停用不安全的TLS版本
最近不論內部或外部,慢慢都能看到停用TLS的資訊。順手整理一下相關資訊,以利未來要作業時可能參考。
請先參考黑大及官方文件:
第一篇一定要注意,不要搞到設定之後連RDP都連不進伺服器就好笑了。
IISCrypto工具
IISCrypto是修改TLS設定的不二人選。
透過PowerShell下載回來之後,
[System.Net.ServicePointManager]::SecurityProtocol = "tls12"
Invoke-WebRequest -Uri https://www.nartac.com/Downloads/IISCrypto/IISCrypto.exe -OutFile .\IISCrypto.exe
按一下「Best Practices」,它會提醒要重開機,設定才會生效。
它也有提供CLI版本:
[System.Net.ServicePointManager]::SecurityProtocol = "tls12"
Invoke-WebRequest -Uri https://www.nartac.com/Downloads/IISCrypto/IISCryptoCli.exe -OutFile .\IISCryptoCli.exe
透過CLI快速修改:
iiscryptocli /backup backup.reg /template best /reboot
在template套用best會得到和GUI一樣的結果。
Best Practices TLS 1.0
注意,IISCrypto預設的Best Practices並沒有停用TLS 1.0,官方的FAQ有提供說明。也就是黑大第一篇提到的要有一些配套之後,確認好了之後,再去調整停用TLS 1.0。
沒有留言:
張貼留言
感謝您的留言,如果我的文章你喜歡或對你有幫助,按個「讚」或「分享」它,我會很高興的。