Когда наша система проверяется системой безопасности, она обнаруживает слабые ошибки шифрования и указывает на то, что они обмениваются данными с использованием SSLv2. Наша мысль заключалась в том, чтобы отключить SSLv2 для всей системы, а не для каждого приложения, так как существует около 20 или около того портов, вызывающих нарушение, и отследить, какое приложение на каком порту работает, может занять много времени.
Мы добавили ключ реестра: HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server и установить DWORD ценность для 0
Кажется, это мешает некоторым приложениям использовать SSLv2 в качестве порта. 443 но не на других портах, например SPLUNK 8089. Также порты 636 и 3269 для LDAP вообще не используют SSLv2, а TLS, и по-прежнему считаются показателем безопасности.
Является ли этот параметр общесистемным или влияет только на службы Windows? Если мы заставим приложения использовать SSLv3, мы сможем обойти слабый шифр. Любые идеи?
Насколько я понимаю, этот параметр реестра влияет только на службы / exes, которые используют schannel.dll для SSL на сервере. Если существует другая веб-служба (например, splunk), которая не полагается на эту dll для SSL, вам придется обратиться к документации поставщика, чтобы узнать, как отключить слабые шифры SSL для этого приложения.
Присмотритесь к результатам поиска LDAP на 636 и 3269 и убедитесь, что это не просто информационный вывод. Я считаю, что они также используют schannel, и на них повлияет параметр реестра, который вы уже определили.