如何停用SSL 2.0加密協定在IIS 7 Windows 2008 64bit系統

很多大型公司都會定期對電腦系執行安全掃描以降低資安風險並符合相關規範，其中一項便是PCI compliance。PCI compliance規定SSL2.0要關閉並以SSL3.0取代以增加安全性，但是Windows 2008預設將2.0啟用了，而且沒有提供介面可以取消。

可以利用這個網站確認SSL版本的狀況Check SSLv2 and SSLv3

測出SSL2.0有啟用的畫面如下

為了解決這個安全弱點，只能更改登錄機碼來關閉SSL2.0的協定並啟用SSL3.0:

1. 開啟CMD
2. 執行下列指令
3. REG ADD “HKLM\System\CurrentControlSet\Control\SecurityProviders\SChannel\Protocols\SSL 2.0\Server” /v Enabled /t REG_DWORD /d 0 /f
   REG ADD “HKLM\System\CurrentControlSet\Control\SecurityProviders\SChannel\Protocols\SSL 2.0\Client” /v Enabled /t REG_DWORD /d 0 /f
   REG ADD “HKLM\System\CurrentControlSet\Control\SecurityProviders\SChannel\Protocols\SSL 3.0\Server” /v Enabled /t REG_DWORD /d 1 /f
   REG ADD “HKLM\System\CurrentControlSet\Control\SecurityProviders\SChannel\Protocols\SSL 3.0\Client” /v Enabled /t REG_DWORD /d 1 /f
   REG ADD “HKLM\System\CurrentControlSet\Control\SecurityProviders\SChannel\Protocols\TLS 1.0\Server” /v Enabled /t REG_DWORD /d 1 /f
   REG ADD “HKLM\System\CurrentControlSet\Control\SecurityProviders\SChannel\Protocols\TLS 1.0\Client” /v Enabled /t REG_DWORD /d 1 /f
4. 重新開機
5. 再次測試驗證結果

如果覺得步驟太麻煩，可以直接下載執行這個批次檔，它就會幫你跑完上述指令DisableSSLv264bit