Отключение протоколов PCT 1.0, SSL 2.0, SSL 3.0 и TLS 1.0 в службах IIS


Всем пользователям настоятельно рекомендуется обновить службы IIS в Microsoft Windows Server 2008 до версии 7.0. Службы IIS 7.0 существенно укрепляют безопасность веб-инфраструктуры. Дополнительные сведения по темам, связанным с безопасностью IIS, см. на веб-сайте корпорации Майкрософт:Дополнительные сведения по IIS 7.0 см. на веб-сайте Майкрософт:

Аннотация


Для подключения к указанным ниже системам можно использовать протокол HTTPS.
  • Сервер IIS 3.0 или более поздней версии.
  • Службы IIS 5.0 или более поздней версии.
При подключении клиент и сервер обмениваются данными по общему протоколу, чтобы защитить канал связи. Если у клиента и сервера имеется несколько общих протоколов, сервер IIS пытается защитить обмен данными с помощью одного из них. Протоколы пробуются в указанном ниже порядке.
  1. PCT 1.0
  2. SSL 3.0
  3. SSL 2.0
В некоторых случаях может потребоваться отключить какие-либо из этих протоколов. Для этого необходимо внести изменения в реестр.

Примечание. В системе Windows Server 2008 протокол PCT 1.0 изменить нельзя. Перезапускать сервер в этой системе не требуется.

Дополнительная информация


Сервер Microsoft Windows NT Server хранит сведения о различных поддерживаемых протоколах передачи данных с повышенной безопасностью в следующем разделе реестра:

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols

Обычно этот раздел содержит следующие подразделы:
  • PCT 1.0;
  • SSL 2.0;
  • SSL 3.0;
  • TLS 1.0.
Каждый подраздел содержит сведения о соответствующем протоколе. На сервере можно отключить любой из этих протоколов. Для этого в подразделе сервера, соответствующем нужному протоколу, необходимо создать параметр DWORD Установить значение DWORD на "00 00 00 00."


Примечание. По умолчанию в системе Microsoft Windows Server 2003 протокол PCT отключен.


Решение 


Внимание! В этом разделе, описании метода или задачи содержатся сведения о внесении изменений в реестр. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует точно выполнять следующие инструкции. В качестве дополнительной защитной меры перед изменением реестра необходимо создать его резервную копию. Это позволит восстановить реестр в случае возникновения проблем. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт:
322756 Как создать резервную копию и восстановить реестр в Windows

Сведения об изменении реестра см. в разделе "Изменение разделов и параметров" справки редактора реестра. Также см. разделы "Добавление и удаление сведений из реестра" и "Изменение данных в реестре".
Чтобы отключить протокол PCT 1.0 и запретить его использование службами IIS для обмена данными, выполните указанные ниже действия.

  1. Откройте меню Пуск, выберите пункт Выполнить, введите regedt32 или regedit и нажмите кнопку OK.
  2. В редакторе реестра найдите следующий раздел:

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols\PCT 1.0\Server
  3. В меню Правка выберите пункт Добавить значение.
  4. В списке Тип данных выберите элемент DWORD.
  5. Введите Включено в поле Имя значения и нажмите кнопку OK.


    Примечание. Если это значение уже существует, дважды щелкните его для изменения текущего значения.
  6. В редакторе двоичных данных введите 00000000, чтобы присвоить новому параметру значение 0.
  7. Нажмите кнопку ОК. Перезагрузите компьютер.

Ссылки


Дополнительные сведения см. в приведенной ниже статье базы знаний Майкрософт.

245030 Ограничение использования некоторых криптографических алгоритмов и протоколов в библиотеке Schannel.dll