Cómo configurar Microsoft Windows 7 para usar TLS versión 1.2
Última modificación: 30 de junio de 2021
Visión general
Este documento explica cómo configurar su estación de trabajo Microsoft Windows® 7 y los clientes de correo de Microsoft Outlook® 2010 para usar Protocolo de seguridad de la capa de transporte (TLS) versión 1.2.
Importante:
Apoyamos TLS versión 1.2.
- Recomendamos encarecidamente que habilite TLSv1.2 en su servidor.
Las instrucciones de este documento solamente pertenecen a servidores que ejecutan el sistema operativo Windows 7.
Nosotros fuertemente recomiendo que lo hagas no ajustar la configuración de cifrado y protocolo para los servicios Exim y Dovecot en Windows 7. Los servidores de este sistema operativo fallan en los escaneos de cumplimiento de PCI debido a vulnerabilidades de seguridad sin parches que existen en los siguientes clientes de correo:
- Outlook 2007.
- Outlook 2010.
Crear claves de registro
Instalar la actualización de Windows
usted debe descargar e instalar el KB3140245
Actualización de Windows desde Catálogo de Microsoft Update. Esta actualización creará las rutas de las claves de registro en las que creará nuevas claves de registro. Estas claves de registro le permitirán habilitar TLSv1.2 en su servidor.
Después de descargar e instalar la actualización, debe reinicie su estación de trabajo para que los cambios surtan efecto.
Agregar una clave de registro para los servicios HTTP de Windows
Para agregar una clave de registro para los servicios HTTP de Windows, realice los siguientes pasos:
- Desde las ventanas Comienzo menú, entrar
regedit.exe
en el Buscar caja de texto. - Hacer clic regedit.exe para abrir el Editor de registro.
Navegue a la siguiente ruta de registro:
HKEY_LOCAL_MACHINE</span>SOFTWARE</span>Microsoft</span>Windows</span>CurrentVersion</span>Internet Settings
Selecciona el
WinHttp
llave.En la barra de menú, haga clic en Editar, Seleccione Nuevoy haga clic en DWORD (32 bits) Valor.
Nota:
En sistemas de 64 bits, haga clic en Valor QWORD (64 bits).
Ingresar
DefaultSecureProtocols
como el DWORD nombre del valor.Haga clic derecho en el archivo y seleccione Modificar desde el Contexto menú.
Ingresar
A00
en el Datos de valor cuadro de texto y haga clic en OK.Importante:
Si su estación de trabajo se ejecuta en un sistema de 64 bits, también debe realizar los pasos 5-8 para la siguiente clave: HKEY_LOCAL_MACHINE SOFTWARE Wow6432Node Microsoft Windows CurrentVersion Internet Settings WinHttp
Agregar una clave de registro para los directorios TLS
Para agregar claves de registro para las versiones 1.1 y 1.2 de TLS, realice los siguientes pasos:
Navegue a la siguiente ruta de registro:
HKEY_LOCAL_MACHINE</span>SYSTEM</span>CurrentControlSet</span>Control</span>SecurityProviders</span>SCHANNEL</span>Protocols</span>TLS 1.1
Selecciona el
Client
llave.En la barra de menú, haga clic en Editar, Seleccione Nuevoy haga clic en Valor DWORD (32 bits).
Recordar:
En sistemas de 64 bits, haga clic en Valor QWORD (64 bits).
Ingresar
DisabledByDefault
como el nombre del valor DWORD.Haga clic derecho en el archivo y seleccione Modificar desde el Contexto menú.
Ingresar
0
en el Datos de valor cuadro de texto y haga clic en OK.Navegue hasta la ruta de registro TLS1.2 y abra el Cliente llave.
Repita los pasos 2 a 6 y haga clic en OK.
Aplicar la configuración.
Después de modificar sus claves de registro, debe reinicie su estación de trabajo para aplicar la configuración del registro. Cuando su estación de trabajo se reinicie, cree una cuenta de correo electrónico de prueba en Microsoft Outlook y configure los siguientes ajustes en el Avanzado sección de Microsoft Outlook Configuración de correo electrónico de Internet interfaz:
- Ingresar
993
en el cuadro de texto Servidor entrante (IMAP) o 995 en el cuadro de texto Servidor entrante (POP3). - Ingresar
465
en el cuadro de texto Servidor saliente (SMTP).
Una vez que termine, haga clic en OK. Su cuenta de Microsoft Outlook ahora se conectará con éxito a los servicios de correo de su servidor cPanel.
Scripts de instalación
Creamos dos scripts que realizarán automáticamente las acciones que describe este documento. Para utilizar estos scripts, realice los siguientes pasos:
- Abre las ventanas Potencia Shell solicitud.
- Navegue hasta el directorio de su elección.
