Cómo configurar Microsoft Windows 7 para usar TLS versión 1.2

Cómo configurar Microsoft Windows 7 para usar TLS versión 1.2


Última modificación: 30 de junio de 2021

Visión general

Este documento explica cómo configurar su estación de trabajo Microsoft Windows® 7 y los clientes de correo de Microsoft Outlook® 2010 para usar Protocolo de seguridad de la capa de transporte (TLS) versión 1.2.

Importante:

  • Apoyamos TLS versión 1.2.

    • Recomendamos encarecidamente que habilite TLSv1.2 en su servidor.
  • Las instrucciones de este documento solamente pertenecen a servidores que ejecutan el sistema operativo Windows 7.

  • Nosotros fuertemente recomiendo que lo hagas no ajustar la configuración de cifrado y protocolo para los servicios Exim y Dovecot en Windows 7. Los servidores de este sistema operativo fallan en los escaneos de cumplimiento de PCI debido a vulnerabilidades de seguridad sin parches que existen en los siguientes clientes de correo:

    • Outlook 2007.
    • Outlook 2010.

Crear claves de registro

Instalar la actualización de Windows

usted debe descargar e instalar el KB3140245 Actualización de Windows desde Catálogo de Microsoft Update. Esta actualización creará las rutas de las claves de registro en las que creará nuevas claves de registro. Estas claves de registro le permitirán habilitar TLSv1.2 en su servidor.

Después de descargar e instalar la actualización, debe reinicie su estación de trabajo para que los cambios surtan efecto.

Agregar una clave de registro para los servicios HTTP de Windows

Para agregar una clave de registro para los servicios HTTP de Windows, realice los siguientes pasos:

  1. Desde las ventanas Comienzo menú, entrar regedit.exe en el Buscar caja de texto.
  2. Hacer clic regedit.exe para abrir el Editor de registro.
  3. Navegue a la siguiente ruta de registro:

    HKEY_LOCAL_MACHINE</span>SOFTWARE</span>Microsoft</span>Windows</span>CurrentVersion</span>Internet Settings
  4. Selecciona el WinHttp llave.

  5. En la barra de menú, haga clic en Editar, Seleccione Nuevoy haga clic en DWORD (32 bits) Valor.

    Nota:

    En sistemas de 64 bits, haga clic en Valor QWORD (64 bits).

  6. Ingresar DefaultSecureProtocols como el DWORD nombre del valor.

  7. Haga clic derecho en el archivo y seleccione Modificar desde el Contexto menú.

  8. Ingresar A00 en el Datos de valor cuadro de texto y haga clic en OK.

    Importante:

    Si su estación de trabajo se ejecuta en un sistema de 64 bits, también debe realizar los pasos 5-8 para la siguiente clave: HKEY_LOCAL_MACHINE SOFTWARE Wow6432Node Microsoft Windows CurrentVersion Internet Settings WinHttp

Agregar una clave de registro para los directorios TLS

Para agregar claves de registro para las versiones 1.1 y 1.2 de TLS, realice los siguientes pasos:

  1. Navegue a la siguiente ruta de registro:

    HKEY_LOCAL_MACHINE</span>SYSTEM</span>CurrentControlSet</span>Control</span>SecurityProviders</span>SCHANNEL</span>Protocols</span>TLS 1.1
  2. Selecciona el Client llave.

  3. En la barra de menú, haga clic en Editar, Seleccione Nuevoy haga clic en Valor DWORD (32 bits).

    Recordar:

    En sistemas de 64 bits, haga clic en Valor QWORD (64 bits).

  4. Ingresar DisabledByDefault como el nombre del valor DWORD.

  5. Haga clic derecho en el archivo y seleccione Modificar desde el Contexto menú.

  6. Ingresar 0 en el Datos de valor cuadro de texto y haga clic en OK.

  7. Navegue hasta la ruta de registro TLS1.2 y abra el Cliente llave.

  8. Repita los pasos 2 a 6 y haga clic en OK.

Aplicar la configuración.

Después de modificar sus claves de registro, debe reinicie su estación de trabajo para aplicar la configuración del registro. Cuando su estación de trabajo se reinicie, cree una cuenta de correo electrónico de prueba en Microsoft Outlook y configure los siguientes ajustes en el Avanzado sección de Microsoft Outlook Configuración de correo electrónico de Internet interfaz:

  • Ingresar 993 en el cuadro de texto Servidor entrante (IMAP) o 995 en el cuadro de texto Servidor entrante (POP3).
  • Ingresar 465 en el cuadro de texto Servidor saliente (SMTP).

Una vez que termine, haga clic en OK. Su cuenta de Microsoft Outlook ahora se conectará con éxito a los servicios de correo de su servidor cPanel.

Scripts de instalación

Creamos dos scripts que realizarán automáticamente las acciones que describe este documento. Para utilizar estos scripts, realice los siguientes pasos:

  1. Abre las ventanas Potencia Shell solicitud.
  2. Navegue hasta el directorio de su elección.
  3. Crea el install-kb.ps1 y tls-reg-edit.ps1 archivos.
  4. Abre el install-kb.ps1 archivo con un editor de texto y agregue la siguiente información:

    Nota:

    Este script descarga e instala la actualización de Windows KB3140245.

