Как отключить PCT 1.0, SSL 2.0, SSL 3.0 и TLS 1.0 в службах IIS на Windows

Интернет-инфраструктура играет ключевую роль в современном мире, и обеспечение защиты передачи данных — важная задача для всех администраторов информационных систем. Если ваши службы IIS используют устаревшие протоколы PCT 1.0, SSL 2.0, SSL 3.0 или TLS 1.0, то ваш сайт может быть подвержен различным криптографическим уязвимостям. В этой статье мы расскажем вам, как полностью отключить эти протоколы и обеспечить высокий уровень защиты.

Как вы, возможно, знаете, протоколы SSLv2, SSLv3 и TLSv1.0 имеют уязвимости, которые делают вашу систему подверженной атакам. Большинство экспертов по безопасности рекомендуют отключить их в связи с выявленными уязвимостями. Если на вашем сервере Windows установлена служба IIS и вы хотите обезопасить свою систему, вам необходимо отключить эти протоколы.

Для отключения протоколов PCT 1.0, SSL 2.0, SSL 3.0 и TLS 1.0 в службах IIS на Windows вам потребуется внести изменения в реестр системы. Вам необходимо создать новый ключ и изменить значения параметров в соответствии с требованиями безопасности. Для этого вам потребуется доступ к машине в режиме администратора.

Отключение устаревших SSL и TLS протоколов в службах IIS на Windows

Если вы хотите обеспечить более высокий уровень безопасности своего сервера, то отключение устаревших протоколов SSL и TLS может быть полезным шагом. В этой статье мы расскажем вам, как выполнить эту задачу в службах IIS на Windows.

1. Откройте реестр Windows, нажмите «Пуск» и введите «regedit». Нажмите «Enter», чтобы открыть редактор реестра.

2. Найдите следующий путь: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

3. Вы увидите название протокола, его обозначение в качестве имени ключа. Например, для SSL 2.0 это будет ключ с названием «SSL 2.0».

4. Для каждого из устаревших протоколов — SSL 2.0, SSL 3.0, TLS 1.0 и PCT 1.0 — создайте новый ключ с соответствующим названием.

5. Внутри каждого созданного ключа создайте новое значение DWORD с названием «Enabled» и значением «0». Убедитесь, что тип данных установлен как «REG_DWORD». Это отключит протокол на уровне системы.

6. После того, как все протоколы будут отключены в реестре, перезагрузите сервер для применения изменений.

Отныне все устаревшие протоколы, такие как SSLv2, SSLv3, TLS1.0 и PCT1.0, будут полностью отключены и не будут использоваться для защиты вашего сервера.

Помните, что отключение устаревших протоколов может вызвать проблемы совместимости с браузерами и другими клиентскими программами. Обратите внимание на возможные предупреждения и комментарии со стороны пользователей, особенно если у вас есть клиенты, которые используют старые версии браузеров или операционных систем. В таких случаях рекомендуется обновить браузеры и другие клиентские программы до последних версий или обратиться к поддержке соответствующего производителя.

В целом, отключение устаревших протоколов SSL и TLS является важной мерой безопасности. С учетом последних уязвимостей, связанных с этими протоколами, большинство организаций и компаний рекомендует использовать только более безопасные протоколы, такие как TLS 1.2 и выше. Отключая устаревшие протоколы, вы обеспечиваете более надежную защиту своих серверов и ваших данных от криптографических уязвимостей.

Отключение SSL 3.0 в браузере

Отключение SSL 3.0 в браузере Google Chrome

1. Откройте браузер Google Chrome.

2. Нажмите на значок меню в правом верхнем углу окна браузера (три точки) и выберите «Настройки».

3. Прокрутите страницу вниз и нажмите на ссылку «Дополнительные настройки».

4. В разделе «Безопасность» нажмите на кнопку «Настройки контента».

5. Найдите раздел «Защита» и выберите «Подключение с использованием SSL/TLS».

