Ako zakázať SSL 2.0 v IIS 7

Z nejakého dôvodu, Windows Server 2008 pomocou IIS 7 umožňuje SSL 2.0 v predvolenom nastavení. Bohužiaľ, to znamená, že neprejdete „ PCI Compliance scan“  v predvolenom nastavení. Ak chcete správne zabezpečiť váš server a uistiť sa, že prejdete váš  „PCI-DSS scans“, budete musieť zakázať SSL 2.0 a zakázať slabé šifry. Aby bolo možné zakázať SSL 2.0 v IIS 7 uistite sa, že je používaný  silnejší SSL 3.0 alebo TLS 1.0, postupujte podľa nasledujúcich pokynov:
1. Kliknite na tlačidlo „Start”, na príkaz „Run”, zadajte príkaz „regedit“ a kliknite na tlačidlo OK.

2. V Editore databázy Registry vyhľadajte nasledujúci kľúč databázy Registry / zložky:
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ SecurityProviders \ Schannel \ Protocols \ SSL 2.0

3. Kliknite pravým tlačidlom myši na priečinok, SSL 2.0 a vyberte položku „New” a kliknite na „Key”. Pomenujte novú zložku Server.

4. Vnútri zložky  Server, kliknite „Edit menu”, vyberte „New” a potom kliknite na položku „DWORD (32-bit) Value“.

5. Zadajte „Enabled” ako meno a stlačte Enter.

6. Uistite sa, že to ukazuje, 0×00000000 (0) v stĺpci „Data“ (to by malo v predvolenom nastavení). Ak tomu tak nie je, kliknite pravým tlačidlom myši a vyberte „Modify” a zadajte 0 ako hodnotu dát.

7. Reštartujte počítač.

8. Overte, že žiadne SSL 2.0 šifry nie sú k dispozícii na „ServerSniff.net“  alebo „Public SSL Server Database”

Disable SSL 2.0 in IIS inside the registry editor

Poznámka: Tento proces je v podstate rovnaký na IIS 6 (Windows Server 2003) zariadení. Obvykle je „Server key” v SSL 2.0 už vytvorený, takže sa stačí vytvoriť novú hodnotu DWORD, a pomenovať ju „Enabled“.
Pre viac informácií, čítajte v článku „Microsoft Knowledge Base“, ako vypnúť SSL 2.0 a ďalšie protokoly v IIS 7. “article on how to disable SSL 2.0 and other protocols in IIS 7.”

Zakázať slabé šifry v  IIS 7.0

Okrem zakázania SSL 2.0, môžete zakázať niektoré slabé šifry úpravou registra rovnakým spôsobom. Pre urýchlenie procesu môžete vložiť nasledujúce do textového súboru a pomenovať ho „disableWeakCiphers.reg“, potom na neho dvakrát kliknite.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"Enabled"=dword:00000000

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *

*

Môžete použiť tieto HTML značky a atribúty: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>