Найти в Дзене
Лаборатория сисадмина
7407 подписчиков

Windows Server — настройка TLS

231
3 мин
TLS — это критически важный протокол безопасности транспортного уровня, который используется для шифрования связи между клиентами и серверами. На данный момент рекомендуемыми протоколами на Windows Server являются TLS 1.2 и TLS 1.3. TLS 1.1, TLS 1.0, SSL 3.0 и более ранние протоколы следует отключить из-за их слабой безопасности. В них есть ряд известных уязвимостей, которыми могут воспользоваться злоумышленники. Например: Изначала протоколы безопасности настраиваются через реестр. Всё необходимое можно найти здесь: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols Здесь осуществляется включение и отключение протоколов для Schannel.dll, как клиентских, так и серверных. Для каждого протокола своя ветка. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers Список и порядок просмотра наборов шифрования (чиперов). HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp В параметре Defaul

TLS — это критически важный протокол безопасности транспортного уровня, который используется для шифрования связи между клиентами и серверами. На данный момент рекомендуемыми протоколами на Windows Server являются TLS 1.2 и TLS 1.3.

TLS 1.1, TLS 1.0, SSL 3.0 и более ранние протоколы следует отключить из-за их слабой безопасности. В них есть ряд известных уязвимостей, которыми могут воспользоваться злоумышленники. Например:

  • POODLE (Padding Oracle On Downgraded Legacy Encryption)
  • BEAST (Browser Exploit Against SSL/TLS)
  • CRIME (Compression Ratio Info-leak Made Easy)
  • FREAK (Factoring Attack on RSA-EXPORT Keys)
  • LOGJAM (Diffie-Hellman Key Exchange Weakness)

Изначала протоколы безопасности настраиваются через реестр. Всё необходимое можно найти здесь:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Здесь осуществляется включение и отключение протоколов для Schannel.dll, как клиентских, так и серверных. Для каждого протокола своя ветка.

-2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers

Список и порядок просмотра наборов шифрования (чиперов).

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp

В параметре DefaultSecureProtocols настраиваются протоколы для приложений на WinHttp API.

HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Cryptography\ECCParameters

Настройка эллиптических кривых.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\MD5

Отключение MD5 шифрования.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

Настройка размера пула потоков для TLS рукопожатий в HTTP.SYS.

Управление протоколами описано в документации:

https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/operations/manage-ssl-protocols-in-ad-fs

Пример:

Включить TLS 1.0

  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server] "Enabled"=dword:00000001
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server] "DisabledByDefault"=dword:00000000
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client] "Enabled"=dword:00000001
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client] "DisabledByDefault"=dword:00000000

Отключить TLS 1.0

  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server] "Enabled"=dword:00000000
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server] "DisabledByDefault"=dword:00000001
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client] "Enabled"=dword:00000000
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client] "DisabledByDefault"=dword:00000001

Включить TLS 1.1

  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server] "Enabled"=dword:00000001
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server] "DisabledByDefault"=dword:00000000
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client] "Enabled"=dword:00000001
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client] "DisabledByDefault"=dword:00000000

Отключить TLS 1.1

  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server] "Enabled"=dword:00000000
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server] "DisabledByDefault"=dword:00000001
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client] "Enabled"=dword:00000000
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client] "DisabledByDefault"=dword:00000001

Если лень работать руками можно воспользоваться бесплатной утилитой IIS Crypto:

https://www.nartac.com/Products/IISCrypto/Download

Добавил в сборку для системного администратора.

-3

Если нужно настроить через групповые политики, то придётся использовать политику реестра, специальных настроек для TLS в GPO нет.

Источник:

internet-lab.ru
Windows Server — настройка TLS | internet-lab.ru

💰 Поддержать проект

Если вам понравилась статья, то ставьте 👍🏻 каналу. Пишите комментарии, задавайте вопросы, подписывайтесь.

1
Гаджеты и электроника
5,73 млн интересуются