Отключить поддержку шифрования 3des windows server 2008 r2
Обновлено: 21.11.2024
Одним из лучших способов использования Pleasant Password Server является отключение методов шифрования SSL/TLS, которые признаны небезопасными.
Pleasant Password Server согласовывает наилучшее возможное соединение между вашим сервером и клиентом, чтобы обмениваться данными по наиболее безопасному протоколу и шифру, доступным в вашем браузере/компьютере/устройстве. Однако важно убедиться, что лучшие и наиболее безопасные линии связи доступны, а небезопасные — нет.
Этого лучше всего добиться следующим образом:
- Поддерживайте регулярное обновление компьютера, ОС и браузеров: помогает автоматически идти в ногу с постоянно меняющимися улучшениями алгоритмов безопасности и протоколов, поскольку они часто пересматриваются и обновляются.
- Отключить небезопасные протоколы: убедитесь, что небезопасные клиенты не будут связываться с нами с помощью уязвимых протоколов/алгоритмов.
- Обновляйте Password Server: убедитесь, что установлены последние обновления безопасности, исправления и настройки
- Использовать безопасные сертификаты: это поможет гарантировать, что соединение использует максимально возможную надежность шифрования.
Тематические разделы:
Самые безопасные версии SSL/TLS
- TLS 1.3 быстрее, безопаснее и используется в браузерах по умолчанию.
- TLS 1.2 долгое время был стандартом
- Сервис TLS 1.1 подошел к концу в 2018 году.
- Протоколы TLS 1.0 небезопасны
- SSL 1.0, 2.0, 3.0; Все версии PCT 1.0 устарели и не должны использоваться
Проверьте свое шифрование
Для внутреннего сервера: см. следующие разделы (ниже).
Вы также можете увидеть конкретные согласованные протоколы подключения для текущего веб-сайта, который вы просматриваете:
- Chrome: нажмите F12 > перейдите на вкладку "Безопасность" > просмотр сведений о подключении.
- FireFox: нажмите на замок рядом с URL-адресом -> нажмите «Показать сведения о подключении» -> «Просмотреть технические подробности».
Используйте самое надежное шифрование
Сервер паролей согласовывает самое надежное шифрование, поддерживаемое как сервером, так и клиентом. Внесение изменений в параметры реестра включает определенные версии TLS на компьютере, например TLS 1.3 или TLS 1.2:
В то же время вы не хотите оставлять включенными старые, устаревшие протоколы шифрования или шифры. Продолжайте читать ниже.
Как отключить небезопасные серверные шифры
Если вы заметили, что они все еще доступны, можно отключить небезопасные протоколы, например:
Прежде всего, регулярное обновление операционной системы компьютера помогает поддерживать оптимальные протоколы шифрования для ваших подключений.
Вот несколько защитных методов для отключения серверных протоколов, вплоть до конкретных шифров, если хотите. Самый простой способ — хороший инструмент IISCrypto (только для компьютеров с Windows Server).
По параметрам реестра компьютера
Сервер Windows
- Даже в Windows Server 2012 R2 некоторые старые протоколы по-прежнему включены по умолчанию, и их следует отключить.
- Используйте инструмент IISCrypt 2 от Nartac.
Все версии Windows
- Можно просматривать/изменять определенные алгоритмы шифрования, которые использует ваша машина:
Windows 7–10:
- "Чтобы добавить наборы шифров, используйте параметр групповой политики Порядок наборов шифров SSL в разделе Конфигурация компьютера > Административные шаблоны > Сеть > Параметры конфигурации SSL, чтобы настроить список приоритетов для всех наборов шифров, которые вы используете. хотите включить."
По групповой политике
С помощью PowerShell
В Internet Explorer
- Откройте IE > нажмите «Настройки» > «Свойства обозревателя» > вкладка «Дополнительно»:
- Выберите Использовать TLS 1.2, TLS 1.3 (экспериментальная версия) .
- Отменить выбор SSL 3.0, TLS 1.0, TLS 1.1
В IIS
- Windows Server 2019: добавьте к привязке сайта, установите флажок "Отключить устаревший TLS" и нажмите "ОК".
