如何在 Windows Server 2012R2 中禁用 TLS 1.0

tag-icon tag-icon windows windows-server-2012-r2
如何在 Windows Server 2012R2 中禁用 TLS 1.0

我已通过进入 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\ 并添加附件中所示的条目,在 Windows 2012R2 服务器中禁用了 SSL 2.0 和 SSL 3.0。它运行正常。

但是,当我尝试禁用 TLS 1.0 时,情况并非如此。如果我添加与对 SSL 2.0、SSL 3.0 所做的类似的条目,它会阻止端口 443。我无法理解这一点。

图片: TLS 1.0 - 客户端密钥设置 TLS 1.0 - 服务器密钥设置

注册表中使用 TLS 1.0 的 Nmap 结果:

nnmap -p 443 --script ssl-enum-ciphers operation-assessment.int.net.xyz.com

Starting Nmap 7.80 ( https://nmap.org ) at 2020-04-02 23:08 India Standard Time

Nmap scan report for operational-assessment.int.net.xyz.com (10.x.x.x)
Host is up (0.040s latency).

PORT    STATE  SERVICE
443/tcp closed https
MAC Address: 00:11:22:33:44:55 (Cimsys)

Nmap done: 1 IP address (1 host up) scanned in 2.23 seconds

但是当我从注册表中删除 TLS 1.0 条目时,它可以正常工作并显示 TLS1.0 已启用。

注册表中没有 TLS1.0 的 NMAP 结果:

nnmap -p 443 --script ssl-enum-ciphers operation-assessment.int.net.xyz.com

Starting Nmap 7.80 ( https://nmap.org ) at 2020-04-02 22:40 India Standard Time
Nmap scan report for operational-assessment.int.net.xyz.com (10.x.x.x)
Host is up (0.041s latency).

PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers: 
|   TLSv1.0: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
|     compressors: 
|       NULL
|     cipher preference: server
|     warnings: 
|       64-bit block cipher 3DES vulnerable to SWEET32 attack
|       Broken cipher RC4 is deprecated by RFC 7465
|       Ciphersuite uses MD5 for message integrity
|       Key exchange (dh 1024) of lower strength than certificate key

如果我做错了什么,请告诉我。我已关注了几个链接,它们都建议我已关注的方式。

答案1

我没有在您的屏幕截图中看到为 TLS 1.0 服务器设置的 DisabledByDefault 键。您在 TLS 1.0 客户端中确实有它。这意味着传入到服务器的连接仍然可以使用 TLS 1.0 进行响应。

关闭协议需要 DisabledByDefault = 1 和 Enabled = 0 键,以及系统重启(取决于应用程序,有些每次都会检查可用的协议,有些只在启动时检查)。

在关闭 1.0 之前,请确保您在客户端和服务器上都启用了 TLS 1.1 或 1.2,或者可以访问机器的控制台(您没有屏幕截图中列出的更高协议的注册表结构)。如果在禁用之前无法启用,您将无法进行远程连接。

相关内容