Ich verwende SQL Server 2014 auf Server 2012 R2. Beide sind aktualisiert und aktuell. Ich habe eine Neuinstallation von beiden durchgeführt und sonst nichts. Dann habe ich VPN-Zugriff für einen externen Anbieter angefordert und unsere Sicherheitsgruppe hat mich darüber informiert, dass SSLv3 und TLSv1.0 deaktiviert werden müssen. (Keine Ahnung, wie sie aktiviert wurden, ich habe auf diesem Computer nichts mit Zertifikaten zu tun gehabt.)
Dann habe ich IISCrypto ausgeführt und die beiden Protokolle deaktiviert. Der Sicherheitsscan hat geklappt und ich bin weitergefahren. Ich dachte, alles wäre in Ordnung. Jetzt habe ich große Probleme, den App-Server mit SQL zu verbinden. Ich denke, es wäre besser, wenn ich einfach das ganze TLS/SSL-Zeug auf 1433 deaktivieren könnte. Aber wenn ich „SQL Config Mgr Force Encryption = No“ ankreuze, werden keine Zertifikate geladen.
Ich habe auch versucht, alles in IISCrypto zu deaktivieren, aber das hat RDP beschädigt.
Wenn ich diesen Befehl ausführe:
nmap --script ssl-enum-ciphers localhost
Sowohl 1433 ms-sql-s als auch 3389 ms-wbt-server haben das SSL/TLS-Zeug, bei allen anderen ist nur der Port/TCP geöffnet. Ich würde gerne wissen, wie ich SQL/1433 dazu bringe, nicht mehr als SSL/TLS-Benutzer angezeigt zu werden und RDP trotzdem funktioniert. Ich möchte keine Zertifikate laden oder SQL verschlüsselt verwenden. Wie bekomme ich das Flag weg, das meldet, dass es aktiviert ist?
Antwort1
Ihre Sicherheitsgruppe meint wahrscheinlich: „Deaktivieren Sie SSLv3 und TLSv1.0, da diese alt sind und bekannte Schwachstellen aufweisen. Verwenden Sie stattdessen TLSv1.1 oder neuer.“ Dies istnichtdasselbe wie das Deaktivieren der gesamten Verschlüsselung. Fragen Sie sie zuerst, aber ich kann nicht glauben, dass sie wollen, dass Sie Datenbankverbindungen im Klartext erzwingen.
Microsoft-Produkte wie IIS, Terminal Services und SQL Server verwenden die SCHANNEL-Bibliothek von Windows für TLS. Sie können es in der Registrierung konfigurieren, indem Sie der Anleitung in folgenKB187498Weitere Informationen finden Sie unterdieser Artikel im MSDN Unleashed-Blog.