Отключение PCT 1.0, SSL 2.0, SSL 3.0 и TLS 1.0 в службах IIS в Windows

Набор серверов и сетевых служб IIS (Internet Information Services) от Microsoft, как известно, использует для защиты соединения между сервером и клиентом различные криптографические протоколы, такие как SSL, TLS и PCT. Самым актуальным из них является TLS. В этой статье разберём, как отключить ненужные нам протоколы в IIS.

Как должно быть понятно из названия, смысл криптографических протоколов в повышении защиты передаваемой информации от перехвата. В криптографических протоколах время от времени находят уязвимости, это приводит к разработке новых стандартов этих самых протоколов. К сожалению, моментально перейти на новый протокол нельзя из-за соображений обратной совместимости. Тем не менее, разработчики ПО постепенно внедряют в свои творения поддержку новых протоколов. Таким образом, иногда целесообразно отключать старые протоколы, если они уже не используются.

В операционных системах семейства Windows управление поддержкой протоколов PCT/SSL/TLS осуществляется на уровне реестра. Нас интересует ветка HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols. В ней вы можете увидеть следующие подразделы:

Наличие или отсутствие подразделов зависит от версии операционной системы. Отсутствующие подразделы и параметры в них можно добавить.

Подразделы с именами протоколов, в свою очередь, содержат подразделы Client и Server с настройками, как ни странно, клиента и сервера.

В настройках клиента и сервера можно прописать параметры DisabledByDefault (выключен по умолчанию) и Enable (включен), которые и отвечают за использование криптографических протоколов. Тип параметров DWORD (32 бита), значения, которые они могут принимать: 0 и 1.

Настройки протокола SSL 2.0 в Windows.

Немного о значениях:

Параметр	Значение	Описание
DisabledByDefault	0	Включен по умолчанию
	1	Выключен по умолчанию
Enable	0	Выключен
	1	Включен

Может показаться, что параметры дублируют друг друга, но в них есть различия. Если говорить в двух словах, параметр DisabledByDefault это более мягкий вариант отключения, который допускает исключения для приложений. А вот Enable — более жесткий параметр. Enable имеет приоритет над DisabledByDefault, т.е. Enable = 0 отключит протокол, несмотря на DisabledByDefault = 0.

Таким образом вы можете включить или выключить любой из перечисленных протоколов. Например, если мы хотим отключить протоколы SSL 2.0 и SSL 3.0, то нужно создать в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols подразделы SSL 2.0 и SSL 3.0 (при отсутствии), в них подразделы Client и Server (также при отсутствии), а там создать или отредактировать параметры DisabledByDefault (в значении 1 для отключения) и Enable (в значении 0 для отключения) в зависимости от того, насколько «жёстко» мы хотим запретить протоколы.

Похожим образом можно включить поддержку более новых криптографических протоколов. Например, в Windows 7 и Windows Server 2008 R2, которые всё ещё весьма распространены, по умолчанию отключены протоколы TLS 1.1 и TLS 1.2. Для их включения нужно создать одноимённые подразделы в реестре с соответствующими настройками.

Включаем по умолчанию TLS 1.2 в Windows 7.

Для применения параметров нужно перезагрузить систему.

Напоследок отметим, что выставленные параметры применяются только для ПО, которое использует системные API. Если программа имеет собственные средства криптографии, то её нужно настраивать отдельно.

Windows 10: как отключить проверку цифровой подписи драйвера

Если вам необходимо установить неподписанный драйвер под Windows 10, придется сначала деактивировать проверку его цифровой подписи. Для этого существуют две возможности.

Иногда нам жизненно необходимо установить неподписанный драйвер устройства — например, любимого принтера или сканера. Но сделать это мы не можем, потому что операционная система на компьютере слишком умна и не дает нам сделать такую глупость, как инсталляция древних «дров» из неизвестного источника. Неужели слишком умную ОС никак не победить? Ничего подобного! Для этого существует, как минимум, два способа.

