KSC 14 unter ausschließlicher Verwendung von TLS 1.2 ???

[Wietoh]

Hallo zusammen,

ich möchte alle unsicheren Protokolle auf dem KSC (14.0.0.10902) Host (WS2012R2) deaktivieren. Allerdings kann ich nach Deaktivieren von SSL 2 und 3, sowie TLS 1.0 und 1.1 nicht mehr das KSC starten.

Ich habe den SQL 2014 SP3 auf aktuellen Patchstatus und für die verschlüsselte Verbindung eingerichtet und kann per SSMS verschlüsselt auf die Kaspersky Instanz zugreifen. Hat jemand eine zündende Idee, wie ich KSC konfigurieren muss, damit ausschließlich TLS 1.2 verwendet wird?

Mit lieben Grüßen,
Marco

[alexcad]

Hallo Marco,

laut Screenshot ist das "Kaspersky Security Center 11" - kann das sein?
Oder ist die Konsolen-Installation veraltet? (Falls auf einem anderen Rechner)

Grüße
Alex

[Wietoh]

Ja, da war ich faul, habe das Bild aus dem Internet, da ich die vorgenommenen Änderungen rückgängig gemacht habe und somit die Fehlermeldung nicht mehr provozieren konnte ;o)

Ich habe im englischen Forum immer wieder einen Hinweis gelesen, dass die SQL Version zwingend 64 Bit sein muss. In meinem Fall ist es eine 32 Bit Version. Kann das schon die Ursache sein?

[alexcad]

Vielleicht hilft dir das weiter:
https://support.kaspersky.com/KSC/14.2/de-DE/174316.htm

Allerdings ist das schon ein tiefer Eingriff in das KSC - würde dir empfehlen da vorher nochmal beim Support anzufragen:
https://companyaccount.kaspersky.com/account/login

Grüße
Alex

[Wietoh]

Hallo Alex,

 

vielen Dank für deine Hilfsbereitschaft. Ich werde mal abwägen, wie die Relation zwischen Nutzen und Aufwand bei dieser Protokoll-Deaktivierung ist ?

Ich wünsche einen angenehmen Freitag und ein schönes Wochenende!

Marco

[alexcad]

Hallo Marco,

danke.

Wir sichern den Kaspersky Adminserver (soweit wie möglich) über ein "klassisches" Tiering-Modell ab und beziehen dabei den aktualisierten "Leitfaden zur Härtung" mit ein: https://support.kaspersky.com/KSC/14.2/de-DE/245736.htm

Die groben Eckpunkte sind dabei:

• Falls eine Netzwerksegmentierung vorhanden ist, wird der Admin-Server ins Management-Segment geschoben. Das erlaubt restriktive Zugriffsregeln auch auf Firewall-/Netzwerkebene.
• Der Admin-Server ist nicht im AD und verfügt damit über eigene Windows-Konten bzw. eine separate Authentifizierung. Sollte es Angreifern gelingen Domänen-Konten zu kapern haben sie dennoch keinen Zugriff auf den Kaspersky Admin-Server.
• Der Zugriff auf die Konsolen (MMC und Web-Konsole) ist nur lokal auf dem Admin-Server möglich.
• Der Zugriff per RDP wird sehr restriktiv konfiguriert. Auch hier hilft ggf. die Netzwerksegmentierung.
• Die Authentifizierung am KSC (MMC und Web-Konsole) ist ausschließlich über interne Benutzer mit 2FA möglich. Windows-Benutzer haben keinen Zugriff auf die Konsolen.

Was doch bei erschreckend vielen Umgebungen noch fehlt ist die Netzwerksegmentierung. Wenn möglich versuchen wir das zusammen mit Tiering, AD- und KSC-Härtung in einem Projekt umzusetzen. Die Abhängigkeiten und Synergien sind ja offensichtlich.

Auch dir ein schönes Wochenende!

Grüße
Alex

[Wietoh]

Cool! Vielen Dank für die Einsicht. Das ist ein sehr interessanter Ansatz und ich werde mich mal mit der Thematik näher beschäftigen.