Windows Server 2012 R2 IIS 锁定后报告弱密码

tag-icon tag-icon ssl windows-server-2012-r2 pci-dss iis-8.5
Windows Server 2012 R2 IIS 锁定后报告弱密码

我在锁定 Windows Server 2012 R2 64 位机箱时遇到了问题。我使用名为 IISCrypto 的工具使机箱符合 FIPS 140 标准。

我已手动检查注册表项并且所有弱密码看起来都已被禁用,但 Retina 网络扫描仪社区仍然报告 IIS 支持弱密码(Enabled=0)。

当我运行 SSLScan 时,我得到以下信息:

port 443 在支持的服务器密码上测试 SSL 服务器 127.0.0.1 :

Failed    SSLv2  168 bits  DES-CBC3-MD5
Failed    SSLv2   56 bits  DES-CBC-MD5
Failed    SSLv2  128 bits  IDEA-CBC-MD5
Failed    SSLv2   40 bits  EXP-RC2-CBC-MD5
Failed    SSLv2  128 bits  RC2-CBC-MD5
Failed    SSLv2   40 bits  EXP-RC4-MD5
Failed    SSLv2  128 bits  RC4-MD5
Failed    SSLv3  256 bits  ADH-AES256-SHA
Failed    SSLv3  256 bits  DHE-RSA-AES256-SHA
Failed    SSLv3  256 bits  DHE-DSS-AES256-SHA
Failed    SSLv3  256 bits  AES256-SHA
Failed    SSLv3  128 bits  ADH-AES128-SHA
Failed    SSLv3  128 bits  DHE-RSA-AES128-SHA
Failed    SSLv3  128 bits  DHE-DSS-AES128-SHA
Failed    SSLv3  128 bits  AES128-SHA
Failed    SSLv3  168 bits  ADH-DES-CBC3-SHA
Failed    SSLv3   56 bits  ADH-DES-CBC-SHA
Failed    SSLv3   40 bits  EXP-ADH-DES-CBC-SHA
Failed    SSLv3  128 bits  ADH-RC4-MD5
Failed    SSLv3   40 bits  EXP-ADH-RC4-MD5
Failed    SSLv3  168 bits  EDH-RSA-DES-CBC3-SHA
Failed    SSLv3   56 bits  EDH-RSA-DES-CBC-SHA
Failed    SSLv3   40 bits  EXP-EDH-RSA-DES-CBC-SHA
Failed    SSLv3  168 bits  EDH-DSS-DES-CBC3-SHA
Failed    SSLv3   56 bits  EDH-DSS-DES-CBC-SHA
Failed    SSLv3   40 bits  EXP-EDH-DSS-DES-CBC-SHA
Failed    SSLv3  168 bits  DES-CBC3-SHA
Failed    SSLv3   56 bits  DES-CBC-SHA
Failed    SSLv3   40 bits  EXP-DES-CBC-SHA
Failed    SSLv3  128 bits  IDEA-CBC-SHA
Failed    SSLv3   40 bits  EXP-RC2-CBC-MD5
Failed    SSLv3  128 bits  RC4-SHA
Failed    SSLv3  128 bits  RC4-MD5
Failed    SSLv3   40 bits  EXP-RC4-MD5
Failed    SSLv3    0 bits  NULL-SHA
Failed    SSLv3    0 bits  NULL-MD5
Failed    TLSv1  256 bits  ADH-AES256-SHA
Failed    TLSv1  256 bits  DHE-RSA-AES256-SHA
Failed    TLSv1  256 bits  DHE-DSS-AES256-SHA
Accepted  TLSv1  256 bits  AES256-SHA
Failed    TLSv1  128 bits  ADH-AES128-SHA
Failed    TLSv1  128 bits  DHE-RSA-AES128-SHA
Failed    TLSv1  128 bits  DHE-DSS-AES128-SHA
Accepted  TLSv1  128 bits  AES128-SHA
Failed    TLSv1  168 bits  ADH-DES-CBC3-SHA
Failed    TLSv1   56 bits  ADH-DES-CBC-SHA
Failed    TLSv1   40 bits  EXP-ADH-DES-CBC-SHA
Failed    TLSv1  128 bits  ADH-RC4-MD5
Failed    TLSv1   40 bits  EXP-ADH-RC4-MD5
Failed    TLSv1  168 bits  EDH-RSA-DES-CBC3-SHA
Failed    TLSv1   56 bits  EDH-RSA-DES-CBC-SHA
Failed    TLSv1   40 bits  EXP-EDH-RSA-DES-CBC-SHA
Failed    TLSv1  168 bits  EDH-DSS-DES-CBC3-SHA
Failed    TLSv1   56 bits  EDH-DSS-DES-CBC-SHA
Failed    TLSv1   40 bits  EXP-EDH-DSS-DES-CBC-SHA
Accepted  TLSv1  168 bits  DES-CBC3-SHA
Failed    TLSv1   56 bits  DES-CBC-SHA
Failed    TLSv1   40 bits  EXP-DES-CBC-SHA
Failed    TLSv1  128 bits  IDEA-CBC-SHA
Failed    TLSv1   40 bits  EXP-RC2-CBC-MD5
Failed    TLSv1  128 bits  RC4-SHA
Failed    TLSv1  128 bits  RC4-MD5
Failed    TLSv1   40 bits  EXP-RC4-MD5
Failed    TLSv1    0 bits  NULL-SHA
Failed    TLSv1    0 bits  NULL-MD5

Prefered Server Cipher(s):

TLSv1  256 bits  AES256-SHA

我遗漏了什么?谢谢

答案1

WellDES-CBC3-SHA 含糊不清,因为它没有列出密钥交换算法(很确定 RSA 暗示了这一点),但这可能是 Retina 抱怨的。尽管它说的是 DES(当然不符合 FIPS 标准),但我相对确定它实际上指的是 3DES(三重 DES),因为它有 168 位密钥,即 56x3。从各方面来看,这都是一个糟糕的标签。

如果 Retina 是一个更好的工具,它会准确地告诉你它所抱怨的是什么。

使用 IISCrypto 等工具的问题是你不知道它在幕后到底在做什么

另外,您确定您使用的 SSLScan 版本已针对 TLS 1.1 和 1.2 进行了更新吗?目前有的版本停留在 TLS 1.0。在这种情况下,您可能需要使用更新的工具(如 SharpTLSScan)进行检查:https://www.myotherpcisacloud.com/post/sharptlsscan-v12

默认情况下,您应该至少在 Server 2012 R2 上启用一些 TLS 1.1 和 1.2 密码,这让我怀疑您的 SSLScan 版本是否已过时并且不会扫描较新的协议版本。

无论如何,您确实希望启用 TLS 1.1 和 1.2。TLS 1.0 的使用寿命很快就要结束了。

相关内容