Criptografar comunicação com TLS
Para a correção de vulnerabilidades na rede corporativa de sua organização, é possível ativar a criptografia de tráfego usando o protocolo TLS. É possível ativar os protocolos de criptografia TLS e os pacotes de codificação compatíveis no Servidor de Administração e no Servidor de MDM do iOS. O Kaspersky Security Center é compatível com as versões 1.0, 1.1 e 1.2. É possível selecionar o protocolo de criptografia e os pacotes de codificação requeridos.
O Kaspersky Security Center usa um certificado autoassinado. Configuração adicional dos dispositivos iOS não é necessitada. Você também pode usar seus próprios certificados. Os especialistas da Kaspersky recomendam usar certificados emitidos por autoridades de certificação confiáveis.
Servidor de Administração
Para configurar protocolos de criptografia e pacotes de codificação permitidos no Servidor de Administração:
- Execute o prompt de comando do Windows usando direitos de administrador e altere o diretório atual para o diretório com o utilitário klscflag. O utilitário klscflag está localizado na pasta onde o Servidor de Administração está instalado. O caminho de instalação padrão é <Disco>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.
- Use o sinalizador SrvUseStrictSslSettings para configurar os protocolos de criptografia e pacotes de codificação permitidos no Servidor de Administração. Digite o seguinte comando no prompt de comando do Windows:
klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <value> -t d
Especifique o parâmetro <valor> do sinalizador SrvUseStrictSslSettings:
4
- apenas o protocolo TLS 1.2 está ativado. Também os pacotes de codificação com TLS_RSA_WITH_AES_256_GCM_SHA384 são ativados (esses pacotes de codificação são necessários para a compatibilidade com versões anteriores do Kaspersky Security Center 11). Esse é o valor padrão.Os pacotes de codificação compatíveis com o protocolo TLS 1.2:
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES256-SHA384
- ECDHE-RSA-CHACHA20-POLY1305
- AES256-GCM-SHA384 (pacote de codificação com TLS_RSA_WITH_AES_256_GCM_SHA384)
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-SHA256
5
- somente o protocolo TLS 1.2 está ativado. Para o protocolo TLS 1.2, os pacotes de codificação específicos listados abaixo são compatíveis.Os pacotes de codificação compatíveis com o protocolo TLS 1.2:
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES256-SHA384
- ECDHE-RSA-CHACHA20-POLY1305
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-SHA256
Não recomendamos usar 0, 1, 2 ou 3 como o valor do parâmetro do sinalizador SrvUseStrictSslSettings. Esses valores de parâmetro correspondem a versões inseguras do protocolo TLS (os protocolos TLS 1.0 e TLS 1.1) e pacotes de codificação inseguros. Eles são usados somente para compatibilidade com versões anteriores do Kaspersky Security Center.
- Reinicie os seguintes serviços do Kaspersky Security Center 14:
- Servidor de Administração
- Servidor Web
- Proxy de ativação
Servidor MDM do iOS
A conexão entre os dispositivos iOS e o Servidor de MDM do iOS é criptografada por padrão.
Para configurar protocolos de criptografia e pacotes de codificação permitidos no Servidor de MDM do iOS:
- Abra o registro do sistema do dispositivo cliente com o Servidor de MDM do iOS instalado (por exemplo, localmente, usando o comando regedit no menu Iniciar → Executar).
- Vá ao seguinte hive:
- Para sistemas de 32 bits:
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset
- Para sistemas de 64 bits:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset
- Para sistemas de 32 bits:
- Crie uma chave com o nome de
StrictSslSettings
. - Especifique
DWORD
como o tipo de chave. - Defina o valor da chave:
2
- os protocolos TLS 1.0, TLS 1.1 e TLS 1.2 estão ativados.3
- somente o protocolo TLS 1.2 está ativado (valor padrão).
- Reinicie o serviço do Servidor de MDM do iOS do Kaspersky Security Center.