工具:
IIS Crypto
操作
建議直接:
-
勾:
- TLS 1.2
-
取消:
- SSL 2.0
- SSL 3.0
- TLS 1.0
- TLS 1.1(建議)
- 3DES
然後:
- Apply
- Reboot
IIS Crypto 是安全且在業界被廣泛信賴的工具。
在系統管理與資安稽核的領域中,它幾乎是處理 Windows Server SSL/TLS 設定的「標準配備」。雖然它是第三方軟體,但其運作機制非常透明且單純。
以下從幾個維度幫你分析它的安全性與可靠性:
1. 運作機制:它只是個「註冊表包裝器」
IIS Crypto 本身並不包含任何加密演算法,也不會安裝任何系統服務或後端程式。
本質: 它只是一個圖形化界面(GUI),幫你修改我們之前討論過的那些 Schannel 註冊表路徑(
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\...)。不常駐: 設定完、按下 Apply 並重啟後,你可以直接刪除這個
.exe檔案,它不會留在系統中執行。
2. 為什麼專業人士愛用它?
避免人為錯誤: 就像你之前糾結要寫
168還是168/168,手動改 Registry 很容易打錯字。IIS Crypto 內建的名稱都是經過微軟官方規範驗證過的。Best Practices 模板: 它的「Best Practices」按鈕是根據當時主流的安全標準(如 PCI DSS、TLS 指引)定義的,能快速關閉已知的弱點(如 SSL 3.0, RC4, 3DES)。
數位簽章: 該軟體由 Nartac Software 提供,官方下載的版本通常帶有正確的數位簽章,確保程式碼未被篡改。
3. 使用它有哪些「風險」?
工具本身是安全的,但「設定的內容」可能會帶來副作用。這並非工具的錯,而是加密政策改變後的必然結果:
遠端桌面 (RDP) 斷線風險: 如果你是在遠端操作,且不小心關閉了所有與客戶端相容的加密套件(例如只開 TLS 1.2,但你的連線端電腦太舊),重啟後你可能會連不進伺服器。
應用程式相容性: 某些舊版的資料庫連接程式(如舊版 SQL Client)或舊型設備(如舊型影印機的 Scan to Folder)可能只支援 TLS 1.0 或 3DES。一旦你用 IIS Crypto 停用它們,這些連線就會中斷。
4. 給你的安全建議
如果你還是擔心,可以採取以下步驟:
官方下載: 務必只從
Nartac Software 官網 先備份註冊表: 在執行任何變更前,先匯出整個
SCHANNEL註冊表路徑做備份。先在測試環境執行: 如果你有測試機,先跑一次,確認 RDP 與應用程式服務一切正常。
檢查工具: 如果你在極度嚴苛的環境,可以用
Strings工具查看它的內部文字,你會發現它真的只是在呼叫註冊表機碼。
總結: 對於要修復 Nessus 掃出的 SWEET32 與 SSL v2/v3 弱點,IIS Crypto 是最安全且最有效率的選擇,比手動一個一個改 Registry 要可靠得多。
沒有留言:
張貼留言