6. Установите флажок «Использовать SSL 3.0» в положение «Выкл.».

7. Закройте окно настроек.

8. Перезагрузите браузер для применения изменений.

Отключение SSL 3.0 в браузере Mozilla Firefox

1. Откройте браузер Mozilla Firefox.

2. В адресной строке введите «about:config» и нажмите клавишу Enter.

3. Подтвердите предупреждение о том, что вы войдете на поле управления настройками системы браузера.

4. Введите «security.enable_ssl3» в поле для фильтрации.

5. Правой кнопкой мыши нажмите на параметр «security.enable_ssl3» и выберите «Изменить».

6. Установите значение параметра в «false» и нажмите «OK».

7. Закройте вкладку «about:config».

8. Перезагрузите браузер для применения изменений.

Отключение SSL 3.0 в браузере Internet Explorer

1. Откройте браузер Internet Explorer.

2. Нажмите на значок шестеренки в правом верхнем углу окна браузера и выберите «Настройки Интернета».

3. В открывшемся окне выберите вкладку «Дополнительно».

4. Прокрутите список до раздела «Безопасность» и снимите флажок с опции «Использовать TLS 1.0», если она уже включена.

5. Установите флажок «Использовать SSL 3.0» в положение «Выкл.».

6. Нажмите «ОК», чтобы сохранить изменения.

7. Перезапустите браузер для применения изменений.

После отключения SSL 3.0 в вашем браузере, он больше не будет подключаться к серверам, которые полностью зависят от этого уязвимого протокола для защиты соединения. Убедитесь, что у вас установлена последняя версия браузера, которая поддерживает более безопасные протоколы, такие как TLS 1.1 и выше.

Отключение SSL 3.0 в Windows

Для отключения SSL 3.0 в Windows есть несколько вариантов:

Отключение в браузере

Если вы хотите отключить SSL 3.0 только в браузере, откройте его настойки и найдите раздел безопасности или защиты. Там вы сможете найти опцию, позволяющую отключить протокол SSL 3.0. Нажмите на нее и сохраните изменения.

Отключение в системе Windows

Для полной защиты системы следует отключить SSL 3.0 на уровне операционной системы. Для этого нужно использовать утилиту «Редактор реестра».

Вот пошаговая инструкция:

1. Откройте меню «Пуск» и в строке поиска введите «regedit». Нажмите Enter для запуска «Редактора реестра».
2. В редакторе реестра перейдите к следующему пути: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server
3. Если папок с названиями «SSL 3.0» и «Server» не существует, то их необходимо создать. Для создания папки нажмите правой кнопкой мыши на предыдущей папке и выберите пункт меню «Создать» -> «Ключ». Введите название «SSL 3.0» и повторите этот шаг для создания папки «Server».
4. В созданной папке «Server» щелкните правой кнопкой мыши на свободной области и выберите «Создать» -> «DWORD-значение (32 бита)».
5. Дайте этому значению название «Enabled» (без кавычек).
6. Дважды щелкните на созданном значении «Enabled» и введите значение «00000000» (без кавычек).

После выполнения всех этих действий перезагрузите компьютер.

Теперь SSL 3.0 будет отключен в системе Windows. Это обеспечит более высокий уровень защиты от уязвимостей, связанных с SSL 3.0.

Пожалуйста, оставьте комментарий ниже, если у вас есть вопросы по этой теме или если вы хотите узнать больше о защите системы Windows.

Включение TLS 1.1 и TLS 1.2 в Windows Server 2008 R2 и выше

Для включения TLS 1.1 и TLS 1.2 в Windows Server 2008 R2 и выше следуйте инструкциям ниже:

Шаг 1: Откройте редактор реестра

Для изменения параметров безопасности системы откройте редактор реестра. Для этого нажмите Win + R, введите regedit и нажмите Enter.

