我在 Server 2012 R2 上執行 SQL Server 2014。兩者均已更新並且是最新的。我對兩者進行了全新安裝,僅此而已。然後,我請求異地供應商進行 VPN 訪問,我們的安全小組通知我需要停用 SSLv3 和 TLSv1.0。 (不知道它們是如何啟用的,我沒有在這台機器上做任何與憑證相關的事情。)
然後我運行 IISCrypto 並禁用這兩個協定。通過安全掃描並繼續,我認為一切順利。現在讓應用程式伺服器連接到 SQL 時遇到很多問題。我認為如果我可以停用 1433 上的所有 TLS/SSL 內容會更好。
我還嘗試停用 IISCrypto 中的所有內容,但這破壞了 RDP。
當我運行這個命令時:
nmap --script ssl-enum-ciphers localhost
1433 ms-sql-s 和 3389 ms-wbt-server 都具有 SSL/TLS 內容,其他所有內容都只開啟連接埠/tcp。我想知道如何讓 SQL / 1433 不再顯示為使用 SSL/TLS 和 RDP 仍然有效。我不想載入任何憑證或使用 SQL 加密。如何讓報告已開啟的標誌消失。
答案1
您的安全群組可能意味著“禁用 SSLv3 和 TLSv1.0,因為它們很舊並且存在已知漏洞;請改用 TLSv1.1 或更新版本。”這是不是與停用所有加密相同。首先與他們核實,但我不敢相信他們會希望您強制純文字資料庫連接。
IIS、終端服務和 SQL Server 等 Microsoft 產品使用 Windows 的 SCHANNEL 函式庫來執行 TLS。您可以按照以下指南在註冊表中對其進行配置KB187498。更多資訊請參見MSDN Unleashed 部落格上的這篇文章。