Criptaggio delle comunicazioni con TLS

8 aprile 2024

ID 174316

Per correggere le vulnerabilità nella rete aziendale dell'organizzazione, è possibile abilitare il criptaggio del traffico tramite il protocollo TLS. È possibile abilitare i protocolli di criptaggio TLS e i pacchetti di criptaggio supportati in Administration Server e iOS MDM Server. Kaspersky Security Center supporta le versioni 1.0, 1.1 e 1.2 del protocollo TLS. È possibile selezionare il protocollo e i pacchetti di criptaggio richiesti.

Kaspersky Security Center utilizza certificati autofirmati. Non sono necessarie configurazioni aggiuntive dei dispositivi iOS. È inoltre possibile utilizzare i propri certificati. Gli specialisti di Kaspersky consigliano di utilizzare i certificati rilasciati da autorità di certificazione attendibili.

Administration Server

Per configurare i protocolli e i pacchetti di criptaggio consentiti nell'Administration Server:

  1. Eseguire il prompt dei comandi di Windows con diritti di amministratore, quindi modificare la directory corrente nella directory con l'utilità klscflag. L'utilità klscflag si trova nella cartella in cui è installato Administration Server. Il percorso di installazione predefinito è <Disco>:\Programmi (x86)\ Kaspersky Lab\ Kaspersky Security Center.
  2. Utilizzare il contrassegno SrvUseStrictSslSettings per configurare i protocolli e i pacchetti di criptaggio consentiti in Administration Server. Immettere il seguente comando nel prompt dei comandi di Windows:

    klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <valore> -t d

    Specificare il parametro <valore> del contrassegno SrvUseStrictSslSettings:

    • 4: è abilitato solo il protocollo TLS 1.2. Sono abilitate anche le suite di criptaggio con TLS_RSA_WITH_AES_256_GCM_SHA384 (queste suite di criptaggio sono necessarie per la retrocompatibilità con Kaspersky Security Center 11). Questo è il valore predefinito.

      Suite di criptaggio supportate per il protocollo TLS 1.2:

      • ECDHE-RSA-AES256-GCM-SHA384
      • ECDHE-RSA-AES256-SHA384
      • ECDHE-RSA-CHACHA20-POLY1305
      • AES256-GCM-SHA384 (suite di criptaggio con TLS_RSA_WITH_AES_256_GCM_SHA384)
      • ECDHE-RSA-AES128-GCM-SHA256
      • ECDHE-RSA-AES128-SHA256
    • 5: è abilitato solo il protocollo TLS 1.2. Per il protocollo TLS 1.2, sono supportati i pacchetti di criptaggio specifici elencati di seguito.

      Suite di criptaggio supportate per il protocollo TLS 1.2:

      • ECDHE-RSA-AES256-GCM-SHA384
      • ECDHE-RSA-AES256-SHA384
      • ECDHE-RSA-CHACHA20-POLY1305
      • ECDHE-RSA-AES128-GCM-SHA256
      • ECDHE-RSA-AES128-SHA256

    Non è consigliabile utilizzare 0, 1, 2 o 3 come valore del parametro del contrassegno SrvUseStrictSslSettings. Questi valori dei parametri corrispondono a versioni non sicure del protocollo TLS (i protocolli TLS 1.0 e TLS 1.1) e a suite di criptaggio non sicure e vengono utilizzati solo per la compatibilità con le versioni precedenti di Kaspersky Security Center.

  3. Riavviare i seguenti servizi Kaspersky Security Center 14.2:
    • Administration Server
    • Server Web
    • Proxy di attivazione

Server per dispositivi mobili MDM iOS

La connessione tra i dispositivi iOS e il Server per dispositivi mobili MDM iOS è criptata per impostazione predefinita.

Per configurare i protocolli e i pacchetti di criptaggio consentiti in Server per dispositivi mobili MDM iOS:

  1. Aprire il Registro di sistema del dispositivo client in cui è installato il server per dispositivi mobili MDM iOS (ad esempio, in locale, utilizzando il comando regedit dal menu StartEsegui).
  2. Passare al seguente hive:
    • Per i sistemi a 32 bit:

      HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset

    • Per i sistemi a 64 bit:

      HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset

  3. Creare una chiave con il nome StrictSslSettings.
  4. Specificare DWORD come tipo di chiave.
  5. Impostare il valore della chiave:
    • 2: i protocolli TLS 1.0, TLS 1.1 e TLS 1.2 sono abilitati.
    • 3: solo il protocollo TLS 1.2 è abilitato (valore predefinito).
  6. Riavviare il servizio Server per dispositivi mobili MDM iOS di Kaspersky Security Center.

Hai trovato utile questo articolo?
Cosa pensi che potremmo migliorare?
Grazie per il feedback! Ci stai aiutando a migliorare.
Grazie per il feedback! Ci stai aiutando a migliorare.