Назад | Перейти на главную страницу

Сервер имеет «слабую настройку шифра» в соответствии с аудитом безопасности, заменяет ошибочный шифр TLS_RSA_WITH_3DES_EDE_CBC_SHA, но по-прежнему не проходит повторный аудит?

Мы получили аудит от нашей местной группы кибербезопасности, в котором на одном из наших серверов отображается сообщение «Недостаточная защита транспортного уровня».

Согласно их описанию:

ОПИСАНИЕ: Сервер поддерживает следующие слабые шифры:

Они предоставили следующее решение:

«РЕШЕНИЕ. Мы рекомендуем отключить поддержку наборов шифров экспорта и нулевого шифрования, а также наборов шифров с использованием RC4 / 3DES. Вместо этого мы предлагаем AES128-SHA для TLS 1.0 и 1.1 и AES128-GCM-SHA256 для TLS 1.2».

Пытаясь исправить это, я сделал вот что:

  1. Выполнить -> gpedit.msc -> Конфигурация компьютера -> Административные шаблоны -> Сеть -> Параметры конфигурации SSL
  2. Нажатие на заказ SSL Cipher Suite
  3. Установлен переключатель "Включено"
  4. Заменил строку поддерживаемых наборов шифров на эту:

    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256, TLS_DHE_DSS_WITH_AES_256_CBC_SHA256, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA256, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, SSL_CK_DES_192_EDE3_CBC_WITH_MD5

  5. Перезагрузил сервер и запустил повторное тестирование с помощью служебного приложения nmap.

Мы провели повторное тестирование на нашем сервере, и оказалось, что уязвимость все еще исходит:

Изображение результата Nmap

Наша коробка - это сервер Windows 2008 R2.

Есть ли другой способ решения этой проблемы?

новая строка набора шифров, которую вы установили, по-прежнему содержит шифры 3DES. Избавьтесь от всего в списке с помощью слова DES.