IIS 취약한 TLS v1.0, 1.1 버전 비활성화 방법

1. 레지스트리 편집기 실행

- 실행(Win+R) → regedit 또는 시작 → 레지스트리 편집기

 

2. 레지스트리 생성

- 레지스트리 편집기에서 아래의 경로로 이동한다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

 

- 하위에 아래의 폴더(키)를 각각 생성한다.

\TLS 1.0\Server
\TLS 1.1\Server

 

- 각 Server 폴더(키)에서 DWORD(32비트) 레지스트리를 생성한다.

 

- 레지스트리 이름을 "Enabled"으로, 값을 16진수 0으로 설정한다.

 

- 위와 동일한 방법으로 "DisabledByDefault" 레지스트리도 생성한다.

 

- TLS 1.1\Server 폴더(키)에도 위와 동일하게 레지스트리를 생성한다.

 

- 최종적으로 생성되어야 하는 레지스트리의 경로는 아래와 같다.

레지스트리 유형은 DWORD(32비트), 값은 16진수 0으로 설정 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server\Enabled
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server\DisabledByDefault
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server\Enabled
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server\DisabledByDefault

 

 

※ 서버가 클라이언트 역할(예: 백엔드 API 호출 시)을 수행할 때에도 취약한 TLS 연결을 제한하고자 한다면, 위와 동일한 방법으로 아래의 Client 레지스트리도 생성한다.

레지스트리 유형은 DWORD(32비트), 값은 16진수 0으로 설정 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client\Enabled
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client\DisabledByDefault
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client\Enabled
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client\DisabledByDefault

 

3. 서버 재부팅

- 변경된 레지스트리 값 적용을 위해 서버를 재부팅한다.

 

4. 설정 적용 확인

- 아래의 프로그램을 다운로드 받아 SSL 프로토콜 취약점이 조치되었는지 확인한다.

[자체개발 프로그램/TLS Security Checker] - TLS Security Checker_Ver 0.2

TLS Security Checker_Ver 0.2