Cách vô hiệu hóa SSL 2.0 và SSL 3.0 trên IIS 7

  1. Tác giả: LTTK CTV21
    Đánh giá: ✪ ✪ ✪ ✪ ✪

    Một số phiên bản Windows Server (bao gồm Windows Server 2008 sử dụng IIS 7) kích hoạt SSL 2.0SSL 3.0 theo mặc định. Tuy nhiên đây là các giao thức không an toàn, và nếu không vô hiệu hóa các giao thức này, bạn sẽ bị thất bại khi quét PCI Compliance. Trong bài viết này TEZ sẽ hướng dẫn bạn cách vô hiệu hóa SSL 2.0 và SSL 3.0 trên IIS 7.
    Để đảm bảo an toàn cho máy chủ và để đảm bản bạn có thể thực hiện quét PCI-DSS, chỉ cần vô hiệu hóa SSL 2.0 và SSL 3.0 trên IIS 7 loại bỏ chứng chỉ SSL cũng như các giao thức mật mã kém đi. Các thuật toán khác cũng không an toàn và các thuật toán hiện tại có thể không được sử dụng trong tương lai.
    Sử Dụng GUI Để Vô Hiệu Hóa SSL 2.0 Và SSL 3.0
    Cách đơn giản nhất để vô hiệu hóa các giao thức và mật mã không an toàn là sử dụng GUI. Vì lý do Windows không cung cấp giao diện như vậy, nên bạn sẽ phải sử dụng các công cụ như IIS Crypto của Nartac để vô hiệu hóa các giao thức không an toàn.

    [​IMG]
    Vô Hiệu Hóa SSL 2.0 Và SSL 3.0 Theo Cách Thủ Công
    Để vô hiệu hóa SSL 2.0 và SSL 3.0 trên IIS 7 the cách thủ công và đảm bảo các giao thức TLS được sử dụng, bạn thực hiện theo các bước dưới đây:
    Bước 1: Click chọn Start =>Run, sau đó nhập regedit vào cửa sổ lệnh Run rồi nhấn Enter hoặc click chọn OK để mở Registry Editor.
    Bước 2: Trên cửa sổ Registry Editor, bạn điều hướng theo key dưới đây:
    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
    Bước 3: Kích chuột phải vào thư mục SSL 2.0, chọn New => Key. Đặt tên cho thư mục mới này là Server.
    Bước 4: Trong thư mục Server, click chọn menu Edit, chọn New =>DWORD (32-bit) Value.
    Bước 5: Đặt tên DWORD (32-bit) Value mới này là Enabled rồi nhấn Enter.
    Bước 6: Đảm bảo giá trị của value mới này được thiết lập và hiển thị trong cột Data là 0x00000000 (0). Nếu không, kích chuột phải vào value, chọn Modify và thiết lập giá trị trong khung Value data là 0.
    Bước 7: Tiếp theo vô hiệu hóa SSL 3.0, kích chuột phải vào thư mục SSL 3.0, chọn New =>Key. Đặt tên cho thư mục mới là Server.
    Bước 8: Trong thư mục Server, click chọn menu Edit, chọn New =>DWORD (32-bit) Value.
    Bước 9: Đặt tên DWORD (32-bit) Value mới này là Enabled rồi nhấn Enter.
    Bước 10: Đảm bảo giá trị của value mới này được thiết lập và hiển thị trong cột Data 0x00000000 (0). Nếu không, kích chuột phải vào value, chọn Modify và thiết lập giá trị trong khung Value data là 0
    Bước 11: Khởi động lại máy tính của bạn.
    Bước 12: Kiểm tra lại để xác nhận không có mã nhị phân SSL 2.0 hoặc SSL 3.0 nào có sẵn tại ServerSniff.nethoặc Public SSL Server Database.

    [​IMG]
    Lưu ý: Về cơ bản cách vô hiệu hóa SSL 2.0 và 3.0 trên IIS 7 tương tự như trên IIS 6 (Windows Server 2003). Thông thường key Server trong SSL 2.0 đã được tạo sẵn, nhiệm vụ của bạn chỉ cần tạo một value DWORD trong key Server và đặt tên value mới này là Enabled.
    Vô Hiệu Hóa Các Giao Thức Mật Mã Kém Trên IIS 7.0
    Ngoài vô hiệu hóa SSL 2.0 và SSL 3.0, bạn có thể vô hiệu hóa các giao thức mật mã kém khác bằng cách tinh chỉnh Registry. Để thực hiện quá trình này nhanh hơn, bạn sao chép và dán đoạn mã dưới đây vào file text, lưu file dưới tên là disableWeakCiphers.reg và kích đúp chuột vào file là xong:
    Mã (Text):
    1. Windows Registry Editor Version 5.00
    2. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]
    3. "Enabled"=dword:00000000
    4. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]
    5. "Enabled"=dword:00000000
    6. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]
    7. "Enabled"=dword:00000000
    8. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]
    9. "Enabled"=dword:00000000
    10. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
    11. "Enabled"=dword:00000000
    12. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
    13. "Enabled"=dword:00000000
    14. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]
    15. "Enabled"=dword:00000000
    16. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]
    17. "Enabled"=dword:00000000
    18. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
    19. "Enabled"=dword:00000000
    20. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
    21. "Enabled"=dword:00000000
    22. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
    23. "DisabledByDefault"=dword:00000001
    Trên đây là cách vô hiệu hóa SSL 2.0 và SSL 3.0 trên IIS 7. Bằng cách vô hiệu hóa các giao thức không an toàn này, máy chủ của bạn sẽ được bảo vệ an toàn.
     

    Xem các chủ đề cùng chuyên mục

    LTTK CTV21, 6/7/18
    #1