如何在WindowsServer2012R2中禁用TLS1.0
我已经在Windows2012R2服务器中禁用了SSL2.0和SSL3.0,方法是进入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\并添加条目,如附件所示。它运转得很好。
然而,当我试图禁用TLS 1.0时,情况并非如此。如果我添加的条目与我为SSL2.0、SSL3.0所做的类似,它将阻塞端口443。我无法理解这件事。
图片:TLS 1.0 -客户端密钥设置 TLS 1.0 -服务器密钥设置
在注册表中使用TLS 1.0的Nmap结果:
nnmap -p 443 -脚本ssl-enum-密码操作-评估.int.net.xyz.com
Starting Nmap 7.80 ( https://nmap.org ) at 2020-04-02 23:08 India Standard Time
Nmap scan report for operational-assessment.int.net.xyz.com (10.x.x.x)
Host is up (0.040s latency).
PORT STATE SERVICE
443/tcp closed https
MAC Address: 00:11:22:33:44:55 (Cimsys)
Nmap done: 1 IP address (1 host up) scanned in 2.23 seconds但是,当我从注册表中删除TLS 1.0条目时,它可以正常工作,并表示启用了TLS1.0。
未在注册表中使用TLS1.0的NMAP结果:
nnmap -p 443 -脚本ssl-enum-密码操作-评估.int.net.xyz.com
Starting Nmap 7.80 ( https://nmap.org ) at 2020-04-02 22:40 India Standard Time
Nmap scan report for operational-assessment.int.net.xyz.com (10.x.x.x)
Host is up (0.041s latency).
PORT STATE SERVICE
443/tcp open https
| ssl-enum-ciphers:
| TLSv1.0:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
| TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
| TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
| compressors:
| NULL
| cipher preference: server
| warnings:
| 64-bit block cipher 3DES vulnerable to SWEET32 attack
| Broken cipher RC4 is deprecated by RFC 7465
| Ciphersuite uses MD5 for message integrity
| Key exchange (dh 1024) of lower strength than certificate key如果我做错了什么,请告诉我。我已经跟踪了几个链接,它们都表明了我已经遵循的方式。
回答 1
Server Fault用户
发布于 2020-04-03 16:54:26
我没有在TLS1.0Server的屏幕截图中看到DisabledByDefault键设置。您确实在TLS 1.0客户端中拥有它。这意味着到服务器的传入连接仍然可以使用TLS1.0进行响应。
DisabledByDefault =1和Enabled =0键都是关闭协议和重新启动系统的必要条件(取决于应用程序,有些每次检查可用的协议,而有些只检查开始)。
Before您关闭了1.0,请确保在客户端和服务器上都启用了TL1.1或1.2,或者对机器具有控制台访问权限(您没有屏幕截图中列出的更高协议的注册表结构)。如果在禁用之前无法启用,就会将您锁定在远程连接之外。
https://serverfault.com/questions/1010635
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号