Браузер
Рекомендуемые алгоритмы и шифры
Mozilla публикует обновленный список рекомендаций:
SSL Labs публикует обновленный список рекомендаций и является известным авторитетным сайтом.
Они предлагают следующее: сначала внести изменения в тестовую среду и обеспечить совместимость для всех необходимых приложений на компьютере.
Они также включают общее объяснение и обсуждение теории.
Небезопасные алгоритмы и шифры
Устаревший TLS (параметр Microsoft):
- Протоколы:
- SSL2, SSL3, TLS1.0 и TLS1.1
- DES, 3DES и RC4 (поэтому следует использовать только AES)
- AES с режимом цепочки CBC (поэтому следует использовать только AES GCM)
- ЮАР
- Размер ключа DH < 2048
- Размер ключа ECDH < 224
Безопасность транспортного уровня (TLS) — Википедия:
Дополнительная литература
Соответствующие разделы: Сертификаты, безопасные протоколы и набор безопасных шифров
Ссылки:
Устранение неполадок
Браузер указывает, что URL-адрес сайта небезопасен
- Это может указывать на проблему с сертификатом
- Это может указывать на проблему с использованием старых протоколов на сервере.
Ошибка подключения: ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY
Как отключить 3DES и RC4 в Windows Server 2019?
Могли бы кто-нибудь сообщить мне, как отключить 3DES и RC4 в Windows Server 2019? и есть ли патч для их отключения. Я пытаюсь исправить эту уязвимость CVE-2016-2183.
3 ответа
Спасибо за публикацию здесь.
Могли бы кто-нибудь сообщить мне, как отключить 3DES и RC4 в Windows Server 2019?
О: Мы можем проверить все шифры на одном компьютере, выполнив команду.Или мы можем проверить только шифр 3DES или шифр RC4, выполнив приведенные ниже команды.
Мы можем отключить шифры 3DES и RC4, удалив их из реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002, а затем перезапустив сервер.
Например, в моей лаборатории:
К сожалению, я не могу найти патч для их отключения.
Если у вас возникнут какие-либо вопросы или проблемы, сообщите нам об этом.
С уважением,
Дейзи ЧжоуЯ не вижу 3DES или RC4 в своем списке реестра. см. ниже. Есть ли другой способ отключить 3DES и RC4?
Здравствуйте, @KartheenE-1117,
Спасибо за сообщение.
Потяните колесо прокрутки справа, чтобы найтиЕсли вы найдете его, вы можете удалить его.
И запустите Get-TlsCipherSuit -Name RC4, чтобы проверить RC4.
С уважением,
Дейзи ЧжоуПредставленные здесь рекомендации немного сбили меня с толку, а способ удаления конкретного комплекта шифров, по-видимому, не описан в этой теме, поэтому я добавляю это для (надеюсь) большей ясности.
Выполняется на сервере 2019.
Раздел реестра «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002» показывает доступные наборы шифров на сервере. Однако вы не можете удалить их оттуда.
Чтобы удалить набор шифров, используйте команду PowerShell «Disable-TlsCipherSuite -Name».Например;
я вижу эти наборы в реестре, но не хочу "TLS_RSA_WITH_3DES_EDE_CBC_SHA".Чтобы удалить этот пакет, который я запускаю; Disable-TlsCipherSuite -Name «TLS_RSA_WITH_3DES_EDE_CBC_SHA» в PowerShell.
Когда я снова открываю реестр и снова смотрю на этот ключ, я вижу, что мой нежелательный набор теперь отсутствует.Может потребоваться перезагрузка, чтобы это изменение вступило в силу. Я не смог проверить эту часть.
Особенно у SSL/TLS в последнее время не все в порядке. Вы, наверное, слышали о широко известных уязвимостях, таких как атака Heartbleed, BEAST, CRIME, POODLE, FREAK или Logjam.
Как это исправить?
Все следующие изменения вносятся через regedit (от имени администратора). В конце вам нужно будет перезапустить сервер.
