Назад | Перейти на главную страницу

Как исправить уязвимость SSL 3.0 POODLE в IIS (CVE-2014-3566)?

Как мне исправить CVE-2014-3566 в системе Windows Server 2012 с IIS?

Есть ли патч в Центре обновления Windows, или мне нужно сделать изменение реестра для отключения SSL 3.0?

Нет никакого "патча". Это уязвимость в протоколе, а не ошибка в реализации.

В Windows Server 2003 до 2012 R2 протоколы SSL / TLS управляются флагами в реестре, установленными в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols.

Чтобы отключить SSLv3, с которым связана уязвимость POODLE, создайте подключ в указанном выше месте (если он еще не существует) с именем SSL 3.0 и под этим подраздел с именем Server (если его еще нет). В этом месте (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server) создать значение DWORD с именем Enabled и оставьте его на 0.

Отключение SSL 2.0, которое вы также должны сделать, выполняется таким же образом, за исключением того, что вы будете использовать ключ с именем SSL 2.0 в указанном выше пути реестра.

Я не тестировал все версии, но думаю, можно с уверенностью предположить, что для того, чтобы это изменение вступило в силу, необходима перезагрузка.

Для простоты установки я извлек этот файл "disable ssl 2 and 3.reg" из Эван ответ выше:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"Enabled"=dword:00000000

Powershell для отключения SSL2 и SSL3:

2..3 | %{ New-ItemProperty -Path "HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL $_.0\Server" -Name Enabled -PropertyType "DWORD" -Value 0 -Force }

Существует бесплатная утилита от Nartac, которую вы можете использовать для отключения протоколов.

https://www.nartac.com/Products/IISCrypto/Default.aspx

Вот PowerShell, который проверит наличие ключей реестра, при необходимости создаст их, а затем введет необходимые значения для отключения SSL 2.0 и SSL 3.0.

$regPath1 = 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0'
$regPath2 = 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server'
$regPath3 = 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0'
$regPath4 = 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server'


If(!(Test-Path -Path $regPath1))
{
New-Item -Path $regPath1 -Force
}

If(!(Test-Path $regPath2))
{
New-Item -Path $regPath2 -Force
}
   New-ItemProperty -Path $regPath2 -Name DisabledByDefault -PropertyType DWORD -Value "1" -Force
   New-ItemProperty -Path $regPath2 -Name Enabled -PropertyType DWORD -Value "0" -Force 

If(!(Test-Path $regPath3))
{
New-Item -Path $regPath3 -Force
}

If(!(Test-Path $regPath4))
{
New-Item -Path $regPath4 -Force
}
   New-ItemProperty -Path $regPath4 -Name DisabledByDefault -PropertyType DWORD -Value "1" -Force
   New-ItemProperty -Path $regPath4 -Name Enabled -PropertyType DWORD -Value "0" -Force

Его можно развернуть с помощью SCCM или командной строки - просто обязательно запустите задание SCCM или командную строку от имени администратора. Некоторые веб-сайты с информацией о реестре указывают, что после создания и / или изменения ключей реестра требуется перезагрузка.

Или возьмите копию IISCrypto и нажмите кнопку с рекомендациями, затем снимите флажок SSL 3.0 и затем примените, затем перезагрузитесь.

Вам не нужно отключать SSL3. Вы можете включить SSL3 и иметь ПУДЕЛЬ смягчен.

# Copy and paste this in PowerShell then restart your server
$cipherSuitesOrder = @(
    'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256',
    'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384',
    'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256',
    'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384',
    'TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256',
    'TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384',
    'TLS_RSA_WITH_AES_128_CBC_SHA256',
    'TLS_RSA_WITH_AES_128_CBC_SHA',
    'TLS_RSA_WITH_AES_256_CBC_SHA256',
    'TLS_RSA_WITH_AES_256_CBC_SHA',
    'TLS_RSA_WITH_RC4_128_SHA',
    'TLS_RSA_WITH_3DES_EDE_CBC_SHA',
    'TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256',
    'TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256',
    'TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384',
    'TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384',
    'TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256',
    'TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384',
    'TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256',
    'TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384'
)
$cipherSuitesAsString = [string]::join(',', $cipherSuitesOrder)
New-ItemProperty -path 'HKLM:\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002' \
-name 'Functions' -value $cipherSuitesAsString -PropertyType 'String' -Force | Out-Null

С этими настройками у вас по-прежнему будет поддержка IE6 (с SSLv3 с использованием RC4) и более чем приемлемая безопасность конфигурации. Только IE6 и действительно старый клиент будут использовать шифры SSLv3 или RC4.

Есть хороший сценарий PowerShell, который помогает с настройкой IIS 7.5 и 8:

Этот сценарий PowerShell настраивает ваш Microsoft Internet Information Server 7.5 и 8.0 (IIS) для поддержки протоколов TLS 1.1 и TLS 1.2 с прямой секретностью. Кроме того, он увеличивает безопасность ваших SSL-соединений, отключая небезопасные SSL2 и SSL3, а также все небезопасные и слабые шифры, которые браузер может откатить. Этот скрипт реализует текущие передовые правила.

https://www.hass.de/content/setup-your-iis-ssl-perfect-forward-secrecy-and-tls-12