windows服务器 启用 TLS 1.0 ,1.1漏洞问题修复记录
测试对象:
windows server2016 或2019
IIS,sqlserver2014
布署的网站启https 证书绑定
安全检查有漏洞 启用 TLS 1.0 高危 ,1.1漏洞中危问题修复记录
SSL/TLS 的版本
| 协议 | 发布时间 | 状态 |
|---|---|---|
| SSL 1.0 | 未公布 | 未公布 |
| SSL 2.0 | 1995 年 | 已于 2011 年弃用 |
| SSL 3.0 | 1996 年 | 已于 2015 年弃用 |
| TLS 1.0 | 1999 年 | 计划于 2020 年弃用 |
| TLS 1.1 | 2006 年 | 计划于 2020 年弃用 |
| TLS 1.2 | 2008 年 | |
| TLS 1.3 | 2018 年 |
IISCrypto
https://www.nartac.com/Products/IISCrypto/Download
IIS Crypto 是一个免费工具,使管理员能够在 Windows Server 2008、2012、2016、2019 和 2022 上启用或禁用协议、密码、哈希和密钥交换算法。它还允许您重新排序 IIS 提供的 SSL/TLS 密码套件、更改高级设置、通过单击实施最佳实践、创建自定义模板和测试您的网站。
勾选对应的1.2,取消掉1.0,1.1点击Apply 重启服务器(sqlserver是连接不上的会提示错误的,要安装sqlserver对应的补丁 才支持TLS1.2)
对应的注册表会有相应的变化
手动修改注册表
路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
如果未在protocol的路径下发现TLS1.2,TLS1.1,TLS1.0,则需要我们先手动创建 New-->Key
同时如果该项下找不到 client项和server项,则需要我们手动新建
在新建的Server和Client中都新建如下的项(DWORD 32位值)
DisabledByDefault [Value = 0]
Enabled [Value = 1]
关闭的TLS1.1和1.0直接enabled的值修改为0就行了
在环境中启用对 TLS 1.2 的支持,Microsoft Entra TLS 1.1 和 1.0 弃用
2, sql server2014 需要打补丁 SQLServer2014-KB3158271-x64
Download Microsoft® SQL Server® 2014 RTM 最新累积更新 from Official Microsoft Download Center SQLServer2014-KB3158271-x64.exe(默认安装后不需要重启)
KB3135769-修复:在启用了 TLS 1.2 的服务器上安装 SQL Server 2012 或 SQL Server 2014 时出错 - Microsoft 支持