Отключить SSLv2
- перейдите в HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server ; создайте ключ, если он не существует
- установите для параметра DWORD Enabled значение 0 (или создайте значение, если оно не существует)
- убедитесь, что для параметра DWORD DisabledByDefault (если существует) установлено значение 1
- также рекомендуется отключить SSLv2 для аутентификации клиента: повторите описанные выше шаги для ключа HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client
Отключить SSLv3:
- перейдите в HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server ; создайте ключ, если он не существует
- убедитесь, что параметр DWORD Enabled существует и установлен на 0
- убедитесь, что для параметра DWORD DisabledByDefault (если существует) установлено значение 1
- также рекомендуется отключить SSLv3 для аутентификации клиента: повторите описанные выше действия для ключа HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client
Отключить PCTv1 (только Windows 2003 или более ранние версии; PCT не поддерживается в Windows 2008 и более поздних версиях)
- перейдите в HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server ; создайте ключ, если он не существует
- установите для параметра DWORD Enabled значение 0 (или создайте значение, если оно не существует)
- убедитесь, что для параметра DWORD DisabledByDefault (если существует) установлено значение 1
Убедитесь, что включены только TLS 1.0, TLS 1.1 и TLS 1.2
- перейдите в HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server ; создайте ключ, если он не существует
- убедитесь, что параметр DWORD Enabled существует и установлен на 1
- убедитесь, что параметру DWORD DisabledByDefault (если он существует) присвоено значение 0
TLS 1.1 (требуется Windows 7, Windows 2008 R2 или выше):
- перейдите в HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server ; создайте ключ, если он не существует
- убедитесь, что параметр DWORD Enabled существует и установлен на 1
- убедитесь, что параметру DWORD DisabledByDefault (если он существует) присвоено значение 0
TLS 1.2 (требуется Windows 7, Windows 2008 R2 или выше):
- перейдите в HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server ; создайте ключ, если он не существует
- убедитесь, что параметр DWORD Enabled существует и установлен на 1
- убедитесь, что параметру DWORD DisabledByDefault (если он существует) присвоено значение 0
Отключить экспортные шифры, шифры NULL, RC2 и RC4
- перейдите в HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL и установите для параметра DWORD Enabled значение 0 .
- перейдите в HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56 и установите для параметра DWORD Enabled значение 0 .
- перейдите в HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128 и установите для параметра DWORD Enabled значение 0 .
- перейдите в HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128 и установите для параметра DWORD Enabled значение 0 .
- перейдите в HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 128/128 и установите для параметра DWORD Enabled значение 0 .
- перейдите в HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128 и установите для параметра DWORD Enabled значение 0 .
- перейдите в HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128 и установите для параметра DWORD Enabled значение 0 .
- перейдите в HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128 и установите для параметра DWORD Enabled значение 0 .
- перейдите в HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128 и установите для параметра DWORD Enabled значение 0 .
Если какой-либо из вышеупомянутых разделов реестра и/или значений Enabled не существует, создайте их.
Полностью отключить хеш-функцию MD5
- перейдите в HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\MD5 (создайте ключ, если он не существует) и установите для параметра DWORD Enabled значение 0 (или создайте значение, если он не существует).< /li>
Заставить сервер не отвечать на запросы повторного согласования от клиента
- перейдите в HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
- создайте значение DWORD AllowInsecureRenegoClients и установите для него значение 0
- создайте значение DWORD AllowInsecureRenegoServers и установите для него значение 0
- создайте значение DWORD DisableRenegoOnServer и установите для него значение 1
- создайте параметр UseScsvForTls типа DWORD и установите для него значение 1 (Win XP, 2003, Vista и 2008)
Настройка набора шифров SSL с помощью групповой политики (IIS7 или выше)
- запустите gpedit.msc (от имени администратора)
- перейдите в раздел Конфигурация компьютера ›› Шаблоны администратора ›› Сеть ›› Параметры конфигурации SSL ›› Порядок набора шифров SSL
- установить на это значение (на самом деле это длинные строки без пробелов): TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_2_6THDHE_ECD5HE_CBC_SHA_P384_ATLSA_EC BC_SHA_P521, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521, TLS_DHE_DSS_WITH_AES_128_CBC_SHA256, TLS_DHE_DSS_WITH_AES_256_CBC_SHA256, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_3DES_EDE_CBC_SHA LI>
Вот тот же список, по одному элементу в строке:
ВАЖНО: поместите TLS_ECDHE_.. вверху, чтобы обеспечить абсолютную секретность SSL и предотвратить атаку Longjam.
