某些版本的Windows Server（包括使用IIS 7的Windows Server 2008）默认允许SSL 2.0和SSL 3.0。遗憾的是，这些是不安全的协议，如果不禁用它们，您将无法通过PCI合规性扫描。要正确保护服务器并确保通过PCI-DSS扫描，您需要禁用SSL 2.0，SSL 3.0并禁用弱密码。其他算法也是不安全的，将来可能会弃用当前的算法。在确定要启用的协议和密码时，请务必遵循SSL部署最佳实践。

使用GUI禁用SSL 2.0和SSL 3.0

禁用不安全协议和密码的最简单方法是使用GUI。由于Windows不提供此类界面，因此您需要使用Nartac的IIS加密工具等工具来禁用不安全的选项。

手动禁用SSL 2.0和SSL 3.0

要手动禁用SSL 2.0和SSL 3.0并确保使用更强大的TLS协议，请按照以下说明操作：

1. 单击“ 开始”，单击“运行”，键入regedit，然后单击“ 确定”。

2. 在注册表编辑器中，找到以下注册表项/文件夹：
   
   HKey_Local_Machine \ System \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols

3. 右键单击SSL 2.0文件夹并选择“ 新建”，然后单击“ 密钥”。将新文件夹命名为Server。

4. 在Server文件夹中，单击Edit菜单，选择New，然后单击DWORD（32位）Value。

5. 输入Enabled 作为名称，然后按Enter键。

6. 确保它在Data列下显示0x00000000（0）（默认情况下应该如此）。如果没有，请右键单击并选择“修改”，然后输入0作为“数值”数据。

7. 现在要禁用SSL 3.0，右键单击SSL 3.0文件夹并选择New，然后单击Key。将新文件夹命名为Server。

8. 在Server文件夹中，单击Edit菜单，选择New，然后单击DWORD（32位）Value。

9. 输入Enabled 作为名称，然后按Enter键。

10. 确保它在Data列下显示0x00000000（0）（默认情况下应该如此）。如果没有，请右键单击并选择“修改”，然后输入0作为“数值”数据。

11. 重启服务器。

12. 确认ServerSniff.net或公共SSL服务器数据库中没有可用的SSL 2.0或SSL 3.0密码

注意：此过程在IIS 6（Windows Server 2003）计算机上基本相同。通常，SSL 2.0下的服务器密钥已经创建，因此您只需要在其下创建一个新的DWORD值并将其命名为Enabled。

有关更多信息，请阅读Microsoft的知识库文章，了解如何在IIS 7中禁用SSL 2.0和其他协议。

比较SSL证书

在IIS 7.0中禁用弱密码

除了禁用SSL 2.0之外，您还可以通过以相同方式编辑注册表来禁用某些弱密码。要加快此过程，可以将以下内容粘贴到文本文件中，并将其命名为disableWeakCiphers.reg，然后双击它。

最初发布于2008年10月19日星期日