1.停用SSLv2、SSLv3協定
2.停用RC4演算加密
3.設定使用TLS 1.2
4.修改TLS的Diffie-Hellman質數至2048bits以上
OS:Windows Server 2008 R2 64bit
停用SSLv2、SSLv3協定
1.使用regedit修改機碼內容,找到以下路徑[HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols]
2.在路徑下確認有[SSL 2.0]與[SSL 3.0]等機碼存在,如沒有請用右鍵新增。
3.在[SSL 2.0]與[SSL 3.0]路徑下確認皆有[Client]與[Server]機碼存在,如沒有請用右鍵新增。
4.在[SSL 2.0]與[SSL 3.0]下的[Server]中,新增DWORD命名為Enabled,且設定值為0。
5.在[SSL 2.0]與[SSL 3.0]下的[Client]中,新增DWORD命名為DisabledByDefault,且設定值為1。
停用RC4演算加密
1.使用regedit修改機碼內容,找到以下路徑[HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Ciphers]
2.在路徑下確認有[RC4 128/128]、[RC4 40/128]、[RC4 56/128]機碼存在,如沒有請用右鍵新增。
3.在[RC4 128/128]、[RC4 40/128]、[RC4 56/128]中,皆新增DWORD命名為Enabled,且設定值為0。
設定使用TLS 1.2
1.使用regedit修改機碼內容,找到以下路徑[HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols]
2.在路徑下確認有[TLS 1.2]機碼存在,如沒有請用右鍵新增。
3.在[TLS 1.2]路徑下確認皆有[Client]與[Server]機碼存在,如沒有請用右鍵新增。
4.在[TLS 1.2]下的[Server]與[Client]中,新增DWORD命名為Enabled,且設定值為1。
5.在[TLS 1.2]下的[Server]與[Client]中,新增DWORD命名為DisabledByDefault,且設定值為0。修改TLS的Diffie-Hellman質數
1.使用regedit修改機碼內容,找到以下路徑[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms]
2.在路徑下確認有[Diffie-Hellman]機碼存在,如沒有請用右鍵新增。
3.在[Diffie-Hellman]中,新增DWORD命名為ServerMinKeyBitLength,且設定值為800。
完成上述設定請重新開機。
使用SSL LABs進行結果驗證
https://www.ssllabs.com/ssltest/index.html
沒有留言:
張貼留言