▽概要
・WindowsServer2016でサーバ構築している
・そのサーバはインターネット公開している
・そのサーバの脆弱性診断をしてみたらTLS1.0/1.1が有効になっているので無効化させたい
ということで、TLS1.0/1.1を無効化させてみました。
TLS1.0/1.1は非推奨なので、無効化させないとですね…
▽内容
レジストリエディターより下記の値を設定する
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS1.0
"Enabled"=dword:00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS1.1
"Enabled"=dword:00000000
レジストリ エディターの起動は、
ファイル名を指定して実行>「regedit」を入力で起動できます
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS1.1\Server
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS1.1\Client
最後に「Server」や「Client」をつけると、
対象の端末が「サーバとして」や「クライアントとして」の個別にTLS通信を制限できるようです。
▽確認方法
インターネットからアクセスできるサーバの場合は、SSL Server Testとかから確認できます。
上記のような確認サイトから、TLS1.0/1.1が無効になっていることを確認できればOK👍
▽やってみた感想
昔別の組織に所属している際、サーバ構築を結構やっていたのですが、
構築作業の中で、今回やった設定を無意識(=ほぼ意味を考えず)に実施してました。
今回脆弱性診断を通じて、TLS1.0/1.1の無効化方法をググっていたら、
この手順が出て「ああ、なるほど、これはそういう意味だったんか…」ってなりました。
きっと昔の先輩たちが同じように考え、手順を確立させていたのか。という思い出に浸りました。