2016年9月20日 星期二

Windows Server 2012 R2、 IIS 8.5、遠端桌面,停用SSL 3.0、TLS 1.0、TLS 1.1協定、停用RC4、3DES加密套件、停用Diffie Hellman KeyExchangeAlgorithms

SSL 3.0、TLS 1.0、TLS 1.1 加密協定存在中間人攻擊弱點,RC4、3DES加密套件有漏洞、停用Diffie Hellman KeyExchangeAlgorithms,如果網站有使用HTTPS、主機有啟用遠端桌面者,強烈建議關閉。

環境:
Windows Server 2012 R2
IIS 8.5
已啟用HTTPS或主機有啟用遠端桌面

修改方式:
透過修改機碼的方式,先執行regedit.exe,並至路徑[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]。

停用SSL 3.0
1.在Protocols目錄下新增機碼,名稱輸入「SSL 3.0」。
2.在SSL 3.0目錄下新增機碼,名稱輸入「Client」及「Server」。
3.於Client目錄中新增DWORD(32位元值),名稱輸入「DisabledByDefault」,確認值為1。
4.於Server目錄中新增DWORD(32位元值),名稱輸入「Enabled」,確認值為0。

停用TLS 1.0
1.在Protocols目錄下新增機碼,名稱輸入「TLS 1.0」。
2.在TLS 1.0目錄下新增機碼,名稱輸入「Client」及「Server」。
3.於Client目錄中新增DWORD(32位元值),名稱輸入「DisabledByDefault」,確認值為1。
4.於Server目錄中新增DWORD(32位元值),名稱輸入「Enabled」,確認值為0。

停用TLS 1.1
1.在Protocols目錄下新增機碼,名稱輸入「TLS 1.1」。
2.在TLS 1.1目錄下新增機碼,名稱輸入「Client」及「Server」。
3.於Client目錄中新增DWORD(32位元值),名稱輸入「DisabledByDefault」,確認值為1。
4.於Server目錄中新增DWORD(32位元值),名稱輸入「Enabled」,確認值為0。

停用RC4加密套件
1.在Ciphers目錄下新增機碼,名稱輸入「RC4 128/128」。
2.於RC4 128/128目錄中新增DWORD(32位元值),名稱輸入「Enabled」,確認值為0。

停用3DES加密套件
1.在Ciphers目錄下新增機碼,名稱輸入「Triple DES 168」。
2.於Triple DES 168目錄中新增DWORD(32位元值),名稱輸入「Enabled」,確認值為0。

停用 Diffie Hellman KeyExchangeAlgorithms
1.在KeyExchangeAlgorithms目錄下新增機碼,名稱輸入「Diffie-Hellman」。
2.於Diffie-Hellman目錄中新增DWORD(32位元值),名稱輸入「Enabled」,確認值為0。