Отключить проверку цифровой подписи драйвера в UEFI

Для начала следует отметить, что это руководство сработает только в том случае, если на вашем компьютере используется UEFI, а не более ранний BIOS. Обычно UEFI установлен, если вы приобрели свой компьютер с Windows 8 или 10, или же если сам ПК был выпущен после 2012 года.

Итак, сначала запустите UEFI. Сделать это достаточно просто. Зайдя в операционную систему, надо нажать на значок уведомлений и выбрать пункт «Все параметры». После этого в настройках следует открыть пункт «Обновление и безопасность» > «Восстановление».

Если UEFI открылся в синем дизайне, выберите «Устранение неполадок». В разделе «Дополнительные параметры» вы найдете «Параметры загрузки». Эта кнопка отобразит все доступные параметры запуска.

В разделе «Дополнительные параметры» вы найдете «Параметры загрузки»

С помощью клавиши [F7] выберите опцию «Отключить обязательную проверку подписи драйверов». После этого вы можете установить неподписанный драйвер.

Отключить проверку цифровой подписи драйвера из ОС

Для тех, кто побаивается лезть в настройки материнской платы, есть и другой способ, позволяющий отключить проверку подписи драйвера из самой системы. Для этого одновременно нажмите клавиши [Windows] и [X] — в правом нижнем углу экрана откроется небольшое меню.

Выберите опцию «Выполнить (администратор)» и подтвердите запрос нажатием «Да».

В новом окне командной строки введите команду «BCDEDIT -Set LoadOptions DDISABLE_INTEGRITY_CHECKS» без кавычек и подтвердите с помощью [Enter].
Затем введите команду «BCDEDIT -SET TESTSIGNING ON» и подтвердите снова с помощью [Enter].

В новом окне командной строки введите команду «BCDEDIT -Set LoadOptions DDISABLE_INTEGRITY_CHECKS» без кавычек и подтвердите с помощью [Enter] Теперь вы можете устанавливать неподписанные драйвера под Windows 10. Следует, впрочем, оговориться: если инструкции не работают, добавьте к «–» две косые черты, или два слэша, —«/».

Отключение этой опции возможно через команду «BCDEDIT –Set LoadOptions EENABLE_INTEGRITY_CHECKS» >«BCDEDIT –Set TESTSIGNING OFF».

Как отключить проверку сертификатов в Яндекс Браузере

Проверка сертификатов в браузере от Яндекса обычно связана с протоколом HTTPS защищенного интернет-соединения. Проще говоря, с помощью данного протокола, а также различных сертификатов происходит защита данных на веб-страницах. Это очень хорошая практика и она позволяет иметь довольно эффективную защиту ресурса. Но что делать, если при открытии ссылки, появляется меню, говорящее о том, что не удалось пройти проверку сертификата? Читайте об этом далее. Мы поговорим о том, как отключить проверку сертификатов в Яндекс браузере.

На компьютере

Проблемы, возникающие с сертификатами браузере, могут быть связаны с двумя причинами. Первая – это неправильно установленное время.

1. Для этого достаточно кликнуть по времени в нижнем правом углу и отметить пункт «Установить время автоматически».

В разных операционных системах изменение времени может немного отличаться, но сама по себе суть одна и та же – активация ползунка на пункте «Установка автоматического времени».

Решение следующей причины немного сложнее, давайте рассмотрим ее более подробно:

1. Открываем Яндекс браузер и переходим в раздел «Настройки» через выпадающее меню.
2. Далее пролистываем в самый низ страницы и нажимаем на кнопку «Настройки прокси-сервера».
3. В появившемся окне переходим в раздел «Безопасность» и устанавливаем ползунок в режим «Средний».
4. После этого переходим в раздел «Конфиденциальность» и снимаем галочку с пункта «Никогда не разрешать веб-сайтам запрашивать ваше местонахождение».
5. Также, если у вас установлено антивирусное средство, вы можете в его настройках отключить пункт «Включить проверку протокола HTTPS».
6. Если и в этом случае ничего не помогает, вернитесь назад в меню «Свойства: Интернет» и воспользуйтесь опцией «Очистить SSL».

По окончании инструкции проверьте, получилось ли устранить проблему. В противном же случае попробуйте переустановить браузер, в некоторых случаях это может помочь.