Защита обеспечивает дополнительные уровни для подходов к глубокоэшелонированной защите. Он изменяет поведение продуктов и служб по умолчанию, чтобы сделать их более устойчивыми к несанкционированным изменениям и компрометации.
Причины
Протоколы, наборы шифров и алгоритмы хеширования используются для шифрования сообщений в каждой реализации гибридной идентификации. Как правило, используемые шифры и алгоритмы основаны на согласовании между обоими концами канала связи. Цель состоит в том, чтобы использовать наиболее безопасные протоколы, наборы шифров и алгоритмы хеширования, которые поддерживают обе стороны. Чтобы использовать самые надежные шифры и алгоритмы, важно отключить шифры и алгоритмы, которые вы больше не хотите использовать.
Microsoft рекомендует организациям использовать надежные протоколы, комплекты шифров и алгоритмы хеширования. Что касается Azure Active Directory, они регулярно меняют параметры согласования в своих системах, чтобы избежать понижения стандартов шифрования.
Возможное негативное воздействие (Что может пойти не так?)
Если системы реализации гибридного удостоверения недостаточно защищены, не будет связи между Azure Active Directory и системами реализации и/или между системами реализации гибридного удостоверения.
Это может напрямую повлиять на аутентификацию при использовании служб федерации Active Directory (AD FS) или сквозной аутентификации в качестве метода аутентификации в реализации гибридного удостоверения. Это может привести к снижению функциональности, если в качестве метода аутентификации используется синхронизация хэша паролей (PHS). Кроме того, это может привести к истечению срока действия сертификатов, остановке мониторинга и/или сбою резервного копирования. Это также может означать, что администраторы больше не смогут (удаленно) управлять системами.
При использовании протокола удаленного рабочего стола (RDP) для управления установками Windows Server с реализацией гибридного удостоверения уровень безопасности по умолчанию в RDP установлен на Согласование, которое поддерживает как SSL (TLS 1.0), так и уровень безопасности RDP. Откройте «Конфигурация узла сеансов удаленных рабочих столов» в инструментах администрирования и дважды щелкните RDP-Tcp в группе «Подключения». Если для него установлено значение SSL (TLS 1.0) и вы используете Windows Server 2008, убедитесь, что у вас установлена поддержка TLS 1.1 и 1.2.
Чтобы отключить слабые протоколы, наборы шифров и алгоритмы хеширования в прокси-серверах веб-приложений, серверах AD FS и серверах Windows, на которых работает Azure AD Connect, убедитесь, что соблюдены следующие требования:
Системные требования
Убедитесь, что на всех системах установлены последние накопительные обновления Windows. Также убедитесь, что вы используете последнюю стабильную версию Azure AD Connect.
Требования к правам
Обязательно войдите в систему с помощью учетной записи, имеющей права на создание и/или изменение и связывание объектов групповой политики с организационным подразделением (OU), в котором находятся рассматриваемые системы.
С кем общаться
Если вы собираетесь внести изменения в системы при реализации гибридной идентификации, обязательно сообщите об этом этим людям и/или командам в вашей организации:
- Парни и девушки, занимающиеся балансировкой нагрузки и сетевыми технологиями
- Команда Active Directory
- Люди, ответственные за резервное копирование, восстановление и аварийное восстановление.
- Люди, просматривающие журналы с помощью SIEM и/или решения TSCM.
- Группа мониторинга
Одна из проблем, которую можно легко избежать с помощью коммуникаций, заключается в том, что несколько человек и/или групп вносят изменения в конфигурацию. Когда он ломается, не хочется откатывать кучу изменений, только то, которое его сломало. Убедитесь, что у вас есть подходящие моменты заморозки/разморозки для достижения этой цели.
К методам шифрования относятся:
- Протокол, например PCT, SSL и TLS.
- Метод обмена ключами, такой как ECDHE, DHE и RSA.
- Набор шифров, например AES, MD5, RC4 и 3DES.
Протоколы
Для целей этого поста я буду отключать следующие протоколы:
- РСТ 1.0
- SSL версии 2
- SSL версии 3
- TLS версии 1.0
- TLS 1.1
Примечание:
PCT v1.0 по умолчанию отключен в операционных системах Windows Server.
