当我们的系统接受安全扫描时,会出现弱密码错误,并指出他们正在使用 SSLv2 进行通信。我们的想法是在整个系统范围内禁用 SSLv2,而不是针对每个应用程序禁用,因为大约有 20 个左右的违规端口,而追踪哪个应用程序在哪个端口上可能是一个耗时的过程。
我们添加了注册表项:
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server
并将DWORD
值设置为0
这似乎阻止了某些应用程序使用 SSLv2 作为端口443
,但不会阻止任何其他端口,例如 SPLUNK 8089
。此外,LDAP 的端口636
和3269
根本不使用 SSLv2,而是使用 TLS,并且仍然会出现安全问题。
此设置是系统范围的设置还是仅对 Windows 服务有影响?如果我们强制应用程序使用 SSLv3,我们应该能够绕过弱密码问题。有什么想法吗?
答案1
据我了解,该注册表设置仅影响服务器上使用 schannel.dll 进行 SSL 的服务/exe。如果有其他 Web 服务(如 splunk)不依赖该 dll 进行 SSL,则您必须参考供应商文档以了解如何为该应用程序禁用弱 SSL 密码。
仔细查看 636 和 3269 上的 LDAP 发现,确保这不仅仅是信息发现。我相信它们也使用 schannel,并且会受到您已定义的注册表设置的影响。