刚好之前处理过类似的IIS安全配置问题，来给你理清楚这个问题的关键点：

首先直接回答你的核心疑问：Windows Server 2016上的IIS完全不支持TLS 1.3。因为Windows Server 2016自带的Schannel安全组件（Windows负责TLS/SSL加密的底层模块）并没有集成TLS 1.3的支持——TLS 1.3是从Windows Server 2019以及Windows 10 1903版本开始正式引入并支持的。只要系统底层支持，IIS本身不需要额外安装插件，就能通过配置启用TLS 1.3。

回到你的ROBOT漏洞问题：既然升级到TLS 1.3在Server 2016上走不通，这里给你几个实际可落地的补救方案：

• 禁用RSA密钥交换类的TLS密码套件：ROBOT漏洞的核心攻击面是使用RSA密钥交换的TLS套件，你可以在IIS里配置仅启用ECDHE（椭圆曲线临时密钥交换）类的套件，彻底规避这个漏洞。操作方式有两种：一是通过IIS管理器的「SSL设置」→「编辑SSL密码套件」界面调整；二是修改注册表HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers项下的相关配置来禁用RSA套件。
• 安装Server 2016的所有最新安全补丁：虽然Server 2016不支持TLS1.3，但微软会持续推送Schannel组件的漏洞修复补丁，装上最新的累积更新能确保没有其他潜在的TLS相关风险。
• 验证修复效果：修改完配置后，重新用SSL Labs扫描服务器，确认ROBOT漏洞已被修复，评级恢复正常。

另外补充一句：SSL Labs建议升级到TLS1.3确实是根治很多TLS漏洞的终极方案，但如果你的业务暂时无法升级到Server 2019及以上版本，用上面的替代方案同样能解决ROBOT问题，不用硬扛系统升级的成本。

内容的提问来源于stack exchange，提问作者Alex