- Crea el
install-kb.ps1
ytls-reg-edit.ps1
archivos. Abre el
install-kb.ps1
archivo con un editor de texto y agregue la siguiente información:Click para ver…
Nota:
Este script descarga e instala la actualización de Windows KB3140245.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
Import-Module BitsTransfer $arch=(Get-WmiObject -Class Win32_operatingsystem).Osarchitecture If ($arch -eq "32-bit") { $kbUrl32 = "http://download.windowsupdate.com/c/msdownload/update/software/updt/2016/04/windows6.1-kb3140245-x86_cdafb409afbe28db07e2254f40047774a0654f18.msu" $kb32 = "windows6.1-kb3140245-x86_cdafb409afbe28db07e2254f40047774a0654f18.msu" Start-BitsTransfer -source $kbUrl32 wusa $kb32 /log:install.log } Else { $kbUrl64 = "http://download.windowsupdate.com/c/msdownload/update/software/updt/2016/04/windows6.1-kb3140245-x64_5b067ffb69a94a6e5f9da89ce88c658e52a0dec0.msu" $kb64 = "windows6.1-kb3140245-x64_5b067ffb69a94a6e5f9da89ce88c658e52a0dec0.msu" Start-BitsTransfer -source $kbUrl64 wusa $kb64 /log:install.log }
Abre el
tls-reg-edit.ps1
archivo con un editor de texto y agregue la siguiente información:Click para ver…
Nota:
Este script crea claves de registro en los siguientes archivos:
1 2 3 4
HKEY_LOCAL_MACHINE</span>SOFTWARE</span>Microsoft</span>Windows</span>CurrentVersion</span>Internet Settings</span>WinHttp HKEY_LOCAL_MACHINE</span>SOFTWARE</span>Wow6432Node</span>Microsoft</span>Windows</span>CurrentVersion</span>Internet Settings</span>WinHttp HKEY_LOCAL_MACHINE</span>SYSTEM</span>CurrentControlSet</span>Control</span>SecurityProviders</span>SCHANNEL</span>Protocols</span>TLS 1.1 HKEY_LOCAL_MACHINE</span>SYSTEM</span>CurrentControlSet</span>Control</span>SecurityProviders</span>SCHANNEL</span>Protocols</span>TLS 1.2
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54
$arch=(Get-WmiObject -Class Win32_operatingsystem).Osarchitecture $reg32bWinHttp = "HKLM:SOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsWinHttp" $reg64bWinHttp = "HKLM:SOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionInternet SettingsWinHttp" $regWinHttpDefault = "DefaultSecureProtocols" $regWinHttpValue = "0x00000a00" $regTLS11 = "HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.1Client" $regTLS12 = "HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2Client" $regTLSDefault = "DisabledByDefault" $regTLSValue = "0x00000000" Clear-Host Write-Output "Creating Registry Keys...`n" Write-Output "Creating registry key $reg32bWinHttp$regWinHttpDefault with value $regWinHttpValue" IF(!(Test-Path $reg32bWinHttp)) { New-Item -Path $reg32bWinHttp -Force | Out-Null New-ItemProperty -Path $reg32bWinHttp -Name $regWinHttpDefault -Value $regWinHttpValue -PropertyType DWORD -Force | Out-Null } ELSE { New-ItemProperty -Path $reg32bWinHttp -Name $regWinHttpDefault -Value $regWinHttpValue -PropertyType DWORD -Force | Out-Null } IF($arch -eq "64-bit") { Write-Output "Creating registry key $reg64bWinHttp$regWinHttpDefault with value $regWinHttpValue" IF(!(Test-Path $reg64bWinHttp)) { New-Item -Path $reg64bWinHttp -Force | Out-Null New-ItemProperty -Path $reg64bWinHttp -Name $regWinHttpDefault -Value $regWinHttpValue -PropertyType DWORD -Force | Out-Null } ELSE { New-ItemProperty -Path $reg64bWinHttp -Name $regWinHttpDefault -Value $regWinHttpValue -PropertyType DWORD -Force | Out-Null } } Write-Output "Creating registry key $regTLS11$regTLSDefault with value $regTLSValue" IF(!(Test-Path $regTLS11)) { New-Item -Path $regTLS11 -Force | Out-Null New-ItemProperty -Path $regTLS11 -Name $regTLSDefault -Value $regTLSValue -PropertyType DWORD -Force | Out-Null } ELSE { New-ItemProperty -Path $regTLS11 -Name $regTLSDefault -Value $regTLSValue -PropertyType DWORD -Force | Out-Null } Write-Output "Creating registry key $regTLS12$regTLSDefault with value $regTLSValue" IF(!(Test-Path $regTLS12)) { New-Item -Path $regTLS12 -Force | Out-Null New-ItemProperty -Path $regTLS12 -Name $regTLSDefault -Value $regTLSValue -PropertyType DWORD -Force | Out-Null } ELSE { New-ItemProperty -Path $regTLS12 -Name $regTLSDefault -Value $regTLSValue -PropertyType DWORD -Force | Out-Null } Write-Output "`nComplete!"
Ejecute los scripts desde el directorio en el que guardó los archivos, por ejemplo:
1 2
Set-ExecutionPolicy Bypass -Scope Process ; .install-kb.ps1 Set-ExecutionPolicy Bypass -Scope Process ; .tls-reg-edit.ps1
Reinicie su estación de trabajo para que los cambios surtan efecto.