Ssl

在 Windows Server 2016 上禁用弱 SSL 協議

  • July 29, 2020

我們已嘗試通過按照此處的建議設置相應的系統資料庫項來禁用 Windows 2016 伺服器上的弱 SSL/TLS 協議: https ://docs.microsoft.com/en-us/windows-server/security/tls/tls-registry -設置#tls-10

我們創建了以下 DWORD:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

重新啟動伺服器後,像https://www.ssllabs.com/ssltest/index.html這樣的掃描仍然報告伺服器支持 TLS 1.0 和 1.1。更改後我們已經清除了掃描記憶體,因此它不應該是記憶體結果。我也得到了 200 OK 響應

Invoke-WebRequest https://MyServer -SslProtocol Tls

如果我使用像 IISCrypto 這樣的工具,它會報告協議被禁用。

任何關於為什麼這些協議沒有被上面的系統資料庫項禁用的想法都非常受歡迎!

您的伺服器是否直接暴露在網際網路上?這不再是一種常見的做法。這些天通常在它前面有一個負載均衡器或反向代理。如果有,這就是 SSL 實驗室掃描所遇到的問題,這就是您需要禁用 TLS 1.0 和 1.1 的地方。

引用自:https://serverfault.com/questions/1027239