Я использую SQL Server 2014 на Server 2012 R2. Оба обновлены и актуальны. Я выполнил чистую установку обоих и ничего больше. Затем я запросил доступ VPN для внешнего поставщика, и наша группа безопасности сообщила мне, что SSLv3 и TLSv1.0 необходимо отключить. (Понятия не имею, как они были включены, я ничего не делал с сертификатами на этой машине.)
Затем я запустил IISCrypto и отключил два протокола. Прошел сканирование безопасности и продолжил, я думал, что все в порядке. Теперь у меня много проблем с подключением сервера приложений к SQL. Я думаю, было бы лучше, если бы я мог просто отключить все TLS/SSL на 1433. Но когда я проверяю SQL Config Mgr Force Encryption = No и никакие сертификаты не загружаются.
Я также пытался отключить все в IISCrypto, но это сломало RDP.
Когда я запускаю эту команду:
nmap --script ssl-enum-ciphers localhost
И 1433 ms-sql-s, и 3389 ms-wbt-server имеют SSL/TLS, все остальное просто имеет открытый порт/tcp. Я хотел бы знать, как заставить SQL / 1433 больше не отображаться как использующий SSL/TLS и RDP, чтобы продолжать работать. Я не хочу загружать какие-либо сертификаты или использовать зашифрованный SQL. Как мне убрать флаг, сообщающий, что он включен.
решение1
Ваша группа безопасности, вероятно, подразумевает «отключить SSLv3 и TLSv1.0, поскольку они устарели и имеют известные уязвимости; вместо этого использовать TLSv1.1 или более новую версию». Этонетто же самое, что и отключение всего шифрования. Сначала свяжитесь с ними, но я не могу поверить, что они хотят, чтобы вы принудительно подключали базы данных с открытым текстом.
Продукты Microsoft, такие как IIS, Terminal Services и SQL Server, используют библиотеку Windows SCHANNEL для TLS. Вы можете настроить ее в реестре, следуя руководству вКБ187498. Более подробную информацию можно найти наэта статья в блоге MSDN Unleashed.