 1.3. Для TLS-протоколов версий 1.2 и 1.3 поддерживаются определенные наборы шифрования, перечисленные ниже.Наборы шифрования поддерживаемые TLS-протоколом 1.2:
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES256-SHA384
- ECDHE-RSA-CHACHA20-POLY1305
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-SHA256
Наборы шифрования поддерживаемые TLS-протоколом 1.3:
- TLS_AES_256_GCM_SHA384
- TLS_CHACHA20_POLY1305_SHA256
- TLS_AES_128_GCM_SHA256
- TLS_AES_128_CCM_SHA256
Не рекомендуется использовать значения 0, 1, 2 или 3 для значений параметра флага SrvUseStrictSslSettings. Эти значения параметров соответствуют небезопасным версиям TLS-протокола (протоколы TLS 1.0 и TLS 1.1) и небезопасным наборам шифрования и используются только для обратной совместимости с более ранними версиями Kaspersky Security Center.
- Перезапустите следующие службы Kaspersky SMP:
- службу Сервера администрирования;
- службу Веб-сервера;
- службу активации прокси-сервера.
Шифрование трафика с помощью TLS-протокола включено.
Вы можете использовать флаги KLTR_TLS12_ENABLED и KLTR_TLS13_ENABLED, чтобы включить поддержку TLS-протоколов 1.2 и 1.3 соответственно. Эти флаги включены по умолчанию.
Чтобы включить или выключить поддержку TLS-протоколов 1.2 и 1.3,
На устройстве администратора, на котором расположена утилита KDT, выполните одну из следующих команд:
- Чтобы включить или выключить поддержку TLS-протокола 1.2:
./kdt invoke --action klscflag --param klscflag_param=" -fset -pv ".core/.independent" -s Transport -n KLTR_TLS12_ENABLED -v <
значение
> -t d"
- Чтобы включить или выключить поддержку TLS-протокола 1.3:
./kdt invoke --action klscflag --param klscflag_param=" -fset -pv ".core/.independent" -s Transport -n KLTR_TLS13_ENABLED -v <
значение
> -t d"
Укажите параметр <
значение
>
флага:
1
– чтобы включить поддержку TLS-протокола.0
– чтобы выключить поддержку TLS-протокола.