Security

Windows Sunucularda TLS 1.0 ve TLS 1.1 Devre Dışı Bırakma

Serdar Bayram26 Ocak 2021
2 3.242 1 dakika okuma süresi
Windows Sunucularda TLS 1.0 ve TLS 1.1 Devre Dışı Bırakma 1

Translate This Page:

Select your language: 

Bu makalede web yayını yaptığımız platformlarımızın ssl ve tls güvenlik seviyesini kontrol etmemize yarayarak bir skorlama yapan  https://www.ssllabs.com/ssltest adresinin genel olarak verdiği SSL/TLS uyarılarını nasıl gidereceğimizi göreceğiz ve kısaca Windows Sunucularda TLS 1.0 ve TLS 1.1 Devre Dışı Bırakma adımlarını inceliyor olacağız.  Ben test amaçlı yayınladığım https://test.sistemcheck.com adresi üzerinde bu kontrolleri yapıyor olacağım. Aşağıdaki çıktıda görüleceği üzere sistem bana RC4 protokolü ve TLS1.0 – TLS1.1 protokollerini detaylarına girdiğinizde disable etmem gerektiğini söylüyor.


Windows Sunucularda TLS 1.0 ve TLS 1.1 Devre Dışı Bırakma 2

Aşağıdaki bölüme indiğinizde bu bölümlerin sarı olduğunu görebilirsiniz Web sunucumuzda yapmamız gereken işlem TLS 1.1 ve TLS 1.0 ı disable ederek bu alanları No yapmak.

Windows Sunucularda TLS 1.0 ve TLS 1.1 Devre Dışı Bırakma 3

SSL Güvenliği için Registry configurasyonu

Aşağıda kod bölümünde vermiş olduğum kayıtları bir “security_enable.txt” adında bir notepad e kayıt edin ve sonundaki .txt uzantısını silerek uzantıyı .reg yapın dosyamızın adı security_enable.reg olacak.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"Enabled"=dword:00000001
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
"Enabled"=dword:00000000
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
"Enabled"=dword:00000000
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
"Enabled"=dword:00000000
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
"Enabled"=dword:00000000
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman]
"ServerMinKeyBitLength"=dword:00000800

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000

security_enable.reg dosyamızı çalıştırdığımızda yukarıdaki tüm kayıtlar register ye otomatik olarak eklenecek ve aşağıdaki gibi eklendiğini görebilirsiniz.

Başlat–>Çalıştır yolunu izleyerek regedit’i açıyoruz.

Windows Sunucularda TLS 1.0 ve TLS 1.1 Devre Dışı Bırakma 4

Regedit kayıtlarına baktığınızda aşağıdaki değişikliğin olduğunu görebilirsiniz

Windows Sunucularda TLS 1.0 ve TLS 1.1 Devre Dışı Bırakma 5

Bu işlemden sonra yapılan değişikliğin geçerli olması için Makinemizi Restart etmemiz gerekiyor. Makinemiz Restart olduktan sonra  https://www.ssllabs.com/ssltest adresine giderek tekrar bir test başlatıyorum ve aşağıda gördüğünüz gibi Score umun B den A ya yükseldiğini

 

Windows Sunucularda TLS 1.0 ve TLS 1.1 Devre Dışı Bırakma 6

TLS 1.0 ve TLS 1.1 protokollerinin devre dışı bırakıldığını görebilirsiniz.

Windows Sunucularda TLS 1.0 ve TLS 1.1 Devre Dışı Bırakma 7

Yaptığınız Regedit değişikliğini geri almak isterseniz  aşağıdaki kayıtları çalıştırıp makinenizi restart etmeniz yeterli olacaktır.

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman]
"ServerMinKeyBitLength"=dword:00000800

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000

 

Etiketler
Serdar Bayram26 Ocak 2021
2 3.242 1 dakika okuma süresi

Serdar Bayram

Bu yazı blog üzerinde Serdar Bayram tarafından hazırlanıp paylaşılmıştır. 2009 yılında açılan blogum kısa zaman içerisinde paylasımları ile dikkat cekip büyük bir izleyici kitlesine sahip olmuştur.

2 Yorum

  1. Merhaba,

    Yanlışlıkla mı oldu yoksa bilinçli mi eklemediniz ama Remove dosyasında SSL2.0 reg kaydı yok. Kontrol edebilir misiniz.

    Cevapla

    1. Merhaba ,

      SSL 2.0 default kurulumda zaten disable gelmektedir bu yüzden eklenmesi gerekmiyor.

      Cevapla

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu