刚好对这两块内容比较熟悉，给你详细解答下：

你可以通过以下几种方式配置，根据场景选合适的就行：

• 图形界面快速配置：打开控制面板搜索「Internet选项」，或者直接运行命令 inetcpl.cpl 打开窗口，切换到「高级」标签页，在「安全」区域找到TLS相关选项，勾选你需要启用的版本（比如TLS 1.2），同时取消勾选老旧的SSL 3.0、TLS 1.0等协议，点击确定后重启服务器生效。
• 组策略批量管理：适合多台服务器的统一配置，运行 gpedit.msc 打开组策略编辑器，定位到 计算机配置 > 管理模板 > 网络 > SSL 配置设置，找到「启用SSL 3.0/TLS 1.0/TLS 1.1/TLS 1.2」相关策略，按需启用并指定要开启的协议版本，配置后刷新组策略即可生效。
• 注册表精细化配置：运行 regedit 打开注册表编辑器，导航到路径 HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols，这里会有各个TLS/SSL版本的子项（比如「TLS 1.2」），每个子项下方的「Client」和「Server」键中，设置 Enabled 的DWORD值为1，DisabledByDefault 的DWORD值为0，完成后重启服务器让配置生效。

是否需要显式设置，得看你的服务用的开发框架版本：

• 如果是**.NET Framework 4.6及以上**：框架默认已经优先支持TLS 1.2，一般不需要额外设置，但如果系统全局配置有冲突，或者你需要强制仅使用TLS 1.2，也可以补充设置。
• 如果是**.NET Framework 4.5及以下**：默认不会启用TLS 1.2，必须显式设置才能让服务的网络请求使用该协议。
• 原生C++/Win32服务：需要调用Schannel相关API（比如AcquireCredentialsHandle）手动指定TLS 1.2作为协议版本。

关于最佳设置时机和方法：
对于.NET服务来说，最稳妥的全局生效方式是在服务的OnStart方法最开始执行设置，这是服务初始化的最早阶段，设置后后续所有的网络请求都会遵循这个协议配置，不会出现遗漏。示例代码如下：

protected override void OnStart(string[] args)
{
    // 强制启用TLS 1.2，若需要兼容TLS 1.1可一并添加
    System.Net.ServicePointManager.SecurityProtocol = 
        System.Net.SecurityProtocolType.Tls12 | System.Net.SecurityProtocolType.Tls11;
    // 后续的服务初始化逻辑写在这里...
}

如果是现代的.NET Core/.NET 5+服务，也可以在Program.cs的主机构建阶段，直接配置HTTP客户端的默认协议版本，同样能实现全局生效。

内容的提问来源于stack exchange，提问作者cool breeze