[研究]IIS 10.0 GCB "傳輸加密" "AES 128/128" 停用 影響
2026-01-13
政府組態基準(Government Configuration Baseline,簡稱GCB)
TWGCB-04-014_Microsoft IIS 10政府組態基準說明文件v1.1_1141002
https://www.nics.nat.gov.tw/core_business/cybersecurity_defense/GCB/GCB_Documentation/
| 項次 | TWGCB-ID | 類別 | 原則設定名稱 | 說明 | 設定位置 | 設定路徑 | GCB設定值 |
| 51 | TWGCB-04-014-0051 | 傳輸加密 | AES 128/128 | ▪這項原則設定決定是否啟用AES 128/128加密套件 ▪AES 128/128加密套件已被視為安全性不足,建議停用 |
regedit | ▪確認下列機碼是否存在: ▪HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\AES 128/128\Enabled ▪不存在時,表示停用 ▪存在時,確認Enabled類型為DWord且資料欄位值為0 |
停用 |
********************************************************************************
ChatGPT
客戶端作業系統
以下是 主要影響的系統(以支援 TLS 1.2 為前提):
| OS / Browser | 支援情況 |
|---|---|
| Windows XP SP3 | TLS 1.0, 1.1 支援 AES 128,但不一定支援 AES 256;禁用 AES 128 → 可能連不上 IIS |
| Windows Vista / 7 | 內建 TLS 1.0/1.1/1.2,AES-256 支援有限(需要更新 KB 安裝) |
| Windows 8 / 10 / 11 | 支援 AES-256;大部分瀏覽器可用 AES-256 連線,影響小 |
| macOS 10.9 以前 | AES-256 支援有限,禁用 AES-128 可能無法連線 |
| Android 4.3 以前 | 只支援 AES-128;禁用後會無法連線 |
| iOS 6 以前 | 只支援 AES-128,禁用後會無法連線 |
瀏覽器影響
- IE 6/7 (Windows XP) → 不能連線
- Android 4.0 標準瀏覽器 → 不能連線
- Safari < iOS 7 → 可能無法連線
- Chrome/Firefox 新版本 → 無影響,AES-256 可用
(完)
沒有留言:
張貼留言