Windows漏洞修复-SSL Medium Strength Cipher Suites Supporte(SWEET32)

请叫我谭总
1,149 阅读5分钟

现场用Nessus扫描发现了Windows 3389远程端口存在三个漏洞,分别是TLS 1.0检测、中等严重性的TLS 1.1已弃用协议,以及SSL中强度密码套件支持的问题(SWEET32漏洞)

image.png

漏洞描述

TLS Version 1.0 Protocol Detection TLS 1.0(Transport Layer Security 1.0)是一种较为早期的传输层安全协议 ,它在 1999 年就已经发布,距今已有多年的历史。随着时间的推移和技术的发展,TLS 1.0 协议逐渐暴露出许多密码设计上的缺陷。虽然在现代的实现中,部分问题得到了一定程度的缓解,但相比 TLS 1.2 和 TLS 1.3 等新版本,它在安全性和性能方面都存在明显的不足。

TLS Version 1.1 Deprecated Protocol TLS 1.1 于 2006 年发布,是对 TLS 1.0 的一次升级。然而,它在解决 TLS 1.0 的一些缺陷方面进展有限。随着网络安全形势的日益严峻,TLS 1.1 也逐渐被发现存在安全隐患,并且由于其相对老旧的设计,在面对新型攻击时显得力不从心。因此,互联网标准和监管机构已经将其弃用。目前,许多主流的浏览器和安全软件都开始逐步停止对 TLS 1.1 的支持。

SSL Medium Strength Cipher Suites Supported (SWEET32) 此漏洞是指主机支持使用提供中等强度加密的 SSL 密码。Nessus 认为中等强度是指使用密钥长度至少 64 位且小于 112 位的加密,或者使用 3DES 加密套件的加密。在当今的网络环境下,这种中等强度的加密已经不足以抵御强大的攻击手段。如果攻击者位于同一物理网络上,那么规避中等强度的加密相对来说要容易得多。一旦加密被绕过,攻击者就能够获取到传输的数据,进而进行窃取、篡改等恶意操作。

本地用nmap进行验证确实存在 命令格式nmap --script=ssl-enum-ciphere -p 3389 ip

fc0550829864ad4cca31869587fd554.png

一、禁用TLS V1.0和TLS V1.1 处理方式:

打开windows powershell执行下面的命令禁用TLS V1.0和TLS V1.1 1、禁用TLS V1.0

New-Item `
    -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server' `
    -Force `
    | Out-Null

New-ItemProperty `
    -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server' `
    -name 'Enabled' `
    -value '0' `
    -PropertyType 'DWord' `
    -Force `
    | Out-Null

New-ItemProperty `
    -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server' `
    -name 'DisabledByDefault' `
    -value 1 `
    -PropertyType 'DWord' `
    -Force `
    | Out-Null

New-Item `
    -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client' `
    -Force `
    | Out-Null

New-ItemProperty `
    -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client' `
    -name 'Enabled' `
    -value '0' `
    -PropertyType 'DWord' `
    -Force `
    | Out-Null

New-ItemProperty `
    -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client' `
    -name 'DisabledByDefault' `
    -value 1 `
    -PropertyType 'DWord' `
    -Force `
    | Out-Null

Write-Host 'TLS 1.0 has been disabled.'

2、禁用TLS V1.1

New-Item `
    -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server' `
    -Force `
    | Out-Null

New-ItemProperty `
    -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server' `
    -name 'Enabled' `
    -value '0' `
    -PropertyType 'DWord' `
    -Force `
    | Out-Null

New-ItemProperty `
    -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server' `
    -name 'DisabledByDefault' `
    -value 1 `
    -PropertyType 'DWord' `
    -Force `
    | Out-Null

New-Item `
    -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client' `
    -Force `
    | Out-Null

New-ItemProperty `
    -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client' `
    -name 'Enabled' `
    -value '0' `
    -PropertyType 'DWord' `
    -Force `
    | Out-Null

New-ItemProperty `
    -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client' `
    -name 'DisabledByDefault' `
    -value 1 `
    -PropertyType 'DWord' `
    -Force `
    | Out-Null

Write-Host 'TLS 1.1 has been disabled.'

3、配置完成后重启windows系统

4、使用Nmap验证,这个时候扫描不到TLS V1.0和TLS V1.1了,说明配置成功

image.png

二、禁用弱密码套件

1、按下 Win+R 组合键,打开 “运行” 对话框,输入 “gpedit.msc” 并回车,打开本地组策略编辑器。在本地组策略编辑器中,依次展开 “计算机配置”→“管理模板”→“网络”→“SSL 配置设置” 。在右侧窗口中,找到 “SSL 密码套件顺序”,双击该项或右键选择 “编辑”。 启用SSL密码加密套件顺序,修改ssl密码加密套件,删除原有的所有密码套件,然后添加以下高强度的密码套件。

07281e8db90ec760b6b3cf339bcde72.png

SSL密码套件

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,
TLS_DHE_DSS_WITH_AES_256_CBC_SHA,
TLS_DHE_DSS_WITH_AES_128_CBC_SHA,
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

完成上述设置后,设置并不会立即生效,需要重启计算机使新的密码套件配置生效。在重启计算机之前,请务必保存好所有重要数据,并确保服务器处于非关键业务运行时段,以免因重启导致业务中断。重启后,新的 SSL 密码套件将生效

2、重启后使用nmap验证基本上解决了

03b8e1fe65d1864f3540787d2a156b6.png

avatar
文章
阅读
粉丝