Jump to content
Kaspersky Support Forum

KSC 14 unter ausschließlicher Verwendung von TLS 1.2 ???

Wietoh

By Wietoh
in Für Unternehmen

 Share

Recommended Posts

Wietoh

Wietoh

Posted
Posted

Hallo zusammen,

ich möchte alle unsicheren Protokolle auf dem KSC (14.0.0.10902) Host (WS2012R2) deaktivieren. Allerdings kann ich nach Deaktivieren von SSL 2 und 3, sowie TLS 1.0 und 1.1 nicht mehr das KSC starten.

image.thumb.png.d30d1e3945655bbf47dece351d5db086.png

Ich habe den SQL 2014 SP3 auf aktuellen Patchstatus und für die verschlüsselte Verbindung eingerichtet und kann per SSMS verschlüsselt auf die Kaspersky Instanz zugreifen. Hat jemand eine zündende Idee, wie ich KSC konfigurieren muss, damit ausschließlich TLS 1.2 verwendet wird?

Mit lieben Grüßen,
Marco

alexcad

alexcad

Posted
Posted

Hallo Marco,

laut Screenshot ist das "Kaspersky Security Center 11" - kann das sein?
Oder ist die Konsolen-Installation veraltet? (Falls auf einem anderen Rechner)

Grüße
Alex

Wietoh

Wietoh

Posted
  • Author
Posted

Ja, da war ich faul, habe das Bild aus dem Internet, da ich die vorgenommenen Änderungen rückgängig gemacht habe und somit die Fehlermeldung nicht mehr provozieren konnte ;o)

Ich habe im englischen Forum immer wieder einen Hinweis gelesen, dass die SQL Version zwingend 64 Bit sein muss. In meinem Fall ist es eine 32 Bit Version. Kann das schon die Ursache sein?

Wietoh

Wietoh

Posted
  • Author
Posted

Hallo Alex,

 

vielen Dank für deine Hilfsbereitschaft. Ich werde mal abwägen, wie die Relation zwischen Nutzen und Aufwand bei dieser Protokoll-Deaktivierung ist ?

Ich wünsche einen angenehmen Freitag und ein schönes Wochenende!

Marco

alexcad

alexcad

Posted
Posted

Hallo Marco,

danke.

Wir sichern den Kaspersky Adminserver (soweit wie möglich) über ein "klassisches" Tiering-Modell ab und beziehen dabei den aktualisierten "Leitfaden zur Härtung" mit ein: https://support.kaspersky.com/KSC/14.2/de-DE/245736.htm

Die groben Eckpunkte sind dabei:

  • Falls eine Netzwerksegmentierung vorhanden ist, wird der Admin-Server ins Management-Segment geschoben. Das erlaubt restriktive Zugriffsregeln auch auf Firewall-/Netzwerkebene.
  • Der Admin-Server ist nicht im AD und verfügt damit über eigene Windows-Konten bzw. eine separate Authentifizierung. Sollte es Angreifern gelingen Domänen-Konten zu kapern haben sie dennoch keinen Zugriff auf den Kaspersky Admin-Server.
  • Der Zugriff auf die Konsolen (MMC und Web-Konsole) ist nur lokal auf dem Admin-Server möglich.
  • Der Zugriff per RDP wird sehr restriktiv konfiguriert. Auch hier hilft ggf. die Netzwerksegmentierung.
  • Die Authentifizierung am KSC (MMC und Web-Konsole) ist ausschließlich über interne Benutzer mit 2FA möglich. Windows-Benutzer haben keinen Zugriff auf die Konsolen.

Was doch bei erschreckend vielen Umgebungen noch fehlt ist die Netzwerksegmentierung. Wenn möglich versuchen wir das zusammen mit Tiering, AD- und KSC-Härtung in einem Projekt umzusetzen. Die Abhängigkeiten und Synergien sind ja offensichtlich.

Auch dir ein schönes Wochenende!

Grüße
Alex

  • Thanks 1
Wietoh

Wietoh

Posted
  • Author
Posted

Cool! Vielen Dank für die Einsicht. Das ist ein sehr interessanter Ansatz und ich werde mich mal mit der Thematik näher beschäftigen.

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share
Go to topic listing


×
×
  • Create New...