Отключение протоколов PCT 1.0, SSL 2.0, SSL 3.0 и TLS 1.0 в службах IIS

Код статьи: 187498 - Список продуктов, к которым относится данная статья.
Всем пользователям настоятельно рекомендуется использовать в системе Microsoft Windows Server 2008 службы IIS 7.0 Они существенно повышают безопасность веб-инфраструктуры. Дополнительные сведения о вопросах, связанных с безопасностью служб IIS, см. на веб-сайте корпорации Майкрософт по следующему адресу:
http://technet.microsoft.com/ru-ru/library/dd450371(WS.10).aspx
(http://technet.microsoft.com/ru-ru/library/dd450371(WS.10).aspx)
Дополнительные сведения о службах IIS 7.0 см. на веб-сайте корпорации Майкрософт по следующему адресу:
http://www.iis.net/
(http://www.iis.net/)
Развернуть все | Свернуть все

Аннотация

Для подключения к указанным ниже системам можно использовать протокол HTTPS.
  • Сервер IIS 3.0 или более поздней версии.
  • Службы IIS 5.0 или более поздней версии.
При подключении клиент и сервер обмениваются данными по общему протоколу, чтобы защитить канал связи. Если у клиента и сервера имеется несколько общих протоколов, сервер IIS пытается защитить обмен данными с помощью одного из них. Протоколы пробуются в указанном ниже порядке.
  1. PCT 1.0
  2. SSL 3.0
  3. SSL 2.0
В некоторых случаях может потребоваться отключить какие-либо из этих протоколов. Для этого необходимо внести изменения в реестр.

Примечание. В системе Windows Server 2008 протокол PCT 1.0 изменить нельзя. Перезапускать сервер в этой системе не требуется.
Перейти к началу страницы | Отправить отзыв

Дополнительная информация

Сервер Microsoft Windows NT Server хранит сведения о различных поддерживаемых протоколах передачи данных с повышенной безопасностью в следующем разделе реестра:

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols


Обычно этот раздел содержит следующие подразделы:
  • PCT 1.0;
  • SSL 2.0;
  • SSL 3.0;
  • TLS 1.0.
Каждый подраздел содержит сведения о соответствующем протоколе. На сервере можно отключить любой из этих протоколов. Для этого в подразделе сервера, соответствующем нужному протоколу, необходимо создать параметр
DWORD
и присвоить ему значение "00 00 00 00".

Примечание. По умолчанию в системе Microsoft Windows Server 2003 протокол PCT отключен.

Важно! В данный раздел, описание метода или задачи включены сведения об изменении параметров реестра. Однако их неправильное изменение может привести к возникновению серьезных проблем. Поэтому при выполнении этих действий рекомендуется строго соблюдать инструкции. Чтобы обеспечить дополнительную защиту, создайте резервную копию реестра. В этом случае при возникновении неполадок реестр можно будет восстановить. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт:
322756
(http://support.microsoft.com/kb/322756/ )
Создание резервной копии и восстановление реестра Windows XP


Сведения об изменении реестра см. в разделе "Изменение разделов и параметров" справки редактора реестра. Также см. разделы "Добавление и удаление сведений из реестра" и "Изменение данных в реестре".

Если для отключения протокола PCT 1.0, SSL 2.0, SSL 3.0 или TLS 1.0 требуется помощь, перейдите к разделу Помощь в решении проблемы. Чтобы устранить проблему самостоятельно, перейдите к разделу Самостоятельное решение проблемы.

Помощь в решении проблемы



Чтобы устранить проблему в автоматическом режиме, нажмите кнопку Устранить проблему или щелкните одноименную ссылку. В диалоговом окне Загрузка файла нажмите кнопку Выполнить и следуйте инструкциям мастера устранения проблем.


Устранить проблему
Microsoft Fix it 50495


Примечания
  • Мастер может быть доступен только на английском языке. Однако функцию автоматического исправления можно использовать в версиях Windows на любых языках.
  • Решение Microsoft Fix it можно загрузить на любой компьютер, а затем сохранить на устройстве флэш-памяти или компакт-диске и запустить в нужной системе.

Перейдите к разделу Проблема устранена?



Самостоятельное решение проблемы



Чтобы отключить протокол PCT 1.0 и запретить его использование службами IIS для обмена данными, выполните указанные ниже действия.

  1. Откройте меню Пуск, выберите пункт Выполнить, введите regedt32 или regedit и нажмите кнопку ОК.
  2. В редакторе реестра найдите следующий раздел:

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols\PCT 1.0\Server
  3. В меню Правка выберите пункт Добавить параметр.
  4. В списке Тип данных выберите элемент DWORD.
  5. Введите значение Enabled в поле Имя параметра и нажмите кнопку ОК.

    Примечание. Если указанный параметр уже существует, дважды щелкните его для изменения текущего значения.
  6. В редакторе двоичных данных введите 00000000, чтобы присвоить новому параметру значение 0.
  7. Нажмите кнопку ОК. Перезагрузите компьютер.

Проблема устранена?

  • Проверьте, устранена ли проблема. Если да, пропустите дальнейшие инструкции, приведенные в этом разделе. Если устранить проблему не удалось, обратитесь в службу поддержки
    (http://support.microsoft.com/contactus)
    .
  • Мы ценим ваши замечания. Чтобы оставить отзыв или сообщить о проблемах, связанных с этим решением, добавьте комментарий в блог "Помощь в решении проблемы
    (http://blogs.technet.com/fixit4me/)
    " или отправьте нам сообщение по электронной почте
    (mailto:fixit4me@microsoft.com?Subject=KB)
    .
Перейти к началу страницы | Отправить отзыв

Ссылки

Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
245030
(http://support.microsoft.com/kb/245030/ )
Ограничение использования некоторых криптографических алгоритмов и протоколов в библиотеке Schannel.dll



Перейти к началу страницы | Отправить отзыв

Свойства

Код статьи: 187498 - Последнее изменение :: 22 сентября 2011 г. - Редакция: 2.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Internet Information Server 3.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 7.0
Ключевые слова: 
kbhowto kbmsifixme kbfixme KB187498
Перейти к началу страницы | Отправить отзыв

Отправить отзыв

 
Перейти к началу страницыПерейти к началу страницы