SSL v2 по умолчанию отключен в Windows Server 2016 и более поздних версиях Windows Server.Наборы шифров и алгоритмы хеширования
Для целей этого поста я буду отключать следующие наборы шифров и алгоритмы хэширования:
- RC2
- RC4
- MD5
- 3DES
- ДЕС
- НОЛЬ
- Все наборы шифров, помеченные как EXPORT.
Примечание.
Наборы шифров NULL не обеспечивают шифрование.Примечание.
Вышеприведенный список представляет собой снимок слабых шифров и алгоритмов, датированный июлем 2019 года. Пожалуйста, обратитесь к документации SSL Labs за фактическими рекомендациями по слабым шифрам и алгоритмам, которые следует отключить в вашей организации.Для целей этого поста я буду придерживаться следующих протоколов, наборов шифров и алгоритмов хеширования в следующем порядке согласования:
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
В этом списке предпочтение отдается наборам шифров, которые обеспечивают совершенную секретность пересылки (PFS) с обменом ключами Диффи-Хеллмана на эллиптической кривой (ECDHE_*).
Поскольку рассматриваемые системы могут относиться или не относиться к доменным службам Active Directory, могут запускать или не запускать Server Core и могут разрешать или не разрешать загрузку сторонних инструментов, но во всех случаях вы можете отключить слабые протоколы с помощью Windows PowerShell с помощью следующие скрипты:
Примечание.
Поскольку SSL v2 отключен и удален из Windows Server 2016 и более поздних версий, а SSL v3 отключен по умолчанию в Windows Server 2016 и более поздних версиях, эти протоколы не нужно отключать в Windows Server. 2016 и более новые версии Windows Server.Включить TLS 1.2
Чтобы включить TLS 1.2, запустите следующий сценарий Windows PowerShell в окне PowerShell с повышенными привилегиями на каждой установке Windows Server в рамках реализации гибридного удостоверения:
Примечание.
Значение реестра DisabledByDefault не означает, что протокол отключен по умолчанию. Это означает, что протокол не объявляется доступным по умолчанию во время переговоров, но доступен по специальному запросу.Новый элемент $SChannelRegPath "\TLS 1.2\Server" -Force
Новый элемент $SChannelRegPath "\TLS 1.2\Client" -Force
New-ItemProperty -Path $SChannelRegPath "\TLS 1.2\Server" `
-Name Enabled -Value 1 -PropertyType DWORDNew-ItemProperty -Path $SChannelRegPath "\TLS 1.2\Server" `
-Name DisabledByDefault -Value 0 -PropertyType DWORDNew-ItemProperty -Path $SChannelRegPath "\TLS 1.2\Client" `
-Name Enabled -Value 1 -PropertyType DWORDNew-ItemProperty -Path $SChannelRegPath "\TLS 1.2\Client" `
-Name DisabledByDefault -Value 0 -PropertyType DWORDNew-ItemProperty -path $RegPath1 `
-name SystemDefaultTlsVersions -value 1 -PropertyType DWORDNew-ItemProperty -path $RegPath1 `
-name SchUseStrongCrypto -value 1 -PropertyType DWORDNew-ItemProperty -path $RegPath2 `
-name SystemDefaultTlsVersions -value 1 -PropertyType DWORDNew-ItemProperty -path $RegPath2 `
-name SchUseStrongCrypto -value 1 -PropertyType DWORDОтключить TLS 1.0 и TLS 1.1
Чтобы отключить TLS 1.0 и TLS 1.1, запустите следующий сценарий Windows PowerShell в том же окне PowerShell с повышенными привилегиями, что и предыдущий сценарий Windows PowerShell, на каждой установке Windows Server в рамках реализации гибридного удостоверения:
Новый элемент $SChannelRegPath -Name "TLS 1.0"
Новый элемент $SChannelRegPath "\TLS 1.0" -Name SERVER
New-ItemProperty -Path $SChannelRegPath "\TLS 1.0\SERVER" `
-Name Enabled -Value 0 -PropertyType DWORDНовый элемент $SChannelRegPath "\TLS 1.1\Server" – принудительно
Новый элемент $SChannelRegPath "\TLS 1.1\Client" — принудительно
New-ItemProperty -Path $SChannelRegPath "\TLS 1.1\Server" `
-Name Enabled -Value 0 -PropertyType DWORDNew-ItemProperty -Path $SChannelRegPath "\TLS 1.1\Server" `
-Name DisabledByDefault -Value 0 -PropertyType DWORDNew-ItemProperty -Path $SChannelRegPath "\TLS 1.1\Client" `
-Name Enabled -Value 0 -PropertyType DWORDNew-ItemProperty -Path $SChannelRegPath "\TLS 1.1\Client" `
-Name DisabledByDefault -Value 0 -PropertyType DWORDПерезапустите сервер после этих изменений конфигурации.
