Windows Serverの暗号化TLS1.0/1.1 を無効化

EC2,OperatingSystem,WindowsServer,セキュリティ関連

Windows Server セキュリティ強化: TLS1.0/1.1を無効化する

前提条件

  • Windows Server のセキュリティ強化の設定を紹介します。
  • TLS(Transport Layer Security)の旧バージョンであるTLS 1.0/ TLS 1.1を無効化し、旧バージョンの脆弱性から回避します。(例:TLS 1.0 において脅威となった CBC モードの脆弱性を利用した攻撃 (BEAST 攻撃等) は、TLS 1.1以降ではあらかじめ対策を組み込むなど対策がされています)
  • Windows Server 2012 R2 のスクリーンショットを使用した例となります。

設定手順

  • ファイル名を指定して実行から「regedit」と入力し、レジストリ エディターを開きます。
  • 以下のレジストリパスを展開します。
    • コンピューター\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
   
  • Protocols内にて、右クリックの新規 ⇒ Key より、以下のキーを作成します(スペースに注意)。各TLS 1.0/1.1内にServer のキーを作成します。
    • TLS 1.0
    • TLS 1.0/Server
    • TLS 1.1
    • TLS 1.1/Server
   
  • TLS 1.0/Server、TLS 1.1/Server内にて、右クリックの新規 ⇒ DWORD より、以下のエントリを作成します。DWORD の値は0(デフォルト)にします。
    • Enabled
   
  • 変更後、OSを再起動します。