TLS による通信の暗号化
社内の企業ネットワークの脆弱性を修正するために、TLS プロトコルを使用したトラフィックの暗号化を有効にすることができます。管理サーバーと iOS MDM サーバーで TLS 暗号化プロトコルとサポートされている暗号スイートを有効にすることができます。Kaspersky Security Center は、TLS プロトコルのバージョン 1.0、1.1、および 1.2 をサポートしています。必要な暗号化プロトコルと暗号化スイートを選択できます。
Kaspersky Security Center は、自己署名証明書を使用します。iOS デバイスの追加構成は必要ありません。証明書を自分で用意して使用することもできます。信頼できる証明機関から発行された証明書を使用することを推奨します。
管理サーバー
管理サーバーで許可される暗号化プロトコルと暗号化スイートを指定するには:
- Windows コマンドプロンプトを管理者権限で実行し、現在のディレクトリを klscflag ユーティリティのあるディレクトリに変更します。klscflag ユーティリティは、管理サーバーがインストールされているフォルダーにあります。既定のインストールパス:<Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center。
- SrvUseStrictSslSettings フラグを使用し、管理サーバーで許可される暗号化プロトコルと暗号化スイートを指定します。Windows コマンドプロンプトで次のコマンドを入力します:
klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <値> -t d
SrvUseStrictSslSettings フラグの <値> パラメータを指定します:
4
- TLS 1.2 プロトコルのみが有効になります。また、TLS_RSA_WITH_AES_256_GCM_SHA384 の暗号スイートも有効になります(この暗号スイートは、Kaspersky Security Center 11 との下位互換性のために必要です)。これは既定値です。TLS 1.2 プロトコルでサポートされる暗号スイート:
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES256-SHA384
- ECDHE-RSA-CHACHA20-POLY1305
- AES256-GCM-SHA384(TLS_RSA_WITH_AES_256_GCM_SHA384 を使用した暗号スイート)
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-SHA256
5
- TLS 1.2 プロトコルのみが有効になります。TLS 1.2 プロトコルの場合、以下にリストされている特定の暗号スイートがサポートされています。TLS 1.2 プロトコルでサポートされる暗号スイート:
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES256-SHA384
- ECDHE-RSA-CHACHA20-POLY1305
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-SHA256
SrvUseStrictSslSettings フラグのパラメータ値として 0、1、2、または 3 を使用することは推奨しません。これらのパラメータ値は、セキュアでない TLS プロトコルバージョン(TLS 1.0 および TLS 1.1 プロトコル)およびセキュアでない暗号スイートに対応しており、以前の Kaspersky Security Center バージョンとの下位互換性のためにのみ使用されます。
- 次の Kaspersky Security Center14.2 サービスを再起動します:
- 管理サーバー
- Web サーバー
- アクティベーションプロキシ
iOS MDM サーバー
iOS デバイスと iOS MDM サーバー間の接続は既定で暗号化されます。
iOS MDM サーバーで許可される暗号化プロトコルと暗号化スイートを指定するには:
- iOS MDM サーバーがインストールされたクライアントデバイスのシステムレジストリを開きます(たとえば、ローカルで[スタート]→[ファイル名を指定して実行]で regedit コマンドを使用します)。
- 次のレジストリエントリに移動します:
- 32 ビットシステム:
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset
- 64 ビットシステム:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset
- 32 ビットシステム:
StrictSslSettings
という名前のキーを作成します。- キーの種別に
DWORD
を指定します。 - 次のようにキーの値を設定します:
2
- TLS 1.0、TLS 1.1、および TLS 1.2 プロトコルが有効になります。3
- TLS 1.2 プロトコルのみが有効になります(既定値)。
- Kaspersky Security Center iOS MDM サーバーサービスを再起動します。