Охватываемые системы могут относиться или не относиться к доменным службам Active Directory, могут запускать или не запускать Server Core и могут разрешать или не разрешать загрузку сторонних инструментов. Во всех случаях вы можете отключить наборы слабых шифров и алгоритмы хеширования, отключив отдельные наборы шифров TLS с помощью Windows PowerShell.
Примечание:
<р> Совет!
Следующие строки PowerShell не изменяют порядок согласования наборов шифров и алгоритмов хеширования. Он просто отключает отдельные комбинации нежелательных наборов шифров и алгоритмов хеширования. Это также избавляет от необходимости следить за комплектами шифров в Windows Server между выпусками версий Windows Server и даже между обновлениями.
Пожалуйста, беспроигрышная ситуация!
Чтобы получить обзор текущего порядка переговоров, используйте следующую строку PowerShell:Get-TlsCipherSuite | Имя таблицы формата
Используйте следующие строки в установках Windows Server 2016, чтобы удалить наборы слабых шифров и алгоритмы хеширования:
<Р> Disable-TlsCipherSuite -Name "TLS_DHE_RSA_WITH_AES_256_CBC_SHA"
Disable-TlsCipherSuite -Name "TLS_DHE_RSA_WITH_AES_128_CBC_SHA"
Disable-TlsCipherSuite -Name "TLS_RSA_WITH_AES_256_GCM_SHA384"
Disable-TlsCipherSuite -Name "TLS_RSA_WITH_AES_128_GCM_SHA256" <бр / > Disable-TlsCipherSuite -Name "TLS_RSA_WITH_AES_256_CBC_SHA256"
Disable-TlsCipherSuite -Name "TLS_RSA_WITH_AES_128_CBC_SHA256"
Disable-TlsCipherSuite -Name "TLS_RSA_WITH_AES_256_CBC_SHA"
Disable-TlsCipherSuite -Name "TLS_RSA_WITH_AES_128_CBC_SHA"
Отключить -TlsCipherSuite -Name "TLS_RSA_WITH_3DES_EDE_CBC_SHA"
Отключить-TlsCipherSuite -Name "TLS_DHE_DSS_WITH_AES_256_CBC_SHA256"
Отключить-TlsCipherSuite -Name "TLS_DHE_DSS_WITH_AES_128_CBC_SHA256"
Отключить-TlsCipherSuite -Name "TLS_DHE_DSS_WITH_AES_256_CBC_SHA"
Отключить-TlsCipherSuite -Name " TLS_DHE_DSS_WITH_AES_128_CBC_SHA "
Disable-TlsCipherSuite -Name " TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA "
Disable-TlsCipherSuite -Name " TLS_RSA_WITH_RC4_128_SHA "
Disable-TlsCipherSuite -Name " TLS_RSA_WITH_RC4_128_MD5 "
Disable-TlsCipherSuite -Name " TLS_RSA_WITH_NULL_SHA256 "
Disable-TlsCipherSuite -Name " TLS_NULL_SHA256 " Disable-TlsCipherSuite -Name "TLS_PSK_WITH_AES_256_GCM_SHA384"
Disable-TlsCipherSuite -Name "TLS_PSK_WITH_AES_128_GCM_SHA256"
Disable-TlsCipherSuite -Name "TLS_PSK_WITH_AES_256_CBC_SHA384"
Disable-TlsCipherSuite -Name "TLS_PSK_WITH_AES_128_CBC_SHA256"
Disable- TlsCipherSuite -Name " TLS_PSK_WITH_NULL_SHA384 "
Disable-TlsCipherSuite -Name " TLS_PSK_WITH_NULL_SHA256 "После закалки пришло время протестировать закалку. Каждый должен подписать (не буквально, если это не процедура) правильную работу серверов Windows, на которых работает Azure AD Connect. Аутентификация в облачных приложениях все еще работает? Пролонгация сертификата все еще работает? Мониторинг еще работает? Можем ли мы все еще делать резервные копии? Можем ли мы восстановить сделанные нами резервные копии?
