Retest udfører sikkerhedsscanning

Deaktiver sårbare protokoller

Hvis jeres servere understøtter ældre protokoller såsom TLS 1.0 og TLS 1.1, vil det stå som en sårbarhed i de rapporter vi leverer til jer.
Disse medtages da protokollerne ikke længere betragtes som sikre.

Figuren nedenfor viser en hjemmeside som understøtter både TLS 1.0 og TLS 1.1 
TLS protokoller
Alle nyere browsere understøtter de nyere og mere sikre protokoller.
I bør dog være opmærksomme på at der kan være ældre klienter der forbinder sig til jeres server og de ikke nødvendigvis understøtter de nyere protokoller.
Dette ser vi typisk hvis der er nogle embedded systemer der har brug for at forbinde sig til jeres servere.

For at deaktivere disse protokoller skal der ændres i serverens registreringsdatabase.

Nedenfor er 3 metoder hvorpå man kan slå det fra.
Manuelt, via et script og via et program.

Vær opmærksom på at indstillingen gælder for hele serveren og ikke kun på et enkelt website.
Sørg for at have en gyldig backup af serveren eller registreringsdatabasen i tilfælde af at indstillingerne skal ændres tilbage.

Manuelt

Åben Registry Editor

Tag en backup af registreringsdatabasen.

Hvis der bliver nødvendigt at restore registreringsdatabasen skal maskinen muligvis opstartes i fejlsikret tilstand da der er nogle steder værdier der ikke kan overskrives når systemet kører.

Backup
Gå til HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Opret de to subkeys “TLS 1.0\Server” hvis de ikke allerede eksisterer

Opret en registreringsnøgle med navnet “DisabledByDefault” og sæt DWORD værdien til 1

insert reg keys
Gør det samme for TLS1.1 men subkey folderen skal er erstattes med ”TLS 1.1” i stedet for ”TLS 1.0”

Hvis ældre versioner som SSLv2 eller SSLv3 er understøttet kan de slås fra ved at gøre det samme i folderne ”SSL 2.0” og ”SSL 3.0”

Genstart serveren

Powershell

Åben en powershell konsol.

Kør nedenstående kommando for at deaktivere TLS 1.0 på samme måde som vi gjorde manuelt ovenover.
[microsoft.win32.registry]::SetValue(“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server”, “DisabledByDefault”, 1)

Kør nedenstående kommando for at deaktivere TLS 1.1
[microsoft.win32.registry]::SetValue(“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server”, “DisabledByDefault”, 1)

Genstart serveren

IIS crypto

Download IIScrypto fra www.nartac.com
Kør IIS crypto on the server.

Sørg for at fjerne markeringen for TLS 1.0 and TLS 1.1 og klik apply

Genstart serveren

IIScrypto

Vil du ringes op?

Benyt kontaktformularen, og vi vil ringe dig op inden for 48 timer.

12 + 1 =