如何使用 GPO 在 Windows 中禁用 TLS 1.0 和 TLS 1.1

在本文中，我们将展示如何使用组策略在 Windows 中禁用旧版本的传输层安全协议。 TLS 1.0 和 1.1 版本不再安全，应默认对所有服务禁用。如果您已将所有服务迁移到 TLS 1.2 或 TLS 1.3，则可以使用 GPO 在 Windows 客户端和服务器上禁用对旧协议的支持。

您可以使用 SSL Labs 在线服务获取服务器上支持的 SSL/TLS 协议的列表（请参阅站点无法提供安全连接一文中的示例）。

在 Windows 客户端上，您可以在Internet 选项 (

inetcpl.cpl

）。此屏幕截图显示 TLS 1.0、TLS 1.1、TLS 1.2 和 TLS 1.3 已启用。与服务器建立连接时，会选择客户端和服务器都支持的最高 TLS 版本进行加密。

如果您禁用对旧 TLS 版本的支持，用户将无法连接到旧服务。因此，我们建议提前在计算机和服务器试点组上测试新设置。

您可以使用“计算机配置”->“管理模板”->“Windows 组件”->“Internet Explorer”->“Internet Explorer 控制面板”->“高级页面”下的关闭加密支持GPO 选项，设置在客户端的“Internet 选项”选项卡中启用的 TLS/SSL 协议列表。

启用该策略并在安全协议组合下拉列表中选择允许您的用户使用哪些 TLS/SSL 版本。

此 GPO 设置与 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings 项中的 SecureProtocols 注册表参数匹配。

您必须重新启动计算机才能应用新的 GPO 设置，再次打开 Internet 选项并确保只有您在 GPO 中允许的 TLS 版本可用。用户将无法更改这些设置（请注意某些设置由您的系统管理员消息管理）。

不幸的是，您不能在此处仅启用 TLS 1.3 和 TLS 1.2，因为 GPO 中没有此类选项。此外，它不会禁用 Windows Server 端（例如，在 IIS 或 Exchange 中）的 TLS 1.0 和 TLS 1.1 支持。

因此，最好直接通过注册表禁用旧版 TLS。您可以使用 GPO 将所需的注册表参数部署到域计算机。

要在 Windows 上为客户端和服务器禁用 TLS 1.0，请将以下选项添加到注册表中：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

您可以用同样的方式禁用其他协议。将注册表中突出显示的路径替换为 SSL 2.0、SSL 3.0、TLS 1.1 等就足够了。

要强制启用 TLS 1.2，请添加以下注册表项：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001

因此。您将在 GPO 的计算机配置 -> 首选项 -> Windows 设置 -> 注册表部分中看到以下内容。

重新启动 Windows 以应用设置。

除了更改注册表中可用 TLS 版本的设置之外，您还需要允许对 NET 3.5 和 4.x 应用程序以及 WinHTTP 使用 TLS 1.2。例如，Outlook 使用 WinHTTP 的加密设置（在本文中了解更多信息）。

要启用 .Net 3.5 和 2.0 的系统加密协议：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SchUseStrongCrypto"=dword:00000001

对于.Net 4.x：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001

要为 WinHTTP 启用 TLS 1.2：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"DefaultSecureProtocols"=dword:00000800
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"DefaultSecureProtocols"=dword:00000800

在 Windows Server 上，您还可以使用 ISS Crypto GUI 工具 (https://www.nartac.com/Products/IISCrypto/Download) 来查看和配置 SCHANNEL 设置。