Tutoriel 📝 Renforcement des protocoles réseau avec TLS 1.2+

[Sylvain*]

Renforcement des protocoles réseau sous Windows avec TLS 1.2 ou supérieur

Introduction

• Ce tutoriel vous montre comment renforcer la sécurité des protocoles réseau sous Windows en activant et en imposant l’utilisation de TLS 1.2 ou supérieur. Cela garantit des connexions sécurisées et protège contre les attaques ciblant les versions obsolètes des protocoles TLS.

---

Prérequis

• Un ordinateur ou serveur sous Windows 10, Windows 11, ou Windows Server 2016/2019/2022.

• Droits administrateur pour modifier les paramètres du registre ou utiliser PowerShell.

• Connexion à Internet pour vérifier les résultats des tests TLS.

---

Méthodologie

• Deux approches sont proposées pour activer et configurer TLS 1.2 ou supérieur :

• Méthode 1 : Utilisation de l’éditeur de registre (Regedit).

• Méthode 2 : Automatisation avec PowerShell.

---

Avantages des 2 méthodes

• Méthode 1 : Accessible et visuelle pour les utilisateurs non techniques.

• Méthode 2 : Rapide et pratique pour des déploiements à grande échelle.

---

Inconvénients des 2 méthodes

• Méthode 1 : Risques d’erreurs manuelles dans le registre.

• Méthode 2 : Nécessite des compétences de base en PowerShell.

---

Étapes pour chaque méthode

Méthode 1 : Utilisation de l’éditeur de registre


Ouvrez l’éditeur de registre (Regedit) avec des droits administrateur.

Naviguez jusqu’à la clé suivante :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Créez une sous-clé nommée TLS 1.2.

Dans la sous-clé TLS 1.2, créez deux sous-clés nommées Client et Server.

Dans chacune des sous-clés Client et Server, ajoutez une valeur DWORD (32 bits) nommée Enabled et définissez sa valeur à 1.

Ajoutez également une valeur DWORD nommée DisabledByDefault et définissez-la à 0.

Redémarrez votre ordinateur pour appliquer les modifications.

---

Méthode 2 : Automatisation avec PowerShell

Lancez PowerShell en tant qu’administrateur.

Exécutez le script suivant pour activer TLS 1.2 :

New-Item -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client" -Force
New-Item -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" -Force
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client" -Name "Enabled" -Value 1 -Type DWord
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client" -Name "DisabledByDefault" -Value 0 -Type DWord
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" -Name "Enabled" -Value 1 -Type DWord
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" -Name "DisabledByDefault" -Value 0 -Type DWord

Redémarrez le système pour que les modifications prennent effet.

---

Astuce

• Utilisez IISCrypto, un outil tiers, pour configurer TLS et d'autres protocoles en quelques clics.

---

Mise en garde

• Modifier le registre ou exécuter des scripts PowerShell sans précautions peut endommager le système. Sauvegardez vos paramètres avant toute modification.

---

Conseil

• Désactivez les versions obsolètes de TLS (1.0 et 1.1) pour renforcer encore plus la sécurité.

---

Solution alternative

• Utilisez les politiques de groupe (GPO) pour appliquer les paramètres TLS sur plusieurs machines dans un domaine Active Directory.

---

Références

• Microsoft Learn - TLS Registry Settings

• IISCrypto

• GitHub - TLS 1.2 Windows

---

Conclusion

• L’activation de TLS 1.2 ou supérieur est une étape essentielle pour sécuriser vos connexions réseau sous Windows. En suivant ces méthodes, vous pouvez garantir la compatibilité avec les normes modernes de sécurité.