Estoy ejecutando SQL Server 2014 en Server 2012 R2. Ambos están actualizados y vigentes. Hice una instalación limpia de ambos y nada más. Luego solicité acceso VPN para un proveedor externo y nuestro grupo de seguridad me informó que era necesario desactivar SSLv3 y TLSv1.0. (No tengo idea de cómo se habilitaron, no he hecho nada relacionado con el certificado en esta máquina).
Luego ejecuté IISCrypto y desactivé los dos protocolos. Pasé el análisis de seguridad y procedí, pensé que todo estaba bien. Ahora tengo muchos problemas para conectar el servidor de aplicaciones a SQL. Creo que sería mejor si pudiera deshabilitar todas las cosas TLS/SSL en 1433. Pero cuando reviso SQL Config Mgr Force Encryption = No y no se cargan certificados.
También intenté desactivar todo en IISCrypto, pero eso rompió el RDP.
Cuando ejecuto este comando:
nmap --script ssl-enum-ciphers localhost
Tanto 1433 ms-sql-s como 3389 ms-wbt-server tienen el material SSL/TLS, todo lo demás solo tiene el puerto/tcp abierto. Me gustaría saber cómo hacer que SQL/1433 ya no aparezca como si usara SSL/TLS y RDP para seguir funcionando. No quiero cargar ningún certificado ni utilizar SQL cifrado. ¿Cómo puedo hacer para que desaparezca la bandera que informa que está activada?
Respuesta1
Su grupo de seguridad probablemente signifique "deshabilitar SSLv3 y TLSv1.0 porque son antiguos y tienen vulnerabilidades conocidas; use TLSv1.1 o más reciente en su lugar". Esto esnolo mismo que desactivar todo el cifrado. Consulte con ellos primero, pero no puedo creer que quieran que fuerce conexiones de bases de datos de texto sin formato.
Los productos de Microsoft como IIS, Terminal Services y SQL Server utilizan la biblioteca SCHANNEL de Windows para realizar TLS. Puede configurarlo en el Registro siguiendo la guía enKB187498. Puede encontrar más información eneste artículo en el blog de MSDN Unleashed.