我需要禁用 Windows Server 2012 R2 服务器上的不安全密码套件才能通过 PCI 漏洞扫描。根据我所做的研究,这似乎是在 IIS 中使用一些注册表更新来完成的,我编制了一个列表并运行了它们。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
"DisabledByDefault"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]
"Enabled"=dword:00000000
应用上述操作、重新启动并重新运行扫描后,由于启用了 RC4 套件,测试仍未通过。因此,我做了更多挖掘,并在谷歌搜索中发现了一个针对 SCHANNEL 的补丁:KB2868725,所以我尝试安装它,但它与系统不兼容(RC2 已经安装了它)。
之后我尝试IIS 加密,它已经显示 R4 密码已禁用(通过我之前更改的注册表项),但我打开了 PCI 模式,它禁用了更多套件/密码。重启后我很乐观,但扫描仍然失败。
从进一步的研究看来,2012 R2 应该具有内置禁用 RC4 的功能,并且 IIS 应该尊重这一点,但它并没有这样做,所以我不知道下一步该怎么做。
答案1
如果其他人遇到此问题而感到困惑,那么这不是托管 IIS 的服务器的问题。如果服务器前面有任何启用了 RC4 的负载平衡或反向代理,它也会扫描失败。