Шаг 2: Создайте параметры реестра

Перейдите к следующим ключам в реестре:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Если таких ключей еще нет, создайте новый ключ с названием TLS 1.1 и TLS 1.2 для включения соответствующих протоколов. Для создания нового ключа нажмите правой кнопкой мыши на SCHANNEL, выберите Создать и затем Ключ. Укажите название ключа, например, TLS 1.1.

Шаг 3: Включаем протоколы TLS 1.1 и TLS 1.2

Включите протоколы TLS 1.1 и TLS 1.2, создав новые параметры реестра внутри ключей TLS 1.1 и TLS 1.2. Для этого нажмите правой кнопкой мыши на ключе, выберите Создать и затем DWORD-значение (32-разрядное).

Назовите новый параметр Enabled и установите его значение в 1. Повторите этот шаг для обоих ключей — TLS 1.1 и TLS 1.2.

Шаг 4: Перезагрузите систему

После внесения изменений в реестр перезагрузите сервер, чтобы изменения вступили в силу. Нажмите Win + R, введите cmd и нажмите Enter. В командной строке введите shutdown /r и нажмите Enter, чтобы выполнить перезагрузку.

После успешной перезагрузки системы клиенты смогут подключаться к вашему серверу через протоколы TLS 1.1 и TLS 1.2, а устаревшие протоколы будут полностью отключены.

Протокол	PCT 1.0	SSL 2.0	SSL 3.0	TLS 1.0	TLS 1.1	TLS 1.2
Статус	Отключено	Отключено	Отключено	Отключено	Включено	Включено

Примечание: Указанные действия отключают старые протоколы только на уровне системы. Для полной защиты от уязвимостей SSLv2, SSLv3 и TLS 1.0 также требуется отключение этих протоколов на уровне браузеров и приложений.

Дополнительные сведения об отключении протоколов и обновлении системы можно найти на официальном сайте Microsoft или в онлайн-ресурсах, таких как Google.

Отключение SSLv2 в Windows Server 2008 и более ранних версиях

Для отключения SSLv2 в Windows Server 2008 и более ранних версиях требуется выполнить несколько шагов:

Шаг 1: Откройте реестр редактором реестра Windows. Для этого нажмите клавишу «Win + R», введите «regedit» и нажмите Enter.

Шаг 2: В редакторе реестра найдите следующий путь:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server

Если в этом разделе нет параметров, создайте их. Для этого щелкните правой кнопкой мыши на разделе «Server», выберите «Новый» и затем «Ключ». Введите название ключа «Server» и нажмите Enter.

Шаг 3: В разделе «Server» создайте параметр типа DWORD с именем «Enabled» и значением «0». Для этого щелкните правой кнопкой мыши в области справа, выберите «Новый» и затем «Значение DWORD». Введите название параметра «Enabled» и установите значение «0».

Теперь службы IIS будут отключены от SSLv2 протокола.

Примечание: После отключения SSLv2 протокола перезагрузите сервер, чтобы изменения вступили в силу.

Убедитесь, что вы установили все обновления безопасности и регулярно проверяйте систему на предмет уязвимостей. На самом деле, в настоящее время обязательно отключение SSLv2, так как браузеры и другие клиенты также отключили поддержку SSLv2 из-за его уязвимости.

Если вы хотите отключить другие устаревшие протоколы, такие как SSLv3, PCT 1.0 и TLS 1.0, таким же образом создайте соответствующие параметры в реестре с значениями «0» в разделе «SSL 3.0», «PCT 1.0» и «TLS 1.0».

Если вы не удовлетворены процессом ручного управления реестром, вы можете использовать специальные инструменты для управления SSL/TLS протоколами, доступные on-line. Просто вбейте в поиск Google «SSL/TLS configuration tool» или подобные слова.

Утилита для управления системными криптографическими протоколами в Windows Server

Если вы хотите отключить небезопасные протоколы PCT 1.0, SSL 2.0, SSL 3.0 и TLS 1.0 на вашем сервере Windows, существует специальная утилита, которая позволяет управлять системными криптографическими протоколами. Это может быть полезно для увеличения защиты вашей системы и предотвращения уязвимостей, связанных с устаревшими протоколами.