На телефоне

Теперь вы знаете как отключить проверку сертификатов в Яндекс браузере. Сам по себе процесс может показаться довольно сложным для не опытных пользователей. Но если вы проделаете это несколько раз, то в последующие разы данная проблема будет для вас уже пустяком.

Отключение SSL 3.0 в Windows.

Технический уровень : Средний

Найдена уязвимость в протоколе SSL 3.0, получившая название «Poodle».

Протокол SSL 3.0 больше нельзя использовать.

14 октября 2014 г. было опубликовано описание уязвимости в протоколе SSL 3.0, которую назвали «Poodle».

Уязвимость получила обозначение CVE-2014-3566.

Исследователи пришли к заключению, что протокол SSL 3.0 не может больше использоваться без риска раскрытия данных.

Microsoft рекомендует отключить поддержку SSL 3.0 в Windows и в браузере Internet Explorer.

Microsoft также объявила о том, что в ближайшее время будет выключена поддержка SSL 3.0 во всех on-line сервисах Microsoft.

Для отключения SSL 3.0 в Windows выполните следующие действия:

Для серверного ПО

1. Нажмите «Пуск», «Выполнить», напечатайте «regedit«, нажмите «ОК».
2. В редакторе реестра найдите ключ

Если такого ключа не существует, то нужно создать новый типа REG_DWORD (32 бита).

Измените его значение на 0.

После изменения значения в реестре перезагрузите компьютер.

Это временное решение отключит SSL 3.0 во всём серверном ПО, установленном в системе, включая IIS.

После отключения клиенты, полагающиеся только на SSL 3.0, не смогут больше подключаться к серверу.

Для клиентского ПО

Нажмите «Пуск», «Выполнить», напечатайте «regedit«, нажмите «ОК».

В редакторе реестра найдите ключ

Если такого ключа не существует, то нужно создать новый типа REG_DWORD (32 бита).

Измените его значение на 0.

После изменения значения в реестре перезагрузите компьютер.

Это временное решение отключит SSL 3.0 во всём клиентском ПО, установленном в системе.

После отключения клиентские приложения не смогут больше подключаться к другим серверам, полагающимся только на SSL 3.0

Для выполнения изменений в реестре нужно иметь права администратора.

См. также:

Была ли эта статья полезной?

К сожалению, это не помогло.

Отлично! Благодарим за отзыв.

Насколько вы удовлетворены этой статьей?

Благодарим за отзыв, он поможет улучшить наш сайт.

Насколько вы удовлетворены этой статьей?

Благодарим за отзыв.

Комментарии (2) 

Был ли этот комментарий полезным?

К сожалению, это не помогло.

Отлично! Благодарим за отзыв.

Насколько вы удовлетворены этим комментарием?

Благодарим за отзыв, он поможет улучшить наш сайт.

Насколько вы удовлетворены этим комментарием?

Благодарим за отзыв.

Oб отключении SSL 3.0 в браузере см. Как отключить SSL 3.0 в браузере

Для большинства домашних пользователей будет достаточно

Вместо SSL 3.0 Вы должны включить поддержку TLS — более совершенной версии протокола защищённого соединения.

Статья https://technet.microsoft.com/library/security/3009008 более подробна, но она на только на английском пока.

SSL 3.0 и SSL 2.0 устарели и применяются только для совместимости, когда использование TLS даёт ошибку. Большинство вендоров и так готовились к его упразднению. События немного опередили ожидаемое.

TLS 1.0, однако, тоже устарел и не отвечает необходимым требованиям.

Уязвимость протокола TLS 1.0 была продемонстрирована ещё на конференции Ekoparty в сентябре 2011 г.

В настоящее время для безопасного соединения нужно использовать TLS 1.2 или TLS 1.1

Не все сайты удовлетворяют этому требованию.

Например, чтобы зайти на Answers (с авторизацией), Вы должны включить TLS 1.0. Если отключить TLS 1.0, тогда надо включить SSL 3.0. Иначе – никак.

«Poodle» — такая штука, которая заставит переделать весь Интернет ( ну, или почти весь :-))