Я использую SQL Server 2014 на Server 2012 R2. Оба обновлены и актуальны. Я сделал чистую установку и того, и другого. Затем я запросил доступ к VPN для стороннего поставщика, и наша группа безопасности сообщила мне, что SSLv3 и TLSv1.0 необходимо отключить. (Не знаю, как они были включены, я не делал ничего, связанного с сертификатами на этой машине.)
Затем я запустил IISCrypto и отключил два протокола. Пройдено сканирование безопасности и продолжено, я думал, что все в порядке. Теперь возникло множество проблем с подключением сервера приложений к SQL. Я думаю, было бы лучше, если бы я мог просто отключить все материалы TLS / SSL на 1433. Но когда я проверяю SQL Config, Mgr Force Encryption = No, и сертификаты не загружаются.
Я также пытался отключить все в IISCrypto, но это нарушило RDP.
Когда я запускаю эту команду:
nmap --script ssl-enum-ciphers localhost
И 1433 ms-sql-s, и 3389 ms-wbt-server имеют материал SSL / TLS, все остальное просто имеет открытый порт / tcp. Я хотел бы знать, как заставить SQL / 1433 больше не отображаться как использование SSL / TLS и RDP, чтобы по-прежнему работать. Я не хочу загружать какие-либо сертификаты или использовать зашифрованный SQL. Как мне убрать флаг, сообщающий, что он включен?
Ваша группа безопасности, вероятно, означает «отключите SSLv3 и TLSv1.0, потому что они старые и имеют известные уязвимости; вместо этого используйте TLSv1.1 или новее». Это не то же, что и отключение всего шифрования. Сначала посоветуйтесь с ними, но я не могу поверить, что они захотят, чтобы вы устанавливали соединения с базой данных в виде обычного текста.
Продукты Microsoft, такие как IIS, Terminal Services и SQL Server, используют библиотеку SCHANNEL Windows для выполнения TLS. Вы можете настроить его в реестре, следуя руководству в KB187498. Более подробную информацию можно найти на эта статья в блоге MSDN Unleashed.