Обычно защита развертывается на одном сервере Windows. При тестировании усиления функциональности балансировщика нагрузки убедитесь, что балансировщик нагрузки указывает на усиленную систему, а не на другую. В среде с установкой Azure AD Connect в промежуточном режиме усиление защиты можно выполнить в этой установке Windows Server и протестировать с помощью циклов синхронизации в обычном промежуточном режиме (только импорт). Когда усиление защиты утверждено, активно синхронизирующаяся установка Azure AD Connect также может быть переключена или усилена.
Примечание:
Изменения в реестре — это шаг 2 из двух, направленных на укрепление протоколов, наборов шифров и алгоритмов хеширования реализации гибридной идентификации. Убедитесь, что Azure AD Connect принудительно использует TLS 1.2 только на серверах Windows с Azure AD Connect перед тестированием.Откат усиления
Чтобы отменить усиление, используйте следующие строки Windows PowerShell:
Remove-Item — имя «TLS 1.0» — путь $SChannelRegPath
<Р> Enable-TlsCipherSuite -Name "TLS_DHE_RSA_WITH_AES_256_CBC_SHA"
Remove-Item — имя «TLS 1.1» — путь $SChannelRegPath
Remove-Item — имя «TLS 1.2» — путь $SChannelRegPath
En трудоспособного TlsCipherSuite -Name "TLS_DHE_RSA_WITH_AES_128_CBC_SHA"
En трудоспособного TlsCipherSuite -Name "TLS_RSA_WITH_AES_256_GCM_SHA384"
En умелого-TlsCipherSuite -Name "TLS_RSA_WITH_AES_128_GCM_SHA256"
Enable-TlsCipherSuite -Name " TLS_RSA_WITH_AES_256_CBC_SHA256 "
Enable-TlsCipherSuite -Name " TLS_RSA_WITH_AES_128_CBC_SHA256 "
Enable-TlsCipherSuite -Name " TLS_RSA_WITH_AES_256_CBC_SHA" TLS_RSA_WITH_AES_128_CBC_SHA "
En трудоспособный TlsCipherSuite -Name" TLS_RSA_WITH_3DES_EDE_CBC_SHA "
En трудоспособного TlsCipherSuite -Name" TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 "
En умелого-TlsCipherSuite -name" TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 "
En трудоспособный TlsCipherSuite - Имя "TLS_DHE_DSS_WITH_AES_256_CBC_SHA"
Enable-TlsCipherSuite -Name "TLS_DHE_DSS_WITH_AES_128_CBC_SHA"
Enable-TlsCipherSuite -Name "TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA"
>Enable-TlsCipherSuite -Name " TLS_RSA_WITH_RC4_128_SHA "
Enable-TlsCipherSuite -Name " TLS_RSA_WITH_RC4_128_MD5 "
Enable-TlsCipherSuite -Name " TLS_RSA_WITH_NULL_SHA256 "
Enable-TlsCipherSuite -Name " TLS_NULL_SHA256 " бр /> En трудоспособного TlsCipherSuite -Name "TLS_PSK_WITH_AES_256_GCM_SHA384"
En трудоспособного TlsCipherSuite -Name "TLS_PSK_WITH_AES_128_GCM_SHA256"
En трудоспособного TlsCipherSuite -Name "TLS_PSK_WITH_AES_256_CBC_SHA384"
En трудоспособного TlsCipherSuite -Name "TLS_PSK_WITH_AES_128_CBC_SHA256 "
Enable-TlsCipherSuite -Name " TLS_PSK_WITH_NULL_SHA384 "
Enable-TlsCipherSuite -Name " TLS_PSK_WITH_NULL_SHA256 "Избавьтесь от старых протоколов, наборов шифров и алгоритмов хеширования в вашей реализации гибридной идентификации, чтобы их нельзя было использовать для согласования безопасности соединений.
Читайте также: