我在 Server 2012 R2 上运行 SQL Server 2014。两者都已更新且为最新版本。我对两者都进行了全新安装,没有进行其他任何操作。然后,我请求异地供应商的 VPN 访问权限,我们的安全组通知我需要禁用 SSLv3 和 TLSv1.0。(不知道它们是如何启用的,我没有在这台机器上进行任何与证书相关的操作。)
然后我运行 IISCrypto 并禁用这两个协议。通过安全扫描并继续,我认为一切都很顺利。现在有很多问题让应用服务器连接到 SQL。我认为如果我可以禁用 1433 上的所有 TLS/SSL 内容会更好。但是当我检查 SQL Config Mgr Force Encryption = No 时,没有加载任何证书。
我也尝试禁用 IISCrypto 中的所有内容,但这会破坏 RDP。
当我运行此命令时:
nmap --script ssl-enum-ciphers localhost
1433 ms-sql-s 和 3389 ms-wbt-server 都具有 SSL/TLS 功能,其他所有功能都只打开了端口/tcp。我想知道如何让 SQL/1433 不再显示为使用 SSL/TLS 并且 RDP 仍然有效。我不想加载任何证书或使用加密的 SQL。如何让报告已打开的标志消失。
答案1
您的安全组可能意味着“禁用 SSLv3 和 TLSv1.0,因为它们很旧并且存在已知漏洞;改用 TLSv1.1 或更新版本。”这是不是与禁用所有加密相同。请先与他们核实,但我不相信他们会希望您强制使用纯文本数据库连接。
IIS、终端服务和 SQL Server 等 Microsoft 产品使用 Windows 的 SCHANNEL 库来执行 TLS。您可以按照以下指南在注册表中对其进行配置KB187498更多信息请访问MSDN Unleashed 博客上的这篇文章。