Назад | Перейти на главную страницу

IIS 6.0, снижающий риск BEAST

Недавно мой специалист по оценке PCI сообщил мне, что мои серверы уязвимы для BEAST, и подвел меня. Я сделал домашнее задание и хочу изменить наши веб-серверы, чтобы они предпочитали шифры RC4, а не CBC. Я следил за каждым гидом, который мог найти ...

Я изменил свои ключи reg для моего более слабого, чем 128-битное шифрование, на Enabled = 0. полностью удалил ключи reg для более слабого шифрования. Я загрузил IISCrypto и снял все флажки, кроме шифров RC4 128 и тройного DES 168.

Мой веб-сервер по-прежнему предпочитает AES-256SHA. Есть ли в IIS 6.0 уловка, заставляющая ваши веб-серверы предпочитать шифры RC4, о которых я не разбираюсь? Похоже, что в IIS 7 это очень легко исправить, но сейчас это мне не помогает!

Статья MSDN о смягчении последствий BEAST

По ссылке выше:

ПРИМЕЧАНИЕ. К сожалению, приведенное выше решение не применимо к Windows Server 2003 / Windows XP, приоритет набора шифров жестко запрограммирован. В Windows Server 2003 им, вероятно, придется отключить шифры на основе CBC; однако это может вызвать несовместимость с клиентами, пытающимися подключиться к этим серверам.

Также стоит отметить: если SSL используется только на чем-то отличном от веб-сайта (почтовый клиент, vpn и т. Д.), Он не уязвим для атак BEAST. Клиент должен подключаться к браузеру.

В MS12-006 реализован метод устранения BEAST для компьютеров XP / 2003, но некоторые клиентские приложения могут иметь проблемы. Подробнее см. В этой статье MSDN.