none
TLS1.0 TLS1.1の無効化について

    質問

  • ■環境:Windows Server 2012 R2

    RDPのTLS1.0, TLS1.1通信を無効化にしようとしております。

    以下のようにレジストリを修正してもTLS1.0が無効化にならないです。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server\Enabled:0
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server\DisabledByDefault:1

    設定方法を教えていただければ助かります。

    以上、よろしくお願いいたします。

    2018年12月4日 5:13

回答

  • チャブーンです。

    この件ですが、簡単に検証したところ、MSの資料の通りの動作になることを確認しています。

    • 以下のテキストを「.reg」ファイルで保存し、サーバーにインポートする
    • サーバー上の「リモート接続」を有効化する
    • サーバーをいったん「再起動」する
    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000000
    
    


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2018年12月5日 9:00
    モデレータ

すべての返信

  • チャブーンです。

    この件ですが、Disabledするためのレジストリキーおよび値の「名前」は、合っていますか?少なくとも「Enabled:0」というレジストリ値の名前は存在しません。また、Enabledの0を有効化するためには、DisbledByDefaultもあわせて0に設定する必要があります。実際のサンプル例がしたのページにありますので、参考にしてください。

    https://docs.microsoft.com/en-us/windows-server/security/tls/tls-registry-settings


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2018年12月4日 5:31
    モデレータ
  • チャブーン様

    ご返信ありがとうございます。

    > この件ですが、Disabledするためのレジストリキーおよび値の「名前」は、合っていますか?

    はい。値の名前が「Enabled」、値のデータが「0」という意味で「Enabled:0」と書き込みました。

    DisbledByDefaultもあわせて0に設定する必要があります。

    いただいたリンクページに書いてあるように「DisbledByDefault」を「0」にして再起動してみましたが、TLS1.0は無効化にならなかったです。

    お手数ですが、ご確認いただければ助かります。

    以上、よろしくお願いいたします。

    2018年12月4日 6:53
  • チャブーンです。

    いただいたリンクページに書いてあるように「DisbledByDefault」を「0」にして再起動してみましたが、TLS1.0は無効化にならなかったです。

    とのことですが、「無効化されていない」の根拠情報を教えてください。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2018年12月4日 7:16
    モデレータ
  • チャブーン様

    返信ありがとうございます。

    >「無効化されていない」の近経情報をおしえてください。

    nmapをインストールして以下のコマンドを実行いたしました。

    c:\> nmap -sV --script ssl-enum-ciphers -p 3389 127.0.0.1

    Starting Nmap 7.70 ( https://nmap.org ) at 2018-12-04 14:51 ???? (?W?€??)
    Nmap scan report for 127.0.0.1
    Host is up (0.00s latency).

    PORT     STATE SERVICE            VERSION
    3389/tcp open  ssl/ms-wbt-server?
    | ssl-enum-ciphers:
    |   TLSv1.0:
    |     ciphers:
    |       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
    |       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
    |       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
    |       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
    |       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
    |       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
    |     compressors:
    |       NULL
    |     cipher preference: server
    |     warnings:
    |       Key exchange (dh 1024) of lower strength than certificate key
    |   TLSv1.1:
    |     ciphers:
    |       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
    |       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
    |       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
    |       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
    |       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
    |       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
    |     compressors:
    |       NULL
    |     cipher preference: server
    |     warnings:
    |       Key exchange (dh 1024) of lower strength than certificate key
    |   TLSv1.2:
    |     ciphers:
    |       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
    |       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
    |       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
    |       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
    |       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 1024) - A
    |       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 1024) - A
    |       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
    |       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
    |       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
    |       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
    |       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
    |       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
    |       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
    |       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
    |     compressors:
    |       NULL
    |     cipher preference: server
    |     warnings:
    |       Key exchange (dh 1024) of lower strength than certificate key
    |_  least strength: A

    Service detection performed. Please report any incorrect results at https://nmap
    .org/submit/ .
    Nmap done: 1 IP address (1 host up) scanned in 46.89 seconds

    お手数ですが、ご確認お願いいたします。

    以上、よろしくお願いいたします。

    2018年12月4日 9:37
  • チャブーンです。

    この件ですが、簡単に検証したところ、MSの資料の通りの動作になることを確認しています。

    • 以下のテキストを「.reg」ファイルで保存し、サーバーにインポートする
    • サーバー上の「リモート接続」を有効化する
    • サーバーをいったん「再起動」する
    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000000
    
    


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2018年12月5日 9:00
    モデレータ
  • h-hikariさん、こんにちは。
    フォーラム オペレーターのHarukaです。

    フォーラムに投稿くださいましてありがとうございます。
    本件、チャブーン さんから寄せられた投稿はお役に立ちましたか。

    参考になった回答には [回答としてマーク] をお願い致します。

    [回答としてマーク]機能は設定された投稿が後から参照しやすくなりますので、
    同じ問題でお困りの方のためにも参考になった投稿に設定いただけますと幸いです。

    今回は私にて チャブーンさんの投稿に設定させていただきました。

    ご理解の程、どうぞよろしくお願いいたします。


    MSDN/ TechNet Community Support Haruka

    ~参考になった投稿には「回答としてマーク」をご設定ください。なかった場合は「回答としてマークされていない」も設定できます。同じ問題で後から参照した方が、情報を見つけやすくなりますので、
    ご協力くださいますようお願いいたします。また、MSDNサポートに賛辞や苦情がある場合は、MSDNFSF@microsoft.comまでお気軽にお問い合わせください。~
    2019年3月26日 8:13
    モデレータ