     1
     2
     3
     4
     5
     6
     7
     8
     9
    10
    11
    12
    13
    14
    15
    16
    
    Import-Module BitsTransfer
    
    $arch=(Get-WmiObject -Class Win32_operatingsystem).Osarchitecture
    
    If ($arch -eq "32-bit") {
        $kbUrl32 = "http://download.windowsupdate.com/c/msdownload/update/software/updt/2016/04/windows6.1-kb3140245-x86_cdafb409afbe28db07e2254f40047774a0654f18.msu"
        $kb32 = "windows6.1-kb3140245-x86_cdafb409afbe28db07e2254f40047774a0654f18.msu"
        Start-BitsTransfer -source $kbUrl32
        wusa $kb32 /log:install.log
    }
    Else {
        $kbUrl64 = "http://download.windowsupdate.com/c/msdownload/update/software/updt/2016/04/windows6.1-kb3140245-x64_5b067ffb69a94a6e5f9da89ce88c658e52a0dec0.msu"
        $kb64 = "windows6.1-kb3140245-x64_5b067ffb69a94a6e5f9da89ce88c658e52a0dec0.msu"
        Start-BitsTransfer -source $kbUrl64
        wusa $kb64 /log:install.log
    }

  5. Abre el tls-reg-edit.ps1 archivo con un editor de texto y agregue la siguiente información:

    Nota:

    Este script crea claves de registro en los siguientes archivos:

    1
    2
    3
    4
    
    HKEY_LOCAL_MACHINE</span>SOFTWARE</span>Microsoft</span>Windows</span>CurrentVersion</span>Internet Settings</span>WinHttp
    HKEY_LOCAL_MACHINE</span>SOFTWARE</span>Wow6432Node</span>Microsoft</span>Windows</span>CurrentVersion</span>Internet Settings</span>WinHttp
    HKEY_LOCAL_MACHINE</span>SYSTEM</span>CurrentControlSet</span>Control</span>SecurityProviders</span>SCHANNEL</span>Protocols</span>TLS 1.1
    HKEY_LOCAL_MACHINE</span>SYSTEM</span>CurrentControlSet</span>Control</span>SecurityProviders</span>SCHANNEL</span>Protocols</span>TLS 1.2
     1
     2
     3
     4
     5
     6
     7
     8
     9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    
    $arch=(Get-WmiObject -Class Win32_operatingsystem).Osarchitecture
    $reg32bWinHttp = "HKLM:SOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsWinHttp"
    $reg64bWinHttp = "HKLM:SOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionInternet SettingsWinHttp"
    $regWinHttpDefault = "DefaultSecureProtocols"
    $regWinHttpValue = "0x00000a00"
    $regTLS11 = "HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.1Client"
    $regTLS12 = "HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2Client"
    $regTLSDefault = "DisabledByDefault"
    $regTLSValue = "0x00000000"
    
    Clear-Host
    Write-Output "Creating Registry Keys...`n"
    Write-Output "Creating registry key $reg32bWinHttp$regWinHttpDefault with value $regWinHttpValue"
    
    IF(!(Test-Path $reg32bWinHttp)) {
        New-Item -Path $reg32bWinHttp -Force | Out-Null
        New-ItemProperty -Path $reg32bWinHttp -Name $regWinHttpDefault -Value $regWinHttpValue -PropertyType DWORD -Force | Out-Null
    }
    ELSE {
        New-ItemProperty -Path $reg32bWinHttp -Name $regWinHttpDefault -Value $regWinHttpValue -PropertyType DWORD -Force | Out-Null
    }
    
    IF($arch -eq "64-bit") {
        Write-Output "Creating registry key $reg64bWinHttp$regWinHttpDefault with value $regWinHttpValue"
        IF(!(Test-Path $reg64bWinHttp)) {
            New-Item -Path $reg64bWinHttp -Force | Out-Null
            New-ItemProperty -Path $reg64bWinHttp -Name $regWinHttpDefault -Value $regWinHttpValue -PropertyType DWORD -Force | Out-Null
        }
        ELSE {
            New-ItemProperty -Path $reg64bWinHttp -Name $regWinHttpDefault -Value $regWinHttpValue -PropertyType DWORD -Force | Out-Null
        }
    }
    
    Write-Output "Creating registry key $regTLS11$regTLSDefault with value $regTLSValue"
    
    IF(!(Test-Path $regTLS11)) {
        New-Item -Path $regTLS11 -Force | Out-Null
        New-ItemProperty -Path $regTLS11 -Name $regTLSDefault -Value $regTLSValue -PropertyType DWORD -Force | Out-Null
        }
    ELSE {
        New-ItemProperty -Path $regTLS11 -Name $regTLSDefault -Value $regTLSValue -PropertyType DWORD -Force | Out-Null
    }
    
    Write-Output "Creating registry key $regTLS12$regTLSDefault with value $regTLSValue"
    
    IF(!(Test-Path $regTLS12)) {
        New-Item -Path $regTLS12 -Force | Out-Null
        New-ItemProperty -Path $regTLS12 -Name $regTLSDefault -Value $regTLSValue -PropertyType DWORD -Force | Out-Null
        }
    ELSE {
        New-ItemProperty -Path $regTLS12 -Name $regTLSDefault -Value $regTLSValue -PropertyType DWORD -Force | Out-Null
    }
    
    Write-Output "`nComplete!"

  6. Ejecute los scripts desde el directorio en el que guardó los archivos, por ejemplo:

    1
    2
    
    Set-ExecutionPolicy Bypass -Scope Process ; .install-kb.ps1
    Set-ExecutionPolicy Bypass -Scope Process ; .tls-reg-edit.ps1
  7. Reinicie su estación de trabajo para que los cambios surtan efecto.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *