Windows Server の TLS バージョンを確認するのは、レジストリを詳しく調べることに慣れていないと少し大変に感じるかもしれませんが、どこを確認すればいいのかがわかれば、それほど難しくはありません。サーバーによっては古い TLS バージョンが有効になっている場合があり、これはセキュリティリスクとなります。特に TLS 1.0 と 1.1 は現在では時代遅れで脆弱だと考えられているためです。また、設定がランダムに変更されたり、サーバーが互換性のために古いプロトコルをサポートしている場合もありますが、おそらくそれらはもう必要ないでしょう。そのため、どの TLS バージョンが有効になっているかを確認することは、セキュリティの維持に役立ち、最新のクライアントで発生する予期せぬエラーを防ぐことにもつながります。
Windows ServerでTLSバージョンを確認する方法
レジストリへのアクセス – 最初のステップ
まずレジストリエディターを開きます。Windowsがセキュリティプロトコルの詳細な設定をすべて保存するメインの場所です。 を押して とWindows key + R入力しregedit、Enterキーを押すだけです。そう、よくわからない問題のトラブルシューティングをするのと同じです。ただし、よくわからない場合は、目的もなくクリックしないようにしてください。念のため、レジストリをバックアップしておくことをお勧めします。経験上、設定によっては、regeditフルアクセスのために管理者として実行することも有効です。
正しいレジストリパスへの移動
中に入ったら、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocolsに移動します。これは、WindowsがTLSなどのサポートされているセキュリティプロトコルに関する情報を保存している場所です。サブキーの背後に隠れている場合があるので、ここでフォルダーを展開する必要があります。TLS 1.0やTLS 1.2などの特定のプロトコルのフォルダーが表示されない場合は、Windowsのバージョンによっては、それらのプロトコルが無効になっているかインストールされていない可能性があります。
プロトコルのサブフォルダを掘り下げる
Protocols内には、 TLS 1.0、TLS 1.1、TLS 1.2など、各TLSバージョンにちなんで名付けられたフォルダがあります。展開したら、EnabledとDisabledByDefaultというキーを探してください。ほとんどの人と同じように、有効にしたいバージョンは1Enabledに設定されているはずです。もしEnabled が表示されている場合は、その設定を有効にしない限り、おそらく無効になっているはずです。DisabledByDefault
設定の確認と最新のTLSの有効化
この部分は少し奇妙ですが、一部のサーバーではEnabledキーが欠落しているか、正しく設定されていない可能性があります。有効にしたいプロトコルに対して、このキーが存在し、1に設定されていることを確認してください。セキュリティを強化するには、TLS 1.0や1.1などの古いプロトコルのEnabledを0に設定して無効にすることをお勧めします。これにより、脆弱なハンドシェイクやエクスプロイトを防ぐことができます。変更を加えた後は、サーバーを再起動するか、少なくとも関連サービスを再起動する必要がある場合があります。ただし、Windowsが新しいレジストリ値を適用するため、再起動するだけで問題が解決する場合もあります。
ご参考までに、これは必ずしも完璧ではありません。設定によっては、グループポリシーによってレジストリの変更が上書きされている場合、レジストリの変更が無視される可能性があります。それでも、何が有効になっているかを把握するには、有効な手段です。
Windows Server で TLS バージョンを確認するためのヒント
- 最新の TLS バージョン (サポートされている場合は TLS 1.2 や 1.3 など) について理解しておいてください。
- TLS 1.0 と 1.1 がまだ使用されている場合は、無効にすることを検討してください。これらは基本的に廃止されています。
- 大きなアップデートやサーバーの変更があった後は、セキュリティ プロトコルの設定を確認する習慣をつけましょう。
- プロトコルを切り替えた後に奇妙な接続の問題に気付いた場合は、サーバー ログを確認してください。
よくある質問
TLS をチェックすることがなぜ重要なのでしょうか?
古いTLSバージョンは攻撃者のバックドアとなる可能性があり、最新のクライアントは適切なサポートが不足していると接続を拒否する可能性があります。サーバーを最新の状態に保つことで、これらのリスクを最小限に抑えることができます。
複数の TLS バージョンを同時に実行できますか?
はい、よくあることです。通常は、最新のものを有効にして、古くて安全でないものを無効にしておくのが良いでしょう。ただし、互換性が必要な場合は、いくつか有効にしておくこともあります。ただし、最も高速で安全なバージョンが常に望ましいということを覚えておいてください。
レジストリを編集するのは危険ですか?
何をやっているのかよくわからない場合は危険ですが、事前にバックアップを取り、指示に注意深く従えば、通常は安全です。ただし、1つ間違った変更を加えると、奇妙なエラーが発生する可能性があるため、慎重に進めてください。
古い TLS バージョンが有効になっている場合はどうすればよいですか?
Enabled を0に設定して無効にしてください。その後、サーバーやアプリが正常に動作するか確認してください。正常に動作する場合は問題ありません。正常に動作しない場合は、別の方法が必要になる可能性がありますが、一般的には最新の状態に保つことをお勧めします。
どのくらいの頻度でチェックすればいいですか?
特にサーバーが機密情報を処理している場合やインターネットに公開されている場合は、少なくとも四半期に 1 回実行してください。TLS またはセキュリティ ポリシーを更新する場合は、より頻繁に実行してください。
まとめ
- 管理者権限でregeditを開きます。
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocolsに移動します。
- 各 TLS バージョン フォルダー内でEnabledとDisabledByDefaultを確認します。
- 最新の TLS バージョンがアクティブになっており、古いバージョンがオフになっていることを確認します。
- 変更を適用する必要がある場合は再起動してください。
まとめ
レジストリをちょっと覗くだけで、サーバーが何に対応しているかがわかることもあります。少し面倒ですが、TLS環境を把握しておくと、後々厄介な事態を避けることができます。ある設定でTLS 1.0がまだ有効になっていることに気づいたので、無効にしたところ、その後はずっと安全になったように感じました。正直に言うと、これは手間のかからないステップで、後々の大きな頭痛の種を防いでくれます。この記事が、他の皆さんがサーバーセキュリティを整理するのに役立つことを願っています。