我们收到了当地网络安全团队的审核,其中我们的一台服务器显示“传输层保护不足”。
根据他们的描述:
“描述:服务器支持以下弱密码:
TLS_RSA_WITH_3DES_EDE_CBC_SHA [0x0a] RSA 3DES 168
众所周知,这些密码存在加密弱点,不适合在 SSL/TLS 中使用。”
他们提供的解决方案如下:
“解决方案:我们建议禁用对导出和空密码套件以及使用 RC4/3DES 的密码套件的支持。相反,我们建议对 TLS 1.0 和 1.1 使用 AES128-SHA,对 TLS 1.2 使用 AES128-GCM-SHA256。”
为了纠正这个问题,我目前所做的是:
- 运行->gpedit.msc->计算机配置->管理模板->网络->SSL 配置设置
- 点击 SSL 密码套件订单
- 点击单选按钮“已启用”
将支持的密码套件字符串替换为以下字符串:
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM _SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE _RSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WIT H_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,SSL_CK_DES_192_EDE3_CBC_WITH_MD5
重新启动服务器并使用 nmap 实用程序应用程序重新运行测试。
我们对我们的服务器进行了重新测试,发现该漏洞仍然存在:
我们的机器是Windows 2008 R2 服务器。
还有其他方法可以解决这个问题吗?
答案1
您安装的新密码套件字符串中仍包含 3DES 密码。删除列表中带有 DES 字样的所有内容。