Утилита называется «IIS Crypto» и предоставляет графический интерфейс для изменения параметров системных протоколов. Чтобы ее использовать, выполните следующие шаги:

1. Перейдите на официальный сайт IIS Crypto и скачайте последнюю версию утилиты.
2. Установите утилиту на ваш сервер Windows.
3. Запустите утилиту, нажмите кнопку «Best Practices», чтобы включить рекомендуемые параметры безопасности.
4. Отключите протоколы, которые вы хотите отключить. В нашем случае, это PCT 1.0, SSL 2.0, SSL 3.0 и TLS 1.0.
5. После того, как вы отключили нежелательные протоколы, нажмите кнопку «Apply» для сохранения изменений.
6. Перезагрузите ваш сервер для применения новых параметров.

Теперь ваш сервер будет полностью защищен от уязвимостей, связанных с отключенными протоколами. Все новые подключения будут использовать только безопасные протоколы, такие как TLS 1.1 и выше.

Обратите внимание, что некоторые клиенты и сервисы могут быть несовместимы с отключенными протоколами. Поэтому перед отключением протоколов, имейте в виду возможные совместимостные проблемы.

Если вы хотите отключить протоколы вручную, вы можете войти в реестр Windows и изменить соответствующие параметры. Ниже приведены названия параметров и обозначения протоколов в реестре:

Параметр в реестре	Обозначение протокола
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server	PCT 1.0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server	SSL 2.0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server	SSL 3.0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server	TLS 1.0

Для каждого параметра в реестре, установите значение dword:00000000, чтобы отключить соответствующий протокол.

После изменения параметров в реестре, также необходимо перезагрузить сервер, чтобы изменения вступили в силу.

Рекомендуется использовать утилиту «IIS Crypto» для управления системными криптографическими протоколами, поскольку это позволяет удобно включать и отключать протоколы без изменения параметров реестра вручную.

За более подробной информацией и советами относительно управления системными протоколами обратитесь к официальной документации Microsoft или найдите соответствующие статьи на Google или других on-line ресурсах.

Защита Windows от уязвимости в SSL v3

Уязвимости в протоколе SSL v3 были обнаружены, и многие эксперты рекомендуют его отключить на всех уровнях. В данном руководстве мы расскажем вам, как безопасно отключить SSL v3 в службах IIS на Windows.

1. Откройте реестр редактором с помощью команды «регсвр32 /i shell32.dll» из меню «Пуск».

2. Навигируйте в реестре к следующему ключу: «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server».

3. С правой стороны окна создайте новое значение DWORD с именем «Enabled» и значением «0».

4. Если на вашем сервере установлен клиентский программный компонент, повторите предыдущие два шага для ключа «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client».

5. Для применения изменений перезагрузите сервер.

Теперь SSL v3 полностью отключен на вашем сервере, и все подключения будут использовать TLS 1.0 и выше для защиты данных. Отключение SSL v3 рекомендуется из соображений криптографической защиты и для предотвращения возможных уязвимостей.

Обратите внимание, что после отключения SSL v3 могут возникнуть проблемы с совместимостью браузеров и клиентских программ, которые всё ещё используют SSL v3 для подключения к серверу. Если вы хотите включить SSL v3 только для определенных клиентов или приложений, вы можете установить значение «Enabled» в «1» вместо «0» для соответствующих ключей реестра.

В ближайшее время специалисты рекомендуют полностью отказаться от использования SSL v3 и перейти на более безопасные протоколы, такие как TLS 1.2.

Из-за известных уязвимостей, связанных с SSL v3, его отключение на всех уровнях системы является важным шагом для обеспечения безопасности.

Комментарии 2

При отключении уязвимых протоколов безопасности (PCT 1.0, SSL 2.0, SSL 3.0 и TLS 1.0) в службах IIS на Windows рекомендуется принять во внимание ряд соображений.

