Estou executando o SQL Server 2014 no Server 2012 R2. Ambos estão atualizados e atuais. Fiz uma instalação limpa de ambos e nada mais. Em seguida, solicitei acesso VPN para um fornecedor externo e nosso grupo de segurança me informou que SSLv3 e TLSv1.0 precisavam ser desativados. (Não tenho ideia de como eles foram ativados, não fiz nada relacionado ao certificado nesta máquina.)
Em seguida, executei o IISCrypto e desativei os dois protocolos. Passei na verificação de segurança e continuei, achei que estava tudo certo. Agora estou tendo muitos problemas para fazer com que o servidor de aplicativos se conecte ao SQL. Acho que seria melhor se eu pudesse desabilitar todo o material TLS/SSL em 1433. Mas quando eu verifico SQL Config Mgr Force Encryption = No e nenhum certificado é carregado.
Também tentei desabilitar tudo no IISCrypto, mas quebrou o RDP.
Quando executo este comando:
nmap --script ssl-enum-ciphers localhost
Tanto 1433 ms-sql-s quanto 3389 ms-wbt-server possuem o material SSL/TLS, todo o resto apenas tem a porta/tcp aberta. Gostaria de saber como fazer com que o SQL/1433 não apareça mais como usando SSL/TLS e RDP para continuar funcionando. Não quero carregar nenhum certificado ou usar criptografia SQL. Como faço para que o sinalizador desapareça informando que está ativado.
Responder1
Seu grupo de segurança provavelmente significa "desativar SSLv3 e TLSv1.0 porque eles são antigos e possuem vulnerabilidades conhecidas; use TLSv1.1 ou mais recente". Isso énãoo mesmo que desabilitar toda a criptografia. Verifique com eles primeiro, mas não posso acreditar que eles queiram que você force conexões de banco de dados de texto simples.
Produtos Microsoft como IIS, Terminal Services e SQL Server usam a biblioteca SCHANNEL do Windows para fazer TLS. Você pode configurá-lo no Registro seguindo o guia emKB187498. Mais informações podem ser encontradas emeste artigo no blog MSDN Unleashed.