私は Server 2012 R2 で SQL Server 2014 を実行しています。両方とも更新され、最新です。私は両方ともクリーン インストールしましたが、それ以外は何もしていません。その後、オフサイト ベンダーの VPN アクセスを要求したところ、セキュリティ グループから SSLv3 と TLSv1.0 を無効にする必要があると通知されました (これらがどのようにして有効になったのかはわかりません。このマシンでは証明書に関連する操作は何も行っていません)。
次に、IISCrypto を実行して、2 つのプロトコルを無効にしました。セキュリティ スキャンに合格して続行し、すべて問題ないと思いました。現在、アプリケーション サーバーを SQL に接続する際に多くの問題が発生しています。1433 で TLS/SSL 関連のすべてを無効にできればよいと思います。ただし、SQL Config Mgr Force Encryption = No をチェックすると、証明書がロードされません。
また、IISCrypto のすべてを無効にしようとしましたが、RDP が壊れてしまいました。
このコマンドを実行すると:
nmap --script ssl-enum-ciphers localhost
1433 ms-sql-s と 3389 ms-wbt-server の両方に SSL/TLS の機能があり、それ以外はポート/tcp が開いているだけです。SQL/1433 が SSL/TLS を使用していると表示されなくなり、RDP が引き続き機能する方法を知りたいです。証明書をロードしたり、SQL 暗号化を使用したりしたくありません。オンになっていることを報告するフラグを消すにはどうしたらよいですか。
答え1
あなたのセキュリティグループはおそらく「SSLv3とTLSv1.0は古く、既知の脆弱性があるため無効にし、代わりにTLSv1.1以降を使用してください」という意味です。これはないすべての暗号化を無効にするのと同じです。まずは彼らに確認してください。しかし、彼らがプレーンテキストのデータベース接続を強制することを望んでいるとは思えません。
IIS、ターミナルサービス、SQL ServerなどのMicrosoft製品は、TLSを実行するためにWindowsのSCHANNELライブラリを使用します。レジストリで設定するには、次のガイドに従ってください。KB187498詳細は以下をご覧ください。MSDN Unleashed ブログのこの記事。