Server 2012 R2에서 SQL Server 2014를 실행하고 있습니다. 둘 다 업데이트되어 최신 상태입니다. 나는 둘 다 새로 설치했고 다른 것은 아무것도하지 않았습니다. 그런 다음 외부 공급업체에 VPN 액세스를 요청했고 보안 그룹에서 SSLv3 및 TLSv1.0을 비활성화해야 한다고 알려왔습니다. (어떻게 활성화되었는지 모르겠습니다. 이 컴퓨터와 관련된 인증서를 수행한 적이 없습니다.)
그런 다음 IISCrypto를 실행하고 두 프로토콜을 비활성화했습니다. 보안 검색을 통과하고 진행했는데 모든 것이 괜찮다고 생각했습니다. 이제 앱 서버를 SQL에 연결하는 데 많은 문제가 있습니다. 1433에서 모든 TLS/SSL 항목을 비활성화할 수 있다면 더 좋을 것이라고 생각합니다. 그러나 SQL Config Mgr Force Encryption = No를 확인하면 인증서가 로드되지 않습니다.
또한 IISCrypto의 모든 것을 비활성화하려고 시도했지만 이로 인해 RDP가 손상되었습니다.
이 명령을 실행할 때:
nmap --script ssl-enum-ciphers localhost
1433 ms-sql-s 및 3389 ms-wbt-server에는 모두 SSL/TLS 항목이 있으며 다른 모든 항목에는 포트/tcp가 열려 있습니다. SSL/TLS 및 RDP를 사용하여 SQL/1433이 더 이상 표시되지 않도록 하는 방법을 알고 싶습니다. 인증서를 로드하거나 암호화된 SQL을 사용하고 싶지 않습니다. 플래그가 켜져 있다고 보고하는 플래그를 없애려면 어떻게 해야 합니까?
답변1
귀하의 보안 그룹은 아마도 "SSLv3 및 TLSv1.0은 오래되고 알려진 취약점이 있으므로 비활성화하고 대신 TLSv1.1 이상을 사용하십시오"를 의미할 것입니다. 이것은~ 아니다모든 암호화를 비활성화하는 것과 같습니다. 먼저 그들에게 확인하십시오. 그러나 그들이 일반 텍스트 데이터베이스 연결을 강제하기를 원한다는 것을 믿을 수 없습니다.
IIS, 터미널 서비스, SQL Server와 같은 Microsoft 제품은 TLS를 수행하기 위해 Windows의 SCHANNEL 라이브러리를 사용합니다. 다음 가이드에 따라 레지스트리에서 구성할 수 있습니다.KB187498. 자세한 내용은 다음에서 확인할 수 있습니다.MSDN Unleashed 블로그의 이 기사.