Jak załatać CVE-2014-3566 w systemie Windows Server 2012 z uruchomionymi usługami IIS?
Czy w Windows Update jest łatka, czy muszę wprowadzić zmiany w rejestrze, aby wyłączyć SSL 3.0 ?
Jak załatać CVE-2014-3566 w systemie Windows Server 2012 z uruchomionymi usługami IIS?
Czy w Windows Update jest łatka, czy muszę wprowadzić zmiany w rejestrze, aby wyłączyć SSL 3.0 ?
Odpowiedzi:
Nie ma „łatki”. Jest to luka w protokole, a nie błąd w implementacji.
W systemie Windows Server 2003 do 2012 R2 protokoły SSL / TLS są kontrolowane przez flagi w rejestrze ustawione na
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols
.Aby wyłączyć protokół SSLv3, którego dotyczy luka POODLE, utwórz podklucz w powyższej lokalizacji (jeśli jeszcze go nie ma) o nazwie,
SSL 3.0
a pod nim podklucz o nazwieServer
(jeśli jeszcze nie jest obecny). W tej lokalizacji (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server
) utwórz wartość DWORD o nazwieEnabled
i pozostaw ją ustawioną na0
.Wyłączanie protokołu SSL 2.0, które należy również wykonać, odbywa się w ten sam sposób, z tym wyjątkiem, że będziesz używać klucza o nazwie
SSL 2.0
podanej powyżej w rejestrze.Nie przetestowałem wszystkich wersji, ale myślę, że prawdopodobnie bezpiecznie jest założyć, że ponowne uruchomienie jest konieczne, aby ta zmiana zaczęła obowiązywać.
źródło
Dla ułatwienia instalacji wyprowadziłem ten plik „wyłącz ssl 2 i 3.reg” z odpowiedzi Evana powyżej :
źródło
PowerShell do wyłączania SSL2 i SSL3:
źródło
Istnieje bezpłatne narzędzie firmy Nartac, którego można użyć do wyłączenia protokołów.
https://www.nartac.com/Products/IISCrypto/Default.aspx
źródło
Oto PowerShell, który przetestuje obecność kluczy rejestru, w razie potrzeby utwórz je, a następnie wprowadź niezbędne wartości, aby wyłączyć SSL 2.0 i SSL 3.0
Można to wdrożyć za pomocą SCCM lub wiersza poleceń - po prostu uruchom zadanie SCCM lub wiersz poleceń jako Administrator. Niektóre witryny z informacjami o rejestrze wskazują, że po utworzeniu i / lub modyfikacji kluczy rejestru konieczne jest ponowne uruchomienie komputera.
źródło
Lub pobierz kopię IISCrypto i kliknij przycisk najlepszych praktyk, następnie odznacz SSL 3.0, a następnie zastosuj, a następnie uruchom ponownie
źródło
Nie musisz wyłączać SSL3. Możesz włączyć SSL3 i zminimalizować POODLE .
Przy tych ustawieniach nadal będziesz mieć obsługę IE6 (z SSLv3 przy użyciu RC4) i masz więcej niż akceptowalną pod względem bezpieczeństwa konfigurację. Tylko IE6 i naprawdę stary klient używałyby szyfrów SSLv3 lub RC4.
źródło
Istnieje dobry skrypt PowerShell, który pomaga w konfiguracji IIS 7.5 i 8:
https://www.hass.de/content/setup-your-iis-ssl-perfect-forward-secrecy-and-tls-12
źródło