Установите утилиту Update

Во-первых, для полного отключения данных протоколов рекомендуется установить утилиту Update для операционной системы Windows Server 2008 и более поздних версий.

Создайте резервные копии параметров реестра

Во-вторых, перед началом процесса отключения протоколов рекомендуется создать резервные копии параметров реестра системы. Для этого откройте редактор реестра, найдите и откройте ветку:

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders

В контекстном меню выберите пункт «Экспорт», выберите место сохранения файла резервной копии и назовите его, например, «backup.reg».

Отключите протоколы в реестре

Для отключения протоколов PCT 1.0, SSL 2.0, SSL 3.0 и TLS 1.0 в реестре найдите ветку:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

В этой ветке создайте ключи для каждого протокола, например:

PCT 1.0, SSL 2.0, SSL 3.0 и TLS 1.0

Под каждым ключом создайте подключи с именами:

Client

и

Server

Для каждого подключа создайте параметр Enabled со значением 0x00000000 (тип REG_DWORD).

Например, для отключения SSL 2.0 в клиентском и серверном режиме установите параметры реестра следующим образом:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client

Enabled = 0x00000000 (REG_DWORD)


и


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server

Enabled = 0x00000000 (REG_DWORD)


Включение и временное отключение протоколов

Если вы хотите временно включить отключенные протоколы, можете изменить значение параметра Enabled на 0xffffffff (тип REG_DWORD) для нужного протокола и режима (клиентский или серверный).

Например, для включения SSL 3.0 в клиентском режиме установите параметр реестра следующим образом:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client

Enabled = 0xffffffff (REG_DWORD)


После изменения параметров реестра необходимо перезагрузить сервер.

Отключение протоколов PCT 1.0, SSL 2.0, SSL 3.0 и TLS 1.0 позволяет установить более надежную защиту системы и клиентских браузеров, использующих уязвимые протоколы. Это позволяет снизить риск уязвимости к атакам, связанным с устаревшими криптографическими протоколами.

Отключение SSLv3 в Windows на уровне системы

Если вы хотите отключить SSLv3 на уровне системы Windows, вам потребуется внести изменения в реестр. Это можно сделать, следуя нижеприведенным инструкциям:

1. Нажмите «Пуск» и введите «regedit» в строке поиска.
2. Нажмите правой кнопкой мыши на «regedit.exe» и выберите «Запустить от имени администратора».
3. В реестре перейдите к следующему пути: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server.
4. Создайте новый параметр DWORD со следующими значениями:

Название: Enabled

Значение: 0

Обозначение: SSL 3.0

5. По умолчанию, параметров Server и Client нет в пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0. Создайте их, если необходимо.
6. Повторите шаги с 3 по 5 для ключа HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client.
7. После внесения изменений, перезагрузите сервер.

Теперь SSLv3 полностью отключен на уровне системы Windows. Для управления протоколами SSL и TLS в службах IIS на Windows Server 2008 R2 и Windows Server 2012 используйте утилиту IIS Crypto от Nartac Software. Утилита позволяет включать и отключать конкретные протоколы, а также задавать предпочитаемые алгоритмы шифрования.

Обратите внимание на то, что отключение протокола SSLv3 может вызвать некоторые проблемы совместимости для старых клиентов или устаревших приложений, которые все еще используют этот протокол. Поэтому перед выполнением этого управления рекомендуется убедиться, что все клиенты и приложения, используемые на сервере, удовлетворены другими доступными протоколами.

Если у вас есть какие-либо комментарии или вопросы касательно отключения SSLv3 или других системных настроек, пожалуйста, оставьте свой отзыв ниже.

Видео:

IISCrypto — Fixing Windows Server SSL/TLS Config Issues

IISCrypto — Fixing Windows Server SSL/TLS Config Issues by Phr33fall 25,626 views 5 years ago 5 minutes, 43 seconds