Désactiver versions du protocole TLS obsolètes est une étape essentielle pour assurer une communication sécurisée entre composants Devolutions Server. Protocoles hérités tels que SSL 2.0, SSL 3.0, TLS 1.0, et TLS 1.1 sont vulnérables et ne devraient pas être utilisés dans des environnements de production.
Désactiver les versions SSL et TLS anciennes sur tous les systèmes hébergeant les composants de Devolutions Server. Seuls TLS 1.2 et TLS 1.3 doivent rester activés.
Réviser et restreindre les suites de chiffrement pour empêcher l'utilisation d'algorithmes faibles ou obsolètes. Assurer des suites de chiffrement modernes et sécurisées diminue le risque d'attaques par dégradation.
Valider la compatibilité avant le déploiement. Certaines applications ou clients plus anciens peuvent ne pas prendre en charge les versions modernes de TLS. Il est recommandé de tester dans un environnement contrôlé pour éviter des interruptions de service.
Les méthodes suivantes peuvent être utilisées pour désactiver les versions de protocoles vulnérables sur Windows Server :
Objet stratégie de groupe : Configurer les paramètres TLS sous Configuration de l'ordinateur – Modèles d'administration – Réseau – Paramètres de configuration SSL.
Configuration du registre : Protocoles TLS peuvent être activés ou désactivés manuellement en ajustant les clés correspondantes sous :
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ProtocolsConfiguration IIS : S'assurer que seules les versions TLS sécurisées et suites de chiffrement sont actives pour tous les composants basés sur le web.
Microsoft a écrit un guide sur les capacités de renforcement des versions TLS désormais disponibles par liaison de certificat sur Windows Server 2019.
Désactiver le TLS ancien est conforme aux exigences de plusieurs normes de sécurité. Cela aide à réduire l'exposition aux vulnérabilités connues des protocoles et améliore la posture de sécurité globale de la plateforme.
Après application de la configuration, il est recommandé de valider la configuration à l'aide d'un outil de numérisation TLS pour s'assurer que seules les versions de protocole et suites de chiffrement approuvées sont activées.
Partagez vos commentaires