Computerprogeek
У цій статті ми розглянемо, як відключити підтримку застарілих версій протоколу безпеки транспортного шару у Windows, використовуючи групові політики. Версії протоколу TLS 1.0 і 1.1 вважаються застарілими та небезпечними. Якщо ви перенесли всі свої послуги на TLS 1.2 або TLS 1.3, ви можете відключити підтримку старих версій протоколів на серверах клієнтів та Windows, використовуючи GPO.
Список підтримуваних протоколів SSL/TLS на певному сервері можна отримати за допомогою Інтернет -послуг SSL Labs (див. Приклад у цій статті).
Список протоколів TLS/SSL, що входять на вкладку Параметри Інтернету на клієнті, можна налаштувати за допомогою параметра політики групи Вимкніть підтримку шифрування GPO: Конфігурація комп'ютера -> Шаблони адміністрування -> Компоненти Windows -> Internet Explorer -> Панель управління Internet Explorer -> Розширена сторінка.
Увімкніть політику (увімкнено) та у списку падіння Забезпечені комбінації протоколу Виберіть, які версії TLS/SSL дозволяють клієнтам користуватися.
Цей параметр GPO відповідає параметру SecureProtocols у HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Інтернет Налаштування.
Щоб застосувати нові параметри GPO, вам доведеться перезапустити комп'ютер. Ще раз відкрийте налаштування параметрів Інтернету та переконайтесь, що доступні лише ті версії TLS, які ви дозволили в GPO. Користувач не зможе змінити ці налаштування (зверніть увагу на напис Деякі налаштування, які визначають ваш системний адміністратор). [/Попередження]
На жаль, тут не можна залишити лише TLS 1.3 і TLS 1.2, у GPO просто немає такого параметра. Крім того, це не відключає підтримку старих версій TLS 1.0 і TLS 1.1 збоку від вашого сервера Windows (в тому ж IIS, обміну).
Тому краще відключити певні версії TL через реєстр. Використовуючи GPO, ви можете розповсюдити необхідні параметри реєстру для комп’ютерів (це детальніше описано у статті, встановлюючи параметри реєстру на комп’ютерах з GPO).
Щоб вимкнути TLS 1.0 у Windows як для клієнта, так і для сервера, потрібно додати наступні параметри до реєстру:
[Hkey_local_machine \ system \ currentcontrolset \ control \ securityproviders \ schannel \ protocols \TLS 1.0\ Client] "DisabledByDefault" = dWord: 00000001 "Увімкнено" = dword: 00000000 [hkey_local_machine \ currentcontrolset \ securityproviders \ schannel \ prootocTLS 1.0\ Сервер] "DisabledByDefault" = DWORD: 00000001 "Увімкнено" = DWORD: 00000000
Інші протоколи відключаються за аналогією. Досить замінити вибраний шлях у реєстрі на SSL 2.0, SSL 3.0, tls 1.1 і t.D.
Примусово включити TLS 1.2, вам потрібно зробити такі записи:
[Hkey_local_machine \ system \ currentcontrolset \ control \ securityproviders \ schannel \ protocols \TLS 1.2\ Client] "upeabledbydefault" = dword:00000000 "Увімкнено" = dword:00000001 [Hkey_local_machine \ system \ currentcontrolset \ control \ securityproviders \ schannel \ protocols \TLS 1.2\ Сервер] "Відключеннямефуто" = dword:00000000 "Увімкнено" = dword:00000001
Таким чином, GPO повинен отримати таке зображення в конфігурації комп'ютера -> Налаштування -> Налаштування Windows -> Реєстр.
Для використання налаштувань вам потрібно перезавантажити Windows.
Окрім зміни налаштувань доступних протоколів TLS в реєстрі, потрібно дозволити використання TLS 1.2 для чистих 3 заявок.5 і 4.X, а також для winhttp. Цей же Outlook використовує налаштування шифрування для WinHTTP (докладніше про це в цій статті).
Увімкнути системні протоколи шифрування для .Сітка 3.5 і 2.0:
[Hkey_local_machine \ програмне забезпечення \ microsoft \.Netframework \ v2.0.50727] "SystemDefaulttlSversions" = DWORD: 00000001 [HKEY_LOCAL_MACHINE \ Software \ Wow6432Node \ Microsoft \.Netframework \ v2.0.50727] "SystemDefaulttlSversions" = DWORD: 00000001
[Hkey_local_machine \ програмне забезпечення \ microsoft \.Netframework \ v2.0.50727] "SchuseStrongCrypto" = dword: 00000001 [hkey_local_machine \ software \ wow6432node \ microsoft \.Netframework \ v2.0.50727] "SchuseStrongCrypto" = dword: 00000001
Для .Сітка 4.X:
[Hkey_local_machine \ програмне забезпечення \ microsoft \.Netframework \ v4.0.30319] "SystemDefaulttlSversions" = dWord: 00000001 [HKEY_LOCAL_MACHINE \ Software \ Wow6432Node \ Microsoft \.Netframework \ v4.0.30319] "SystemDefaulttlSversions" = DWORD: 00000001
Увімкнути використання TLS 1.2 для WinHttp:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp] "DefaultSecureProtocols"=dword:00000800 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp] "DefaultSecureProtocols"=dword:00000800
У Windows Server ви можете використовувати утиліту ISS Crypto GUI (https: // www.Нантак.Com/продукти/iiscrypto/завантажити) для перегляду налаштувань Schannel.
