我被赋予了一项任务,即禁用我们非常老旧的基于 Windows Server 2003 的 ISA 服务器上的所有“弱”密码/协议。我已禁用除 TLS1.0 之外的所有协议,以及除 RC2/128、RC4/128 和 Triple DES 168/168 之外的所有密码。但 Qualys SSL Labs 测试实用程序并未显示我的 ISA 服务器上有可用的 3DES 加密。列出的唯一密码套件是:
TLS_RSA_WITH_RC4_128_MD5 (0x4)
TLS_RSA_WITH_RC4_128_SHA (0x5)
本知识库表示启用 Triple DES 168 密码时,TLS_RSA_WITH_3DES_EDE_CBC_SHA 密码套件可用。但事实并非如此。我们需要此密码套件来允许 Windows 8.1 手机连接到此 ISA 发布的 ActiveSync。此配置中 3DES 加密不可用的原因是什么?我们应该怎么做才能允许 Windows 8.1 手机连接而不会受到 POODLE 攻击?
编辑:显然是服务器端出现了某种故障,重新启动后 3DES 可用性得到修复,尽管同一 KB 指出注册表更改应该立即生效。我的另一台服务器也存在同样的问题,不过仅通过注册表修改就修复了问题。
答案1
如果您的注册表更改没有立即生效,那么只需重新启动计算机。
答案2
三重 DES 168 对我有用,并禁用了 TLS_RSA_WITH_3DES_EDE_CBC_SHA 密码
默认禁用 --> 1 已启用 --> 0